А направлений собственно два — госорганы и критически важные объекты (КВО), которые должны защищаться в соответствие с новыми ст.16.1 и 16.2 законопроекта. Что характерно никаких закручиваний гаек и нововведений в законопроекте нет (хотя терминологически там есть, где поработать) — все то, что и так давно известно или было известно. Госорганы обязаны защищать государственные информационные системы и государственные информационные ресурсы, а требования по этой защите устанавливает ФСТЭК и ФСБ в пределах своих полномочий. Собственно про готовящиеся новые требования со стороны ФСТЭК я уже писал — они придут на смену СТР-К и должно это произойти (если пойдет успешно) к концу этого — началу следующего года.
Новым выглядит ст.16.2 по защите критически важных объектов, но в целом это направление внимания регуляторов предполагалось давно. Во всех странах мира КВО, даже находящиеся в частных руках, наъодятся под пристальным контролем государства. Это и зафиксировано в законопроекте. В остальном идея та же — есть ряд мероприятий, которые необходимо выполнить в КВО с точки зрения ИБ, а ряд требований по защите устанавливает ФСТЭК и ФСБ. Правда, учитывая недавний документ Совбеза по защите АСУ ТП, участие ФСТЭК под вопросом, но вполне возможно, что ситуация и не такая патовая, как кажется. В конце концов у ФСБ нет ни документов, ни опыта по работе с ключевыми системами информационной инфраструктуры (КСИИ); в отличие от ФСТЭК.
Текст законопроекта нефинальный (как это часто бывает с законопроектами) и находится в процессе согласования с Аппаратом Правительства и федеральными органами исполнительной власти, завязанными на данную тематику.