Техподдержка 24/7 Пн-пт 9:30 – 18:30 +7 495 721 1218
14.05.2026

Утвержден новый методический документ ФСТЭК России. Рассказываем об основных изменениях

12 апреля утвержден документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» ФСТЭК России. Методичка 2014 года утратила силу. Ссылки на официальные публикации:

  1. Информационное сообщение ФСТЭК России от 14 апреля 2026 г. N 240/22/2457
  2. Методический документ

Документ определяет комплексный подход к защите информации в ИС/АСУ/ИТКС госорганах, ГУПах, ГУЦ, организациях КИИ, а также в информационных системах, к которым обеспечивается доступ по сетям связи.

Ключевое назначение документа – детализация мероприятий и мер защиты для достижения целей информационной безопасности и обеспечения безопасности объектов КИИ. Он применяется при организации защиты информации, создании и эксплуатации ИС, оценке эффективности систем защиты и аттестации ИС.

По сравнению с методичкой 2014 года количество базовых мер сократилось со 113 до 96. Произошла оптимизация мер защиты и актуализация формулировок. Количество мер с обязательными усилениями уменьшилось с 54 до 32.

Основным изменением по сравнению со старым 17 приказом и методикой 2014 является переход к процессной модели защиты информации. Теперь есть 19 обязательных мероприятий (процессов) по организации защиты (ранее они были распределены по тексту и не выделялись в отдельную структуру).

Новый более структурированный документ

Описание каждого мероприятия и меры в новой методичке содержит:

  • цель - результат, который должен быть достигнут для обеспечения безопасности Системы;
  • требования к реализации - что именно нужно делать;
  • требования к документированию - какие стандарты и регламенты должны быть в организации и их содержание;
  • требования к усилению – дополнительные меры/мероприятия для адаптации защиты под конкретный уровень зрелости Системы и её инфраструктуры.

Акцент на архитектуру

В соответствии с новой методичкой эффективность защиты должна зависеть не только от «наложенных» средств защиты, но и от архитектурных решений (например: микросегментация, минимизация интерфейсов).

Мобильные устройства и удаленный доступ

Значительно расширены требования к мобильным устройствам (МУ) и удаленному доступу (УД). Запрещается использование личных устройств без средств обеспечения безопасной дистанционной работы и контроля со стороны оператора.

Автоматизация обязательна для крупных систем

Если у вас более 10 мобильных устройств или сложная сеть, документ фактически обязывает внедрять системы управления (MDM, CMDB, сканеры уязвимостей).

Непрерывность

Защита не заканчивается аттестацией. Основной фокус на мониторинге (МБ) и управлении изменениями (КК).

Приоритет отечественного

Весь цикл — от разработки кода до обновления ПО — должен учитывать риски использования зарубежных решений.

Документ адресован широкому кругу лиц: обладателей информации, заказчиков, заключивших гос.контракт на создание информационных систем, операторов информационных систем, а также организациям-подрядчикам/поставщикам.

Новый методический документ 2026 года — это «инструкция по эксплуатации» современной системы информационной безопасности, которая делает защиту прозрачной и проверяемой. Переход на новую методику — это в первую очередь переход от «бумажной безопасности» (где достаточно было наличия СЗИ) к «процессной безопасности» (где нужно доказать, что вы ежедневно управляете изменениями).

Что делать при переходе на новую методику?

В первую очередь рекомендуем выполнить следующие шаги:

  1. сформируйте «эталонные» конфигурации для ОС, СУБД и сетевого оборудования;
  2. актуализируйте инвентаризацию;
  3. обновите схему сети;
  4. пересмотрите модель угроз;
  5. уменьшите «поверхность» атак: всё, что не нужно для работы Системы, должно быть физически или логически отключено;
  6. оцените риски цепочки поставок;
  7. обновите комплект документации, разработайте стандарты и регламенты;
  8. внедрите инструменты автоматизации: сканеры уязвимостей, SIEM-системы, PAM-системы;
  9. откажитесь от базовых конфигураций RDP/VPN (без дополнительных факторов защиты);
  10. внедрите обязательный контроль удаленных устройств перед допуском в сеть.

Рекомендуем подробно ознакомиться с документом для своевременного приведения регламентов и процессов ИБ в соответствие с новыми требованиями или заказать услугу по обеспечению соответствия стандартам РФ.

Была ли полезна статья?
Расскажите друзьям:
Онланта
Онланта

Команда компании "Онланта"

Автор статьи
Свежие новости
«Онланта» становится авторизованным партнером Pantum
19.01.2026
«Онланта» становится авторизованным партнером Pantum
 ONLANTA AI HUB вошла в тройку лидеров российских платформ управления генеративным ИИ для Enterprise-сегмента
13.11.2025
ONLANTA AI HUB вошла в тройку лидеров российских платформ управления генеративным ИИ для Enterprise-сегмента
 ONPLATFORM вошла в рейтинг лучших Kubernetes-решений по версии CNewsMarket
30.06.2025
ONPLATFORM вошла в рейтинг лучших Kubernetes-решений по версии CNewsMarket
 ИТ-директора ведущих банков обсудят кейсы с «Онлантой» и Orion soft
25.06.2025
ИТ-директора ведущих банков обсудят кейсы с «Онлантой» и Orion soft
 «Онланта» и Fplus объединили экспертизу для развития инфраструктуры печати российских компаний
26.05.2025
«Онланта» и Fplus объединили экспертизу для развития инфраструктуры печати российских компаний
Услуги
Услуги
Отраслевые решения
Отраслевые решения
О компании
О компании
Пресс-центр
Пресс-центр
О компании
О компании
Пресс-центр
Пресс-центр
Работа в команде
Работа в команде
Заказчики и проекты
Контакты
Служба качества
+7 495 721 1218