В сфере информационной безопасности продолжают действовать изменения, связанные с законом № 58-ФЗ о критической информационной инфраструктуре (КИИ). Документ начал действие полгода назад, и в ближайшее время окончательно определится перечень организаций, которые официально будут отнесены к владельцам объектов КИИ и обязаны соблюдать новые требования.
Согласно закону, владельцы объектов КИИ обязаны обеспечить комплексную защиту своих информационных систем, включая программное обеспечение, серверное и сетевое оборудование, а также привлечение квалифицированных специалистов по информационной безопасности. При этом частные компании сохраняют определенную свободу в выборе решений, однако для значимых объектов, включенных в госсистемы, закупка оборудования и программ осуществляется исключительно через конкурсные процедуры.
Оборудование и программные решения должны соответствовать действующим приказам ФСТЭК № 235 и № 239. Также они обязаны быть совместимыми с системой ГосСОПКА. Проектирование систем защиты могут выполнять только организации, имеющие специальную лицензию на деятельность по технической защите конфиденциальной информации. Если работа связана с государственной тайной, дополнительно требуется лицензия ФСТЭК ТЗКИ.
Поставщики оборудования и программного обеспечения обязаны обеспечивать техническую поддержку на всём протяжении эксплуатации решений, использовать отечественные разработки при подключении к государственной системе реагирования на кибератаки, а также гарантировать отсутствие запрещённого или скрытого функционала. Информационные системы должны поддерживать установленные форматы передачи данных и обеспечивать защиту от компьютерных атак.
Поскольку детальные требования к реализации норм пока окончательно не утверждены, заказчики ориентируются на общие рекомендации регуляторов и самостоятельно формируют технические задания с учётом требований законодательства.
