ФСТЭК предложила ввести KPI киберзащищенности для госорганов и объектов КИИ

Дарья Березина

6 мая 2026, 14:31

Фото: magnific.com / автор: DC Studio

1284

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) подготовила проект указа президента о внесении изменений в Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Документ предполагает введение обязательных показателей уровня защищенности государственных информационных систем и объектов критической информационной инфраструктуры (КИИ), в том числе используемых в здравоохранении.

Проект предусматривает трехуровневую систему оценки. Первый показатель должен отражать текущее состояние защищенности объектов информационной инфраструктуры конкретной организации, второй – уровень защищенности объектов в отрасли, третий – уровень защищенности объектов в субъекте РФ. Для отраслей и регионов предлагается установить целевое значение: защищенность не менее 80% объектов информационной инфраструктуры от актуальных угроз в информационной сфере. Кроме того, руководителей госорганов, госкорпораций и субъектов КИИ предлагается обязать принимать меры по достижению этих показателей.

В пояснительной записке к проекту указано, что необходимость изменений связана с государственным мониторингом состояния национальной безопасности и действующими требованиями законодательства о защите информации и безопасности КИИ. Порядок расчета показателей и их целевые значения правительство должно будет определить отдельно по согласованию с ФСТЭК и ФСБ России.

По данным ФСТЭК, в 60% информационных систем и объектов КИИ системы защиты информации не в полной мере обеспечивают защиту от типовых угроз безопасности. Еще в 20% проверенных объектов защита от типовых угроз обеспечивается, однако сохраняются отдельные недостатки, не создающие предпосылок для реализации угроз безопасности информации.

Указ № 250 был принят в мае 2022 года и ввел дополнительные требования по обеспечению информационной безопасности для госорганов и субъектов КИИ, включая персональную ответственность руководителей за защиту информационной инфраструктуры.

В июне 2025 года ФСТЭК представила проекты перечней типовых отраслевых объектов КИИ, в которые предлагалось включить медицинские информационные системы, системы фарморганизаций, а также ГИС ОМС и ТФОМС. Инициатива была направлена на унификацию подходов к категорированию и защите объектов КИИ. Одновременно были подготовлены поправки в закон «О безопасности критической информационной инфраструктуры РФ», предусматривающие обязательное использование отечественного ПО операторами систем КИИ. Впоследствии перечень типовых отраслевых объектов КИИ был утвержден правительством в феврале 2026 года.

В апреле 2026 года президент РФ Владимир Путин подписал законы об административной и уточненной уголовной ответственности за нарушение правил эксплуатации объектов КИИ. Новые нормы предусматривают административные штрафы за нарушение правил эксплуатации объектов КИИ: до 10 тысяч рублей для граждан, до 50 тысяч – для должностных лиц и до 500 тысяч – для юридических лиц.

Подписывайтесь на наши каналы в MAX: Vademecum и Vademecum Live

Источник: Федеральный портал проектов нормативных правовых актов