Согласно обновленной редакции, правила информационной безопасности теперь обязательны для применения не только государственными органами и местными исполнительными органами, но и государственными юридическими лицами, субъектами квазигосударственного сектора, владельцами негосударственных информационных систем, интегрируемых с госинформацией, а также владельцами критически важных объектов информационно-коммуникационной инфраструктуры и оперативных центров ИБ.
В документ внесены новые понятия:
- Пользователь — лицо, использующее цифровые системы для выполнения конкретных задач;
- АСУ ТП — автоматизированные системы управления технологическими процессами;
- ИИ и системы ИИ — технологии, имитирующие когнитивные функции человека;
- Национальная платформа ИИ — платформа для сбора, обработки и предоставления данных и сервисов в сфере искусственного интеллекта.
Обновлены требования к созданию цифровых решений: они должны основываться на платформах «электронного правительства» и национальной платформе ИИ, исключать дублирующие функции и обеспечивать автоматизацию государственных процессов без дополнительных затрат на внедрение и обучение.
При управлении информационной безопасностью организации должны:
- оценивать риски и формировать каталог угроз по национальным стандартам;
- управлять рисками систем ИИ;
- вести учет обучения сотрудников с выдачей электронных сертификатов;
- разрабатывать профили защиты для конфиденциальных и критических информационных систем;
- использовать средства криптографической защиты информации в зависимости от класса объекта.
Владельцы негосударственных информационных систем и критически важных объектов обязаны создавать собственные оперативные центры информационной безопасности или приобретать такие услуги у сторонних организаций, а также обеспечивать взаимодействие с Национальным координационным центром информационной безопасности.
Документ уточняет и другие положения, направленные на повышение кибербезопасности государственных и критически важных цифровых систем.
