СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Softline
12 марта
#Статьи #ИБ#ИИ

К чему готовиться ИБ-подразделениям в 2026 году

К чему готовиться ИБ-подразделениям в 2026 году

Изображение: grok

С 1 марта 2026 года вступил в силу приказ ФСТЭК России № 117, который существенно меняет требования к защите информации в государственных информационных системах (ГИС) и смежных сегментах. Формально речь идет о развитии уже существующей нормативной базы, однако по факту ИБ-подразделениям предстоит адаптироваться к более широкому охвату объектов, усилению организационных требований и переходу от разовых проверок к постоянному контролю состояния защищенности.

Михаил Яненко, директор компании К2-9b Group «Инферит Безопасность» (кластер «СФ Тех» ГК Softline), рассказывает, как меняется подход ФСТЭК к защищенным системам/

Расширение зоны ответственности: не только ГИС

Одно из ключевых изменений — расширение области действия требований ФСТЭК. Если ранее основной фокус регулирования был сосредоточен на государственных информационных системах, то теперь требования распространяются и на иные информационные системы (ИС) государственных органов, государственных унитарных предприятий и государственных учреждений.

Это означает, что под регламент попадает больший круг систем, включая те, которые формально не относятся к ГИС, но при этом обрабатывают служебную или чувствительную информацию. Для ИБ-подразделений такое изменение подразумевает пересмотр периметра ответственности и инвентаризации защищаемых активов.

Дополнительно в приказе впервые детально зафиксированы требования к подрядным организациям. Определен минимальный набор мер, которые они должны обеспечить, вовлекаясь в создание, сопровождение или эксплуатацию защищенных систем.

Например, от подрядчика требуется наличие аттестата соответствия, оформленного по той же модели угроз и для того же класса защищенности, который установлен для ГИС заказчика. При этом требование подтверждать выполнение мер защиты для внешних систем существовало и ранее — через договор об информационном взаимодействии и наличие аттестата соответствия. Однако теперь акцент прямо сделан на подрядных организациях как самостоятельном объекте регулирования, что формально расширяет контур ответственности за пределы самой организации.

Также изменились требования к работникам подразделений по защите информации (ЗИ). Теперь не менее 30% сотрудников такого подразделения должны иметь профильное образование, связанное с информационной безопасностью, или сертификаты о прохождении курсов переподготовки в области ИБ.

Классификация систем: автоматическое усиление требований при работе с ДСП

В целом подход к классификации государственных информационных систем сохраняет преемственность с приказом ФСТЭК России № 17. Однако принципиально важным уточнением стало требование устанавливать уровень значимости УЗ-1 и, как следствие, наивысший класс защищенности К1 для информационных систем, в которых обрабатывается информация ограниченного распространения с пометкой «Для служебного пользования» (ДСП).

На практике это означает автоматическое ужесточение требований к системе защиты, архитектуре и применяемым средствам безопасности, даже если сама система ранее относилась к менее критичному классу.

От формального соответствия — к зрелости защиты

Приказ № 117 заметно усиливает акцент на организационных мерах. Расширен перечень обязательных внутренних документов: теперь речь идет не только о политике защиты информации, но и о внутренних стандартах и регламентах. Кроме того, в документе детализированы требования к компетенциям работников подразделений по защите информации.

Существенным новшеством является требование систематической оценки состояния защиты информации. Оператор или обладатель информации должен регулярно направлять в ФСТЭК России результаты такой оценки — в форме расчета уровня зрелости, показателей защищенности, отчетов по мониторингу или итогового годового отчета.

Ранее тоже были определены периодические мероприятия, но так часто отчеты во ФСТЭК направлять не требовалось (только протоколы контроля защищенности — не реже 1 раза в два года).

Технологический фокус: ИИ, контейнеры и мониторинг

Впервые на нормативном уровне зафиксирована необходимость учитывать защиту современных технологических стеков. В приказе обозначены требования по обеспечению безопасности:

  • при разработке программного обеспечения;
  • при использовании технологий искусственного интеллекта (ИИ);
  • при эксплуатации интернета вещей (IoT);
  • в контейнерных средах и системах оркестрации.

Также в перечень обязательных мероприятий включены мониторинг информационной безопасности, управление уязвимостями, защита конечных и мобильных устройств, противодействие атакам типа отказ в обслуживании, контроль привилегированного доступа и повышение осведомленности пользователей.

Фактически регулятор закрепляет ожидание, что такие средства защиты, как SIEM, системы управления уязвимостями, EDR, MDM, Anti-DDoS, PAM и сервисы повышения осведомленности, должны использоваться уже не как «лучшие практики», а как базовый, нормальный уровень развития зрелой системы информационной безопасности.

Аттестация: обязательность сохраняется, контроль усиливается

С точки зрения формальных требований обязательной остается аттестация только ГИС. Для иных информационных систем решение о ее проведении принимает руководитель оператора или ответственное лицо.

При этом все аттестаты соответствия, выданные до 1 марта 2026 года, сохраняют свою силу. Переаттестация требуется в случаях, предусмотренных приказом ФСТЭК № 77, — при модернизации системы, повышении класса защищенности или изменении архитектуры системы защиты информации.

Отдельно стоит отметить, что в настоящее время обсуждается проект изменений порядка аттестации, включая применение методик ФСТЭК России при тестировании на проникновение и периодическом контроле защищенности. Однако до их официального утверждения говорить о новых обязательных процедурах преждевременно.

Сертифицированные средства и безопасная разработка

Приказ № 117 однозначно закрепляет требование использовать для защиты информации сертифицированные средства защиты с установленными минимальными классами защиты и уровнями доверия. Такие средства должны сопровождаться поддержкой безопасности на территории Российской Федерации, включая выпуск обновлений для устранения уязвимостей.

Отдельный блок требований посвящен безопасной разработке программного обеспечения. При самостоятельной разработке ПО оператор обязан реализовывать меры в соответствии с ГОСТ Р 56939-2024. При привлечении подрядчиков требования по безопасной разработке могут быть включены в техническое задание. Аналогичный подход уже закреплен в приказе ФСТЭК № 239 для значимых объектов КИИ.

Импортозамещение: окно возможностей стремительно закрывается

С 1 января 2026 года использование иностранного программного обеспечения и средств защиты информации (СЗИ) на объектах критической инфраструктуры становится невозможным в силу требований Указа Президента РФ № 250. Под ограничения фактически подпадают все классы СЗИ — от антивирусов и межсетевых экранов до криптографических средств и систем обнаружения вторжений.

Нормативный вектор очевиден: в защищаемых сегментах должны применяться российские решения, включенные в Единый реестр российского ПО Минцифры России и сертифицированные ФСТЭК или ФСБ. Формально сохраняется некоторая свобода выбора, но на практике альтернативы допустимы лишь при наличии объективных технических или финансовых ограничений.

Риски и ответственность

Несоблюдение требований влечет за собой не только регуляторные, но и финансовые риски. С 2026 года использование иностранного ПО в объектах критической информационной инфраструктуры может привести к блокировке систем защиты и штрафам до 500 000 рублей. Дополнительно Минцифры разрабатывает законопроект о введении оборотных штрафов для компаний, которые до 2028 года не классифицируют значимые объекты КИИ и не перейдут на российское ПО.

Что стоит сделать уже сейчас

В условиях приближающихся изменений ИБ-подразделениям целесообразно сосредоточиться на следующих практических шагах:

  • провести аудит информационной безопасности;
  • пересчитать показатели защищенности;
  • разработать или актуализировать политики и внутренние регламенты;
  • запланировать мероприятия и заложить бюджет на реализацию критичных требований.

Особое внимание стоит уделить работе с подрядчиками — минимальные требования по защите информации должны быть зафиксированы не только в договорах и SLA, но и во внутренних стандартах и политике защиты информации. В противном случае именно подрядная цепочка может стать самым уязвимым элементом системы безопасности.

Softline
Автор: Softline
Softline – лидирующий глобальный поставщик IT-решений и сервисов, работающий на рынках Восточной Европы, Америки и Азии.
Комментарии: