Федеральная служба по техническому и экспортному контролю (ФСТЭК России) представила на общественное обсуждение проект нового ключевого методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах». Документ, опубликованный 5 февраля 2026 года, призван стать основой для построения комплексных систем защиты информации (СЗИ) в государственных органах, учреждениях и организациях, включая субъекты критической информационной инфраструктуры (КИИ). Замечания и предложения по проекту принимаются до 19 февраля 2026 года.
Разработанный проект является детализированным руководством, которое определяет общие подходы, состав и содержание необходимых мероприятий и конкретных мер защиты. Документ охватывает широкий спектр вопросов, начиная от общих принципов организации защиты и заканчивая техническими требованиями к различным компонентам современных IT-ландшафтов.
В качестве одной из центральных тем документа выделяется необходимость создания информационных систем в защищенном исполнении. ФСТЭК подчеркивает, что безопасность должна быть заложена на этапе проектирования архитектуры. Ключевыми принципами названы дифференциация доступа, минимизация прав, сегментация сети и контроль всех действий пользователей. Кроме того, авторы указывают на риски, связанные с использованием зарубежного программного и аппаратного обеспечения, включая угрозу применения недокурированных возможностей.
Отдельное внимание уделяется кадровому обеспечению безопасности. В документе указано, что ответственные за защиту информации лица должны обладать соответствующими компетенциями и регулярно повышать квалификацию. При отсутствии собственных специалистов организациям рекомендуется привлекать лицензированные подрядные структуры, при этом четко разграничивая зоны ответственности.
Проект структурирован вокруг двух основных блоков: организационных мероприятий (процессов) и конкретных мер защиты, реализуемых непосредственно в информационных системах. В первом блоке детально описаны 18 ключевых процессов, которые должны быть выстроены в организации. Среди них - управление уязвимостями и обновлениями, мониторинг информационной безопасности, контроль конфигураций, обеспечение защиты при удаленном доступе и работе с мобильными устройствами, а также повышение осведомленности пользователей.
Особый интерес представляет включение в документ раздела, посвященного защите систем искусственного интеллекта (ИИ). ФСТЭК указывает на необходимость обеспечения безопасности на всех этапах жизненного цикла ИИ - от разработки до эксплуатации. В частности, требуется защита обучающих данных, моделей машинного обучения и фильтрация как входных, так и выходных данных системы.
Второй блок документа содержит подробное описание 18 групп мер защиты, каждая из которых включает набор конкретных требований. Этот раздел служит практическим руководством по реализации безопасности на техническом уровне. Например, подробно рассмотрены меры по идентификации и аутентификации, управлению доступом, регистрации событий безопасности, антивирусной защите, сегментации сети и защите от атак типа «отказ в обслуживании».
Приложение к документу содержит таблицу соответствия базовых мер защиты трем классам защищенности информационных систем. Это позволяет организациям гибко подходить к построению СЗИ, выбирая необходимый набор мер в зависимости от критичности обрабатываемой информации.
Эксперты отмечают, что выход данного проекта свидетельствует о стремлении регулятора систематизировать и актуализировать требования в условиях быстро меняющейся IT-среды. Документ отражает современные вызовы, такие как усложнение тактик компьютерных атак, рост числа уязвимостей и активное внедрение новых технологий, включая облачные сервисы, контейнеризацию и искусственный интеллект.
После завершения этапа общественного обсуждения и доработки окончательная версия методического документа станет основой для деятельности государственных организаций в области защиты информации. Его применение планируется при создании и эксплуатации информационных систем, оценке их эффективности и проведении аттестации.
