⚠️Приказы ФСТЭК № 17, № 117 и № 21 — что важно знать.  № 17 действует только для государственных информационных систем (ГИС), где обрабатывается информация ограниченного доступа без гостайны.  Требует аттестации и применения сертифицированных средств защиты, меры сгруппированы в 13 категорий (регистрация событий, антивирусная защита, контроль целостности и др.).  Не учитывает современные угрозы вроде облачных сервисов, IoT или удалённого доступа.  № 117 заменяет № 17 и распространяется на все информационные системы госорганов, муниципальных учреждений и унитарных предприятий.  Меры защиты расширены до 17 групп: защита контейнеров и API, WEB-приложений, IoT, ИИ 🤯.  Введены строгие правила удалённого доступа (только через сети в пределах РФ, шифрование, многофакторная аутентификация), контроль использования мобильных устройств и новые требования к безопасной разработке по ГОСТ Р 56939.  Аттестация остаётся обязательной только для ГИС, для других систем решение принимает руководитель.  Подрядчики 💀 обязаны следовать требованиям оператора и стандартам SDLC, но сертификация процессов разработки не нужна.  № 21 регулирует обработку персональных данных (ПДн) в негосударственных системах.  Классификация 4 уровня защищённости (УЗ1–УЗ4) в зависимости от типа ПДн, объёма данных и актуальных угроз.  Аттестация не требуется, возможна добровольная оценка эффективности раз в три года.  Для УЗ1–УЗ2 или при угрозах 2-го типа средства защиты должны быть проверены на отсутствие НДВ, что фактически означает сертификацию.  В приказе есть пробел отсутствует пункт 5, что создаёт коллизии с Постановлением № 1119 (например, по учёту носителей ПДн).  ➡️ Если в госсистеме есть ПДн, приоритет имеет № 117, а № 21 применяется только в части, не противоречащей его требованиям.  Для негосударственного сектора актуален только № 21. № 17 постепенно уходит из применения, действующие аттестаты сохраняются до конца срока, но при модернизации системы потребуется соответствие новым правилам. 

https://t.me/scontrols #ФСТЭК #инфобезопасность #ИБ #госсектор #ПДн #кибербезопасность #регулирование