Система регулирования ФСТЭК России: Полный гид по требованиям, лицензированию и защите информации

Важно сразу уточнить: единого программного продукта под названием «Система ФСТЭК» не существует. Под этим термином подразумевается комплекс нормативных правовых актов, требований и контрольных мер, установленных Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

В этом материале мы разберем, как работает регуляторная система ФСТЭК, какие приказы актуальны в 2026 году, кто обязан их исполнять и как получить необходимые лицензии.

---

1. Правовой фундамент: На чем стоит система ФСТЭК

Регулирование безопасности информации в Российской Федерации строится на нескольких ключевых федеральных законах. Именно они наделяют ФСТЭК полномочиями устанавливать требования и осуществлять контроль.

• 149-ФЗ «Об информации, информационных технологиях и о защите информации» [текст закона]. Базовый закон, определяющий принципы защиты информации. Статья 16 обязывает операторов информационных систем принимать меры по защите информации.
• 152-ФЗ «О персональных данных» [текст закона]. Регулирует обработку ПДн. Статья 19 обязывает оператора обеспечивать безопасность персональных данных.
• 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)» [текст закона]. Обязателен для субъектов КИИ (здравоохранение, транспорт, энергетика, банки и др.). Требует категорирования объектов и выполнения особых требований по защите.
• 99-ФЗ «О лицензировании отдельных видов деятельности» [текст закона]. Определяет, какие работы в области защиты информации подлежат лицензированию (например, техническая защита конфиденциальной информации, разработка средств защиты).

---

2. Ключевые приказы ФСТЭК: Требования к разным типам систем

«Система ФСТЭК» реализуется через конкретные ведомственные приказы. Выбор конкретного документа зависит от типа вашей информационной системы (ИС).

Для государственных информационных систем (ГИС)

• Приказ ФСТЭК России от 11.04.2025 № 117[текст приказа].
  • Статус: Действующий (введен в 2025 году).
  • Суть: Утверждает новые Требования о защите информации в ГИС, иных информационных системах государственных органов, ГУП и госучреждений.
  • Особенности: Вводит классы защищенности (К1, К2, К3) в зависимости от уровня значимости информации и масштаба системы. Вводит показатели защищенности (Кзи) и уровня зрелости (Пзи), которые необходимо рассчитывать и направлять в ФСТЭК.
  • Для кого: Операторы ГИС, государственные органы, ГУП, госучреждения.
• Приказ ФСТЭК России от 11.02.2013 № 17[текст приказа].
  • Статус: Применяется в части, не противоречащей новым актам, или для систем, созданных до вступления в силу № 117 (в зависимости от переходных положений).
  • Суть: Требования к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.

Для персональных данных (ПДн)

• Приказ ФСТЭК России от 18.02.2013 № 21[текст приказа].
  • Суть: Устанавливает состав и содержание организационных и технических мер защиты ПДн.
  • Уровни защищенности: 1, 2, 3, 4 (в зависимости от типа данных, объема субъектов и актуальных угроз).
  • Меры: Включают идентификацию, управление доступом, антивирусную защиту, регистрацию событий и др.
• Постановление Правительства РФ от 01.11.2012 № 1119 [текст постановления] — устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных.

Для Критической Информационной Инфраструктуры (КИИ)

• Приказ ФСТЭК России от 25.12.2017 № 239[текст приказа].
  • Суть: Требования по обеспечению безопасности значимых объектов КИИ.
  • Категории: 1, 2, 3 категория значимости.
  • Меры: Базовые наборы мер защиты, защита от DoS/DDoS-атак, взаимодействие с ГосСОПКА.

Для Автоматизированных Систем Управления (АСУ ТП)

• Приказ ФСТЭК России от 14.03.2014 № 31[текст приказа].
  • Суть: Требования к защите информации в АСУ на критически важных и потенциально опасных объектах.
  • Классы защищенности: К1, К2, К3 (в зависимости от уровня значимости информации и последствий нарушения функционирования).
  • Особенность: Приоритет доступности и целостности над конфиденциальностью, учет специфики промышленного оборудования.

---

3. Лицензирование и сертификация: Входной билет на рынок

Деятельность в сфере защиты информации строго лицензируется. Согласно Постановлению Правительства РФ от 03.02.2012 № 79 [текст] и Постановлению от 03.03.2012 № 171 [текст], а также 99-ФЗ, следующие виды деятельности требуют лицензии ФСТЭК:

1. Деятельность по технической защите конфиденциальной информации (лицензия по Постановлению № 79).
   • Включает: контроль защищенности от утечек по техническим каналам, от НСД, мониторинг ИБ, аттестационные испытания, проектирование в защищенном исполнении, установку и ремонт средств защиты.
   • Требования: Наличие квалифицированного персонала (руководитель + инженеры со стажем и профильным образованием), помещений, оборудования и аттестованных систем.
2. Разработка и производство средств защиты конфиденциальной информации (лицензия по Постановлению № 171).
   • Включает: создание технических, программных и программно-аппаратных средств защиты.
   • Запрет: Деятельность иностранных юридических лиц не допускается.

Сертификация средств защиты информации (СЗИ) регулируется Постановлением Правительства РФ от 26.06.1995 № 608 [текст].

• Средства защиты информации, используемые для защиты конфиденциальной информации и в государственных системах, должны проходить оценку соответствия (сертификацию или аттестацию).
• Для ГИС и КИИ часто требуется использование сертифицированных средств защиты информации определенных классов защиты и уровней доверия.
• Порядок проведения сертификации утвержден приказом ФСТЭК России от 1 декабря 2023 г. N 240 [текст].

---

4. Как построить систему защиты по требованиям ФСТЭК: Алгоритм

Независимо от типа системы (ГИС, ПДн, КИИ), процесс приведения в соответствие с требованиями ФСТЭК выглядит следующим образом:

1. Классификация системы.
   • Определение класса защищенности (например, по Приказу № 117 для ГИС или № 21 для ПДн).
   • Оценка уровня значимости информации и масштаба системы.
2. Моделирование угроз.
   • Выявление актуальных угроз безопасности информации на основе Банка данных угроз ФСТЭК России.
   • Использование методических документов:
     • «Методика определения актуальных угроз безопасности персональных данных»
     • «Базовая модель угроз безопасности персональных данных»
     • «Методика оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021)
   • Определение потенциала нарушителя.
3. Выбор мер защиты.
   • Формирование базового набора мер согласно соответствующему приказу.
   • Адаптация мер под специфику системы.
   • Разработка компенсирующих мер, если некоторые требования невозможно выполнить технически.
   • При выборе СЗИ рекомендуется руководствоваться профильными методическими документами ФСТЭК:
     • Профили защиты межсетевых экранов
     • Профили защиты операционных систем типов Б и В
     • Профили защиты средств антивирусной защиты
     • Профили защиты систем обнаружения вторжений
4. Внедрение и настройка.
   • Установка средств защиты информации (СЗИ).
   • Разработка организационно-распорядительной документации (политики, регламенты, инструкции).
5. Контроль и оценка.
   • Для ГИС (по Приказу № 117): Расчет показателей Кзи (не реже 1 раза в 6 месяцев) и Пзи (не реже 1 раза в 2 года).
   • Для КИИ: Категорирование и предоставление сведений в ФСТЭК.
   • Для ПДн: Оценка эффективности мер (не реже 1 раза в 3 года).
6. Аттестация (при необходимости).
   • Проведение аттестационных испытаний и получение аттестата соответствия (обязательно для ГИС до ввода в эксплуатацию, рекомендуется для других систем).
   • Положение по аттестации объектов информатизации

---

5. Новое в 2025–2026 годах: Приказ № 117

Особое внимание в текущий период следует уделить Приказу ФСТЭК России от 11.04.2025 № 117 [текст]. Этот документ актуализирует требования для государственного сектора.

Ключевые изменения:

• Введены метрики эффективности: Показатель защищенности (Кзи) и Показатель уровня зрелости (Пзи).
• Ужесточены требования к управлению уязвимостями (устранение критических уязвимостей в течение 24 часов).
• Введены требования к защите при использовании искусственного интеллекта.
• Обязательное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) — основа регулирования заложена в Указе Президента РФ от 05.12.2016 № 646.
• Требования к размещению средств защиты от DoS/DDoS-атак на территории РФ.

Актуальные информационные сообщения ФСТЭК:

• Информационное сообщение ФСТЭК России от 14 апреля 2026 г. N 240/22/2457
• Информационное сообщение ФСТЭК России от 28 марта 2025 г. N 240/13/1729
• Информационное сообщение ФСТЭК России от 26 апреля 2024 г. N 240/24/1958

---

6. Ответственность за несоблюдение

Нарушение требований системы регулирования ФСТЭК влечет за собой ответственность согласно законодательству РФ:

• Административная: Штрафы по КоАП РФ (например, ст. 13.11 за нарушения в сфере ПДн, ст. 13.12 за нарушение требований по защите информации).
• Приостановление деятельности: В рамках лицензионного контроля при выявлении грубых нарушений лицензионных требований.
• Уголовная: В случае тяжких последствий нарушения правил эксплуатации средств хранения, обработки или передачи информации (ст. 274 УК РФ).

Контролирующие органы:

• ФСТЭК России — основной регулятор в области технической защиты информации: официальный сайт
• Роскомнадзор — надзор за обработкой персональных данных: сайт ведомства
• Реестр операторов, осуществляющих обработку персональных данных

---

7. Дополнительные ресурсы и стандарты

Для глубокой проработки требований рекомендуется ознакомиться со следующими документами:

ГОСТы и стандарты:

• ГОСТ Р 56939-2024 «Защита информации. Защита от несанкционированного доступа к информации»
• ГОСТ Р 56939-2016 (предыдущая редакция)
• ГОСТ Р 59547-2021 «Защита информации. Термины и определения»
• ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении»

Методические документы ФСТЭК:

• Состав и содержание мероприятий и мер по защите информации
• Меры защиты информации в государственных информационных системах
• СТР-К: Специальные требования и рекомендации по технической защите конфиденциальной информации

Порядок получения документов ФСТЭК:

• Порядок обеспечения государственных органов, органов местного самоуправления и организаций документами ФСТЭК России

---

Заключение

«Система ФСТЭК» — это динамичный комплекс требований, который постоянно обновляется. В 2026 году ключевыми документами остаются законы 152-ФЗ и 187-ФЗ, а также приказы ФСТЭК № 21, № 239, № 31 и новый Приказ № 117.

Для бизнеса и государственных организаций важно не просто формально выполнить требования, а выстроить процесс управления информационной безопасностью, включающий регулярный мониторинг угроз, управление уязвимостями и контроль эффективности принятых мер. Лицензирование деятельности по технической защите информации остается обязательным барьером для входа на рынок профессиональных услуг в области ИБ.