Информационное сообщение ФСТЭК России №240-22-2457 от 14.04.2026 «Об утверждении Состава и содержания мероприятий и мер по защите информации, содержащейся в ИС»

Информационное сообщение Федеральной службы по техническому и экспортному контролю от 14.04.2026 № 240/22/2457 «Об утверждении Состава и содержания мероприятий и мер по защите информации, содержащейся в информационных системах»

Ссылки

• Сайт ФСТЭК России
• Официальный текст на сайте в формате PDF
• Сохранённый текст в формате PDF
• Консультант+

Выдержка

В соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, ФСТЭК России 12 апреля 2026 г. утвержден методический документ “Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах” (далее — методический документ).

Методический документ определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации, содержащейся в:

• информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях государственных органов, государственных унитарных предприятий, государственных учреждений, организаций, в том числе субъектов критической информационной инфраструктуры;
• используемых для создания и эксплуатации государственных информационных систем, иных информационных систем государственных органов технических средствах, программах для электронных вычислительных машин и базах данных, доступ к которым предоставляется с использованием информационно-телекоммуникационных сетей, в порядке, установленном Правительством Российской Федерации;
• информационно-телекоммуникационных инфраструктурах, выполняющих общие технологические функции и обеспечивающих основу функционирования указанных информационных систем, а также по обеспечению безопасности принадлежащих органам (организациям) значимых объектов критической информационной инфраструктуры.

Методический документ детализирует мероприятия (процессы), которые подлежат реализации в органе (организации) для достижения целей защиты информации и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также определяет содержание мер по защите информации (обеспечению безопасности), принимаемых в информационных системах и на значимых объектах критической информационной инфраструктуры в соответствии с требованиями по защите информации (обеспечению безопасности).

Методический документ предназначен для обладателей информации, заказчиков, заключивших государственный контракт на создание информационных систем, операторов информационных систем, а также организаций, которым на основании договора или иного документа передается информация, предоставляется доступ к информационным системам оператора (обладателя информации) и (или) содержащейся в них информации для оказания услуг, проведения работ по обработке, хранению информации, созданию (развитию), обеспечению эксплуатации информационных систем, а также для выполнения работ, оказания услуг по защите информации.

Методический документ применяется в ходе:

• организации в органе (организации) деятельности по защите информации, создания системы защиты информации органа (организации) и управления ею;
• создания информационных систем, эксплуатации таких информационных систем и поддержания необходимого уровня защищенности;
• оценки эффективности деятельности по защите информации и управления системой защиты информации органа (организации);
• аттестации информационных систем на соответствие требованиям по защите информации (обеспечению безопасности), проведения иных форм оценки соответствия информационных систем требованиям по защите информации и достаточности принимаемых мер по защите информации (обеспечению безопасности).

Обзоры документа

Аналитический центр УЦСБ

Информационным сообщением ФСТЭК России от 14.04.2026 № 240/22/2457 утвержден методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в ИС».

Положения методического документа ФСТЭК России 11.02.2014 «Меры защиты информации в ГИС» больше не применяются.

Подробнее с документом можно ознакомиться в обзоре за февраль 2026 года Аналитического центра УЦСБ.

Ключевые отличия официальной версии документа от проекта:

• переработаны мероприятия (процессы) по обеспечению защиты информации при использовании искусственного интеллекта (далее – ИИ), но убраны меры по защите систем ИИ (ЗИИ);
• исключено упоминание об оценке достаточности и эффективности проведения мероприятий по защите информации на основе оценки уровня зрелости органа (организации) (Пзи), но остался показатель защищенности ИС (Кзи);
• онлайн-обновления программных, программно-аппаратных средств теперь возможны, когда реализована проверка целостности и аутентичности обновлений на основе сертификатов безопасности с применением российских криптографических стандартов;
• из мероприятий (процессов) удаленного доступа (УД) убран запрет на конкретные протоколы, но добавлена общая формулировка об обеспечении безопасной дистанционной работы;
• в мероприятиях (процессах) по взаимодействию с подрядными организациями (ЗП) конкретизировано требование: «Удаленный доступ подрядных организаций к ИС должен осуществляться только с программно-аппаратных средств, размещенных на территории РФ»;
• периодичность контроля уровня защищенности снижена: не реже 1 раза в 3 года или после компьютерного инцидента;
• переработаны приложения № 1 и 2, значительно расширен перечень мер, для которых установлены обязательные требования;
• добавлено приложение № 3, которое детально описывает методологию выбора мер защиты информации, включая определение класса защищенности, адаптацию базового набора мер, верификацию с моделью угроз и итоговое формирование требований.

6 февраля Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России) опубликовала проект методического документа «Мероприятия и меры по защите информации, содержащейся в ИС» (далее – методический документ). 

Методический документ определит общие подходы, состав и содержание мероприятий и мер по защите информации, содержащейся в ИС, АСУ, ИТКС: 

• государственных органов, унитарных предприятий, учреждений;
• организаций, в том числе субъектов КИИ,
• в информационно-телекоммуникационных инфраструктурах, выполняющих общие технологические функции и обеспечивающих основу функционирования ИС, а также по обеспечению безопасности значимых объектов КИИ.

Документ предназначен для: 

• обладателей информации: 
  • заказчиков, заключивших государственный контракт на создание ИС; 
  • операторов ИС; 
• подрядных организаций, привлекаемых для создания, эксплуатации и обеспечения защиты ИС. 

Методический документ будет применяться в ходе: 

• организации деятельности по защите информации;
• создания системы защиты информации и её управления;
• создания, эксплуатации и поддержания необходимого уровня защищенности ИС;
• оценки эффективности деятельности по защите информации и управления системой защиты информации;
• аттестации ИС на соответствие требованиям по защите информации;
• проведения иных форм оценки соответствия ИС требованиям по защите информации и достаточности принимаемых мер по обеспечению безопасности.

Методический документ установит 19 мероприятий (процессов), которые должны реализовываться для достижения целей защиты информации: 

• выявление и оценка угроз безопасности информации на стадиях создания и эксплуатации с использованием банка данных угроз ФСТЭК России;
• контроль конфигураций ИС для исключения несанкционированных изменений и иное.

См. Методика ФСТЭК России от 11.02.2014

Основные отличия новой методики от предыдущей: 

• документ регламентирует общий подход к мероприятиям и мерам защиты информации не только в ГИС, но и ИС, АСУ и ИТКС субъектов КИИ;
• классов защищенности только 3: К3, К2, К1 (класс К4 исключён);
• введены 19 мероприятий (процессов) по защите информации;
• введены термины: атрибутный метод управления доступом, микросегментация, поведенческий анализ, тестовая зона (песочница), средства контейнерезации (оркестраторы), программные интерфейсы взаимодействия (API), защита устройств (интернета вещей) и иное;
• в ходе проектирования ИС должен проводиться анализ доступных отечественных программных, программно-аппаратных и технических средств, должна быть предусмотрена возможность их применения;
• для каждой меры по защите информации введены требования к документированию;
• мер защиты информации теперь 18 вместо 13;
• идентификация и аутентификация (ИАФ): введены понятия первичной и вторичной идентификации устройств;
• управление доступом (УПД) переработано, введены иные и новые подмеры УПД.1 – УПД.9;
• ограничение программной среды (ОПД) исключено, отдельные её требования вошли в защиту конечных устройств (ЗКУ), защиту мобильных устройств (ЗМУ), защиту среды виртуализации (ЗСВ), антивирусную защиту (АВЗ);
• защита машинных носителей (ЗНИ) исключена и интегрирована в мероприятия (процессы) по обеспечению защиты информации при обработке, хранении и обращении с информацией ограниченного доступа и иные;
• регистрация событий безопасности (РСБ) переработана, уточнены требования к усилению и иное;
• АВЗ расширена, выделены подгруппы защиты устройств и серверов, электронной почты, сетевого трафика и иное;
• обнаружение и предотвращение вторжений на сетевом уровне (СОВ) разделена на группы периметра и сегмента, добавлены требования к усилению и иное;
• контроль защищенности (АНЗ) исключен, меры интегрированы в мероприятия (процессы) управления уязвимостями и иное;
• обеспечение целостности (ОЦЛ) исключено, но частично вошло в меры контроля целостности ЗКУ, ЗМУ, ЗСВ, защиту устройств (ЗИВ), защиту устройств беспроводного доступа (ЗБД), защиту контейнерных сред и их оркестрации (ЗКО);
• обеспечение доступности информации (ОДТ) исключено, но интегрировано в меры по резервному копированию и в мероприятия (процессы) обеспечения непрерывности функционирования ИС;
• защита виртуализации и облачных технологий (ЗСВ) расширена, добавлены требования к доверенной загрузке, контролю целостности средств виртуализации и виртуальных машин, резервному копированию;
• защита технических средств (ЗТС) исключена, но частично вошла в мероприятия (процессы) обеспечения физической защиты ИС, а также в меры ЗКУ и ЗМУ;
• защита ИС, её средств и систем связи (ЗИС) исключена, но разделена на новые подгруппы мер: ЗКО, защита сервисов электронной почты (ЗЭП), защита веб-технологий (ЗВТ), защита программных интерфейсов и взаимодействия приложений API (ЗПИ); ЗКУ, ЗМУ, ЗИВ, ЗБД, защита от атак, направленных на отказ в обслуживании (ЗОО), защита каналов связи и сетевого взаимодействия (ЗКС), защита систем искусственного интеллекта (ЗИИ), сегментация и межсетевое экранирование (МСЭ).

Текст документа

Быстрый просмотр сохранённой копии