Меры защиты информации в ГИС по приказу № 117: методический документ ФСТЭК от 12 апреля 2026 года
ФСТЭК России утвердила методический документ, который раскрывает состав и содержание мер защиты информации в информационных системах — от идентификации до защиты контейнерных сред, API и облаков. Разбираем структуру документа, связь с приказом № 117 и порядок применения оператором.
12 апреля 2026 года ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России утвердила методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах». Документ объёмом 184 страницы раскрывает, какими конкретно мерами закрываются требования приказа ФСТЭК России от 11 апреля 2025 г. № 117 — того, который с 1 марта 2026 года заменил приказ № 17 в части защиты информации в государственных информационных системах.
Что определяет документ
Приказ № 117 задаёт требования и классы защищённости К1, К2, К3 для государственных информационных систем и иных информационных систем в сфере действия приказа, но не содержит кодированной таблицы «мера — класс», привычной по приказу № 21 для ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.. Эту практическую привязку мер к классам К1–К3 даёт методический документ: он определяет общие подходы, состав и содержание мер защиты для информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей государственных органов, унитарных предприятий, учреждений и организаций, в том числе субъектов критической информационной инфраструктуры.
Документ имеет статус методического — он не является нормативным правовым актом, но служит методической основой для выбора, адаптации и обоснования мер. Он распространяется как открытый методический документ ФСТЭК России.
Важно, что документ не сводится только к ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.: через классы К1–К3 он сопоставлен также с уровнями защищённости персональных данных в ИСПДн и категориями значимости объектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.. Поэтому его практическое значение шире приказа № 117 — он формирует единый классориентированный каталог мер для нескольких режимов защиты информации.
Две ступени: мероприятия и меры
Ключевое отличие новой методики — двухуровневая структура. Над привычными мерами появился уровень мероприятий (процессов) защиты информации. Мероприятие описывает процесс: что должно выполняться на протяжении жизненного цикла системы. Меры внутри мероприятия — это конкретные защитные механизмы, причём для каждой меры документ формулирует её цель. Такой подход смещает акцент с формального наличия средства защиты на непрерывность процесса и достижение цели защиты.
Семнадцать групп мер: что появилось нового
Меры сгруппированы по семнадцати направлениям. Часть из них знакома по приказам № 21 и № 17 — идентификация и аутентификация (ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств.), управление доступом (УПДУправление доступом — Группа мер защиты: разграничение и контроль доступа субъектов к объектам доступа.), регистрация событий безопасности (РСБРегистрация событий безопасности — Группа мер защиты: журналирование и анализ событий информационной безопасности.), антивирусная защита (АВЗАнтивирусная защита — Меры и средства защиты от вредоносного программного обеспечения.), обнаружение и предотвращение вторжений (СОВСистема обнаружения вторжений — Средство выявления компьютерных атак и подозрительной сетевой активности.), сегментация и межсетевое экранирование (МСЭ). Но существенная часть групп отражает технологии, которые прежние таблицы мер не покрывали:
- защита виртуализации и облачных вычислений (ЗСВ);
- защита технологий контейнерных сред и их оркестрации (ЗКО);
- защита сервисов электронной почты (ЗЭП);
- защита веб-технологий (ЗВТ);
- защита программных интерфейсов взаимодействия приложений — API (ЗПИ);
- защита конечных и мобильных устройств (ЗКУ, ЗМУ);
- защита технологий «интернета вещей» (ЗИВ) и точек беспроводного доступа (ЗБД);
- защита от компьютерных атак типа «отказ в обслуживании» (ЗОО) и защита каналов связи (ЗКС).
Появление этих групп отражает реальную поверхность атак современной информационной системы: контейнеры, облачные среды, публичные API и мобильный доступ давно стали её частью, а прежние наборы мер не адресовали многие из этих направлений прямо или в такой детализации.
Базовые наборы по классам К1–К3
Для каждой меры документ указывает, в базовый набор какого класса защищённости она входит: столбцы К1, К2 и К3 показывают применимость меры, а отдельные усиления уточняют требования к её реализации. Наборы вложены — более высокий класс включает меры младших. Оператор не применяет весь перечень механически: методика прямо предусматривает адаптацию базового набора мер под угрозы и особенности системы, уточнение адаптированного набора и разработку компенсирующих мер там, где базовая мера неприменима.
Как применять документ оператору
Работа с документом выстраивается в несколько шагов:
- определить класс защищённости информационной системы по приказу № 117 (К1, К2 или К3);
- отобрать базовый набор мер соответствующего класса из методического документа;
- адаптировать набор под актуальные угрозы и архитектуру системы: исключить неприменимые меры с обоснованием и добавить недостающие;
- для исключённых мер предусмотреть компенсирующие меры;
- реализовать меры сертифицированными средствами защиты там, где это требуется, и пройти аттестацию там, где она обязательна — прежде всего для ГИС; в иных режимах выполнить предусмотренную оценку соответствия или эффективности мер.
Результат — адаптированный набор мер, увязанный с классом системы и её моделью угроз. Именно он ложится в основу технического задания, проекта системы защиты информации и последующей аттестации.
Главное
Методический документ от 12 апреля 2026 года — это практическая конкретизация требований приказа № 117: он превращает требования к защите государственных информационных систем в конкретный, структурированный по классам К1–К3 состав мероприятий и мер, включая современные направления от контейнеров и API до интернета вещей. Оператору он нужен как рабочий справочник при формировании и адаптации набора мер защиты.
Ведёте защиту ГИС?
В сервисе можно классифицировать информационную систему (класс К1–К3), получить чек-лист мер по методическому документу и вести их закрытие по группам. Начните с калькулятора класса защищённости ГИС.