«Починить нельзя оставить» — 5 новых правил кибербезопасности от ФСТЭК для госорганов и заводов
NewsMakerФСТЭК утвердила правила цифровой гигиены для госслужащих и подрядчиков.
ФСТЭК России утвердила методический документ о составе и содержании мер по защите информации в информационных системах. Документ датирован 12 апреля 2026 года и касается общих подходов к защите данных в государственных информационных системах, АСУ ТП, сетях госорганов и на значимых объектах критической информационной инфраструктуры. На сайте службы ранее также публиковался проект документа с таким названием.
Новый документ адресован заказчикам, операторам систем, обладателям информации и ИТ-подрядчикам, которые участвуют в обработке данных и эксплуатации инфраструктуры. В центре внимания оказался переход от формального набора мер к постоянной работе с рисками. Моделирование актуальных угроз для персональных данных теперь рассматривается не как разовая процедура, а как непрерывный процесс.
Из описания документа следует, что при оценке рисков нужно учитывать цепочки поставок, обновления программного обеспечения и возможные закладки в зарубежном оборудовании. От операторов требуется не только перечислять угрозы, но и описывать поверхность атаки, а также тактики нарушителей. Отдельные требования предусмотрены для систем, где используются ИИ, виртуализация и контейнерные среды.
Заметная часть требований связана с архитектурой защиты. Сегментацию сети предлагается закладывать на этапе проектирования с учетом значимости данных, а принцип наименьших привилегий закрепляется как обязательный подход. Для снижения рисков, связанных с недекларированными возможностями и зависимостью от внешних поставщиков, приоритет отдается отечественным решениям.
Документ также детализирует меры для современных ИТ-стеков. Обновление программного обеспечения напрямую из интернета в режиме реального времени не допускается: сначала обновления должны попадать на локальный сервер, а затем проходить проверку в изолированной среде. Для платформ с оркестрацией контейнеров предусмотрены контроль целостности образов, изоляция контейнеров и регистрация событий внутри кластера.
Отдельно описан удаленный доступ. Использование RDP, Telnet и FTP без VPN для внешних подключений запрещается. Доступ извне должен строиться через многофакторную аутентификацию или сертификаты. Подключение личных устройств допускается только после проверки безопасности и в изолированной среде. Для публичных сервисов вводится обязательное применение WAF и контроль API по спецификациям, включая автоматическую блокировку запросов, которые не соответствуют схеме.
ФСТЭК России утвердила методический документ о составе и содержании мер по защите информации в информационных системах. Документ датирован 12 апреля 2026 года и касается общих подходов к защите данных в государственных информационных системах, АСУ ТП, сетях госорганов и на значимых объектах критической информационной инфраструктуры. На сайте службы ранее также публиковался проект документа с таким названием.
Новый документ адресован заказчикам, операторам систем, обладателям информации и ИТ-подрядчикам, которые участвуют в обработке данных и эксплуатации инфраструктуры. В центре внимания оказался переход от формального набора мер к постоянной работе с рисками. Моделирование актуальных угроз для персональных данных теперь рассматривается не как разовая процедура, а как непрерывный процесс.
Из описания документа следует, что при оценке рисков нужно учитывать цепочки поставок, обновления программного обеспечения и возможные закладки в зарубежном оборудовании. От операторов требуется не только перечислять угрозы, но и описывать поверхность атаки, а также тактики нарушителей. Отдельные требования предусмотрены для систем, где используются ИИ, виртуализация и контейнерные среды.
Заметная часть требований связана с архитектурой защиты. Сегментацию сети предлагается закладывать на этапе проектирования с учетом значимости данных, а принцип наименьших привилегий закрепляется как обязательный подход. Для снижения рисков, связанных с недекларированными возможностями и зависимостью от внешних поставщиков, приоритет отдается отечественным решениям.
Документ также детализирует меры для современных ИТ-стеков. Обновление программного обеспечения напрямую из интернета в режиме реального времени не допускается: сначала обновления должны попадать на локальный сервер, а затем проходить проверку в изолированной среде. Для платформ с оркестрацией контейнеров предусмотрены контроль целостности образов, изоляция контейнеров и регистрация событий внутри кластера.
Отдельно описан удаленный доступ. Использование RDP, Telnet и FTP без VPN для внешних подключений запрещается. Доступ извне должен строиться через многофакторную аутентификацию или сертификаты. Подключение личных устройств допускается только после проверки безопасности и в изолированной среде. Для публичных сервисов вводится обязательное применение WAF и контроль API по спецификациям, включая автоматическую блокировку запросов, которые не соответствуют схеме.