ГрамотаИБ ГрамотаИБ

Меры защиты информации в ГИС по приказу № 117: методический документ ФСТЭК от 12 апреля 2026 года

Редакция ГрамотаИБ · Опубликовано 15.07.2026

ФСТЭК России утвердила методический документ, который раскрывает состав и содержание мер защиты информации в информационных системах — от идентификации до защиты контейнерных сред, API и облаков. Разбираем структуру документа, связь с приказом № 117 и порядок применения оператором.

12 апреля 2026 года ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России утвердила методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах». Документ объёмом 184 страницы раскрывает, какими конкретно мерами закрываются требования приказа ФСТЭК России от 11 апреля 2025 г. № 117 — того, который с 1 марта 2026 года заменил приказ № 17 в части защиты информации в государственных информационных системах.

Что определяет документ

Приказ № 117 задаёт требования и классы защищённости К1, К2, К3 для государственных информационных систем и иных информационных систем в сфере действия приказа, но не содержит кодированной таблицы «мера — класс», привычной по приказу № 21 для ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.. Эту практическую привязку мер к классам К1–К3 даёт методический документ: он определяет общие подходы, состав и содержание мер защиты для информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей государственных органов, унитарных предприятий, учреждений и организаций, в том числе субъектов критической информационной инфраструктуры.

Документ имеет статус методического — он не является нормативным правовым актом, но служит методической основой для выбора, адаптации и обоснования мер. Он распространяется как открытый методический документ ФСТЭК России.

Важно, что документ не сводится только к ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.: через классы К1–К3 он сопоставлен также с уровнями защищённости персональных данных в ИСПДн и категориями значимости объектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.. Поэтому его практическое значение шире приказа № 117 — он формирует единый классориентированный каталог мер для нескольких режимов защиты информации.

Две ступени: мероприятия и меры

Ключевое отличие новой методики — двухуровневая структура. Над привычными мерами появился уровень мероприятий (процессов) защиты информации. Мероприятие описывает процесс: что должно выполняться на протяжении жизненного цикла системы. Меры внутри мероприятия — это конкретные защитные механизмы, причём для каждой меры документ формулирует её цель. Такой подход смещает акцент с формального наличия средства защиты на непрерывность процесса и достижение цели защиты.

Семнадцать групп мер: что появилось нового

Меры сгруппированы по семнадцати направлениям. Часть из них знакома по приказам № 21 и № 17 — идентификация и аутентификация (ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств.), управление доступом (УПДУправление доступом — Группа мер защиты: разграничение и контроль доступа субъектов к объектам доступа.), регистрация событий безопасности (РСБРегистрация событий безопасности — Группа мер защиты: журналирование и анализ событий информационной безопасности.), антивирусная защита (АВЗАнтивирусная защита — Меры и средства защиты от вредоносного программного обеспечения.), обнаружение и предотвращение вторжений (СОВСистема обнаружения вторжений — Средство выявления компьютерных атак и подозрительной сетевой активности.), сегментация и межсетевое экранирование (МСЭ). Но существенная часть групп отражает технологии, которые прежние таблицы мер не покрывали:

  • защита виртуализации и облачных вычислений (ЗСВ);
  • защита технологий контейнерных сред и их оркестрации (ЗКО);
  • защита сервисов электронной почты (ЗЭП);
  • защита веб-технологий (ЗВТ);
  • защита программных интерфейсов взаимодействия приложений — API (ЗПИ);
  • защита конечных и мобильных устройств (ЗКУ, ЗМУ);
  • защита технологий «интернета вещей» (ЗИВ) и точек беспроводного доступа (ЗБД);
  • защита от компьютерных атак типа «отказ в обслуживании» (ЗОО) и защита каналов связи (ЗКС).

Появление этих групп отражает реальную поверхность атак современной информационной системы: контейнеры, облачные среды, публичные API и мобильный доступ давно стали её частью, а прежние наборы мер не адресовали многие из этих направлений прямо или в такой детализации.

Базовые наборы по классам К1–К3

Для каждой меры документ указывает, в базовый набор какого класса защищённости она входит: столбцы К1, К2 и К3 показывают применимость меры, а отдельные усиления уточняют требования к её реализации. Наборы вложены — более высокий класс включает меры младших. Оператор не применяет весь перечень механически: методика прямо предусматривает адаптацию базового набора мер под угрозы и особенности системы, уточнение адаптированного набора и разработку компенсирующих мер там, где базовая мера неприменима.

Как применять документ оператору

Работа с документом выстраивается в несколько шагов:

  1. определить класс защищённости информационной системы по приказу № 117 (К1, К2 или К3);
  2. отобрать базовый набор мер соответствующего класса из методического документа;
  3. адаптировать набор под актуальные угрозы и архитектуру системы: исключить неприменимые меры с обоснованием и добавить недостающие;
  4. для исключённых мер предусмотреть компенсирующие меры;
  5. реализовать меры сертифицированными средствами защиты там, где это требуется, и пройти аттестацию там, где она обязательна — прежде всего для ГИС; в иных режимах выполнить предусмотренную оценку соответствия или эффективности мер.

Результат — адаптированный набор мер, увязанный с классом системы и её моделью угроз. Именно он ложится в основу технического задания, проекта системы защиты информации и последующей аттестации.

Главное

Методический документ от 12 апреля 2026 года — это практическая конкретизация требований приказа № 117: он превращает требования к защите государственных информационных систем в конкретный, структурированный по классам К1–К3 состав мероприятий и мер, включая современные направления от контейнеров и API до интернета вещей. Оператору он нужен как рабочий справочник при формировании и адаптации набора мер защиты.

Ведёте защиту ГИС?

В сервисе можно классифицировать информационную систему (класс К1–К3), получить чек-лист мер по методическому документу и вести их закрытие по группам. Начните с калькулятора класса защищённости ГИС.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Модель угроз ФСТЭК и реальные угрозы малого бизнеса: как одно ложится на другое

Как формальная модель угроз по методике ФСТЭК 2021 года практически соотносится с типичными угрозами малого бизнеса — фишингом, вредоносными вложениями, шифровальщиками и кражей денег через клиент-банк. Разбираем, кто на самом деле нарушитель для небольшой организации, какие угрозы для неё актуальны и почему грамотная, пропорциональная масштабу модель угроз обосновывает тот же практичный минимум мер, а не бюрократию ради галочки.

Модель угроз ФСТЭК пошагово: как разработать по методике 2021 года

Пошаговый порядок разработки модели угроз безопасности информации по методике ФСТЭК России 2021 года: от определения негативных последствий и объектов воздействия к оценке нарушителей, способам и сценариям реализации угроз и определению их актуальности. Что использовать (Банк данных угроз, УБИ), как оформить и когда актуализировать модель.

Что такое СЗИ простыми словами: виды, классы и сертификация ФСТЭК

Простое объяснение, что такое средства защиты информации (СЗИ): чем они отличаются от криптосредств (СКЗИ), какие бывают виды (межсетевой экран, антивирус, система обнаружения вторжений, средство защиты от несанкционированного доступа), что такое сертификация и уровни доверия ФСТЭК и когда обязательно применять именно сертифицированные средства.

Управление уязвимостями по ФСТЭК: БДУ, процесс и почему обновление стало риском

Как построить процесс управления уязвимостями (vulnerability management) по требованиям ФСТЭК: анализ уязвимостей как мера защиты (АНЗ в приказе №21, АУД в приказе №239), Банк данных угроз (БДУ), методический документ ФСТЭК 2023 года. Пошаговый процесс — инвентаризация, мониторинг, оценка критичности, устранение и контроль — и почему в текущих условиях само обновление ПО стало отдельным риском.