Важные изменения в защите информации в России: что нового?

Новый методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах»: что изменилось в мире защиты информации в России
Чуть более месяца назад (12 апреля 2026 года) в свет вышел долгожданный методический документ от ФСТЭК России, который является продолжением широко обсуждаемого приказа ФСТЭК России № 117 от 11.04.2025, вступившего в силу 1 марта 2026 года.
Почему «долгожданный»? Всё просто – сам приказ ФСТЭК России № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» вышел 11 апреля 2025 года, и вступил в силу почти через год (с 1 марта 2026 года). Но в нем отсутствовали конкретные меры защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы в привычном нам табличном виде (об этом мы уже писали в нашей статье).
А ведь без этого методического документа не представляется возможным проводить необходимые мероприятия и принимать меры по защите информации в информационных системах, обязательные для государственных органов, государственных унитарных предприятий и государственных учреждений.
Мы просто не знаем, что именно нам необходимо делать.
Структура нового методического документа.
Методический документ состоит из следующих разделов:

• Общие положения;
  
• Факторы, влияющие на состояние защиты информации, содержащейся в информационных системах;
  
• Мероприятия по защите информации, содержащейся в информационных системах;
  
• Меры по защите информационных систем и содержащейся в них информации;
  
• Приложения, содержащие перечень используемых терминов, а также таблицы с составом обязательных для реализации мер защиты для каждого класса защищенности информационных систем (похожая и известная всем нам таблица была и в приказе ФСТЭК России № 17 от 11.02.2013).

Сам по себе новый документ определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации и детализирует мероприятия (процессы), которые организация должна выполнить для достижения целей защиты информации.

Переходим дальше – к разделу: «Факторы, влияющие на состояние защиты информации, содержащейся в информационных системах».
Здесь, как и следует из названия, приведены факторы, которые влияют в целом на нашу систему управления информационной безопасности.
И исходя из этого, мы уже можем выделить основные направления деятельности по защите информации:

• Определение негативных последствий (событий) от нарушения функционирования ИС, проведение мероприятий по снижению вероятности их реализации (традиционный анализ угроз информационной безопасности).
  
• Осуществление непрерывной деятельности по защите информации наряду с основной деятельностью оператора.
  
• Кадровое обеспечение квалифицированными специалистами по защите информации, необходимое для решения возложенных задач по защите информации.
  
• Применение соответствующих средств защиты информации различных классов.
  
• Четкое регламентирование процессов и мероприятий по обеспечению информационной безопасности.
  
• Обязательное обучение и информирование работников по вопросам, касающихся информационной безопасности, и закрепление персональной ответственности работников за соблюдение требований по информационной безопасности в рамках их трудовых обязанностей.
  
• Принятие грамотных архитектурных решений при создании информационных систем.
  
• Непрерывный поиск, анализ и принятие мер по блокированию угроз (в том числе, оценка различных тактик, техник и инструментов, используемых для осуществления компьютерных атак).
  
• Проведение постоянного контроля, включая расчет показателя защищенности Кзи.

Самое важное: ФСТЭК России нам прямо указывает на то, что обеспечение информационной безопасности – это непрерывная деятельность на протяжении всего жизненного цикла информационной системы, которая строится на четырех ключевых принципах: планирование, реализация, контроль, совершенствование (т.е. по циклу Деминга-Шухарта (PDCA, «Plan-Do Check-Act»). Нельзя будет один раз провести мероприятия «для галочки» и на этом успокоиться.
Также появилась новая обязанность для обладателей информации в виде расчета показателя защищенности Кзи. Стоит обратить внимание, что минимально допустимое значение показателя Кзи – 1. Расчет показателя защищенности Кзи не является «разовой акцией», его необходимо проводить регулярно, а результаты отправлять во ФСТЭК России в срок не позднее пяти рабочих дней после дня его расчета. Кзи подлежит расчету не реже одного раза в шесть месяцев.
Мероприятия (процессы) по защите информации, содержащейся в информационных системах.
Кстати, это довольно новая сущность в документах от регулятора.
ФСТЭК России предлагает нам целых 19 мероприятий с подробным описанием каждого из них:

• Выявление и оценка угроз безопасности информации (ВУ).
  
• Контроль конфигураций информационных систем (КК).
  
• Управление уязвимостями (КУ).
  
• Управление обновлениями (КО).
  
• Обеспечение защиты информации при обработке, хранении и обращении с информаций ограниченного доступа (ОД).
  
• Обеспечение защиты информации при использовании конечных устройств (ЗУ).
  
• Обеспечение защиты информации при применении мобильных устройств (МУ).
  
• Обеспечение защиты информации при удаленном доступе пользователей к информационным системам (УД).
  
• Обеспечение защиты информации при беспроводном доступе пользователей к информационным системам (БД).
  
• Обеспечение защиты информации при предоставлении пользователям привилегированного доступа (ПД).
  
• Обеспечение мониторинга информационной безопасности (МБ).
  
• Обеспечение разработки безопасного программного обеспечения (БР).
  
• Обеспечение физической защиты информационных систем (ФЗ).
  
• Обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций (НФ).
  
• Повышение уровня знаний и информированности пользователей по вопросам защиты информации (УЗ).
  
• Обеспечение защиты информации при взаимодействии с подрядными организациями (ЗП).
  
• Обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании (ОО).
  
• Обеспечение защиты информации при использовании искусственного интеллекта (ИИ).
  
• Проведение периодического контроля уровня защищенности информации, содержащейся в информационных системах (ПК).

И если говорить про мероприятия, то по каждому из них мы видим:

• Цель реализации мероприятия – зачем мы должны это делать.
  
• Требования к реализации мероприятия – как мы должны это делать.
  
• Требования к документированию процесса реализации мероприятия – какие документы должны быть сделаны и что в них нужно отражать.
  
• Требования к усилению – как мы можем сделать нашу защиту еще лучше.

При этом сами мероприятия обязательны вне зависимости от того, какой установлен класс защищенности для информационной системы (в отличие от мер защиты).
А вот применение усилений для мероприятий остаётся на усмотрение оператора информационной системы (обладателя информации) для повышения эффективности реализации мероприятий по защите информации и повышения уровня защищенности информационных систем и содержащейся в них информации, а также для снижения возможности нарушителей по реализации угроз безопасности информации. Спорно? Возможно.
И получается, что новый раздел методики – это целая «инструкция в инструкции». Она не только дает возможность осознать масштаб задач, которые стоят перед операторами информационных систем, но и предоставляет четкие шаги и рекомендации.
Теперь гораздо проще становится планировать собственные мероприятия по защите информации, фиксировать в их документации и, конечно же, реализовывать.
Меры по защите информационных систем и содержащейся в них информации.
Сам состав мер по защите тоже существенно поменялся; были переработаны старые меры (знакомые ещё с приказа ФСТЭК России № 17 от 11.02.2013), а также добавлены новые.

Появление новых групп мер вполне логично. Технологии развиваются, вместе растет и количество угроз безопасности информации, соответственно, нужно принимать всё более новые меры по защите.
Новые меры и меры усиления: что делать?
Для начала выполнить базовые требования:

• Оценить внешние контакты (подрядчики, ЦОДы, другие информационные системы).
  
• Переоценить уровни значимости и класс защищенности.
  
• Пересмотреть модель угроз и нарушителей.
  
• Разработать процессы контроля защиты информации.
  
• Разработать (пересмотреть) Политику, Стандарты и Регламенты защиты информации.
  
• Адаптировать организационно-штатную структуру и назначить ответственного за защиту информации.

Устранить разницу в мероприятиях и средствах защиты информации:

• Определить изменения в базовом наборе мер.
  
• Адаптировать набор мер и добавить меры усиления.
  
• Выбрать дополнительные средства защиты информации.
  
• Спроектировать и внедрить дополнительные средства защиты информации. Применить новые настройки.
  
• Проверить эффективность мер, провести контроль защищенности.
  
• Верифицировать набор мер и мероприятий для аттестации информационной системы.

Заключение
Что же хочется сказать в заключение?
Новый методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» кардинально отличается от ранее опубликованных документов.
Это не просто очередное обновление нормативных актов. Это значительный шаг к более развитой концепции управления информационной безопасностью, основанной на чётких процессах, систематическом подходе, продуманном проектировании архитектуры и способности эффективно реагировать на возникающие риски и угрозы.
Мы видим четкую структуру, детальное описание мероприятий по защите информации, развернутое описание реализации и усиления для каждой защитной меры. Переход от абстрактного, формального, «одноразового» исполнения требований к конкретному, системному, требующему планирования — это весьма значимый шаг в сторону того, чтобы «реальная» и «бумажная» безопасность перестали быть взаимоисключающими понятиями.-Источник