Новый методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах»: что изменилось в мире защиты информации в России

Чуть более месяца назад (12 апреля 2026 года) в свет вышел долгожданный методический документ от ФСТЭК России, который является продолжением широко обсуждаемого приказа ФСТЭК России № 117 от 11.04.2025, вступившего в силу 1 марта 2026 года.

Почему «долгожданный»? Всё просто – сам приказ ФСТЭК России № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» вышел 11 апреля 2025 года, и вступил в силу почти через год (с 1 марта 2026 года). Но в нем отсутствовали конкретные меры защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы в привычном нам табличном виде (об этом мы уже писали в нашей статье).

А ведь без этого методического документа не представляется возможным проводить необходимые мероприятия и принимать меры по защите информации в информационных системах, обязательные для государственных органов, государственных унитарных предприятий и государственных учреждений.

Мы просто не знаем, что именно нам необходимо делать.

Структура нового методического документа.

Методический документ состоит из следующих разделов:

  • Общие положения;

  • Факторы, влияющие на состояние защиты информации, содержащейся в информационных системах;

  • Мероприятия по защите информации, содержащейся в информационных системах;

  • Меры по защите информационных систем и содержащейся в них информации;

  • Приложения, содержащие перечень используемых терминов, а также таблицы с составом обязательных для реализации мер защиты для каждого класса защищенности информационных систем (похожая и известная всем нам таблица была и в приказе ФСТЭК России № 17 от 11.02.2013).

Сам по себе новый документ определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации и детализирует мероприятия (процессы), которые организация должна выполнить для достижения целей защиты информации.

Переходим дальше – к разделу: «Факторы, влияющие на состояние защиты информации, содержащейся в информационных системах».
Переходим дальше – к разделу: «Факторы, влияющие на состояние защиты информации, содержащейся в информационных системах».

Здесь, как и следует из названия, приведены факторы, которые влияют в целом на нашу систему управления информационной безопасности.

И исходя из этого, мы уже можем выделить основные направления деятельности по защите информации:

  1. Определение негативных последствий (событий) от нарушения функционирования ИС, проведение мероприятий по снижению вероятности их реализации (традиционный анализ угроз информационной безопасности).

  2. Осуществление непрерывной деятельности по защите информации наряду с основной деятельностью оператора.

  3. Кадровое обеспечение квалифицированными специалистами по защите информации, необходимое для решения возложенных задач по защите информации.

  4. Применение соответствующих средств защиты информации различных классов.

  5. Четкое регламентирование процессов и мероприятий по обеспечению информационной безопасности.

  6. Обязательное обучение и информирование работников по вопросам, касающихся информационной безопасности, и закрепление персональной ответственности работников за соблюдение требований по информационной безопасности в рамках их трудовых обязанностей.

  7. Принятие грамотных архитектурных решений при создании информационных систем.

  8. Непрерывный поиск, анализ и принятие мер по блокированию угроз (в том числе, оценка различных тактик, техник и инструментов, используемых для осуществления компьютерных атак).

  9. Проведение постоянного контроля, включая расчет показателя защищенности Кзи.

Самое важное: ФСТЭК России нам прямо указывает на то, что обеспечение информационной безопасности – это непрерывная деятельность на протяжении всего жизненного цикла информационной системы, которая строится на четырех ключевых принципах: планирование, реализация, контроль, совершенствование (т.е. по циклу Деминга-Шухарта (PDCA, «Plan-Do Check-Act»). Нельзя будет один раз провести мероприятия «для галочки» и на этом успокоиться.

Также появилась новая обязанность для обладателей информации в виде расчета показателя защищенности Кзи. Стоит обратить внимание, что минимально допустимое значение показателя Кзи – 1. Расчет показателя защищенности Кзи не является «разовой акцией», его необходимо проводить регулярно, а результаты отправлять во ФСТЭК России в срок не позднее пяти рабочих дней после дня его расчета. Кзи подлежит расчету не реже одного раза в шесть месяцев.

Мероприятия (процессы) по защите информации, содержащейся в информационных системах.

Кстати, это довольно новая сущность в документах от регулятора.

ФСТЭК России предлагает нам целых 19 мероприятий с подробным описанием каждого из них:

  1. Выявление и оценка угроз безопасности информации (ВУ).

  2. Контроль конфигураций информационных систем (КК).

  3. Управление уязвимостями (КУ).

  4. Управление обновлениями (КО).

  5. Обеспечение защиты информации при обработке, хранении и обращении с информаций ограниченного доступа (ОД).

  6. Обеспечение защиты информации при использовании конечных устройств (ЗУ).

  7. Обеспечение защиты информации при применении мобильных устройств (МУ).

  8. Обеспечение защиты информации при удаленном доступе пользователей к информационным системам (УД).

  9. Обеспечение защиты информации при беспроводном доступе пользователей к информационным системам (БД).

  10. Обеспечение защиты информации при предоставлении пользователям привилегированного доступа (ПД).

  11. Обеспечение мониторинга информационной безопасности (МБ).

  12. Обеспечение разработки безопасного программного обеспечения (БР).

  13. Обеспечение физической защиты информационных систем (ФЗ).

  14. Обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций (НФ).

  15. Повышение уровня знаний и информированности пользователей по вопросам защиты информации (УЗ).

  16. Обеспечение защиты информации при взаимодействии с подрядными организациями (ЗП).

  17. Обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании (ОО).

  18. Обеспечение защиты информации при использовании искусственного интеллекта (ИИ).

  19. Проведение периодического контроля уровня защищенности информации, содержащейся в информационных системах (ПК).

И если говорить про мероприятия, то по каждому из них мы видим:

  • Цель реализации мероприятия – зачем мы должны это делать.

  • Требования к реализации мероприятия – как мы должны это делать.

  • Требования к документированию процесса реализации мероприятия – какие документы должны быть сделаны и что в них нужно отражать.

  • Требования к усилению – как мы можем сделать нашу защиту еще лучше.

При этом сами мероприятия обязательны вне зависимости от того, какой установлен класс защищенности для информационной системы (в отличие от мер защиты).

А вот применение усилений для мероприятий остаётся на усмотрение оператора информационной системы (обладателя информации) для повышения эффективности реализации мероприятий по защите информации и повышения уровня защищенности информационных систем и содержащейся в них информации, а также для снижения возможности нарушителей по реализации угроз безопасности информации. Спорно? Возможно.

И получается, что новый раздел методики – это целая «инструкция в инструкции». Она не только дает возможность осознать масштаб задач, которые стоят перед операторами информационных систем, но и предоставляет четкие шаги и рекомендации.

Теперь гораздо проще становится планировать собственные мероприятия по защите информации, фиксировать в их документации и, конечно же, реализовывать.

Меры по защите информационных систем и содержащейся в них информации.

Сам состав мер по защите тоже существенно поменялся; были переработаны старые меры (знакомые ещё с приказа ФСТЭК России № 17 от 11.02.2013), а также добавлены новые.

Появление новых групп мер вполне логично. Технологии развиваются, вместе растет и количество угроз безопасности информации, соответственно, нужно принимать всё более новые меры по защите.

Новые меры и меры усиления: что делать?

Для начала выполнить базовые требования:

  1. Оценить внешние контакты (подрядчики, ЦОДы, другие информационные системы).

  2. Переоценить уровни значимости и класс защищенности.

  3. Пересмотреть модель угроз и нарушителей.

  4. Разработать процессы контроля защиты информации.

  5. Разработать (пересмотреть) Политику, Стандарты и Регламенты защиты информации.

  6. Адаптировать организационно-штатную структуру и назначить ответственного за защиту информации.

Устранить разницу в мероприятиях и средствах защиты информации:

  1. Определить изменения в базовом наборе мер.

  2. Адаптировать набор мер и добавить меры усиления.

  3. Выбрать дополнительные средства защиты информации.

  4. Спроектировать и внедрить дополнительные средства защиты информации. Применить новые настройки.

  5. Проверить эффективность мер, провести контроль защищенности.

  6. Верифицировать набор мер и мероприятий для аттестации информационной системы.

Заключение

Что же хочется сказать в заключение?

Новый методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» кардинально отличается от ранее опубликованных документов.

Это не просто очередное обновление нормативных актов. Это значительный шаг к более развитой концепции управления информационной безопасностью, основанной на чётких процессах, систематическом подходе, продуманном проектировании архитектуры и способности эффективно реагировать на возникающие риски и угрозы.

Мы видим четкую структуру, детальное описание мероприятий по защите информации, развернутое описание реализации и усиления для каждой защитной меры. Переход от абстрактного, формального, «одноразового» исполнения требований к конкретному, системному, требующему планирования — это весьма значимый шаг в сторону того, чтобы «реальная» и «бумажная» безопасность перестали быть взаимоисключающими понятиями.