Дата публикации: 22.06.2026

Методичка, по которой операторы ГИС строили защиту с 2014 года, больше не действует. 12 апреля 2026 года ФСТЭК России утвердила новый методический документ — «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах». 182 страницы, которые теперь определяют, как защищать государственные и иные ИС: от проектирования до аттестации.

Коротко — суть за 20 секунд:

  • Что изменилось: методичка 2014 года по защите ГИС отменена. С 12.04.2026 действует новый методический документ ФСТЭК (182 стр.) — обвязка приказа № 117.
  • Кого касается: операторов государственных и «иных» информационных систем.
  • Что делать: обследование, актуализация модели угроз и ОРД, пересборка мер защиты, аттестация по новым требованиям.

📄 Скачать методический документ ФСТЭК от 12.04.2026 (PDF) — бесплатно, на нашем портале по приказу № 117. Там же — постатейный разбор документа.

Нужна помощь с приведением ГИС в соответствие — защита государственных информационных систем под ключ.

Что отменяет новый методдокумент

Документ прямо отменяет старую методичку «Меры защиты информации в государственных информационных системах» от 11 февраля 2014 года. Та была частью обвязки приказа № 17. Приказ заменили на № 117 от 11.04.2025 — дошла очередь и до сопряжённого методдокумента.

Для операторов это значит простую вещь: ссылаться на методичку 2014 года в моделях угроз, технических проектах и регламентах больше нельзя. Документы, где она указана как основание, придётся актуализировать.

Какие приказы детализирует

Одна методичка теперь обслуживает сразу четыре приказа ФСТЭК — задаёт единый каркас мер для ГИС, КИИ, ИСПДн и промышленных систем:

  • № 117 от 11.04.2025 — защита информации в ГИС, иных ИС госорганов, ГУП и государственных учреждений;
  • № 239 от 25.12.2017 — безопасность значимых объектов КИИ;
  • № 21 от 18.02.2013 — защита персональных данных в ИСПДн;
  • № 31 от 14.03.2014 — автоматизированные системы управления технологическими процессами (АСУ ТП).

Раньше меры для каждого класса систем собирали по разным документам. Теперь требования сведены в один источник — это упрощает работу интеграторам и службам ИБ, но требует пересмотра уже выстроенных систем защиты.

Меры защиты ГИС, КИИ, ИСПДн и АСУ ТП: сводная таблица

Приказ ФСТЭКОбласть примененияЧто даёт методдокумент
№ 117 от 11.04.2025ГИС и иные ИС госорганов (с 01.03.2026)19 организационных мероприятий и 17 групп технических мер защиты
№ 239 от 25.12.2017значимые объекты КИИединый каркас мер для систем безопасности ЗОКИИ
№ 21 от 18.02.2013ИСПДн (персональные данные)состав мер по уровням защищённости УЗ1–УЗ4
№ 31 от 14.03.2014АСУ ТПмеры для промышленных систем по классам защищённости

Как устроен документ

Методдокумент состоит из четырёх разделов и трёх приложений. В общих положениях закреплено правовое основание и область применения. Основной объём — состав мероприятий по защите информации на каждом этапе жизненного цикла системы: при создании, эксплуатации и выводе из эксплуатации. Отдельно описаны организационные и технические меры с привязкой к классу защищённости системы.

Логика прежняя: класс защищённости определяет обязательный набор мер. Но формулировки, состав мероприятий и детализация мер обновлены — именно здесь возникают расхождения с системами, аттестованными по старой методичке.

Что в документ не входит

Криптография. Правила выбора и применения шифровальных средств — зона ФСБ России, не ФСТЭК. Для СКЗИ операторы по-прежнему смотрят в требования ФСБ. Это разделение важно учитывать при проектировании: меры защиты информации берутся из методдокумента ФСТЭК, а криптографическая защита — из отдельной нормативной базы.

Что делать операторам ГИС

Тем, кто аттестовал государственную информационную систему по методичке 2014 года, придётся сверить действующую систему защиты с новыми требованиями. Практический порядок такой:

  • поднять текущую модель угроз и проектную документацию, найти ссылки на методичку 2014 года;
  • сопоставить реализованные меры с новым составом по классу защищённости системы;
  • зафиксировать расхождения и спланировать донастройку средств защиты;
  • обновить организационно-распорядительную документацию и модель угроз;
  • при необходимости — пройти повторную аттестацию информационной системы.

Кому действовать в первую очередь

Срочнее всего пересмотр нужен операторам, у которых аттестат ГИС истекает в ближайший год, идёт модернизация инфраструктуры или запланирована проверка ФСТЭК. Для них расхождение действующей системы защиты с новым методдокументом — прямой риск предписания.

Параллельно стоит свериться операторам значимых объектов КИИ: тот же документ детализирует меры по приказу № 239. Если защита КИИ выстраивалась по разрозненным источникам, единый каркас — повод пересобрать её без пробелов. Отправная точка здесь — категорирование объектов КИИ: от него зависит требуемый набор мер.

Как мы помогаем

Кредо-С как лицензиат ФСТЭК приводит государственные информационные системы в соответствие новым требованиям: проводим обследование, актуализируем модель угроз и организационно-распорядительную документацию, подбираем и внедряем сертифицированные средства защиты, сопровождаем аттестацию. Подробный технический разбор самой методики и расчёта показателей защищённости — в материале по приказу № 117.

Сеничев Василий
Сеничев Василий
Заместитель директора
Самое полезное в документе — он свёл меры для ГИС, КИИ и ИСПДн в единый каркас: раньше их собирали по разным методичкам. Но за удобство есть плата: всем, кто строил защиту по методичке 2014 года, систему придётся пересобрать под новые требования — и лучше сделать это до проверки, а не после.

Часто задаваемые вопросы

Что за методический документ ФСТЭК от 12 апреля 2026 года?
Это документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» — 182 страницы, утверждён ФСТЭК России 12.04.2026. Он пришёл на смену методичке 2014 года и теперь определяет, как строить защиту государственных и иных информационных систем: 19 организационных мероприятий и 17 групп технических мер, привязанных к классу защищённости.
Какие приказы ФСТЭК детализирует новый методдокумент?
Сразу четыре: № 117 от 11.04.2025 (защита ГИС и иных ИС госорганов, действует с 01.03.2026), № 239 от 25.12.2017 (значимые объекты КИИ), № 21 от 18.02.2013 (персональные данные в ИСПДн) и № 31 от 14.03.2014 (АСУ ТП). Раньше меры для каждого класса систем собирали по разным документам — теперь единый каркас в одном источнике.
Нужно ли переаттестовывать ГИС после выхода нового методдокумента?
Не автоматически. Сначала — сверка: поднять модель угроз и проектную документацию, найти ссылки на методичку 2014 года, сопоставить реализованные меры с новым составом по классу защищённости. Если расхождения существенны — донастройка средств защиты, обновление ОРД и модели угроз, а при необходимости повторная аттестация. Срочнее всего это операторам, у которых аттестат истекает в ближайший год или запланирована проверка ФСТЭК.
Входит ли криптография в новый методдокумент ФСТЭК?
Нет. Правила выбора и применения шифровальных средств — зона ФСБ России, а не ФСТЭК. Для СКЗИ операторы по-прежнему руководствуются требованиями ФСБ. При проектировании это важно разделять: меры защиты информации берутся из методдокумента ФСТЭК, а криптографическая защита — из отдельной нормативной базы ФСБ.
Где скачать методический документ ФСТЭК от 12.04.2026?
Полный текст в PDF (182 страницы) доступен бесплатно на нашем портале по приказу № 117: 117fstec.credos.ru/skachat-metoddok-117. Там же — постатейный разбор документа и материалы по расчёту показателей защищённости по методике оценки.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных