Методические рекомендации к приказу ФСТЭК №117: разбор методического документа

Документ опубликован 12 апреля 2026 года ФСТЭК России и раскрывает пункт 63 приказа ФСТЭК №117 от 11.04.2025. С момента утверждения не применяются положения методического документа ФСТЭК от 11.02.2014 года «Меры защиты информации в государственных информационных системах».

Документ адресован обладателям информации, заказчикам, операторам и подрядчикам, занятым в создании и эксплуатации информационных систем государственных органов, государственных унитарных предприятий и государственных учреждений. Помимо приказа №117 методический документ детализирует меры к ряду других приказов ФСТЭК (№31, №239, №21).

Новые направления по сравнению с методическим документом 2014 года

• Защита систем искусственного интеллекта — отдельное мероприятие 3.18, требования к моделям, обучающим данным, инфраструктуре разработки ИИ.
• Защита контейнеризации (ЗКО) — Docker, Kubernetes и связанные технологии.
• Защита программных интерфейсов (ЗПИ) — REST/SOAP API, защита от типичных атак на API.
• Микросегментация — включена в принципы создания ИС в защищённом исполнении. Усиления межсетевого экрана включают маскирование и ложные системы.
• Bug bounty — поиск уязвимостей внешними исследователями за вознаграждение. Включена в мероприятие БР (безопасная разработка программного обеспечения) как один из способов выявления уязвимостей.

Классы защищённости К1, К2, К3

Приложение №2 содержит матрицу применимости каждой меры к классам защищённости информационных систем (К3 — низший, К1 — высший). Приложение №3 устанавливает соответствие между классами ИС, уровнями защищённости персональных данных и категориями значимости объектов критической информационной инфраструктуры:

«Для информационной системы 1 класса защищённости обеспечивают 1, 2, 3 и 4 уровни защищённости персональных данных; для 2 класса — 2, 3 и 4 уровни; для 3 класса — 3 и 4 уровни защищённости персональных данных».