На сайте ФСТЭК 12 апреля выложили методический документ "Мероприятия и меры по защите информации, содержащейся в информационных системах". Проект этого документа выкладывали в феврале.

Несколько упрощая и перефразируя п. 1.2, документ определяет как нужно защищать информацию (за исключением вопросов, связанных с криптографией):

🔹 в ИС, АСУ и сетях госорганов, ГУП, госучреждений и организаций, включая субъектов КИИ
🔹 в Тех. средствах, ПО и БД, используемых для создания и эксплуатации ГИС и иных ИС госорганов, доступ к которым предоставляется по сети
🔹 в ИТ-инфраструктурах общего назначения, обеспечивающих функционирование указанных ИС, а также обеспечивающих безопасность ЗОКИИ, принадлежащей органам (организациям)

Фактически это детализация 117-го приказа ФСТЭК и замена методического документа ФСТЭК России от 11 февраля 2014 года "Меры защиты информации в государственных информационных системах".

Документ объёмный, 255 страниц (по файлу в формате ods). Я посмотрел, в каких разделах встречается слово "уязвимости" в различных формах (звёздочками условно отметил частоту упоминания):

✳️✳️✳️✳️✳️ 3.3. Управление уязвимостями (КУ)
✳️✳️✳️✳️✳️ ЗКО.8 Выявление и устранение уязвимостей в контейнерной среде
✳️✳️✳️✳️ II. ФАКТОРЫ, ВЛИЯЮЩИЕ НА СОСТОЯНИЕ ЗАЩИТЫ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
✳️✳️✳️ 3.18. Обеспечение защиты информации при использовании искусственного интеллекта (ИИ)
✳️✳️ 3.4. Управление обновлениями (КО)
✳️✳️ 3.12. Обеспечение разработки безопасного программного обеспечения (БР)
✳️✳️ ЗИВ.4 Контроль целостности
✳️ 3.1. Выявление и оценка угроз безопасности информации (ВУ)
✳️ 3.19. Проведение периодического контроля уровня защищенности информации, содержащейся в информационных системах (ПК)
✳️ РСБ.2 Анализ событий безопасности и реагирование на них
✳️ ЗСВ.1 Доверенная загрузка средств виртуализации и виртуальных машин
✳️ ЗКО.2 Регистрация событий безопасности в контейнерных средах
✳️ ЗБД.3 Защита пользовательских данных
✳️ ЗБД.4 Контроль целостности

Ниже привожу полную структуру документа.

I. ОБЩИЕ ПОЛОЖЕНИЯ

II. ФАКТОРЫ, ВЛИЯЮЩИЕ НА СОСТОЯНИЕ ЗАЩИТЫ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ✳️✳️✳️

III. МЕРОПРИЯТИЯ (ПРОЦЕССЫ) ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОРГАНОВ (ОРГАНИЗАЦИЙ)

3.1. Выявление и оценка угроз безопасности информации (ВУ) ✳️
3.2. Контроль конфигураций информационных систем (КК)
3.3. Управление уязвимостями (КУ) ✳️✳️✳️✳️✳️
3.4. Управление обновлениями (КО) ✳️✳️
3.5. Обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа (ОД)
3.6. Обеспечение защиты информации при использовании конечных устройств (ЗУ)
3.7. Обеспечение защиты информации при применении мобильных устройств (МУ)
3.8. Обеспечение защиты информации при удаленном доступе пользователей к информационным системам (УД)
3.9. Обеспечение защиты информации при беспроводном доступе пользователей к информационным системам (БД)
3.10. Обеспечение защиты информации при предоставлении пользователям привилегированного доступа (ПД)
3.11. Обеспечение мониторинга информационной безопасности (МБ)
3.12. Обеспечение разработки безопасного программного обеспечения (БР) ✳️✳️
3.13. Обеспечение физической защиты информационных систем (ФЗ)
3.14. Обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций (НФ)
3.15. Повышение уровня знаний и информированности пользователей по вопросам защиты информации (УЗ)
3.16. Обеспечение защиты информации при взаимодействии с подрядными организациями (ЗП)
3.17. Обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании (ОО)
3.18. Обеспечение защиты информации при использовании искусственного интеллекта (ИИ) ✳️✳️✳️
3.19. Проведение периодического контроля уровня защищенности информации, содержащейся в информационных системах (ПК) ✳️

IV. МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИОННЫХ СИСТЕМ И СОДЕРЖАЩЕЙСЯ В НИХ ИНФОРМАЦИИ

4.1. Идентификация и аутентификация (ИАФ)
ИАФ.1 Идентификация пользователей
ИАФ.2 Идентификация устройств
ИАФ.3 Аутентификация пользователей
ИАФ.4 Аутентификация устройств

4.2. Управление доступом (УПД)
УПД.1 Реализация модели управления доступом
УПД.2 Разграничение и контроль прав доступа
УПД.3 Управление учетными записями
УПД.4 Ограничение неуспешных и нерегламентированных попыток доступа в информационную систему
УПД.5 Предупреждение пользователя при его доступе к информационной системе
УПД.6 Оповещение пользователя о предыдущем входе в информационную систему
УПД.7 Ограничение числа параллельных сеансов доступа
УПД.8 Блокирование сеанса доступа пользователя при неактивности
УПД.9 Контроль действий субъектов доступа до идентификации и аутентификации

4.3. Регистрация событий безопасности (РСБ)
РСБ.1 Определение событий безопасности и данных о них, подлежащих регистрации
РСБ.2 Анализ событий безопасности и реагирование на них ✳️
РСБ.3 Генерация временных меток при регистрации событий безопасности
РСБ.4 Требования к сбору, хранению и защите данных о событиях безопасности
РСБ.5 Реагирование на сбои при регистрации событий безопасности

4.4. Защита виртуализации и облачных вычислений (ЗСВ)
ЗСВ.1 Доверенная загрузка средств виртуализации и виртуальных машин ✳️
ЗСВ.2 Контроль целостности средств виртуализации и виртуальных машин
ЗСВ.3 Регистрация событий безопасности в среде виртуализации
ЗСВ.4 Управление доступом в среде виртуализации
ЗСВ.5 Резервное копирование в среде виртуализации
ЗСВ.6 Ограничение программной среды в среде виртуализации
ЗСВ.7 Защита памяти в среде виртуализации
ЗСВ.8 Идентификация и аутентификация в среде виртуализации
ЗСВ.9 Управление виртуальными машинами

4.5. Защита технологий контейнерных сред и их оркестрации (ЗКО)
ЗКО.1 Контроль целостности в контейнерных средах
ЗКО.2 Регистрация событий безопасности в контейнерных средах ✳️
ЗКО.3 Управление доступом в контейнерных средах
ЗКО.4 Резервное копирование в контейнерных средах
ЗКО.5 Изоляция контейнеров в контейнерной среде
ЗКО.6 Идентификация и аутентификация в контейнерной среде
ЗКО.7 Управление контейнерами и их образами (оркестрация)
ЗКО.8 Выявление и устранение уязвимостей в контейнерной среде ✳️✳️✳️✳️✳️

4.6. Защита сервисов электронной почты (ЗЭП)
ЗЭП.1 Защита ящиков и сообщений электронной почты
ЗЭП.2 Управление доступом пользователей
ЗЭП.3 Защита от вредоносных вложений
ЗЭП.4 Защита от фишинга
ЗЭП.5 Защита от спама
ЗЭП.6 Защита метаданных и иной технической информации сервисов электронной почты

4.7. Защита веб-технологий (ЗВТ)
ЗВТ.1 Защита пользовательских данных
ЗВТ.2 Управление доступом пользователей
ЗВТ.3 Контроль и фильтрация трафика веб-приложений
ЗВТ.4 Регистрация событий безопасности в веб-приложениях и реагирование на них
ЗВТ.5 Проверка файлов, передаваемых веб-приложениями, на вредоносное программное обеспечение

4.8. Защита программных интерфейсов взаимодействия приложений (API) (ЗПИ)
ЗПИ.1 Защита данных API
ЗПИ.2 Управление доступом пользователей и приложений
ЗПИ.3 Проверка на соответствие спецификации API

4.9. Защита конечных устройств (ЗКУ)
ЗКУ.1 Управление доступом к конечным устройствам
ЗКУ.2 Обеспечение целостности программного обеспечения конечного устройства
ЗКУ.3 Антивирусная защита и обнаружение и предотвращение вторжений на конечных устройствах
ЗКУ.4 Мониторинг процессов и состояния устройства
ЗКУ.5 Контроль и фильтрация трафика на конечном устройстве
ЗКУ.6 Анализ и реагирование на события безопасности

4.10. Защита мобильных устройств (ЗМУ)
ЗМУ.1 Идентификация и аутентификация пользователей
ЗМУ.2 Управление доступом пользователей к мобильным устройствам
ЗМУ.3 Обеспечение целостности
ЗМУ.4 Защита данных
ЗМУ.5 Антивирусная защита
ЗМУ.6 Контроль приложений
ЗМУ.7 Ограничение и контроль функциональности
ЗМУ.8 Определение и контроль геопозиции
ЗМУ.9 Регистрация, анализ и реагирование на события безопасности

4.11. Защита технологий «интернета вещей» (ЗИВ)
ЗИВ.1 Идентификация и аутентификация
ЗИВ.2 Управление доступом
ЗИВ.3 Защита данных
ЗИВ.4 Контроль целостности ✳️✳️
ЗИВ.5 Регистрация, анализ и реагирование на события безопасности

4.12. Защита точек беспроводного доступа (ЗБД)
ЗБД.1 Идентификация и аутентификация
ЗБД.2 Управление доступом
ЗБД.3 Защита пользовательских данных ✳️
ЗБД.4 Контроль целостности ✳️
ЗБД.5 Ограничение уровней сигналов
ЗБД.6 Регистрация, анализ и реагирование на события безопасности

4.13. Антивирусная защита (АВЗ)
АВЗ.1 Антивирусная защита устройств
АВЗ.2 Антивирусная защита электронной почты
АВЗ.3 Антивирусная проверка сетевого трафика
АВЗ.4 Применение замкнутой системы (среды) предварительного выполнения программ («песочницы»)

4.14. Обнаружение и предотвращение вторжений на сетевом уровне (СОВ)
СОВ.1 Обнаружение и предотвращение вторжений на периметре
СОВ.2 Обнаружение и предотвращение вторжений в сегментах информационной системы

4.15. Сегментация и межсетевое экранирование (МСЭ)
МСЭ.1 Сегментация сети
МСЭ.2 Организация демилитаризованной зоны
МСЭ.3 Контроль сетевого доступа и фильтрация трафика
МСЭ.4 Маскирование системы
МСЭ.5 Создание ложных систем

4.16. Защита от компьютерных атак, направленных на отказ в обслуживании (ЗОО)
ЗОО.1 Защита от компьютерных атак, направленных на отказ в обслуживании, при доступе внешних пользователей к прикладным сервисам, предоставляемым информационной системой
ЗОО.2 Контроль и фильтрация входящего трафика
ЗОО.3 Мониторинг состояния сервисов и интерфейсов
ЗОО.4 Балансировка нагрузки
ЗОО.5 Ограничение нагрузки
ЗОО.6 Поддержка резерва достаточной пропускной способности и расширение ресурсов при сбоях

4.17. Защита каналов связи и сетевого взаимодействия (ЗКС)
ЗКС.1 Защита данных при передаче по каналам связи
ЗКС.2 Контроль атрибутов безопасности при сетевом взаимодействии
ЗКС.3 Контроль доступа к внешним ресурсам
ЗКС.4 Контекстная проверка исходящего трафика

Приложение № 1. Термины и определения, применяемые для целей настоящего методического документа
Приложение № 2. Содержание базовых мер защиты информации для соответствующего класса защищенности информационной системы
Приложение № 3. Выбор мер защиты информации для реализации в информационной системе