Применение новых требований к защите информации в государственных информационных системах

Требованиями определена необходимость реализации мероприятий (процессов) в государственных органах и организациях, а также мер защиты информации применительно к информационным системам и информационно-коммуникационной инфраструктуре, на базе которой функционируют указанные системы.

В целях реализации мероприятий (процессов) в государственных органах и организациях в соответствии с пунктом 14 Требований в государственных органах и организациях в первоочередном порядке необходимо разработать и утвердить политику защиты информации, внутренние стандарты по защите информации, а также внутренние регламенты по защите информации.

При создании государственных информационных систем и иных информационных систем после 1 марта 2026 г. необходимо руководствоваться положениями Требований. При реализации мер защиты информации в государственных информационных системах и иных информационных системах до момента утверждения методического документа "Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах" необходимо руководствоваться методическим документом "Меры защиты информации в государственных информационных системах", утвержденным ФСТЭК России 11 февраля 2014 г.

В ходе модернизации (развития) функционирующих государственных информационных систем, аттестованных на соответствие Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, и иных информационных систем необходимо спланировать приведение их в соответствие Требованиям.

По результатам модернизации (развития) государственных информационных систем и иных информационных систем необходимо провести дополнительные аттестационные испытания в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. N 77. После проведения дополнительных аттестационных испытаний переоформляется аттестат соответствия Требованиям.

В случае заключения договора на оказание услуг по созданию или развитию (модернизации) информационных систем до 1 марта 2026 г. допускается проведение указанных работ в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.

С целью осуществления поэтапного перехода к реализации Требований ФСТЭК России рекомендует разработать в государственных органах и организациях план перехода, содержащий описание мероприятий и мер по защите информации, направленных на реализацию положений Требований, со сроками их реализации.