ФСТЭК разработает методику оценки защищённости критической инфраструктуры
Федеральная служба по техническому и экспортному контролю (ФСТЭК) займётся разработкой методики оценки защищённости объектов критической информационной инфраструктуры (КИИ). Проверки хотят проводить не реже, чем раз в полгода. Оценку будут вести на трёх уровнях – отдельной организации, отрасли и региона.
Система охватит ИТ-ресурсы госорганов, фондов, госкорпораций, стратегических и системообразующих компаний. Результаты будут направлять в Совет безопасности РФ. Проект постановления правительства дополнит указ президента №250 о мерах по информационной безопасности.
Измеримый KPI
Инициатива имеет федеральный масштаб. Речь идёт о формировании государственной системы количественной оценки киберустойчивости критической инфраструктуры. От неё зависят ключевые отрасли – от финансов и транспорта до энергетики и промышленности. Новая методика переведёт регулирование критических информационных инфраструктур (КИИ) к измеримому KPI. Она предусматривает не только сбор, но и анализ данных с присвоением уровня защищённости.
Граждане по итогу получат более стабильную работу госуслуг, банков, связи и других сервисов. Кроме того, снизится риск сбоев и утечек. В государстве сформируется более точная картина киберрисков по отраслям и регионам. Как итог – появление инструмента для усиления национальной безопасности. Подход может быть интересен и другим странам – как модель оценки и регулирования.
Результаты изменений
Внедрение методики в России может привести к трём основным результатам, первый из которых – усиление регулярного контроля. Проверки и отчётность по КИИ станут циклическими. Мониторинг не реже одного раза в полгода простимулирует владельцев критических систем повышать уровень защищённости – иначе возможны меры со стороны регуляторов. Второе следствие – рост спроса на отечественные решения и услуги в сфере кибербезопасности. Это звучит особенно реалистично на фоне курса на технологический суверенитет, усиления требований и роста числа кибератак.
Третий результат – это уход от формального подхода к практической защите. Эксперимент по независимой оценке защищённости государственных информационных систем, поиску уязвимостей и тестированию на проникновение уже проводится. Новая методика ФСТЭК расширяет этот подход: круг стратегически важных организаций становится больше.
У инициативы есть косвенный экспортный потенциал. Он обусловлен продвижением российских ИБ-продуктов и экспертизы на рынки СНГ, Ближнего Востока, Африки, Латинской Америки и Юго-Восточной Азии. У партнеров в этих странах может быть интерес к опыту построения национального контура киберзащиты.
Усиление единого национального контура киберзащиты
В 2022 году указ президента №250 закрепил персональную ответственность руководителей за информационную безопасность. Киберзащита критичных систем оказалась поднята до уровня ответственности первых лиц. В 2024 году курс усилили: с 1 января 2025 года субъектам КИИ запретили пользоваться сервисами и услугами по кибербезопасности от компаний из недружественных стран. Прежний запрет касался преимущественно средств защиты информации.
В 2025 году правительство России запустило трёхлетний эксперимент по повышению защищённости государственных информационных систем федеральных органов исполнительной власти. Он состоял из независимой оценки, поиска уязвимостей, тестов на проникновение и разработки мер по их устранению. Планировалось проверять не менее 43 ключевых ресурсов в год. В том же году вступили в силу поправки к 187-ФЗ о КИИ. С сентября 2025 года для критической инфраструктуры действуют обновлённые правила категоризации объектов, использования ПО, расширенные полномочия ФСТЭК и новые требования по взаимодействию с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
В 2026 году ФСТЭК по итогам проверок более 700 значимых объектов КИИ выявила больше 1,2 тысяч нарушений, направила более 2 тысяч требований и составила 603 протокола. Минимального уровня защиты достигли только 36% организаций. Это подсветило необходимость более жёсткой и измеримой оценки киберустойчивости. На этом фоне с 1 сентября 2026 года в сфере связи вводятся отраслевые особенности категорирования объектов КИИ. Они уточняют порядок определения значимости и расчёта показателей с учётом специфики отрасли и отражают движение от общих требований к детальному отраслевому регулированию.
От формальных процедур к доказанной безопасности
Новую методику ФСТЭК можно считать шагом к созданию государственной системы измерения киберустойчивости критической инфраструктуры. Она говорит о переходе от формального выполнения требований ИБ к модели доказуемой защищённости. Ожидаемый эффект от внедрения – появление сопоставимых показателей по организациям, отраслям и регионам. Это поможет видеть не только наличие служб ИБ и регламентов, но и реальную динамику рисков.
На рынке закономерно повысится спрос на аудит, мониторинг, SOC/MDR, тестирование на проникновение, управление уязвимостями, защиту автоматизированных систем управления технологическими процессами (АСУ ТП) и сертифицированные российские решения. Выиграют компании, которые не просто продают продукты, но и показывают измеримый результат.
