ФСТЭК России остаётся ключевым регулятором в области защиты информации, не составляющей государственную тайну. Четыре основных приказа — №117, №21, №31 и №239 — формируют регуляторное поле для государственных информационных систем, информационных систем персональных данных, автоматизированных систем управления и объектов критической информационной инфраструктуры. В этой статье — систематизированный обзор каждого приказа, таблица применимости, изменения 2025-2026 годов и практические рекомендации по обеспечению соответствия.
ФСТЭК России: роль в регулировании информационной безопасности
Полномочия и функции ФСТЭК
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности информации в ключевых информационных системах. Основные функции ФСТЭК в сфере ИБ:
- разработка нормативных документов по технической защите информации;
- сертификация средств защиты информации (СЗИ);
- ведение Банка данных угроз безопасности информации (БДУ ФСТЭК);
- аттестация объектов информатизации;
- контроль и надзор за выполнением требований по защите информации.
Какие организации подконтрольны ФСТЭК
Требования ФСТЭК распространяются на широкий круг организаций: федеральные и региональные органы власти, государственные корпорации, операторы персональных данных (фактически — все юридические лица), субъекты критической информационной инфраструктуры по 187-ФЗ, организации оборонно-промышленного комплекса.
На практике под требования ФСТЭК подпадают почти все организации в России — через обработку персональных данных по 152-ФЗ и Приказ №21.
Отличие от ФСБ и других регуляторов
ФСТЭК отвечает за техническую защиту информации (некриптографическими методами). ФСБ регулирует применение криптографических средств (СКЗИ). Роскомнадзор контролирует обработку персональных данных с точки зрения прав субъектов. На практике организация взаимодействует со всеми тремя регуляторами, но требования ФСТЭК — наиболее объёмные по количеству мер защиты.
Приказ ФСТЭК №117 — защита информации в ГИС
Область применения
Приказ ФСТЭК России №117 (вступил в силу с 1 марта 2026 года, заменил Приказ №17 от 11.02.2013) — базовый документ для защиты ГИС. Применяется ко всем государственным и муниципальным информационным системам.
Классы защищённости ГИС (К1-К3)
Приказ №117 устанавливает три класса защищённости ГИС:
| Класс | Уровень значимости информации | Масштаб системы | Объём мер |
|---|---|---|---|
| К1 | Высокий | Федеральный | Максимальный |
| К2 | Средний | Региональный | Средний |
| К3 | Низкий | Объектовый | Базовый |
Класс защищённости определяется по наибольшему уровню значимости обрабатываемой информации и масштабу информационной системы.
Базовые наборы мер
Для каждого класса защищённости Приказ №117 устанавливает базовый набор мер, сгруппированных по направлениям: идентификация и аутентификация (ИАФ), управление доступом (УПД), ограничение программной среды (ОПС), защита машинных носителей информации (ЗНИ), регистрация событий безопасности (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), контроль целостности (ОЦЛ), защита среды виртуализации (ЗСВ), защита технических средств (ЗТС) и другие.
Оператор может адаптировать базовый набор: исключить неприменимые меры (с обоснованием) или добавить дополнительные — по результатам моделирования угроз.
Аттестация ГИС
Для государственных информационных систем аттестация обязательна. Порядок аттестации определён Приказом ФСТЭК №77 от 29.04.2021. Без успешной аттестации ГИС не может быть введена в эксплуатацию. Аттестация проводится лицензиатами ФСТЭК и подтверждает выполнение всех установленных требований.
Приказ ФСТЭК №21 — защита персональных данных
Область применения
Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — основной документ по техническим мерам защиты ПДн. Применяется ко всем ИСПДн в связке с 152-ФЗ «О персональных данных» и Постановлением Правительства №1119.
Уровни защищённости (УЗ-1 — УЗ-4)
Приказ №21 оперирует четырьмя уровнями защищённости, определяемыми по ПП №1119:
| Уровень | Категории ПДн | Объём субъектов | Тип угроз | Требования |
|---|---|---|---|---|
| УЗ-1 | Специальные, биометрические | Более 100 000 | 1-й тип | Максимальные |
| УЗ-2 | Специальные | Более 100 000 | 2-й тип | Высокие |
| УЗ-3 | Общедоступные, иные | Менее 100 000 | 2-й тип | Средние |
| УЗ-4 | Общедоступные | Менее 100 000 | 3-й тип | Базовые |
Базовые наборы мер по уровням
Структура мер аналогична Приказу №117 (ИАФ, УПД, РСБ и т.д.), но объём мер зависит от уровня защищённости. Для УЗ-4 предусмотрен минимальный набор, для УЗ-1 — полный комплекс мер.
Связь с 152-ФЗ и ПП 1119
152-ФЗ устанавливает обязанность оператора обеспечить безопасность ПДн. Постановление Правительства №1119 определяет уровни защищённости. Приказ ФСТЭК №21 конкретизирует состав технических и организационных мер. Эти три документа работают в связке: 152-ФЗ задаёт обязанность, ПП 1119 — классификацию, Приказ №21 — конкретные меры.
Каждая организация, обрабатывающая персональные данные сотрудников (а это практически все юридические лица), обязана выполнять требования Приказа №21.
Приказ ФСТЭК №31 — защита АСУ ТП
Область применения
Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами» распространяется на АСУ ТП критически важных и потенциально опасных объектов, а также объектов, представляющих повышенную опасность для жизни и здоровья людей и окружающей среды.
Классы защищённости АСУ ТП
Приказ №31 устанавливает три класса защищённости:
| Класс | Уровень значимости | Примеры объектов |
|---|---|---|
| К1 | Высокий | Объекты атомной энергетики, химическая промышленность |
| К2 | Средний | Энергетика, транспорт, водоснабжение |
| К3 | Низкий | Менее критичные промышленные объекты |
Особенности мер для промышленных систем
Меры защиты АСУ ТП учитывают специфику промышленных систем: требования к доступности (простой недопустим), ограниченные возможности обновления ПО, особые сетевые протоколы (Modbus, OPC UA), физическая безопасность контроллеров. Приказ №31 требует обеспечить защиту без нарушения штатного режима функционирования АСУ ТП.
Приказ ФСТЭК №239 — безопасность объектов КИИ
Область применения
Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» — центральный документ по защите объектов КИИ. Применяется к значимым объектам КИИ, прошедшим категорирование по 187-ФЗ «О безопасности критической информационной инфраструктуры».
Категории значимости (1, 2, 3)
| Категория | Масштаб последствий | Базовый набор мер | Обязательная сертификация СЗИ |
|---|---|---|---|
| 1 | Федеральный, критический | Максимальный (более 100 мер) | Да |
| 2 | Региональный, существенный | Расширенный (~80 мер) | Да |
| 3 | Локальный, умеренный | Базовый (~60 мер) | Рекомендуется |
Базовые наборы мер по категориям
Приказ №239 определяет базовые наборы мер по направлениям, аналогичным Приказам №117 и №31, с добавлением специфических для КИИ: планирование мероприятий по обеспечению безопасности (ПЛН), управление конфигурацией (УКФ), управление обновлениями (ОБН), реагирование на компьютерные инциденты (ИНЦ), обеспечение действий в нештатных ситуациях (ДНС).
Связь с 187-ФЗ
187-ФЗ устанавливает понятие КИИ, определяет субъектов и объекты КИИ, обязывает провести категорирование. Приказ ФСТЭК №239 конкретизирует меры безопасности для значимых объектов. Постановление Правительства №127 определяет порядок категорирования. Для субъектов КИИ несоблюдение требований влечёт уголовную ответственность по ст. 274.1 УК РФ.
Субъекты КИИ по 187-ФЗ — организации из 14 отраслей: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК, оборонная промышленность, ракетно-космическая отрасль, горнодобывающая промышленность, металлургия, химическая промышленность, а также организации в сфере регистрации доменных имён и IT-компании.
Методика оценки угроз ФСТЭК (2021/2025)
Основные этапы оценки угроз
Методика оценки угроз безопасности информации (утверждена ФСТЭК 05.02.2021, актуализирована в 2025 году) определяет порядок разработки модели угроз. Основные этапы:
- Определение негативных последствий от реализации угроз.
- Определение возможных объектов воздействия угроз.
- Оценка возможностей нарушителей (источников угроз).
- Оценка способов реализации угроз.
- Оценка актуальности угроз безопасности информации.
Использование БДУ ФСТЭК
Банк данных угроз ФСТЭК (bdu.fstec.ru) — обязательный источник информации при оценке угроз. Содержит описания угроз безопасности информации, уязвимостей ПО, данные о сертифицированных СЗИ. Использование БДУ при разработке модели угроз — требование Методики 2021 года. Модуль БДУ ФСТЭК в КиберОснова обеспечивает автоматическую синхронизацию с базой данных угроз.
Формирование модели угроз
Модель угроз — обязательный документ для ГИС (Приказ №117), ИСПДн (Приказ №21), АСУ ТП (Приказ №31) и значимых объектов КИИ (Приказ №239). Модель формируется на основе результатов оценки угроз и является основанием для выбора мер защиты. Разработка и актуализация модели угроз — один из процессов, автоматизируемых в SGRC-платформе.
Таблица применимости: какие приказы для каких систем
Одна из главных сложностей — определить, какие приказы ФСТЭК применимы к конкретной организации. Организация может одновременно подпадать под несколько приказов.
| Тип системы | Основной приказ | Классификация | Обязательная аттестация | Сертифицированные СЗИ | Связанный закон |
|---|---|---|---|---|---|
| ГИС | №117 | К1, К2, К3 | Да | Обязательно | 149-ФЗ |
| ИСПДн | №21 | УЗ-1 — УЗ-4 | Нет (рекомендуется) | Для УЗ-1, УЗ-2 | 152-ФЗ |
| АСУ ТП | №31 | К1, К2, К3 | Нет (рекомендуется) | Рекомендуется | — |
| Значимые объекты КИИ | №239 | Кат. 1, 2, 3 | Нет (рекомендуется) | Кат. 1 и 2 | 187-ФЗ |
Пример пересечения требований: Государственный медицинский центр эксплуатирует ГИС для записи пациентов (Приказ №117), обрабатывает медицинские ПДн (Приказ №21, специальные категории), является субъектом КИИ в сфере здравоохранения (Приказ №239). Такая организация обязана выполнять требования трёх приказов одновременно.
Определите, какие требования ФСТЭК применимы к вашей организации. Запросите консультацию, чтобы провести gap-анализ по каждому приказу.
Что изменилось в 2025-2026 годах
Обновления нормативной базы
Период 2025-2026 годов отмечен активным обновлением нормативной базы ФСТЭК:
- актуализация Методики оценки угроз с учётом новых типов нарушителей и способов атак;
- обновление требований к защите информации в облачных средах и контейнерных инфраструктурах;
- усиление контроля за актуальностью сертификатов СЗИ — обязательное обновление до актуальных сертифицированных версий;
- расширение перечня объектов КИИ и уточнение критериев категорирования;
- развитие требований к мониторингу событий безопасности в рамках ГосСОПКА.
Новые требования к управлению уязвимостями
ФСТЭК усилила требования к процессу управления уязвимостями: обязательное использование БДУ ФСТЭК как источника информации об уязвимостях, установление сроков устранения уязвимостей в зависимости от критичности (CVSS-скоринг), регулярное сканирование инфраструктуры и контроль устранения. Автоматизация управления уязвимостями — одно из ключевых направлений SGRC-платформы КиберОснова.
Тенденции: облака, контейнеры, импортозамещение
Три ключевых тренда определяют развитие требований ФСТЭК:
- Облачные среды. Новые требования к разграничению ответственности между провайдером и оператором, защита данных в мультитенантных средах.
- Контейнеризация. Требования к защите Docker/Kubernetes-инфраструктур, безопасность образов контейнеров, сегментация.
- Импортозамещение. Обязательный переход на сертифицированные отечественные СЗИ для ГИС и объектов КИИ. Реестр российского ПО (Минцифры) — обязательное условие для государственных закупок.
Как обеспечить соответствие требованиям ФСТЭК
Пошаговый подход
Обеспечение соответствия требованиям ФСТЭК — системный процесс, включающий несколько этапов:
- Инвентаризация информационных систем. Определите все ГИС, ИСПДн, АСУ ТП, объекты КИИ в организации. Модуль инвентаризации КиберОснова автоматизирует этот процесс.
- Определение применимых требований. Для каждой системы определите применимый приказ ФСТЭК и класс/уровень/категорию.
- Моделирование угроз. Разработайте модель угроз по Методике ФСТЭК 2021/2025.
- Выбор мер защиты. Сформируйте набор мер на основе базового набора приказа, адаптированного по модели угроз.
- Внедрение мер. Установите и настройте СЗИ, разработайте документы ИБ.
- Контроль и мониторинг. Обеспечьте непрерывный контроль выполнения требований.
Автоматизация контроля через SGRC-платформу
SGRC-платформа позволяет перевести контроль соответствия из режима «ручные проверки раз в год» в непрерывный мониторинг. КиберОснова содержит предзагруженные базовые наборы мер по Приказам №117, №21, №31 и №239. Для каждой информационной системы платформа:
- формирует перечень применимых требований;
- отслеживает статус выполнения каждой меры;
- выполняет gap-анализ и выявляет пробелы;
- контролирует сроки сертификатов СЗИ;
- генерирует отчёты для аудиторов и регуляторов.
Контролируйте актуальность требований автоматически. Узнайте больше о модуле соответствия КиберОснова.
Сертифицированные СЗИ: реестр и требования
Реестр сертифицированных средств защиты информации ведётся ФСТЭК на reestr.fstec.ru. При выборе СЗИ необходимо проверить:
- наличие действующего сертификата ФСТЭК;
- соответствие класса/уровня СЗИ требованиям приказа;
- наличие в реестре российского ПО (для государственных организаций);
- техническую поддержку и обновление сертифицированных версий.
Использование СЗИ с истёкшим сертификатом квалифицируется как нарушение при проверке. КиберОснова автоматически уведомляет об истечении сертификатов и необходимости обновления.
FAQ — Частые вопросы о требованиях ФСТЭК
Какие основные приказы ФСТЭК регулируют информационную безопасность?
Основные приказы ФСТЭК в области ИБ: Приказ №117 (защита ГИС, заменил №17 с 1 марта 2026), Приказ №21 (защита ПДн в ИСПДн), Приказ №31 (защита АСУ ТП), Приказ №239 (безопасность значимых объектов КИИ), Приказ №77 (аттестация объектов информатизации). Каждый приказ применяется к определённому типу информационных систем.
Как определить, какие требования ФСТЭК применимы к моей организации?
Применимость определяется типами информационных систем: ГИС — Приказ №117, ИСПДн — Приказ №21, АСУ ТП — Приказ №31, значимые объекты КИИ — Приказ №239. Организация может подпадать под несколько приказов одновременно. Воспользуйтесь таблицей применимости выше или запросите демо КиберОснова для автоматизированного анализа.
Обязательно ли использовать сертифицированные ФСТЭК средства защиты?
Обязательность зависит от типа системы: для ГИС (Приказ №117) — обязательно; для ИСПДн (Приказ №21) — зависит от уровня защищённости и модели угроз; для значимых объектов КИИ (Приказ №239) — обязательно для категорий 1 и 2.
Чем грозит несоблюдение требований ФСТЭК?
Административные штрафы по ст. 13.12 КоАП (до 50 000 руб. для юридических лиц), предписание ФСТЭК об устранении нарушений, отказ в аттестации ГИС. Для субъектов КИИ — уголовная ответственность по ст. 274.1 УК РФ (до 10 лет лишения свободы при инциденте).
Как SGRC-платформа помогает выполнять требования ФСТЭК?
SGRC-платформа автоматизирует контроль соответствия: ведёт реестр требований, отслеживает статус выполнения мер, формирует gap-анализ, контролирует сертификаты СЗИ, генерирует отчёты для регуляторов. КиберОснова содержит предзагруженные базовые наборы мер по всем основным приказам ФСТЭК.
Заключение
Требования ФСТЭК — фундамент системы защиты информации в российских организациях. Четыре основных приказа охватывают все типы информационных систем: от государственных до промышленных, от персональных данных до объектов КИИ. Организация может подпадать под несколько приказов одновременно, что требует системного подхода к обеспечению соответствия.
Ключевые рекомендации:
- Проведите инвентаризацию всех информационных систем и определите применимые приказы.
- Актуализируйте модели угроз по Методике ФСТЭК 2021/2025.
- Контролируйте сроки действия сертификатов СЗИ — истёкший сертификат равен нарушению.
- Автоматизируйте контроль соответствия через SGRC-платформу вместо ручных проверок.
- Отслеживайте изменения нормативной базы ФСТЭК — регулятор активно обновляет требования.
КиберОснова SGRC — платформа с предзагруженными базовыми наборами мер по Приказам №117, №21, №31 и №239. Запросите демо, чтобы оценить gap-анализ соответствия требованиям ФСТЭК для вашей организации.
