16.04.2026

Как изменения приказов ФСТЭК № 235 и № 239 повлияют на деятельность субъектов КИИ

ФСТЭК России опубликовала проект изменений в приказы № 235 и № 239, регулирующие требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (ЗОКИИ). Проект размещен 7 апреля 2026 года, а планируемая дата его вступления в силу — 1 сентября 2026 года.

Ключевой смысл проекта — перевод требований по безопасности ЗОКИИ в более формализованный и регулярный режим контроля. Если изменения будут приняты, для ЗОКИИ вводится обязательный расчет двух показателей:

Кзи (защищённость значимых объектов КИИ) — не реже 1 раза в 6 месяцев;
Пзи (уровень зрелости мер безопасности) — не реже 1 раза в 2 года.

При несоответствии нормированным значениям в течение трёх календарных дней об этом нужно проинформировать руководителя субъекта, а в течение пяти рабочих дней после расчёта необходимо отправить результаты оценки во ФСТЭК России.

Проект также уточняет требования к средствам защиты информации (СЗИ). Предлагается прямо закрепить, что разработчики или производители СЗИ, применяемых для защиты значимых объектов должны обеспечить техническую поддержку. Если такая поддержка невозможна, субъект КИИ обязан реализовать дополнительные организационные и технические меры, обеспечивающие блокирование или нейтрализацию угроз безопасности информации. Отдельно добавляется положение о том, что меры по обеспечению безопасности ЗОКИИ нужно дополнить организационными и техническими мерами, необходимость которых определяет ФСТЭК России в рамках Указа Президента РФ № 250.

На практике это означает, что контроль состояния безопасности ЗОКИИ перестает быть только внутренней процедурой и становится регулярным измеримым контуром с отчетностью перед регулятором. По показателю Кзи методическая база уже существует, и проект фактически переводит ее из рекомендательного инструмента внутренней оценки в обязательный элемент регулярного контроля. Действующая методика исходит из того, что минимальный уровень защиты достигается только при реализации установленного состава мер, а при несоответствии значению необходимо определять нереализованные или неэффективные меры и планировать мероприятия по их совершенствованию.

Одновременно возрастет значение доказательной базы: действующая методика Кзи (PDF) предполагает использование результатов внутреннего контроля, внешнего аудита, мониторинга ИБ, анализа защищенности, организационно-распорядительных документов, эксплуатационной документации, инструментальных средств оценки защищенности и других подтверждающих материалов.

Для многих организаций это будет означать необходимость не только актуализировать документы, но и дооснастить ЗОКИИ недостающими средствами защиты. В действующей методике Кзи важными являются, в частности, инструменты многофакторной аутентификации привилегированных пользователей, межсетевого экранирования интернет-периметра, устранения критических уязвимостей, проверки почтовых вложений, централизованного управления антивирусной защитой, защиты от DDoS-атак и централизованного сбора и анализа событий безопасности.

Алёна Лукашева

Заместитель руководителя департамента консалтинга и аудита iTPROTECT

Отдельный вопрос связан с показателем Пзи. Проект уже вводит обязанность по его расчету, однако утвержденной методики расчета этого показателя пока нет. Это означает, что в случае принятия проекта изменений субъектам КИИ может понадобиться в сжатые сроки перестраивать процессы не только под расчет и отчетность по Кзи, но и под новый показатель зрелости, который пока не раскрыт на уровне отдельного методического документа.

Для запроса бесплатной консультации или услуг по защите объектов КИИ воспользуйтесь формой обратной связи.

К новостям