Проект приказа ФСТЭК России (https://regulation.gov.ru/projects/166998/) предусматривает существенные изменения в системе защиты критической информационной инфраструктуры страны. Если документ будет утвержден, нововведения вступят в силу с 1 сентября 2026 года.
Основные изменения коснутся системы оценки безопасности. Предложено ввести регулярный расчет двух ключевых показателей:
показатель защищенности - будет оцениваться каждые полгода;
уровень зрелости защиты - анализ планируется проводить раз в два года.
При выявлении проблем компании должны будут в течение 3 дней информировать руководство и принимать меры. Результаты проверок необходимо направлять в ФСТЭК в течение 5 рабочих дней.
Важные требования к системам защиты включают:
обязательное наличие технической поддержки от разработчиков;
запрет на удаленный доступ сторонних лиц к системам защиты;
строгий контроль всех действий пользователей при работе с критическими объектами.
Предложенные ФСТЭК изменения в первую очередь коснутся следующих специалистов:
руководителей компаний и их заместителей по информационной безопасности;
экспертов по анализу защищенности систем;
специалистов по администрированию IT-инфраструктуры;
специалистов по контролю доступа и мониторингу действий пользователей, а также других специалистов служб информационной безопасности.