I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий методический документ "Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах" (далее - методический документ) разработан в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

1.2. Методический документ определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации, содержащейся в:

информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях (далее - информационные системы) государственных органов, государственных унитарных предприятий, государственных учреждений, организаций, в том числе субъектов критической информационной инфраструктуры (далее - органы (организации));

используемых для создания и эксплуатации государственных информационных систем, иных информационных систем государственных органов технических средствах, программах для электронных вычислительных машин и базах данных, доступ к которым предоставляется с использованием информационно-телекоммуникационных сетей, в порядке, установленном Правительством Российской Федерации;

информационно-телекоммуникационных инфраструктурах, выполняющих общие технологические функции и обеспечивающих основу функционирования указанных информационных систем, а также по обеспечению безопасности принадлежащих органам (организациям) значимых объектов критической информационной инфраструктуры.

1.3. Методический документ детализирует мероприятия (процессы), которые подлежат реализации в органе (организации) для достижения целей защиты информации и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также определяет содержание мер по защите информации (обеспечению безопасности), принимаемых в информационных системах и на значимых объектах критической информационной инфраструктуры (далее - меры по защите информации) в соответствии с требованиями по защите информации (обеспечению безопасности) <1>.

--------------------------------

<1> Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11 апреля 2025 г. N 117.

Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. N 31.

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. N 239.

Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. N 31.

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21.

В методическом документе не рассматриваются содержание, правила выбора и реализации мер по защите информации, связанных с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Принятие таких мер защиты информации обеспечивается в соответствии с требованиями, установленными ФСБ России.

1.4. Методический документ предназначен для обладателей информации, заказчиков, заключивших государственный контракт на создание информационных систем (далее - заказчики), операторов информационных систем (далее - операторы), а также организаций, которым на основании договора или иного документа передается информация, предоставляется доступ к информационным системам оператора (обладателя информации) и (или) содержащейся в них информации для оказания услуг, проведения работ по обработке, хранению информации, созданию (развитию), обеспечению эксплуатации информационных систем, а также для выполнения работ, оказания услуг по защите информации (далее - подрядные организации).

1.5. Настоящий методический документ применяется в ходе:

организации в органе (организации) деятельности по защите информации, создания системы защиты информации органа (организации) и управления ею;

создания информационных систем, эксплуатации таких информационных систем и поддержания необходимого уровня защищенности;

оценки эффективности деятельности по защите информации и управления системой защиты информации органа (организации);

аттестации информационных систем на соответствие требованиям по защите информации (обеспечению безопасности), проведения иных форм оценки соответствия информационных систем требованиям по защите информации и достаточности принимаемых мер по защите информации (обеспечению безопасности).

1.6. Для целей настоящего методического документа используются термины и определения, установленные национальными стандартами в области защиты информации и обеспечения информационной безопасности, а также термины и определения, приведенные в приложении N 1 к настоящему методическому документу.

1.7. В связи с утверждением настоящего методического документа не применяются положения методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11 февраля 2014 г.