Безопасность
15 апреля 2026 г.
ФСТЭК России переписала требования к защите данных в госсистемах и критической инфраструктуре
ФСТЭК России 12 апреля 2026 года утвердила методический документ о составе и содержании мер по защите данных в информационных системах. Документ меняет сам подход к защите — теперь она должна закладываться не после запуска системы, а ещё на этапах проектирования, эксплуатации и обновлений. Под новые правила попадают госсистемы, АСУ ТП, сети госорганов и значимые объекты критической информационной инфраструктуры.
Документ адресован заказчикам, операторам, правообладателям данных и ИТ-подрядчикам, которые работают с обработкой информации и поддержкой инфраструктуры. Одна из главных перемен касается моделирования актуальных угроз для персональных данных.
Раньше это делали один раз и забывали, теперь это постоянная работа. Нужно учитывать риски из цепочек поставок, риски от обновлений софта и возможных скрытых механизмов в зарубежном оборудовании. Простого перечня угроз больше недостаточно, требуется описывать поверхность атаки и тактики нарушителей. Для искусственного интеллекта, виртуальных сред и контейнерных платформ зафиксированы отдельные правила.
Архитектурный уровень выведен в приоритет. Проектирование должно сразу предусматривать жёсткое деление сети на сегменты по значимости данных. Российским решениям отдан явный приоритет, чтобы снизить зависимость от внешних компонентов. Принцип минимальных привилегий закреплён как обязательная часть конструкции, а не как рекомендация.
Прикладные требования к современному стеку тоже прописаны конкретно. Обновления напрямую из интернета в реальном времени не допускаются, вместо этого нужен локальный сервер и проверка патчей в тестовой среде до установки.
Для оркестрации потребуется контроль целостности образов, изоляция контейнеров и фиксация событий внутри кластера. Внешний удалённый доступ через RDP, Telnet и FTP без VPN фактически закрыт, доступ извне допускается только с MFA или сертификатами.
Личные устройства можно подключать лишь после проверки и только в изолированном контуре. Для публичных сервисов обязательны WAF и контроль API по схеме запроса с автоматической блокировкой отклонений.
Автор: Артем Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.