22 мая 2026 года Федеральная служба по техническому и экспортному контролю (ФСТЭК России) опубликовала проект методического документа "Методика оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Документ размещен на официальном сайте ведомства. Замечания и предложения от специалистов и заинтересованных организаций принимаются до 8 июня 2026 года.
Методика разработана в соответствии с подпунктами 4 и 65 пункта 8 Положения о ФСТЭК, утвержденного Указом Президента от 16 августа 2004 года №1085. Это означает, что документ имеет статус нормативного ориентира, хотя пока вынесен в статус проекта. Принципиальное отличие новой методики от существующих требований в том, что она предлагает оценивать не просто наличие мер защиты, а степень их системности, воспроизводимости и управляемости. Ранее регулятор делал акцент на выполнении фиксированного перечня требований - приказы №21, №31 и другие задавали жесткие рамки "что должно быть". Теперь вводится качественная шкала, позволяющая дифференцировать организации по уровню реальной готовности к угрозам.
Подход, основанный на оценке зрелости, хорошо известен в управлении качеством и процессами - он применяется в моделях CMMI (модель зрелости процессов разработки) и COBIT (стандарт управления ИТ-аудитом). Однако для сферы технической защиты информации и безопасности объектов критической информационной инфраструктуры (КИИ) такой инструмент вводится в российской регуляторной практике впервые. Под ударом окажутся не сами организации, а их внутренние процедуры: новая методика, если будет принята, заставит пересмотреть регламенты документирования, подходы к управлению инцидентами и конфигурациями. Она затронет всех субъектов КИИ, обязанных обеспечивать безопасность значимых объектов, а также госорганы, осуществляющие контроль и надзор.
Примечательно, что методика описывает зрелость именно деятельности, а не самих систем защиты. Это значит, что даже при наличии самого современного SIEM-решения, но при отсутствии формализованных процессов его эксплуатации и реагирования на инциденты уровень зрелости может быть признан низким. Вероятно, оценка будет проводиться по нескольким доменам: управление доступом, антивирусная защита, регистрация событий, реагирование на инциденты, управление изменениями. Для каждого домена выделяются уровни - от начального (процессы не определены) до оптимизирующего (постоянное улучшение на основе метрик). Это позволит организациям точнее понимать слабые места и планировать инвестиции, а регулятору - адресно контролировать те объекты, где уровень зрелости ниже порогового.
Публикация проекта указывает на системную проблему: действующие нормативы часто проверяют "галочки" - наличие политик и приказов, но не их реальную действенность. После серии резонансных инцидентов на объектах КИИ стало очевидно, что формальное выполнение требований не гарантирует защиту от целенаправленных атак APT-групп. Регуляторный шаг давно ожидался рынком. Эксперты неоднократно отмечали необходимость инструмента, который позволил бы дифференцировать организации по реальной готовности к отражению угроз, а не по объему бумажной отчетности.
Проект доступен для свободного ознакомления, и ведомство приглашает к обсуждению всех заинтересованных специалистов, государственных органов и субъектов КИИ. Предложения принимаются по установленной форме на адрес электронной почты otd92@fstec.ru. Крайний срок - 8 июня 2026 года. Учитывая, что обычно проекты такого масштаба дорабатываются в течение нескольких месяцев после публикации, можно ожидать, что итоговая версия методики появится не ранее осени 2026 года.
Резюмируя: появление методики оценки зрелости свидетельствует о переходе российского регулятора от модели "выполни требования" к модели "измерь эффективность". Если проект будет принят, организации КИИ ждет не столько ужесточение правил, сколько смена парадигмы аудита и самоконтроля. В перспективе методика может лечь в основу новых оценочных процедур при лицензировании, сертификации или проверках со стороны уполномоченных органов. Профессиональное сообщество получило три недели на анализ проекта. От того, насколько аргументированными будут замечания к нему, зависит, насколько инструмент окажется рабочим и применимым на практике.
