.PNG)
1Распространяется ли ФСТЭК №117 на КИИ
Да. Методика оценки показателя состояния технической защиты информации (утв. ФСТЭК 11.11.2025) в заголовке прямо указывает, что распространяется на оценку «обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Настоящая Методика определяет показатель, характеризующий текущее состояние технической защиты информации, содержащейся в информационных системах, и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
2На кого именно распространяется методика
Методика (п. 3) определяет круг организаций, для которых применяется оценка КЗИ:
| Тип организации | Применяется | Основание |
|---|---|---|
| Государственные органы | Да | п. 3 Методики |
| Органы местного самоуправления | Да | п. 3 Методики |
| Организации (операторы ГИС) | Да | п. 3 Методики |
| Субъекты КИИ | Да | п. 3 Методики |
3Связь с приказами ФСТЭК для КИИ
Методика в сноске 1 перечисляет нормативные правовые акты, меры из которых формируют «минимально необходимый уровень защиты». Для КИИ это:
Приказ ФСТЭК № 239 от 25.12.2017
Требования по обеспечению безопасности значимых объектов КИИ. Основной нормативный акт для КИИ, меры из которого учитываются при расчёте КЗИ.
Приказ ФСТЭК №117 от 11.04.2025
Требования о защите информации в ГИС и иных ИС госорганов. Если объект КИИ одновременно является ГИС — применяются оба приказа.
Приказ ФСТЭК № 31 от 14.03.2014 (28.02.2017)
Требования к защите информации в АСУ ТП на критически важных и потенциально опасных объектах.
Приказ ФСТЭК № 21 от 18.02.2013
Меры по обеспечению безопасности ПДн. Если объект КИИ обрабатывает персональные данные — меры из приказа 21 тоже учитываются.
Приказ ФСТЭК №239 — основной для КИИ
Приказ ФСТЭК №239 от 25.12.2017 устанавливает требования по обеспечению безопасности значимых объектов КИИ. При расчёте КЗИ по методике (утв. 11.11.2025) меры из приказа 239 формируют «минимально необходимый уровень защиты» (сноска 1 Методики).
| Параметр | Приказ 117 | Приказ 239 |
|---|---|---|
| Область | ИС госорганов, учреждений, ГУП, МУП, подрядчики | Значимые объекты КИИ |
| Показатель | КЗИ (методика) | КЗИ (методика) |
| Минимум | КЗИ = 1 | КЗИ = 1 |
| Периодичность | Каждые 6 месяцев | Каждые 6 месяцев |
| Совмещение | Если объект КИИ = ГИС → оба приказа | Если объект КИИ = ГИС → оба приказа |
Единый расчёт для всех ИС
4Что методика НЕ покрывает для КИИ
Важно понимать границы применения. Методика прямо исключает одну область:
Методика не применяется для оценки деятельности в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
| Область | Покрывается методикой |
|---|---|
| Техническая защита информации в ИС | Да |
| Безопасность значимых объектов КИИ | Да |
| Мониторинг ИБ и реагирование на инциденты | Да (группа 4, k41-k43) |
| ГосСОПКА: обнаружение и ликвидация компьютерных атак | Нет (п. 6) |
Таким образом, для субъектов КИИ оценка КЗИ дополняет, но не заменяет обязанности по взаимодействию с ГосСОПКА. Это два параллельных процесса.
5Если система — и ГИС, и объект КИИ
На практике многие системы имеют «двойной статус»: являются одновременно ГИС (приказ 117) и значимым объектом КИИ (приказ 239). В этом случае:
Применяются оба набора требований
Меры из приказа 117 (для ГИС) и из приказа 239 (для КИИ) применяются совместно. КЗИ рассчитывается с учётом обоих.
Берётся минимальное значение kji
Если по разным ИС получены разные значения одного и того же частного показателя — в расчёт КЗИ идёт минимальное (п. 31).
Штрафные риски суммируются
Нарушение требований по КИИ — до 500 тыс ₽ штрафа (ст. 13.12.1 КоАП РФ) + уголовная ответственность (ст. 274.1 УК РФ). Нарушение по ГИС — отдельные составы КоАП.
6Риски для субъектов КИИ при низком КЗИ
Для субъектов КИИ последствия несоответствия нормированному значению КЗИ серьёзнее, чем для обычных ГИС:
| Риск | Санкция | Основание |
|---|---|---|
| Нарушение требований по КИИ | Штраф до 500 тыс ₽ | ст. 13.12.1 КоАП РФ |
| Воздействие на КИИ | Уголовная ответственность | ст. 274.1 УК РФ |
| Утечка ПДн (повторная) | Оборотный штраф 1-3% выручки (до 500 млн ₽) | ФЗ № 420-ФЗ |
| Невыполнение предписания ФСТЭК | Штраф до 500 тыс ₽ | ст. 19.5 КоАП |
КЗИ как индикатор для ФСТЭК
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также ознакомьтесь с полным руководством по 117 приказу ФСТЭК.
Олег Демьянов
Руководитель отдела информационной безопасности
С 2018 года консультирует ключевых игроков российского бизнеса. Экспертиза — промышленность, медицина, транспорт, органы власти.