к методическому документу
Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся архитектура, структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
Определение класса защищенности информационной системы проводится в соответствии с приложением к Требованиям о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденным приказом ФСТЭК России от 11 апреля 2025 г. N 117.
Устанавливаются три класса защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый.
При обработке в информационной системе информации, содержащей персональные данные, реализуемые в соответствии с пунктом 63 Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11 апреля 2025 г. N 117, меры защиты информации:
для информационной системы 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности персональных данных <12>;
--------------------------------
<12> Устанавливается в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
для информационной системы 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности персональных данных;
для информационной системы 3 класса защищенности обеспечивают 3 и 4 уровни защищенности персональных данных.
В случае если информационная система является значимым объектом критической информационной инфраструктуры Российской Федерации, реализуемые в соответствии с пунктом 63 Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11 апреля 2025 г. N 117, меры защиты информации:
для информационной системы 1 класса защищенности обеспечивают I, II и III категории значимости объектов критической информационной инфраструктуры <13>;
--------------------------------
<13> Устанавливается в соответствии с Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127.
для информационной системы 2 класса защищенности обеспечивают II и III категории значимости объектов критической информационной инфраструктуры;
для информационной системы 3 класса защищенности обеспечивают III категорию значимости объектов критической информационной инфраструктуры.
Выбор мер защиты информации для их реализации в информационной системе включает:
реализацию базовых мер защиты информационных систем и содержащейся в них информации соответствующих классов защищенности, устанавливаемых оператором (обладателем информации);
адаптацию базовых мер защиты информационных систем и содержащейся в них информации применительно к архитектуре информационных систем, применяемым информационным технологиям, особенностям функционирования информационных систем;
верификацию адаптированных базовых мер защиты информационных систем и содержащейся в них информации в соответствии с актуальными угрозами и возможностями нарушителей, их дополнение и (или) усиление.
Определение базовых мер защиты информации для установленного класса защищенности информационной системы является первым шагом в выборе мер защиты информации, подлежащих реализации в информационной системе. Определение базового набора мер защиты информации основывается на классе защищенности информационной системы. В соответствии с настоящим методическим документом в качестве начального выбирается один из трех базовых наборов мер защиты информации, соответствующий установленному классу. Меры защиты информации, обозначенные знаком "+" в приложении N 2 к настоящему методическому документу, включены в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы. Меры защиты информации, не обозначенные знаком "+", к базовому набору мер не относятся, и могут применяться при последующих действиях по адаптации и верификации мер защиты информации, а также разработке компенсирующих мер защиты информации.
Базовые меры защиты информации, выбранные в соответствии с классом защищенности информационной системы, подлежат адаптации применительно к структурно-функциональным характеристикам и особенностям функционирования информационной системы, уточнению в зависимости от угроз безопасности информации и при необходимости дополнению мерами защиты информации, включенными в иные нормативные правовые акты, нормативные и методические документы по защите информации.
При адаптации базового набора мер защиты информации учитываются:
применяемые информационные технологии и структурно-функциональные характеристики информационной системы;
цели и задачи защиты информации в информационной системе;
перечень проводимых оператором мероприятий по защите информации.
Адаптация базового набора мер защиты информации, как правило, предусматривает исключение мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе.
Верификация адаптированных базовых мер защиты информации проводится с учетом результатов оценки возможности адаптированного базового набора мер защиты информации блокировать угрозы безопасности информации, включенные в модель угроз безопасности информации, или снизить вероятность их реализации исходя из условий функционирования информационной системы.
Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и возможности нарушителей, включенные в модель угроз безопасности информации.
При верификации адаптированных мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы. В случае если адаптированный базовый набор мер защиты информации не обеспечивает блокирование угроз безопасности информации, в него дополнительно включаются меры защиты информации, приведенные в разделе 4 настоящего методического документа.
В подразделах "Требования к реализации" для каждой меры, приведенной в разделе 4 настоящего методического документа, указано требование к тому, каким образом и в каком объеме должна быть реализована каждая мера защиты информации. Требования к реализации мер защиты информации являются минимальными требованиями, выполнение которых должно быть обеспечено в информационной системе соответствующего класса защищенности в случае, если эта мера выбрана для реализации в качестве верифицированной адаптированной базовой меры защиты информации.
В зависимости от класса защищенности информационной системы минимальные требования к реализации верифицированной адаптированной базовой меры защиты информации подлежат усилению для повышения уровня защищенности информации. Все возможные усиления мер защиты информации приведены в подразделах "Требования к усилению" раздела 4 настоящего методического документа для каждой меры защиты информации. Усиления мер защиты информации применяются дополнительно к требованиям по реализации мер защиты информации, приведенным в подразделах "Требования к реализации".
Итоговое содержание каждой верифицированной адаптированной базовой меры защиты информации, которое, как минимум, должно быть реализовано в информационной системе, приведено в таблице подраздела "Реализация в информационной системе".
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875