ФСТЭК России утвердила методику по защите информации в информационных системах

Ранее с нашей стороны публиковался обзор проекта данного документа.
12 апреля 2026 года ФСТЭК России опубликовала финальную редакцию методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах». Документ уточняет состав процессов обеспечения защиты информации и правила реализации мер безопасности для различных классов защищённости ИС.

По сравнению с ранее обсуждаемым проектом изменения носят точечный характер, однако затрагивают практику внедрения и документирования мероприятий по защите информации. В документ добавлены рекомендации по адаптации базового набора мер, в том числе при совмещении ИС ролей ИСПДн и объекта КИИ.

Методика закрепляет актуальный перечень процессов защиты информации, включая управление уязвимостями, конфигурациями и обновлениями, мониторинг ИБ, обеспечение безопасной разработки, защиту при удаленном и беспроводном доступе, взаимодействии с подрядчиками, использовании мобильных устройств и технологий искусственного интеллекта.

Для большинства мероприятий дополнительно формализованы цели, требования к реализации и документированию, а также условия усиления мер.

При этом из состава групп мер защиты исключена отдельная категория требований к системам искусственного интеллекта. Одновременно сокращён объём требований по усилению мер защиты в зависимости от класса защищённости ИС, что потенциально снижает ресурсную нагрузку на организации при внедрении системы защиты информации.

Документ также содержит таблицу обязательных мер защиты по классам защищённости — по аналогии с приложениями к приказам ФСТЭК № 17, № 21 и № 239 — и должен применяться совместно с приказом № 117 при проведении аттестации государственных информационных систем и систем, взаимодействующих с ГИС.