Приказ № 117

1.1 Область применения

Требования Приказа ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее – Требования) применяются для обеспечения защиты (некриптографическими методами) информации, предотвращения несанкционированного доступа к информации, специальных воздействий на информацию в целях ее добывания, уничтожения, искажения, блокирования доступа к информации.

Оператор (обладатель информации) должен обеспечивать защиту информации в соответствии с Требованиями на всех стадиях (этапах) обработки и хранения информации, создания и развития (модернизации), эксплуатации и вывода из эксплуатации информационных систем (далее – ИС) в рамках функций, выполняемых ими.

Самое главное:

а) реализация настоящих Требований обязательна не только для государственных информационных систем (далее – ГИС), а для всех ИС государственных органов, государственных унитарных предприятий, государственных учреждений;

б) в муниципальных информационных системах защита информации обеспечивается в соответствии с Требованиями, если иное не установлено законодательством Российской Федерации;

в) аттестаты соответствия на ГИС и иные ИС, выданные до 01 марта 2026 г., считаются действительными;

г) для реализации мер информационной безопасности для всех ИС организации должны использоваться сертифицированные средства защиты (ранее требование касалось только ГИС).

1.2 Условия и ограничения

Требования не распространяются на следующие категории ИС:

• ИС Администрации Президента РФ;
• ИС аппарата Совета Безопасности РФ;
• ИС Федерального Собрания РФ;
• ИС Аппарата Правительства РФ;
• ИС Конституционного Суда РФ;
• ИС Верховного Суда РФ;
• ИС органов, осуществляющих разведывательную и контрразведывательную деятельность;
• ИС, обеспечивающих управление вооружением, военной и специальной техникой.

При обработке и хранении в ИС информации, содержащей сведения, составляющие государственную тайну, ее защита должна обеспечиваться в соответствии с Указом Президента РФ от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» (Положение о Федеральной службе по техническому и экспортному контролю).

При обработке в ИС информации, содержащей персональные данные, должны применяться требования к защите персональных данных при их обработке в ИС в соответствии Постановлению Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,.

В отличие от Приказа ФСТЭК №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», в настоящих Требованиях нет нормы, которая бы приравнивала класс защищенности ИС к определенному уровню защищенности персональных данных (далее – ПДн). Комплексы требований дополняют друг друга.

В случае если ИС является значимым объектом критической информационной инфраструктуры РФ, защита содержащейся в ней информации должна обеспечиваться в соответствии с нормативными правовыми актами, принятыми на основании статьи 6 Федерального закона от 26 июля 2017 г. ФЗ № 187 «О безопасности критической информационной инфраструктуры Российской Федерации».

В случае использования для защиты информации, содержащейся в ИС, шифровальных (криптографических) средств защиты информации должны применяться требования о защите информации, установленные ФСБ России в соответствии со статьей 16 Федерального закона от 27 июля 2006 г. ФЗ № 149 «Об информации, информационных технологиях и о защите информации».

Порядок мониторинга информационной безопасности ИС должен осуществляется в соответствии с национальным стандартом Российской Федерации от 27 июля 2021 г. ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие положения».

Порядок разработки безопасного программного обеспечения, в случае его самостоятельной разработки оператором (обладателем информации), должен осуществляться в соответствии с национальным стандартом Российской Федерации от 24 октября 2024 г. ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

1.3 Используемые термины

Информационная безопасность – состояние защищенности активов Компании, используемых для обеспечения потребностей бизнес-процессов и в интересах развития Компании, характеризующееся сохранением свойств конфиденциальности, целостности и доступности информации, систем ее обработки и поддерживающей инфраструктуры.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Инцидент информационной безопасности – единичное событие или ряд нежелательных и непредвиденных событий информационной безопасности, реализующих какую-либо угрозу информационной безопасности.

Искусственный интеллект – комплекс технологических решений, позволяющий имитировать когнитивные функции человека (включая самообучение и поиск решений без заранее заданного алгоритма) и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека.

Обладатель информации – лицо, самостоятельно создавшее информацию, либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе и по обработке информации, содержащейся в ее базах данных.

Средство защиты информации – техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Строгая аутентификация – аутентификация с применением только метода многофакторной взаимной аутентификации и использованием криптографических протоколов аутентификации.

Угроза информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Удаленный доступ – логический доступ работников организаций, реализуемый из-за пределов вычислительных сетей организаций.

Уязвимость – недостаток (слабость) в программном обеспечении, программно-техническом средстве или информационной системе в целом, который может быть использован для реализации угроз безопасности информации.

2. Организационные требования

2.1 Разработка и утверждение политики защиты информации

Оператор (обладатель информации) обязан разработать и утвердить Политику защиты информации, (далее – Политика). При разработке Политики должны учитываться все ИС оператора (обладателя информации), а также ИТИ в случае функционирования ИС на базе ИТИ.

Политика должна включать семь обязательных разделов:

• область действия политики (перечень информации, ИС, компонентов
  ИТ-инфраструктуры);
• цели и задачи защиты информации;
• принципы защиты информации;
• перечни объектов защиты, включая программные, программно-аппаратные средства, ИС, сети и подсети, образующие ИТ-инфраструктуру;
• категории лиц, участвующих в защите информации, их обязанности (функции) и полномочия;
• состав организационной системы управления деятельностью по защите информации и схему взаимодействия ее элементов;
• ответственность работников за нарушение требований о защите информации и установленных оператором (обладателем информации) правил обработки информации.

Политика утверждается руководителем оператора (обладателя информации) или ответственным лицом, назначенным оператором (владельцем информации) и обязательна для исполнения всеми подразделениями оператора (владельца информации) в части их касающейся.

В случае допуска подрядных организаций к ИС и (или) содержащейся в них информации для оказания услуг и проведения различных работ оператор (владелец информации) обязан:

• ознакомить с Политикой в соответствующей части;
• включить в договор (или иной документ) обязанность подрядной организации соблюдать положения Политики.

2.2 Определение лиц, ответственных за защиту информации

Защиту информации должен организовывать руководитель оператора (обладателя информации) или по его решению ответственное лицо, обязанности и полномочия которого должны быть подробно прописаны в должностной инструкции (трудовых функциях).

Руководитель оператора (обладателя информации), ответственное лицо должны создать структурное подразделение по защите информации или назначить отдельных специалистов, на которых возлагаются соответствующие функции, при этом:

• функции и полномочия структурного подразделения должны быть определены в положении о структурном подразделении или ином документе в соответствии с Постановлением Правительства РФ от 15 июля 2022 г. № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)»;
• не менее 30% работников подразделения по защите информации должны иметь профильное образование в сфере ИБ или пройти профессиональную переподготовку по этому направлению;
• структурное подразделение (специалисты) по защите информации должно (должны) обеспечивать защиту информации во взаимодействии с подразделениями (работниками), использующими ИС, и подразделениями (работниками), обеспечивающими эксплуатацию ИС;
• структурным подразделением (специалистами) по защите информации должны применяться программные, программно-аппаратные средства, позволяющие обеспечить выполнение возложенных на них обязанностей (функций) по защите информации;

Важно: для проведения мероприятий и принятия мер по защите информации оператором (обладателем информации) могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

2.3 Организационно-распорядительная документация

2.3.1 Внутренние документы

Требования вводят четкую иерархию внутренних документов (Рисунок 1).

Рисунок 1 – Иерархия внутренних документов в Требованиях

Требования к Политике отражены в п. 2.1.

Следующими уровнями в иерархии документов являются разработанные и утвержденные внутренние стандарты и регламенты по защите информации (далее – стандарты и регламенты).

Внутренние стандарты по защите информации, устанавливающие требования к реализации мер по защите информации применительно к особенностям деятельности оператора (обладателя информации) и функционирования ИС, которые должны содержать:

• требования к первичной идентификации лиц, обладающих правами доступа к информационным системам и (или) содержащейся в них информации и их использованию (далее – пользователи);
• требования к применяемым моделям доступа пользователей;
• перечень разрешенного и (или) запрещенного для использования программного обеспечения;
• требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств;
• требования к конфигурациям и настройкам программных, программно-аппаратных средств, предназначенных для обеспечения доступа пользователей из информационных систем к информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет»);
• требования к конфигурациям и настройкам программных, программно-аппаратных средств, предназначенных для обеспечения удаленного доступа пользователей к информационным системам и содержащейся в них информации, включая требования к обеспечению безопасной дистанционной работы;
• ограничения и запреты действий для пользователей при использовании и обеспечении эксплуатации ими информационных систем;
• требования к защите физических и виртуальных устройств информационных систем, имеющих постоянный доступ к сети «Интернет» (далее – конечные устройства);
• требования к защите мобильных устройств, планшетных, переносных компьютеров, применяемых пользователями для доступа к информационным системам (за исключением мобильных устройств, предназначенных для доступа к сайтам сети «Интернет» и иным публичным веб-ресурсам) (далее – мобильные устройства);
• требования к непрерывности функционирования информационных систем;
• требования к резервному копированию информации, программного обеспечения и его конфигураций;
• требования к сбору, регистрации и анализу событий, связанных с возможным нарушением безопасности информации, нарушением функционирования информационных систем, реализацией угроз безопасности информации (далее – события безопасности);
• требования к защите информации при подключении к информационным системам иных информационных систем, включая требования к каналам передачи данных при взаимодействии с такими информационными системами.

Внутренние регламенты по защите информации, содержащие порядок проведения мероприятий или описание реализуемых процессов по защите информации применительно к особенностям деятельности оператора (обладателя информации) и функционирования информационных систем.

Регламенты по защите информации в обязательном порядке должны содержать:

• порядок создания, учета, изменения и блокирования, контроля, удаления учетных записей;
• порядок создания, учета, изменения и блокирования, контроля, удаления привилегированных учетных записей;
• порядок создания, изменения, блокирования, контроля, удаления аутентификационной информации и средств аутентификации;
• порядок предоставления пользователям удаленного доступа к информационным системам и содержащейся в них информации;
• порядок и условия предоставления работникам подрядных организаций доступа к информационным системам, содержащейся в них информации, и (или) передачи им информации, контроля за таким доступом, передачей в случае привлечения подрядных организаций;
• порядок предоставления работникам иных государственных органов, организаций доступа к информационным системам, содержащейся в них информации и (или) передачи им информации и контроля за такими доступом, передачей (в случае информационного взаимодействия с иными государственными органами, организациями);
• порядок предоставления пользователям доступа из информационных систем в сеть «Интернет» и контроля ее использования;
• порядок повышения уровня знаний и информированности пользователей по вопросам защиты информации;
• порядок выявления, оценки и устранения уязвимостей информационных систем, (далее – управление уязвимостями);
• порядок получения, оценки, тестирования и применения обновлений программных, программно-аппаратных средств (далее – управление обновлениями);
• порядок обработки, хранения и обращения с информацией ограниченного доступа;
• порядок обеспечения физической защиты информационных систем;
• порядок разработки безопасного программного обеспечения, в случае его самостоятельной разработки оператором (обладателем информации);
• порядок вывода в контур промышленной эксплуатации сервисов, доступ к которым осуществляется с использованием сети «Интернет», в случае наличия таких сервисов;
• порядок мониторинга информационной безопасности информационных систем;
• порядок восстановления штатного функционирования информационных систем и тестирования процессов восстановления;
• порядок контроля уровня защищенности информации, содержащейся в информационных системах.

Важно:

• внутренние стандарты и регламенты по защите информации доводятся до пользователей, а также подрядных организаций в части, их касающейся;
• внутренние стандарты и регламенты по защите информации подлежат исполнению пользователями в части, их касающейся.
• обязанность подрядной организации по выполнению внутренних стандартов и регламентов по защите информации должна быть определена в документах оператора (обладателя), на основании которых передается информация, предоставляется доступ к информационным системам оператора (обладателя информации) или содержащейся в них информации.

2.3.2 Акт классификации

В соответствии с Требованиями вносятся следующие изменения в критерии определения масштаба ИС:

• Федеральный масштаб присваивается ИС, если она предназначена для решения задач на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации;
• Региональный масштаб присваивается ИС, если она предназначена для решения задач в пределах одного субъекта Российской Федерации;
• Объектовый масштаб присваивается ИС, если она предназначена для решения задач в пределах объекта (объектов) одного государственного органа, муниципального образования или организации.

Аналогично изменению критериев масштаба вносится обязательное изменение в определение уровня значимости, (далее – УЗ), ИС.

В зависимости от УЗ информации, обрабатываемой в ИС, и масштаба ИС оператором (обладателем информации) устанавливаются три класса защищенности ИС:

• первый (К1) – самый высокий;
• второй (К2) – средний;
• третий (К3) – самый низкий.

Классы защищенности ИС, функционирующих на базе информационно-телекоммуникационной инфраструктуры (далее – ИТИ), не должны быть выше класса защищенности этой ИТИ.

Допускается присвоение отдельным сегментам ИС разных классов защищенности. В этом случае меры по защите информации сегментов ИС и содержащейся в них информации должны приниматься в соответствии с присвоенными им классами защищенности.

Результаты классификации оформляются Актом классификации, который утверждается оператором (обладателем информации).

При изменении масштаба ИС (сегментов ИС) или значимости содержащейся в ней информации (в сегментах ИС) класс защищенности ИС (сегментов ИС) подлежит пересмотру.

Важно:

• допускается оформление единого акта классификации на несколько сегментов ИС одного оператора (обладателя информации);
• для информации, которая отнесена к информации ограниченного распространения и для носителей которой установлена ограничительная пометка «для служебного пользования», должен быть установлен УЗ 1.

2.3.3 Модель угроз

В случае, если ГИС создается на основании Постановления Правительства РФ от 7 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» оператор (владелец информации) ГИС должен разработать модель угроз безопасности информации для ГИС в соответствии с Методическим документом ФСТЭК от 5 февраля 2021 г. «Методика оценки угроз безопасности информации» и согласовать ее с ФСТЭК России и ФСБ России, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.

Важно: решение о необходимости разработки модели угроз безопасности информации в ходе создания негосударственных ИС принимается руководителем оператора (обладателя информации), ответственным лицом.

3. Управление деятельностью по защите информации

Требования вводят детализацию методов управления деятельностью, которые состоят из:

• разработки и планирования мероприятий и мер по защите информации;
• проведения мероприятий и принятия мер по защите информации;
• проведения оценки состояния защиты информации;
• совершенствования мероприятий и мер по защите информации.

3.1.1 Разработка и планирование мероприятий по защите информации

При разработке и планировании мероприятий и мер по защите информации должны быть:

• определены события в ИС, наступление которых может привести к нарушению целей защиты информации, установленных в политике защиты информации;
• определены ИС, программные, программно-аппаратные средства, несанкционированный доступ к которым и (или) воздействие на которые могут привести к нарушению целей защиты информации, установленных в политике защиты информации;
• выявлены и оценены угрозы безопасности информации, реализация (возникновение) которых может привести к нарушению целей защиты информации, установленных в политике защиты информации;
• определены состав и сроки проведения мероприятий и принятия мер по защите информации и оценены необходимые для этого ресурсы.

3.1.2 Проведение мероприятий и принятие мер по защите информации

Проводимые мероприятия и принимаемые меры по защите информации должны быть направлены на блокирование (нейтрализацию) актуальных для ИС угроз безопасности информации (далее – актуальные угрозы) в соответствии с целями защиты информации, определенными в политике защиты информации.

В зависимости от целей защиты информации мероприятия и меры по защите информации должны быть направлены на:

• исключение утечки информации ограниченного доступа и иной конфиденциальной информации;
• предотвращение несанкционированного доступа к информационным системам и содержащейся в них информации, обнаружение фактов несанкционированного доступа и реагирование на них;
• предотвращение несанкционированной модификации информации, обнаружение фактов несанкционированной модификации и реагирование на них;
• предотвращение несанкционированной подмены информации, обнаружение фактов несанкционированной подмены и реагирование на них;
• предотвращение несанкционированного удаления информации и программного обеспечения, обнаружение фактов несанкционированного удаления и реагирование на них;
• исключение или существенное затруднение отказа в обслуживании авторизованным пользователям информационных систем;
• недопущение использования информационных систем и содержащейся в них информации не по назначению;
• исключение или существенное затруднение нарушения функционирования (работоспособности) информационных систем;
• недопущение распространения с использованием информационных систем противоправной информации;
• обеспечение возможности восстановления в установленные оператором (обладателем информации) сроки доступа авторизованных пользователей к информационным системам и содержащейся в них информации, заблокированной вследствие реализации (возникновения) угроз безопасности информации;
• обеспечение возможности восстановления в установленные оператором (обладателем информации) сроки информации, модифицированной или уничтоженной вследствие реализации (возникновения) угроз безопасности информации.

3.1.3 Оценка состояния защиты информации

Оценка состояния защиты информации должна проводиться на основе определения оператором (обладателем информации):

• показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации (далее – показатель защищенности Кзи);
• показателя, который определяет достаточность и эффективность проведения мероприятий по защите информации (далее – показатель уровня зрелости Пзи).

В случае несоответствия показателей нормированным значения в Методиках ФСТЭК, в течение трех календарных дней со дня завершения такой оценки информируется руководитель оператора (владелец информации) для принятия решения по совершенствованию показателей.

Важно:

• оценка показателя защищенности Кзи должна проводиться на основании Методического документа ФСТЭК от 11 ноября 2025 г. «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» не реже 1 (одного) раза в (шесть) месяцев;
• оценка показателя уровня зрелости Пзи, рассчитывается оператором не реже 1 (одного) раза в 2 (два) года. Методика оценки находится в разработке;
• результаты оценки показателей защищенности Кзи и Пзи оператор (владелец информации) обязан направить ФСТЭК в срок не позднее 5 (пяти) рабочих дней после 1 (одного) дня их расчета.

4. Мероприятия по защите информации

Для достижения целей защиты информации оператором (обладателем информации) должны проводиться следующие мероприятия:

• выявление и оценка угроз безопасности информации;
• контроль конфигураций ИС (в соответствии с п. 3 Положения об учете
  ИТ-активов, используемых для осуществления деятельности по цифровой трансформации системы государственного (муниципального) управления, утвержденного постановлением Правительства Российской Федерации от 1 июля 2024 г. № 900);
• управление уязвимостями (сроки устранения уязвимостей должны быть определены в соответствии с п. 5.2.18 национального стандарта Российской Федерации ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей», утвержденного и введенного в действие приказом Росстандарта от 19 августа 2015 г. № 1180-ст (М., ФГБУ «РСТ», 2021);
• управление обновлениями;
• обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа;
• обеспечение защиты информации при применении конечных устройств;
• обеспечение защиты информации при применении мобильных устройств;
• обеспечение защиты информации при удаленном доступе пользователей к ИС (в соответствии с Приказом ФСТЭК России от 16 февраля 2021 г. № 32);
• обеспечение защиты информации при беспроводном доступе пользователей к ИС;
• обеспечение защиты информации при предоставлении пользователям доступа к ИС, предусматривающего чтение, выполнение, изменение, запись, удаление программ и (или) данных в ИС (далее - привилегированный доступ);
• обеспечение мониторинга информационной безопасности (в соответствии с разделами 4 и 5 ГОСТ Р 59547-2021);
• обеспечение разработки безопасного ПО (в соответствии
  с ГОСТ Р 56939-2024);
• обеспечение физической защиты ИС;
• обеспечение непрерывности функционирования ИС при возникновении нештатных ситуаций;
• повышение уровня знаний и информированности пользователей по вопросам защиты информации;
• обеспечение защиты информации при взаимодействии с подрядными организациями;
• обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании (в соответствии с п. 5 Положения о Центре мониторинга и управления сетью связи общего пользования, утвержденного приказом Роскомнадзора от 31 июля 2019 г. № 225);
• обеспечение защиты информации при использовании искусственного интеллекта (в соответствии с Национальной стратегией развития искусственного интеллекта);
• реализация в ИС мер по их защите и защите содержащейся в них информации;
• проведение контроля уровня защищенности информации, содержащейся в ИС (указанный контроль должен осуществляться 1 (один) раз в 3 (три) года или при возникновении компьютерного инцидента. Сформированный по результатам контроля отчет должен быть направлен ФСТЭК России в течение 5 (пяти) рабочих дней);
• обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

5. Технические требования к подсистеме информационной безопасности

5.1 Меры информационной безопасности

В ИС должны быть реализованы следующие базовые меры защиты информационных систем и содержащейся в них информации:

• идентификация и аутентификация;
• управление доступом;
• регистрация событий безопасности;
• защита виртуализации и облачных вычислений;
• защита технологий контейнерных сред и их оркестрации;
• защита сервисов электронной почты;
• защита веб-технологий;
• защита программных интерфейсов взаимодействия приложений;
• защита конечных устройств;
• защита мобильных устройств;
• защита технологий интернета вещей (в соответствии с пп. «в» п. 4 Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы, утвержденной Указом Президента Российской Федерации от 9 мая 2017 г. № 203);
• защита точек беспроводного доступа;
• антивирусная защита;
• обнаружение и предотвращение вторжений на сетевом уровне;
• сегментация и межсетевое экранирование;
• защита от компьютерных атак, направленных на отказ в обслуживании;
• защита каналов передачи данных и сетевого взаимодействия.

Реализация мер информационной безопасности должна обеспечивать защиту от нарушителей со следующими уровнями возможностей:

• в информационных системах 3 класса защищенности – от нарушителей с базовым уровнем возможностей;
• в информационных системах 2 класса защищенности – от нарушителей с повышенным уровнем возможностей;
• в информационных системах 1 класса защищенности – от нарушителей с высоким уровнем возможностей.

Оператором (обладателем информации) может быть принято решение о применении мер защиты информационных систем и содержащейся в них информации от нарушителей с более высоким уровнем возможностей.

Важно:

• состав и содержание мер по защите информации будут определены в Методическом документе ФСТЭК «Мероприятия и меры защиты информации, содержащиеся в информационным системах». Документ находится на этапе разработки;
• уровни возможностей нарушителя напрямую влияют на цели реализации атак, негативные последствия и, как следствие, количество актуальных угроз информационной безопасности в соответствии с Банком данных угроз безопасности информации ФСТЭК России увеличивается.

5.2 Требования, предъявляемые к средствам защиты информации

Технические меры по защите информации должны приниматься на аппаратном, системном, прикладном уровнях, а также в ИТИ при ее наличии:

• на аппаратном и системном уровнях – применение встроенных в аппаратное обеспечение и системное программное обеспечение СЗИ;
• на прикладном и сетевом (инфраструктурном) уровнях – применение встроенных в прикладное программное обеспечение СЗИ и (или) применение наложенных и сетевых СЗИ.

Для защиты информации должны применяться сертифицированные ФСТЭК России и/или ФСБ России (в случае использования средств криптографической защиты информации) средства защиты информации

СЗИ должны применяться с соблюдением запретов, установленных в Указе Президента РФ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Минимально необходимый класс защиты и уровень доверия СЗИ определяется классом защищенности ИС:

• для ИС 1-го класса: не ниже 4-го класса защиты и уровня доверия;
• для ИС 2-го класса: не ниже 5-го класса защиты и уровня доверия;
• для ИС 3-го класса: 6-й класс защиты и уровня доверия.

5.3 Компенсирующие меры

При отсутствии возможности реализации отдельных мероприятий и (или) принятия мер по защите информации в соответствии с Требованиями оператором (обладателем информации) должны быть разработаны и внедрены компенсирующие меры, позволяющие обеспечить блокирование (нейтрализацию) актуальных угроз.

При этом оператором (обладателем информации) должно быть обосновано применение компенсирующих мер на этапе создания ИС, а при аттестации информационных систем – подтверждена их эффективность для блокирования (нейтрализации) актуальных угроз.