Остались вопросы?
С удовольствием ответим на них в ближайшее время!
Настройки cookie
Обзор нового методического документа «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах»
Введение
12 апреля 2026 года увидел свет долгожданный методический документ — прямое продолжение широко обсуждаемого приказа ФСТЭК России № 117 от 11.04.2025, который недавно вступил в силу. Почему «долгожданный»? Всё просто — без этого методического документа невозможно проводить необходимые мероприятия и принимать меры по защите информации в информационных системах, обязательные для государственных органов, государственных унитарных предприятий и государственных учреждений.
Основные разделы документа
Давайте изучим методический документ более детально, пройдём по его основным разделам и, конечно же, заострим внимание на самом важном и новом.
Методический документ состоит из следующих разделов:
Итак, в "Общих положениях" можно выделить следующие ключевые тезисы:
Задачи документа
Определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации
Состав и содержание документа
Детализирует мероприятия (процессы), которые организация должна выполнить для достижения целей защиты информации, обеспечения безопасности значимых объектов критической информационной инфраструктуры.
Для кого актуален?
Предназначен для:
Когда применять?
Применяется в ходе:
Переходим к следующему разделу: «Факторы, влияющие на состояние защиты информации, содержащейся в информационных системах».
Здесь, как и следует из названия, приведены факторы, которые влияют на систему управления информационной безопасности, а также рекомендации по снижению рисков, вызванных этими факторами.
Исходя из этого, можно определить следующие основные направления деятельности по защите информации:
Методический документ состоит из следующих разделов:
- общие положения документа;
- факторы, влияющие на состояние защиты информации, содержащейся в информационных системах;
- мероприятия по защите информации, содержащейся в информационных системах;
- меры по защите информационных систем и содержащейся в них информации;
- приложения, содержащие перечень используемых терминов, а также таблицы с составом обязательных для реализации мер защиты для каждого класса защищенности информационных систем (похожая и известная всем нам таблица была и в приказе ФСТЭК России № 17 от 11.02.2013).
Итак, в "Общих положениях" можно выделить следующие ключевые тезисы:
Задачи документа
Определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации
Состав и содержание документа
Детализирует мероприятия (процессы), которые организация должна выполнить для достижения целей защиты информации, обеспечения безопасности значимых объектов критической информационной инфраструктуры.
Для кого актуален?
Предназначен для:
- обладателей информации;
- заказчиков, заключивших государственный контракт на создание информационных систем;
- операторов информационных систем;
- подрядчиков, которым предоставляется доступ к информационным системам оператора и (или) содержащейся в них информации для оказания услуг, проведения работ
Когда применять?
Применяется в ходе:
- организации деятельности по защите информации, созданию системы защиты информации и управления ею;
- создания, эксплуатации и поддержания необходимого уровня защищенности информационных систем;
- оценки эффективности деятельности по защите информации;
- аттестации и проведения иных форм оценки соответствия информационных систем на соответствие требованиям по защите информации.
Переходим к следующему разделу: «Факторы, влияющие на состояние защиты информации, содержащейся в информационных системах».
Здесь, как и следует из названия, приведены факторы, которые влияют на систему управления информационной безопасности, а также рекомендации по снижению рисков, вызванных этими факторами.
Исходя из этого, можно определить следующие основные направления деятельности по защите информации:
1
Анализ угроз информационной безопасности, определение негативных последствий, проведение мероприятий по снижению вероятности их реализации.
2
Непрерывная деятельность по защите информации наряду с основной деятельностью.
3
Кадровое обеспечение работниками по защите информации, необходимое для решения задач по защите информации.
4
Применение соответствующих средств защиты информации.
5
Четкое регламентирование процессов и мероприятий по обеспечению информационной безопасности.
6
Обязательное обучение и информирование работников по вопросам, касающихся информационной безопасности.
7
Закрепление персональной ответственности работников за соблюдение требований по информационной безопасности в рамках их трудовых обязанностей.
8
Принятие грамотных архитектурных решений при создании информационных систем.
9
Организация и непрерывное принятие мер по блокированию угроз.
10
Приведение решений в области информационных технологий к единообразию и инвентаризации ИТ-активов.
11
Применение отечественных программных, программно-аппаратных средств и решений.
12
Контроль доверия в отношении пользователей и программных средств.
13
Проведение постоянного контроля, включая расчет показателя защищенности Кзи.
Какие выводы можно сделать?
Следующая часть нашего обзора будет иметь комбинированный вид — табличная форма с текстовыми «разборами полётов».
- Самое важное, что хочется подчеркнуть: ФСТЭК России прямо указывает на то, что обеспечение информационной безопасности — это непрерывная деятельность на протяжении всего жизненного цикла информационной системы, которая строится на четырех ключевых принципах: планирование, выполнение, проверка, внедрение.
- При эксплуатации информационных систем удобно, когда они функционируют на унифицированных программно-аппаратных решениях. Важно не допускать «зоопарка» программ и прикладного оборудования, как минимум, внутри одной информационной системы.
- «Человеческий фактор» имеет большое значение. Пользователь может допустить ошибки, влекущие за собой угрозу безопасности информации, но при этом даже не будет догадываться об этом. Поэтому всегда нужно просвещать пользователей об основных техниках нарушителей (злоумышленников), о недопущении раскрытия информации, содержащей сведения ограниченного доступа.
- Появилась новая обязанность в виде расчета показателя защищенности Кзи. Стоит обратить внимание, что минимально допустимое значение показателя Кзи – 1. Расчет показателя защищенности Кзи не является «разовой акцией», его необходимо проводить регулярно, а результаты отправлять во ФСТЭК России в срок не позднее пяти рабочих дней после дня его расчета. Кзи подлежит расчету не реже одного раза в шесть месяцев.
Следующая часть нашего обзора будет иметь комбинированный вид — табличная форма с текстовыми «разборами полётов».
Мероприятия (процессы) по защите информации
Как можно было заметить, в методическом документе, помимо привычных мер по защите информации, появились мероприятия (процессы) по защите информации, содержащейся в информационных системах.
ФСТЭК России предлагает целых 19 мероприятий с подробным описанием каждого из них:
ФСТЭК России предлагает целых 19 мероприятий с подробным описанием каждого из них:
1
Выявление и оценка угроз безопасности информации.
2
Контроль конфигураций информационных систем.
3
Управление уязвимостями.
4
Управление обновлениями.
5
Обеспечение защиты информации при обработке, хранении и обращении с информаций ограниченного доступа.
6
Обеспечение защиты информации при использовании конечных устройств.
7
Обеспечение защиты информации при применении мобильных устройств.
8
Обеспечение защиты информации при удаленном доступе пользователей к информационным системам.
9
Обеспечение защиты информации при беспроводном доступе пользователей к информационным системам.
10
Обеспечение защиты информации при предоставлении пользователям привилегированного доступа.
11
Обеспечение мониторинга информационной безопасности.
12
Обеспечение разработки безопасного программного обеспечения.
13
Обеспечение физической защиты информационных систем.
14
Обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций.
15
Повышение уровня знаний и информированности пользователей по вопросам защиты информации.
16
Обеспечение защиты информации при взаимодействии с подрядными организациями.
17
Обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании.
18
Обеспечение защиты информации при использовании искусственного интеллекта.
19
Проведение периодического контроля уровня защищенности информации, содержащейся в информационных системах.
Но и это ещё не всё. Раздел «Меры по защите информационных систем и содержащейся в них информации» тоже был существенно переработан и адаптирован под вышеописанные мероприятия. Мы сопоставили их в таблице:
Листай →
Разделы методики
Что общего
В чем разница по сравнению с методикой 2014 года
Вывод
- Меры по защите информационных систем и содержащейся в них информации"
- Мероприятия (процессы) по защите информации, содержащейся в информационных системах
Появились следующие пункты по каждому из разделов методики:
- цель реализации мероприятия;
- требования к реализации мероприятия;
- требования к документированию процесса реализации мероприятия;
- требования к усилению.
В методическом документе ФСТЭК России от 11.02.2014 года не всегда было достаточно очевидно, что конкретно следует делать.
Методический документ от 12.04.2026 исключает эту недосказанность.
В методическом документе ФСТЭК России от 11.02.2014 года отсутствуют четкие требования (в том числе и к «наполняемости документации») к документированию как мероприятий, так и мер по защите, что в своё время существенно осложняло разработку организационно-распорядительной документации.
Методический документ от 12.04.2026 исключает эту недосказанность.
В методическом документе ФСТЭК России от 11.02.2014 года отсутствуют четкие требования (в том числе и к «наполняемости документации») к документированию как мероприятий, так и мер по защите, что в своё время существенно осложняло разработку организационно-распорядительной документации.
А теперь недосказанность в прошлом!
Разделы методики — целая «инструкция в инструкции». Она не только дает возможность осознать масштаббедствия задач, которые стоят перед операторами информационных систем, но и предоставляет четкие шаги и рекомендации. Большим преимуществом является то, что к каждой мере по защите информации прописано, какими средствами защиты информации (или другими способами) эта мера «закрывается».
При понятных и поставленных целях, которые рассмотрены в новом методическом документе, гораздо проще становится планировать собственные мероприятия по защите информации, фиксировать в их документации и реализовывать.
Разделы методики — целая «инструкция в инструкции». Она не только дает возможность осознать масштаб
При понятных и поставленных целях, которые рассмотрены в новом методическом документе, гораздо проще становится планировать собственные мероприятия по защите информации, фиксировать в их документации и реализовывать.
Сравнительный анализ мер по защите
Смотрим дальше: поменялся и сам состав мер по защите; не только были переработаны старые меры, знакомые нам ещё с приказа № 17 от 11.02.2013 ФСТЭК России, но и добавлены новые:
Было
(меры по 17 приказу)
(меры по 17 приказу)
Стало
(меры по методическому документу от 12.04.2026)
(меры по методическому документу от 12.04.2026)
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
Идентификация и аутентификация (ИАФ)
Управление доступом субъектов доступа к объектам доступа (УПД)
Управление доступом (УПД)
Ограничение программной среды (ОПС)
Регистрация событий безопасности (РСБ)
Защита машинных носителей информации (ЗНИ)
Защита виртуализации облачных технологий (ЗСВ)
Регистрация событий безопасности (РСБ)
Защита контейнерных сред и их оркестрации (ЗКО)
Антивирусная защита (АВЗ)
Защита сервисов электронной почты (ЗЭП)
Обнаружение вторжений (СОВ)
Защита веб-технологий (ЗВТ)
Контроль (анализ) защищенности информации (АНЗ)
Защита программных интерфейсов взаимодействия приложений API (ЗПИ)
Обеспечение целостности информационной системы и информации (ОЦЛ)
Защита конечных устройств (ЗКУ)
Обеспечение доступности информации (ОДТ)
Защита мобильных устройств (ЗМУ)
Защита среды виртуализации (ЗСВ)
Защита устройств «Интернета вещей» (ЗИВ)
Защита технических средств (ЗТС)
Защита точек беспроводного доступа (ЗБД)
Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
Антивирусная защита (АВЗ)
Обнаружение и предотвращение вторжений на сетевом уровне (СОВ)
Сегментация и межсетевое экранирование (МСЭ)
Защита от атак, направленных на отказ в обслуживании (ЗОО)
Защита каналов связи и сетевого взаимодействия (ЗКС)
Вывод
Появление новых мер вполне логично. При развитии технологий растет и количество угроз безопасности информации, соответственно, нужно принимать всё более новые меры по защите.
В новом методическом документе выделена защита и мобильных устройств, и Интернета вещей, и систем искусственного интеллекта, и многого другого, что входит или уже плотно вошло в информационную инфраструктуру компаний и предприятий.
Также отметим, что некоторые старые меры были сформулированы обобщенно, в составе одной меры рассматривались сразу несколько технологий. Новые меры звучат более конкретно за счет того, что одну общую меру разделили на несколько узкоспециализированных, например:
Таким образом, защитных мер стало больше, чем было в 17 приказе ФСТЭК.
В новом методическом документе выделена защита и мобильных устройств, и Интернета вещей, и систем искусственного интеллекта, и многого другого, что входит или уже плотно вошло в информационную инфраструктуру компаний и предприятий.
Также отметим, что некоторые старые меры были сформулированы обобщенно, в составе одной меры рассматривались сразу несколько технологий. Новые меры звучат более конкретно за счет того, что одну общую меру разделили на несколько узкоспециализированных, например:
- «Защита сервисов электронной почты»;
- «Сегментация и межсетевое экранирование»,
- «Защита каналов связи и сетевого взаимодействия»
Таким образом, защитных мер стало больше, чем было в 17 приказе ФСТЭК.
Появление новых мер вполне логично. При развитии технологий растет и количество угроз безопасности информации, соответственно, нужно принимать новые меры по защите.
В проекте новых методических рекомендаций выделена защита и мобильных устройств, и Интернета вещей, и систем искусственного интеллекта и многого другого, что входит или уже плотно вошло в информационную инфраструктуру многих предприятий.
Также отметим, что некоторые меры по 17 приказу были сформулированы обобщенно, в составе одной меры рассматривались сразу несколько технологий.
Новые меры звучат более конкретно за счет того, что одну общую меру разделили на несколько узко-специализированных, например:
Таким образом, защитных мер стало больше, чем было в 17 приказе ФСТЭК.
В проекте новых методических рекомендаций выделена защита и мобильных устройств, и Интернета вещей, и систем искусственного интеллекта и многого другого, что входит или уже плотно вошло в информационную инфраструктуру многих предприятий.
Также отметим, что некоторые меры по 17 приказу были сформулированы обобщенно, в составе одной меры рассматривались сразу несколько технологий.
Новые меры звучат более конкретно за счет того, что одну общую меру разделили на несколько узко-специализированных, например:
- «Защита сервисов электронной почты»;
- «Сегментация и межсетевое экранирование»,
- «Защита каналов связи и сетевого взаимодействия»
Таким образом, защитных мер стало больше, чем было в 17 приказе ФСТЭК.
Заключение
Что же хочется сказать в заключение?
Новый методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» отличается энциклопедическим подходом — четкая структура, детальное описание мероприятий по защите информации, развернутое описание реализации и усиления для каждой защитной меры. Переход от абстрактного, формального, «одноразового» исполнения требований к конкретному, системному, требующему планирования — это весьма значимый шаг в сторону того, чтобы «реальная» и «бумажная» безопасность перестали быть взаимоисключающими понятиями.
Берегите себя, свои информационные системы и оставайтесь с нами!
Новый методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» отличается энциклопедическим подходом — четкая структура, детальное описание мероприятий по защите информации, развернутое описание реализации и усиления для каждой защитной меры. Переход от абстрактного, формального, «одноразового» исполнения требований к конкретному, системному, требующему планирования — это весьма значимый шаг в сторону того, чтобы «реальная» и «бумажная» безопасность перестали быть взаимоисключающими понятиями.
Берегите себя, свои информационные системы и оставайтесь с нами!
Остались вопросы?
