Федеральная служба по техническому и экспортному контролю (ФСТЭК России) опубликовала официальные разъяснения по применению новых требований к защите информации в государственных информационных системах, которые вступили в силу 1 марта 2026 года. Документ устанавливает порядок действий для госорганов и подведомственных организаций, разграничивая правила для уже существующих и вновь создаваемых систем, а также вводит переходный период для адаптации.
Новые «Требования о защите информации...», утвержденные приказом ФСТЭК от 11 апреля 2025 года, заменяют собой старый нормативный акт 2013 года. Их ключевое отличие - комплексный подход, обязывающий организации не только внедрять технические меры защиты, но и выстраивать полноценные внутренние процессы управления информационной безопасностью. В первую очередь, как указано в разъяснении, всем учреждениям необходимо разработать и утвердить три базовых документа: политику защиты информации, внутренние стандарты и регламенты по ИБ. Это фундаментальный шаг от разрозненных технических мер к системной безопасности.
Для вновь создаваемых после 1 марта 2026 года информационных систем правила прямые: проектировать и строить их необходимо сразу в соответствии с новыми требованиями. Однако ФСТЭК признает, что полноценное техническое руководство - методический документ с составом конкретных мер - еще не готов. Поэтому пока допустимо использовать старый методический документ от 2014 года, но только как временную меру до утверждения актуализированной версии. Более сложная ситуация складывается с системами, которые уже работают и были аттестованы по старым нормам 2013 года. Их полный немедленный пересмотр не требуется. Новые правила вступают в силу поэтапно: при любой плановой модернизации или развитии такой системы необходимо закладывать в проект приведение ее в соответствие с обновленными требованиями. После такой доработки систему ждут дополнительные аттестационные испытания и переоформление аттестата соответствия.
Анализ и контекст
Этот документ обнажает системную проблему длительного цикла обновления нормативной базы в сфере ИБ государственного сектора. Старые требования 2013 года давно не соответствовали современным угрозам, делая упор на формальное соответствие списку мер, а не на эффективность защиты. Новый подход, фокусирующийся на процессах (например, управление инцидентами, оценка рисков), ближе к международным практикам, таким как стандарты NIST (Национального института стандартов и технологий США). Однако на практике переход осложнен двумя факторами. Во-первых, сохраняется правовая неопределенность из-за отсутствия нового методического документа с конкретными мерами. Во-вторых, у многих организаций отсутствуют кадры и компетенции для разработки полноценных политик и регламентов, что требует либо масштабного обучения, либо привлечения внешних консультантов.
Под ударом, в первую очередь, оказываются бюджеты и графики IT-проектов. Любая модернизация существующей системы теперь будет дороже и дольше из-за необходимости проведения «двойной» работы: реализации новых функций и одновременного приведения безопасности к новому уровню. Для поставщиков решений и интеграторов это создает риски по уже заключенным контрактам. Как отмечает ФСТЭК, для договоров, подписанных до 1 марта 2026 года, еще допустимо руководствоваться старыми требованиями, что дает небольшую фору для завершения текущих проектов.
Цитата из сообщения ФСТЭК подчеркивает рекомендованный подход: «С целью осуществления поэтапного перехода к реализации Требований ФСТЭК России рекомендует разработать в государственных органах и организациях план перехода, содержащий описание мероприятий и мер по защите информации, направленных на реализацию положений Требований, со сроками их реализации». Эта рекомендация является по сути руководством к действию для CIO и руководителей служб безопасности, указывая на необходимость стратегического планирования изменений, а не точечных реактивных мер.
Резюме
Разъяснения ФСТЭК России формализуют неизбежный, но болезненный процесс модернизации системы информационной безопасности государственного сектора. В краткосрочной перспективе организации столкнутся с ростом затрат и операционной сложности. В долгосрочной - это шаг к повышению реальной, а не формальной устойчивости критической информационной инфраструктуры к современным киберугрозам. Успех перехода будет зависеть от скорости выпуска недостающих методических указаний и готовности самих учреждений инвестировать в развитие внутренних процессов и компетенций в области ИБ.
