ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК России) ПРИКАЗ « » апреля 2026 г. Москва № _____ О внесении изменений в Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117 В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», пунктом 2 и подпунктом 91 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, П Р И К А З Ы В А Ю: 1. Внести в Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117 (зарегистрирован Минюстом России 16 июня 2025 г., регистрационный № 82619), изменения согласно приложению к настоящему приказу. 2. Требования, изложенные в абзаце втором пункта 32 Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117, вступают в силу с 1 марта 2027 г. 3. Настоящий приказ вступает в силу с 1 сентября 2026 г. ДИРЕКТОР ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ В.СЕЛИН ПРИЛОЖЕНИЕ к приказу ФСТЭК России от ____ апреля 2026 г. №___ ИЗМЕНЕНИЯ, которые вносятся в Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11 апреля 2025 г. № 117 1. Пункт 1 дополнить словами: «, а также при использовании технических средств и программ для электронных вычислительных машин и баз данных в соответствии с частью 5.1 статьи 13 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - технические средства и программы для электронных вычислительных машин и баз данных).». 2. Пункт 8 изложить в следующей редакции: «8. Создание и эксплуатация информационных систем на базе информационно- телекоммуникационной инфраструктуры3 и (или) с использованием технических средств и программ для электронных вычислительных машин и баз данных допускается при условии защиты информационно-телекоммуникационной инфраструктуры и (или) технических средств и программ для электронных вычислительных машин и баз данных в соответствии с Требованиями.». 3. В абзаце девятом подпункта «г» пункта 14 исключить слово «постоянный». 4. В сноске 5 к четырнадцатому абзацу подпункта «д» пункта 14 цифру «3.2» заменить цифрой «3.1». 5. Пункт 15 изложить в следующей редакции: «15. При разработке политики защиты информации должны учитываться все информационные системы оператора (обладателя информации), а также информационно-телекоммуникационная инфраструктура, технические средства и программы для электронных вычислительных машин и баз данных, если информационные системы функционируют на базе информационно- телекоммуникационной инфраструктуры и (или) с использованием технических средств и программ для электронных вычислительных машин и баз данных. Политика защиты информации утверждается руководителем оператора (обладателя информации) или уполномоченным руководителем оператора (обладателя информации) лицом (далее — ответственное лицо) и обязательна для исполнения всеми подразделениями (работниками) оператора (обладателя информации) в части, их касающейся.». 6. Абзац первый пункта 16 после слов «обеспечению эксплуатации информационных систем,» дополнить словами «в том числе с использованием технических средств и программ для электронных вычислительных машин и баз данных,». 7. В абзаце первом пункта 31 исключить слова «оператором (обладателем информации)». 8. Пункт 32 изложить в следующей редакции: «32. Расчет и оценка показателя защищенности Кзи должны проводиться оператором (обладателем информации) не реже одного раза в шесть месяцев. Расчет и оценка показателя уровня зрелости Пзи должны проводиться подрядной организацией до получения доступа к информационным системам, содержащейся в них информации, и (или) передачи им информации и далее не реже одного раза в два года. О полученном по результатам оценки значении показателя защищенности Кзи, в случае его несоответствия нормированным значениям, указанным в методических документах ФСТЭК России, в течение 3 календарных дней со дня завершения такой оценки информируется руководитель оператора (обладателя информации) для принятия решения о проведении мероприятий по совершенствованию защиты информации и принятии мер по повышению уровня защищенности информации, содержащейся в информационных системах. Результаты оценки показателя защищенности Кзи в срок не позднее 5 рабочих дней после дня его расчета должны направляться оператором (обладателем информации) в ФСТЭК России в целях мониторинга текущего состояния технической защиты информации и оценки эффективности деятельности по технической защите информации10.». 9. Абзац второй пункта 33 изложить в следующей редакции: «План утверждается руководителем оператора (обладателя информации), ответственным лицом и доводится до подразделений (работников) оператора (обладателя информации) в части, их касающейся. Результатом реализации мероприятий плана должно быть достижение значения показателя защищенности К зи не ниже нормированных значений, указанных в методических документах ФСТЭК России.». 10. В пункте 35 слова «зрелости Пзи» заменить словами «защищенности Кзи». 11. В абзаце первом пункта 39 слово «тестировании» заменить словом «тестирование», слово «выдаче» заменить словом «выдачу». 12. В пункте 41: в абзаце первом исключить слово «непосредственно»; в абзаце втором слово «проведении» заменить словом «проведение»; слово «предупреждении» заменить словом «предупреждения». 13. Абзац четвертый пункта 42 после слов «с применением строгой» дополнить словами «или усиленной многофакторной». 14. В сноске 15 к четвертому абзацу пункта 42: цифру «3.54» заменить цифрой «3.59»; слово «требования» заменить словом «положения». 15. В пункте 45 слово «свих» заменить словом «своих». 16. Абзац четвертый пункта 46 после слов «и строгой» дополнить словами «или усиленной многофакторной». 17. В абзаце третьем пункта 55 слова «несанкционированный доступ» заменить словами «несанкционированного доступа». 18. В пункте 58: абзац первый после слов «программно-аппаратные средства» дополнить словами «, в том числе с использованием технических средств и программ для электронных вычислительных машин и баз данных,»; абзац второй дополнить словами «, а также по расчету и оценке показателя уровня зрелости Пзи.»; абзац четвертый после слов «отдельных программно-аппаратных средствах» дополнить словами «, технических средствах и программах для электронных вычислительных машин и баз данных». 19. В подпункте 3 пункта 62 слово «адаптированного» заменить словом «адаптированных». 20. Пункт 65 после первого абзаца дополнить абзацем следующего содержания: «В отношении информационно-телекоммуникационной инфраструктуры, на которой функционируют технические средства и программы для электронных вычислительных машин и баз данных, используемые для функционирования государственных информационных систем, должна быть проведена их аттестация по классу защищенности не ниже класса защищенности государственной информационной системы.». _______________________________