15.04.2026 11:32
🏛️ ФСТЭК России 12.
🏛️ ФСТЭК России 12.04.2026 года утвердила методический документ: Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах
🛡️Документ определяет общие подходы и детальное содержание мер по защите информации в госсистемах (ГИС), АСУ ТП, сетях госорганов и на значимых объектах КИИ.
👥 Документ предназначен для заказчиков, операторов систем, обладателей информации и ИТ-подрядчиков, которые занимаются обработкой данных или эксплуатацией систем.
🎯 Моделирование актуальных угроз безопасности ПД теперь не разовая процедура, а непрерывный процесс:
🔸Обязателен учет рисков, связанных с цепочками поставок, обновлением ПО и закладками в зарубежном оборудовании.
🔸Нужно не просто перечислить угрозы, а описать поверхность атаки и тактики злоумышленников.
🔸Если используете ИИ, виртуализацию или контейнеры — для них теперь отдельные требования по моделированию угроз.
🏗 Защита должна закладываться на уровне архитектуры, а не накладываться сверху:
🔸Проектирование должно предусматривать жесткое разбиение сети на сегменты в зависимости от значимости данных.
🔸Приоритет отечественным решениям для снижения рисков «закладок».
🔸Принцип наименьших привилегий закреплен жестко.
🛠 Документ вводит конкретные меры защиты для современных стеков:
🔸Запрещено обновляться напрямую из интернета в realtime. Нужен локальный сервер обновлений + тестирование патчей в «песочнице» перед накаткой.
🔸Если используете «оркестрацию», готовьтесь внедрять контроль целостности образов, изоляцию контейнеров и регистрацию событий внутри кластера.
🔸RDP, Telnet, FTP без VPN наружу — под строгим запретом. Удаленный доступ — только через многофакторную аутентификацию (MFA) или сертификаты. Личные устройства (BYOD) можно пускать только после проверки безопасности и в изолированную среду.
🔸Для публичных сервисов обязателен WAF и контроль спецификаций API (автоблок запросов, не соответствующих схеме).
👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК
🛡️Документ определяет общие подходы и детальное содержание мер по защите информации в госсистемах (ГИС), АСУ ТП, сетях госорганов и на значимых объектах КИИ.
👥 Документ предназначен для заказчиков, операторов систем, обладателей информации и ИТ-подрядчиков, которые занимаются обработкой данных или эксплуатацией систем.
🎯 Моделирование актуальных угроз безопасности ПД теперь не разовая процедура, а непрерывный процесс:
🔸Обязателен учет рисков, связанных с цепочками поставок, обновлением ПО и закладками в зарубежном оборудовании.
🔸Нужно не просто перечислить угрозы, а описать поверхность атаки и тактики злоумышленников.
🔸Если используете ИИ, виртуализацию или контейнеры — для них теперь отдельные требования по моделированию угроз.
🏗 Защита должна закладываться на уровне архитектуры, а не накладываться сверху:
🔸Проектирование должно предусматривать жесткое разбиение сети на сегменты в зависимости от значимости данных.
🔸Приоритет отечественным решениям для снижения рисков «закладок».
🔸Принцип наименьших привилегий закреплен жестко.
🛠 Документ вводит конкретные меры защиты для современных стеков:
🔸Запрещено обновляться напрямую из интернета в realtime. Нужен локальный сервер обновлений + тестирование патчей в «песочнице» перед накаткой.
🔸Если используете «оркестрацию», готовьтесь внедрять контроль целостности образов, изоляцию контейнеров и регистрацию событий внутри кластера.
🔸RDP, Telnet, FTP без VPN наружу — под строгим запретом. Удаленный доступ — только через многофакторную аутентификацию (MFA) или сертификаты. Личные устройства (BYOD) можно пускать только после проверки безопасности и в изолированную среду.
🔸Для публичных сервисов обязателен WAF и контроль спецификаций API (автоблок запросов, не соответствующих схеме).
👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК