Обзоры
10/07/2026
Обзор изменений в законодательстве за июнь 2026 года
В июне 2026 года уполномоченные органы в сфере информационной безопасности сохранили активный темп нормотворчества: опубликованный пакет документов охватывает широкий круг субъектов — от субъектов критической информационной инфраструктуры и операторов государственных информационных систем до испытательных лабораторий, разработчиков средств защиты информации и государственных учреждений. Характерная черта периода − преобладание уже принятых и официально опубликованных актов (федерального закона, постановлений и распоряжений Правительства РФ, приказов), в том числе с отложенным сроком вступления в силу.
Основные тенденции этого периода:
Уточнение и расширение периметра КИИ
Официально опубликованы изменения в перечень типовых отраслевых объектов КИИ в сфере производства электроэнергии и тепловой энергии, а также постановление Правительства РФ об отраслевых особенностях категорирования объектов КИИ в области оборонной промышленности, детально устанавливающее порядок и формулы расчета показателей критериев значимости.
Формирование новой институциональной основы государственных информационных систем
Принят Федеральный закон о технологической платформе создания, развития и эксплуатации ИС, придающий действующей платформе «ГосТех» статус технологической платформы.
Усиление контроля защищенности на всем жизненном цикле объектов
Официально опубликованы изменения, вносимые в Порядок аттестации объектов информатизации. Вводящие периодический контроль уровня защищенности (анализ уязвимостей и тестирование на проникновение).
Развитие методической базы оценки безопасности программного обеспечения
ФСТЭК России утвердила новую Методику выявления уязвимостей и НДВ в ПО средств защиты информации, заменившую документ 2020 года и связанную с процессами безопасной разработки по ГОСТ Р 56 939−2024.
Нормирование деятельности по защите информации
ФСТЭК России сообщила об утверждении приказом Минтруда России Типовых межотраслевых норм труда (норм времени) на работы по обеспечению защиты информации в государственных информационных системах, предназначенных для планирования и расчета трудозатрат
Ключевые нормативные изменения:
Об изменениях в Перечне типовых отраслевых объектов КИИ
Официально опубликовано распоряжение Правительства Российской Федерации (далее — РФ) от 27.05.2026 № 1237-р, которым утверждены изменения, вносимые в перечень типовых отраслевых объектов критической информационной инфраструктуры РФ (далее — КИИ), утвержденный распоряжением Правительства РФ от 26.02.2026 № 360-р (подробнее с изменениями можно ознакомиться в обзоре за февраль 2026 года «КИТ»). Изменения касаются отраслевых объектов КИИ в сфере производства электроэнергии и тепловой энергии.
Основные положения:
1. Новая редакция позиции 98. Позиция излагается в новой редакции и охватывает информационные системы (далее — ИС), автоматизированные системы управления (далее — АСУ), информационно-телекоммуникационные сети (далее — ИТКС), предназначенные для контроля и управления технологическим оборудованием и электротехническими процессами тепловых электростанций (электроцентралей), за исключением атомных электростанций. К типовым объектам отнесены ИС, АСУ и ИТКС обеспечивающие:
  • управление технологическими процессами тепловой электростанции и теплогенерирующих энергоустановок тепловой электростанции;
  • контроль параметров технологического процесса тепловой электростанции;
  • управление аварийной и предупредительной сигнализацией;
  • управление электротехническими процессами тепловой электростанции и теплогенерирующих энергоустановок тепловой электростанции;
  • контроль параметров электротехнического процесса тепловой электростанции и теплогенерирующих энергоустановок тепловой электростанции.
В графе видов экономической деятельности указаны коды 35.11 «Производство электроэнергии» и 35.30.11 «Производство пара и горячей воды (тепловой энергии) тепловыми электростанциями».
2. Позиция 99 из перечня исключается. В прежней редакции она охватывала ИС, АСУ и ИТКС, предназначенные для:
  • управления технологическими процессами котельной (за исключением атомных электростанций), с типовыми процессами управления технологическими процессами котельной;
  • контроля их параметров и управления аварийной и предупредительной сигнализацией (вид деятельности по коду 35.3 «Производство, передача и распределение пара и горячей воды; кондиционирование воздуха»).
Что должны сделать субъекты КИИ в сфере тепловой энергетики (владельцы и эксплуатанты тепловых электростанций и теплогенерирующих энергоустановок, за исключением атомных электростанций)?
01
Соотнести свои ИС, АСУ и ИТКС с новой редакцией позиции 98 перечня типовых отраслевых объектов КИИ РФ, по функциональному признаку описанному выше.
02
Проверить охват по функциональному признаку: управление и контроль технологических и электротехнических процессов тепловой электростанции, а также управление аварийной и предупредительной сигнализацией.
03
Учесть коды видов экономической деятельности 35.11 и 35.30.11 при отнесении объектов к типовым отраслевым объектам КИИ.
04
Провести категорирование выявленного объекта КИИ и направить сведения о результатах категорирования в Федеральную службу по техническому и экспортному контролю РФ (далее − ФСТЭК России), если будет выявлено, что ранее не категорированная ИС, АСУ или ИТКС соотносится с типовым объектом КИИ.
05
Принять комиссией по категорированию решение о снятии статуса «объекта КИИ» с рассматриваемой ИС, АСУ или ИТКС и направить в ФСТЭК России мотивированное решение с обоснованием и реквизитами объекта КИИ, если ранее категорированный объект КИИ, в отношении которого было принято решение об отсутствии необходимости присвоения категории значимости, не соотносится с типовыми объектами КИИ (отсутствует в перечне). В первую очередь это касается объектов управления технологическими процессами котельной, ранее охватывавшихся исключённой позицией 99
06
Актуализировать сведения о ранее не категорированном значимом объекте КИИ по форме приказа ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» и направить актуальные данные в ФСТЭК России, если будет выявлено, что такой объект соотносится с типовым объектом КИИ
07
Использовать обновленный перечень при проведении и пересмотре категорирования объектов КИИ, а также при подготовке и актуализации сведений, направляемых в ФСТЭК России.
О технологической платформе создания, развития и эксплуатации ИС
Принят Федеральный закон от 10.06.2026 № 166-ФЗ «О технологической платформе создания, развития и эксплуатации ИС» (далее — 166-ФЗ). Закон устанавливает организационно-правовые основы создания, развития и эксплуатации государственных, муниципальных и иных ИС на технологической платформе и (или) иного технологического обеспечения деятельности ее участников. Действующая единая цифровая платформа РФ «ГосТех» со дня вступления закона в силу считается технологической платформой, предусмотренной этим законом.
Закон уже принят, но вступает в силу с 1 сентября 2027 года − поэтому речь идет о будущих обязательных требованиях с отложенным сроком применения.
Основные положения:
1. Понятие технологической платформы (ст. 2). Технологическая платформа включает информационные технологии, базы данных, технические, программные, программно-аппаратные и иные средства (компоненты технологической платформы), в том числе предоставляемые через ИТКС, которые используются участниками для создания, развития и эксплуатации ИС на технологической платформе. Положение о технологической платформе утверждается Правительством РФ и определяет, в частности:
  • порядок создания, развития и эксплуатации ИС на платформе;
  • порядок оценки экономической и (или) технологической целесообразности;
  • требования к компонентам и порядок их предоставления;
  • права, обязанности и ответственность уполномоченного органа, владельцев компонентов и участников.
2. Ограничения по составу информации (ст. 2, ч. 4). Создание, развитие и эксплуатация ИС на технологической платформе не осуществляются, если системы содержат сведения, составляющие:
  • государственную тайну;
  • служебную тайну в области обороны;
  • тайну следствия и судопроизводства;
  • сведения о применяемых мерах защиты.
3. Уполномоченный орган (ст. 3). Функции обеспечения взаимодействия владельцев компонентов и участников возложены на федеральный орган исполнительной власти в сфере информационных технологий. Уполномоченный орган, в числе прочего:
  • проводит во взаимодействии с участниками технологической платформы оценку экономической и (или) технологической целесообразности создания и развития ИС на технологической платформе;
  • заключает договоры с владельцами компонентов и соглашения с участниками;
  • контролирует исполнение условий договоров и соглашений;
  • обеспечивает проведение оценки защищенности технологической платформы в порядке, утверждаемом Правительством РФ по согласованию с Федеральной службой безопасности РФ (далее − ФСБ России) и ФСТЭК России;
  • обеспечивает в порядке, установленном ФСБ России, непрерывное взаимодействие ИС на платформе и ее компонентов с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — ГосСОПКА).
Отдельные полномочия уполномоченного органа могут быть переданы определяемой Правительством РФ организации.
4. Участники технологической платформы (ст. 4). Участниками могут быть:
  • органы государственной власти РФ и субъектов РФ;
  • иные государственные органы;
  • органы публичной власти федеральных территорий;
  • органы местного самоуправления;
  • органы управления государственными внебюджетными фондами;
  • иные уполномоченные лица;
  • коммерческие и некоммерческие организации, допущенные решением правительственной комиссии.
Участники:
  • используют компоненты платформы в соответствии с законодательством: об информации, о персональных данных (далее — ПДн), а при создании значимых объектов КИИ − о безопасности КИИ;
  • обеспечивают в пределах полномочий реализацию мер по защите информации;
  • обеспечивают в установленном ФСБ России порядке взаимодействие ИС на платформе с ГосСОПКА и непрерывность функционирования систем.
Создание, развитие и эксплуатация ряда ИС осуществляются на платформе на основании решения руководителя соответствующего органа. К таким ИС относятся:
  • объекты КИИ;
  • ИС федеральных органов, руководство которыми осуществляет Президент РФ, и подведомственных им служб и агентств;
  • ИС Федеральной налоговой службой России;
  • ИС органов государственной власти города федерального значения Москвы.
5. Владельцы компонентов технологической платформы (ст. 5). Владельцами могут быть лица, которые в совокупности:
  • являются российскими юридическими лицами (либо, если иное не предусмотрено международным договором, юрлицами под контролем РФ, субъекта РФ, муниципального образования или гражданина РФ без гражданства другого государства);
  • имеют компоненты на праве собственности, аренды или ином законном основании, позволяющие обеспечить соблюдение требований к государственным ИС (далее — ГИС) и муниципальным ИС, требований к безопасности ПДн и значимых объектов КИИ.
Владельцы предоставляют компоненты по договорам, реализуют меры по защите информации и обеспечивают в установленном ФСБ России порядке взаимодействие компонентов платформы с ГосСОПКА. Правительство РФ вправе устанавливать дополнительные требования к владельцам компонентов.
6. Соглашение о предоставлении компонентов (ст. 6). Уполномоченный орган заключает с участником соглашение о предоставлении компонентов платформы. Порядок заключения, требования к структуре и содержанию и типовая форма соглашения устанавливаются Правительством РФ.
7. Заключительные положения (ст. 7). 166-ФЗ вступает в силу с 1 сентября 2027 года. Со дня вступления в силу единая цифровая платформа «ГосТех» считается технологической платформой, на которую распространяются требования 166-ФЗ.
Что должны сделать участники и владельцы компонентов технологической платформы?
01
Отслеживать издание подзаконных актов, которые утверждаются Правительством РФ и уполномоченными органами: Положения о технологической платформе, порядка оценки защищенности платформы (по согласованию с ФСБ России и ФСТЭК России), порядка взаимодействия с ГосСОПКА, а также порядка заключения и типовой формы соглашения о предоставлении компонентов.
02
Потенциальным участникам (органам власти и допущенным организациям) оценить, какие их ИС будут создаваться, развиваться и эксплуатироваться на технологической платформе, и подготовиться к оформлению соглашений с уполномоченным органом.
03
Учесть ограничения по составу информации: системы со сведениями, составляющими гостайну, служебную тайну в области обороны, тайну следствия и судопроизводства, а также сведения о защищаемых лицах, на технологической платформе не размещаются.
04
Потенциальным владельцам компонентов проверить соответствие требованиям статьи 5, а именно, что лицо:
  • является российским юридическим лицом (либо, если иное не предусмотрено международным договором РФ;
  • является юридическим лицом, находящимся под контролем РФ, субъекта РФ, муниципального образования (под контролем понимается возможность прямо или косвенно распоряжаться более чем 50% голосов, приходящихся на голосующие акции (доли) такого юридического лица);
  • является гражданином РФ, не имеющего гражданства другого государства;
  • имеет компоненты технологической платформы на праве собственности, аренды или ином законном основании, позволяющие обеспечить соблюдение требований к ГИС и муниципальным ИС, требований к безопасности ПДн и требований к безопасности значимых объектов КИИ;
А также учесть возможные дополнительные требования к владельцам компонентов, которые вправе установить Правительство РФ
05
Субъектам КИИ необходимо учитывать, что при создании, развитии и эксплуатации на платформе значимых объектов КИИ применяется также законодательство о безопасности КИИ, а взаимодействие с ГосСОПКА обеспечивается в порядке, установленном ФСБ России.
06
Участникам и владельцам компонентов, работающим на действующей платформе «ГосТех», необходимо учитывать, что с 1 сентября 2027 года платформа получает статус технологической платформы по новому закону, и заранее соотнести свою деятельность с его требованиями.
Об изменениях в Порядке аттестации объектов информатизации
Официально опубликован приказ ФСТЭК России от 17.02.2026 № 60 «О внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29.04.2021 № 77 „Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну“». Ключевая новация − введение периодического контроля уровня защищенности информации на аттестованных объектах (включая анализ уязвимостей и тестирование на проникновение) с представлением его результатов во ФСТЭК России.
Приказ уже принят, но вступает в силу с 1 сентября 2026 года − поэтому речь идет о будущих обязательных требованиях с отложенным сроком применения.
Основные изменения:
1. Расширение сферы применения Порядка (п. 3). Ранее Порядок распространялся только на аттестацию объектов информатизации; в новой редакции он охватывает также проведение периодического контроля уровня защиты информации (далее — периодический контроль). Состав самих объектов при этом не изменился. Порядок распространяется на аттестацию и периодический контроль следующих объектов информатизации:
  • государственных и муниципальных ИС, в том числе государственных и муниципальных ИСПДн;
  • ИС управления производством, используемых организациями оборонно-промышленного комплекса (далее — ОПК), в том числе автоматизированных систем станков с числовым программным управлением;
  • помещений, предназначенных для ведения конфиденциальных переговоров.
Порядок применяется также для аттестации объектов, для которых их владельцами установлено требование об оценке соответствия систем защиты информации требованиям по защите информации в форме аттестации:
  • ИС государственных органов, государственных унитарных предприятий (далее − ГУП) и государственных учреждений (за исключением ГИС);
  • значимых объектов КИИ;
  • ИСПДн (за исключением государственных и муниципальных ИСПДн);
  • АСУ производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
2. Периодический контроль уровня защищенности (п. 6, 7, новые п. 31¹, 31²). Контроль уровня защищенности информации на аттестованном объекте проводится методами анализа уязвимостей и тестирования на проникновение. По результатам оформляется отчет (протокол) с установленным составом сведений:
  • наименование и назначение объекта;
  • класс защищенности/категория значимости;
  • сведения об экспертах;
  • срок проведения;
  • дата и номер аттестата;
  • порядок и результаты анализа уязвимостей и тестирования на проникновение.
Отчет подписывается проводившими контроль специалистами и утверждается руководителем подразделения органа по аттестации либо работниками органа власти.
3. Тестирование на проникновение (новый п. 16¹). Тестирование на проникновение проводится в отношении ГИС, иных ИС государственных органов, ГУП, госучреждений 1 и 2 классов защищенности, имеющих подключение к сети «Интернет» и (или) взаимодействующих с иными ИС, в том числе с ИС подрядных организаций (за исключением случаев, когда такое взаимодействие реализовано с использованием сети шифрованной связи или виртуальных частных сетей с применением сертифицированных шифровальных средств).
4. Аттестация инфраструктуры и включение сегментов (новые п. 16², 16³). Если объект создается на базе информационно-телекоммуникационной инфраструктуры в соответствии с Постановлением Правительства РФ от 01.07.2024 № 900 «О порядке учета ИТ-активов, используемых для осуществления деятельности по цифровой трансформации системы государственного (муниципального) управления» (вместе с «Положением об учете ИТ-активов, используемых для осуществления деятельности по цифровой трансформации системы государственного (муниципального) управления») (далее — ПП РФ № 900), такая инфраструктура аттестуется по классу защищенности не ниже класса защищенности объекта. В состав аттестованного объекта допускается включать сегменты, аналогичные по составу программных и программно-аппаратных средств и их конфигураций сегментам аттестованного объекта. По результатам аттестационных испытаний принимается решение о включении сегментов в состав аттестованной ИС либо о невозможности их включения в неё.
5. Бессрочный аттестат и поддержка безопасности (новая редакция п. 31). Аттестат соответствия, как и прежде, выдаётся на весь срок эксплуатации объекта информатизации. Новым является закреплённое в этой же редакции требование к владельцу поддерживать безопасность объекта в течение всего срока эксплуатации, в том числе проводить − самостоятельно или с привлечением лицензиата ФСТЭК России − периодический контроль уровня защищённости, результаты которого оформляются отчётом (протоколами) и включаются в технический паспорт объекта. Обратите внимание: в новой редакции прямо закреплено, что владелец вправе проводить такой контроль самостоятельно либо с привлечением организации, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации − при условии, что лицензия даёт право на проведение работ и оказание услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также по контролю защищённости конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации. Результаты контроля оформляются отчётом (протоколами) и включаются в технический паспорт на объект информатизации.
6. Периодичность контроля и отчетность во ФСТЭК России (новая редакция п. 32). Ранее владелец аттестованного объекта представлял во ФСТЭК России протоколы контроля уровня защиты информации не реже одного раза в 2 года; конкретный срок направления документов установлен не был. Теперь отчёт (протокол) по результатам контроля представляется не реже одного раза в 3 года − то есть периодичность увеличена, − при этом введён жёсткий срок направления: в течение 5 рабочих дней с даты завершения контроля во ФСТЭК России (территориальный орган). Основание для приостановления действия аттестата сохранилось: непредставление отчёта (протокола) по результатам контроля.
7. Дополнительные испытания при модернизации (новая редакция п. 33, новые п. 33¹-33³). Как и прежде, при развитии (модернизации) объекта, затрагивающем архитектуру или структуру системы защиты информации (изменение видов и типов программных, программно-технических средств и средств защиты информации, состава и мест расположения компонентов, исключение средств либо их замена на аналогичные), проводятся дополнительные аттестационные испытания, а действие аттестата соответствия не прекращается. Новым является то, что теперь прямо определены методы таких испытаний − функциональное тестирование и анализ уязвимостей − и их применение только к изменённым компонентам объекта, а также установлен обязательный состав сведений отчёта (протокола) по их результатам с порядком его подписания и утверждения. Отдельно закреплено: при модернизации, приводящей к повышению класса защищённости (уровня защищённости, категории значимости), проводится повторная аттестация.
8. Приостановление и прекращение действия аттестата (новые редакции п. 34, 38, 40). Основанием для приостановления действия аттестата становится непредставление отчетов по результатам контроля уровня защищенности (п. 32). Уточнены условия возобновления действия аттестата:
  • устранение несоответствий и представление подтверждающих материалов;
  • представление отчета по контролю;
  • обращение владельца.
и его прекращения:
  • непредставление в установленный срок материалов об устранении недостатков или отчета;
  • обращение владельца.
9. Актуализация ссылок и состава комиссии (пп. 1, 4, 7). Актуализированы и конкретизированы ссылки на:
  • действующий приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, ГУП, государственных учреждений» (далее − приказ ФСТЭК России № 117);
  • подпункт «г» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (далее — ПП РФ № 79).
Кроме того, изменён порядок формирования аттестационной комиссии: ранее орган по аттестации назначал её только для проведения аттестационных испытаний, теперь — также и для проведения периодического контроля на аттестованных объектах информатизации. Состав комиссии сохранён прежним: руководитель комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.
Что должны сделать организации?
01
Владельцам аттестованных объектов информатизации:
  • учесть новую обязанность поддерживать безопасность объекта в течение всего срока эксплуатации, включая проведение периодического контроля уровня защищённости;
  • организовать периодический контроль уровня защищенности методами анализа уязвимостей и тестирования на проникновение и предусмотреть оформление отчетов (протоколов) с установленным составом сведений и их включение в технический паспорт объекта;
  • обеспечить представление отчетов во ФСТЭК России (территориальный орган) не реже 1 раза в 3 года в течение 5 рабочих дней с даты завершения контроля, учитывая, что непредставление влечет приостановление действия аттестата;
02
Владельцам ГИС и иных ИС госорганов, ГУП, госучреждений 1 и 2 классов защищенности, подключенных к сети «Интернет» и (или) взаимодействующих с иными ИС (в том числе подрядчиков):
  • учесть обязательность тестирования на проникновение, кроме случаев взаимодействия через шифрованную связь или виртуальную частную сеть (VPN, Virtual Private Network) с сертифицированными шифровальными средствами;
  • при создании объектов на базе ИТ-инфраструктуры (по ПП РФ № 900) обеспечить ее аттестацию по классу защищенности не ниже класса защищенности объекта; при необходимости использовать механизм включения аналогичных сегментов в состав аттестованного объекта;
  • при модернизации объектов заранее определить, потребуются ли дополнительные аттестационные испытания (функциональное тестирование, анализ уязвимостей) или повторная аттестация (при повышении класса/уровня защищенности либо категории значимости), и обеспечить внесение сведений в технический паспорт;
  • проверить возможность привлечения лицензиата ФСТЭК России для проведения периодического контроля: новая редакция прямо допускает проводить контроль самостоятельно либо с привлечением сторонней организации. При выборе подрядчика необходимо учесть требования к его лицензии;
  • актуализировать внутренние документы с учетом обновленных ссылок (приказ ФСТЭК России № 117, ПП РФ № 79) и новых оснований приостановления, возобновления и прекращения действия аттестата.
Об отраслевых особенностях категорирования объектов КИИ в области оборонной промышленности
Официально опубликовано постановление Правительства РФ от 27.06.2026 № 796 «Об утверждении отраслевых особенностей категорирования объектов КИИ РФ в области оборонной промышленности». Постановление издано в соответствии с пунктом 5 части 2 статьи 6 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» (далее — 187-ФЗ) и устанавливает отраслевые особенности категорирования объектов КИИ, функционирующих в области оборонной промышленности.
Основные положения:
1. Сфера применения (пп. 1−4). Документ предназначен для категорирования объектов КИИ, функционирующих в области оборонной промышленности и являющихся ИС, ИТКС и АСУ. Категорирование осуществляется в соответствии с:
  • правилам категорирования и перечню показателей критериев значимости (Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (далее — Правила категорирования);
  • отраслевыми особенностями.
Для проведения категорирования решением руководителя субъекта КИИ создается постоянно действующая комиссия по категорированию.
2. Порядок установления соответствия и направление документов (пп. 5−6). Субъект КИИ определяет объекты, подлежащие категорированию (в том числе руководствуясь перечнем типовых отраслевых объектов КИИ, утверждённым распоряжением Правительства РФ от 26.02.2026 № 360-р), и выявляет процессы, нарушение или прекращение которых может привести к нарушению функционирования объектов КИИ. По окончании присвоения категорий значимости субъект направляет в адрес организации, определенной Министерством промышленности и торговли РФ, копии протоколов заседаний комиссии по категорированию и копии актов категорирования.
3. Применяемые показатели и учет зависимостей (пп. 7−8). Для целей категорирования применяются позиции 1−4, 6−13¹ показателей перечня, а именно:
  • позиция 1 — причинение ущерба жизни и здоровью людей;
  • позиция 2 — прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения;
  • позиция 3 — прекращение или нарушение функционирования объектов транспортной инфраструктуры, организаций, осуществляющих деятельность в области грузовых и пассажирских перевозок, транспортных средств, в том числе высокоавтоматизированных;
  • позиция 4 — прекращение или нарушение функционирования сети связи;
  • позиция 6 — прекращение или нарушение функционирования государственного органа или организации, созданной на основании федерального закона, в части невыполнения возложенной на них функции (полномочия);
  • позиция 7 — нарушение условий международного договора РФ, срыв переговоров или подписания планируемого к заключению международного договора РФ;
  • позиция 8 — возникновение ущерба субъекту КИИ (государственной корпорации, ГУП, государственной компании, организации ОПК, стратегическому акционерному обществу, стратегическому предприятию), оцениваемого в снижении уровня дохода;
  • позиция 9 — возникновение ущерба бюджету РФ, оцениваемого в снижении выплат (отчислений) в бюджет;
  • позиции 10−10⁷ - прекращение или нарушение проведения операций субъектами КИИ в банковской сфере и иных сферах финансового рынка;
  • позиция 11 — вредные воздействия на окружающую среду;
  • позиция 12 — прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра);
  • позиция 13 — снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ;
  • позиция 13¹ — снижение показателей государственного оборонного заказа, оцениваемое по статусу субъекта КИИ в кооперации головного исполнителя поставок продукции по государственному оборонному заказу.
Не применяются позиции 5 (отсутствие доступа к государственной услуге) и 14 (прекращение или нарушение функционирования ИС в области обеспечения обороны страны, безопасности государства и правопорядка).
При обнаружении зависимости одного объекта КИИ от другого (в том числе принадлежащего другому субъекту КИИ) зависимому объекту присваивается категория значимости с наивысшим значением по результатам категорирования.
4. Периодичность пересмотра категорий (п. 9). Пересмотр установленных категорий значимости и решений об отсутствии необходимости их присвоения осуществляется в случаях, установленных пунктом 21 Правил категорирования, но не реже одного раза в:
  • 1 год — для объектов, по которым принято решение об отсутствии необходимости присвоения категории;
  • 2 года — для объектов третьей категории;
  • 3 года — для объектов второй категории;
  • 5 лет — для объектов первой категории.
5. Отраслевые признаки значимости (п. 10). Отраслевыми признаками значимости объектов КИИ являются:
  • использование объекта в поставке товаров, выполнении работ, оказании услуг по договорам или контрактам в рамках государственного оборонного заказа;
  • использование объекта в поставках по договорам или контрактам, контроль качества и приемка результатов которых сопровождается военными представительствами Министерства обороны России;
  • обеспечение объектом функционирования опасного производства объекта, имеющего декларацию промышленной безопасности.
6. Определение категории значимости (п. 11). Для каждого объекта определяется соответствие отраслевым признакам значимости, оценивается вероятность нарушения и (или) прекращения функционирования объекта при возникновении компьютерного инцидента и масштаб последствий такого нарушения.
7. Порядок расчета показателей (пп. 12−40). Документ детально устанавливает порядок расчета значений показателей по позициям перечня. В частности: для позиции 1 предусмотрены:
  • осмотр объекта;
  • опрос персонала;
  • анализ паспорта безопасности и декларации промышленной безопасности, проектной и эксплуатационной документации;
  • прогнозирование ущерба жизни и здоровью людей;
  • анализ планов по чрезвычайным ситуациям;
  • определение опасных факторов и безопасных зон, количества людей в зоне поражения и числа потребителей.
Отраслевые особенности устанавливают конкретные процедуры и формулы расчёта значений показателей критериев значимости с учётом специфики функционирования объектов КИИ в области оборонной промышленности.
Особенности расчёта отдельных показателей (пп. 12−17, 30):
  • позиция 1 (причинение ущерба жизни и здоровью людей) — комиссия по категорированию проводит осмотр объекта КИИ, опрос персонала, анализ паспорта безопасности опасного производственного объекта, декларации промышленной безопасности, проектной и эксплуатационной документации; прогнозирование ущерба жизни и здоровью людей на основе моделирования последствий компьютерного инцидента; анализ планов по предупреждению и ликвидации чрезвычайных ситуаций; анализ статистических данных по нештатным ситуациям; определение опасных факторов и безопасных зон; определение количества людей, потенциально находящихся в зоне поражения, и числа потенциальных потребителей продукции или услуг;
  • позиция 2 (объекты обеспечения жизнедеятельности населения) — проводится оценка наихудшего сценария возможных негативных последствий; решение о присвоении категории принимается исходя из границ субъектов РФ и муниципальных образований (субпозиция «а») либо исходя из количества человек, проживающих на такой территории (субпозиция «б»);
  • позиция 3 — порядок расчёта определяется отраслевыми особенностями категорирования объектов КИИ в сфере транспорта;
  • позиция 4 — порядок расчёта определяется отраслевыми особенностями категорирования объектов КИИ в сфере связи;
  • позиция 6 (функционирование государственного органа или организации) и позиция 7 (международный договор РФ) — проводится оценка контрактов, выполняемых с использованием объекта КИИ, после чего комиссия принимает решение о присвоении категории значимости;
  • позиции 10−10⁷ — порядок расчёта определяется отраслевыми особенностями категорирования объектов КИИ в банковской сфере и иных сферах финансового рынка;
  • позиция 11 (вредные воздействия на окружающую среду) — проводится оценка наихудшего сценария возможных негативных последствий на территориях субъектов РФ (муниципальных образований);
  • позиция 12 (пункт управления, ситуационный центр) — проводится оценка контрактов, выполняемых с использованием объекта КИИ.
Приводятся формулы расчета:
Показатель ущерба субъекту КИИ (позиция 8 перечня):
Uy8 — ущерб субъекту КИИ от компьютерного инцидента;
Rгод — усредненный объем годового дохода за прошедший 5-летний период.
Показатель ущерба федеральному бюджету (позиция 9 перечня):
Uy9 — снижение выплат (отчислений) в федеральный бюджет, осуществляемых субъектом КИИ, которое может быть следствием отклонения значений параметров процессов функционирования объектов КИИ, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования (в рублях);
Nуср — усредненный размер прогнозируемого годового дохода федерального бюджета за прошедший 3-летний период.
Показатель снижения объемов продукции (субпозиция «а» позиции 13 перечня):
Vmax — максимальный объем продукции, поставляемой в рамках выполнения государственного оборонного заказа, который может быть поставлен объектом КИИ при максимальной скорости выпуска единицы продукции за время выполнения государственного оборонного заказа;
Vинц — объем продукции, поставляемой в рамках выполнения государственного оборонного заказа, который был бы поставлен во время устранения компьютерного инцидента при максимальной скорости выпуска единицы продукции;
Vгоз — полный объем требуемой по государственному оборонному заказу продукции.
Показатель увеличения времени изготовления единицы продукции (субпозиция «б» позиции 13 перечня):
tнорм — сумма времени проведения всех операций, связанных с производством единицы продукции по государственному заказу, которые при штатном функционировании объекта КИИ выполняются объектом КИИ, определенная на основании эксплуатационных, технических и (или) иных документов на объект КИИ и (или) оборудование, включенное в контур объекта КИИ, а также на основании производства аналогичной продукции по государственному оборонному заказу за прошедший 3-летний период;
tненорм — сумма времени проведения всех операций, направленных на производство единицы продукции по государственному оборонному заказу, которые при штатном функционировании объекта КИИ производятся этим объектом КИИ, а вследствие компьютерного инцидента на объект КИИ — альтернативным способом или с учетом времени, необходимого для восстановления штатного функционирования объекта КИИ.
  • Позиция 13¹ (статус субъекта КИИ в кооперации головного исполнителя) − проводится оценка контрактов, выполняемых с использованием объекта КИИ. Решение о присвоении категории значимости принимается в зависимости от статуса субъекта КИИ в кооперации головного исполнителя поставок продукции (выполнения работ, оказания услуг) по государственному оборонному заказу.
Что должны сделать субъекты КИИ в области оборонной промышленности?
01
Создать (или актуализировать) постоянно действующую комиссию по категорированию решением руководителя субъекта КИИ в соответствии с пунктами 11−13 Правил категорирования.
02
Определить объекты КИИ, подлежащие категорированию, и выявить процессы, нарушение или прекращение которых может привести к нарушению функционирования объектов.
03
Проверить соответствие объектов отраслевым признакам значимости:
  • участие в государственном оборонном заказе;
  • сопровождение приемки военными представительствами Министерства обороны России;
  • обеспечение функционирования опасного производственного объекта с декларацией промышленной безопасности.
Дополнительно соотнести объекты с перечнем типовых отраслевых объектов КИИ, утверждённым распоряжением Правительства РФ от 26.02.2026 № 360-р.
04
Провести расчет значений показателей по применяемым позициям перечня показателей критериев значимости, утверждённого Правилами категорирования (1−4, 6−13¹) в соответствии с установленными в документе процедурами и формулами, с учетом зависимостей между объектами (присвоение наивысшей категории зависимому объекту).
05
Оформить результаты категорирования протоколами заседаний комиссии и актами категорирования и направить их копии в адрес организации, определенной Министерством промышленности и торговли РФ (по пункту 19³ Правил категорирования).
06
Обеспечить периодический пересмотр категорий значимости в установленные сроки (не реже 1 раза в 1 год / 2 / 3 / 5 лет в зависимости от категории или решения об отсутствии необходимости присвоения категории).
07
Учитывать отраслевую специфику расчета по позициям, отсылающим к особенностям категорирования в сферах транспорта, связи, банковской сферы и финансового рынка, если соответствующие показатели применимы к объекту.
Методики и стандарты ИБ
Методики выявления уязвимостей и недекларированных возможностей в ПО
ФСТЭК России опубликовала информационное сообщение от 28.05.2026 № 240/24/3693 об утверждении 12.05.2026 «Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее − ПО)». Методика определяет порядок проведения исследований по выявлению уязвимостей и недекларированных возможностей (далее − НДВ) в программном обеспечении средств защиты информации. Таким программным обеспечением является объект оценки (далее − ОО); при этом из сферы исследований исключается исходный программный код программируемых логических интегральных микросхем. Исследования проводятся в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (приказ ФСТЭК России от 02.06.2020 № 76 «О требованиях по безопасности информации» (далее — приказ ФСТЭК России № 76)). В связи с ее утверждением не применяются положения одноименного методического документа, утвержденного ФСТЭК России 25 декабря 2020 г. Предыдущий документ имел гриф «Для служебного пользования», не публиковался в открытых источниках и был доступен узкому кругу аккредитованных лабораторий.
Методика ориентирована на исследования, проводимые испытательными лабораториями и разработчиками в рамках сертификационных испытаний программных и программно-аппаратных средств защиты информации и защищенных программных, программно-технических средств, а также при внесении изменений в ранее сертифицированные средства. Разработчикам О О рекомендуется использовать ее положения для организации внутренних процессов жизненного цикла ПО в соответствии с ГОСТ Р 56 939−2024 «Защита информации. Разработка безопасного ПО. Общие требования». Опубликована выписка из документа.
Основные положения:
1. Цель и объект исследований (пп. 1.2, 2.1). Исследования проводятся для выявления недостатков безопасности ОО:
  • уязвимостей архитектуры, кода и конфигурации;
  • недекларированных возможностей;
  • потенциально опасных декларированных возможностей (избыточных внешних интерфейсов или функций).
Объектом оценки является ПО средств защиты информации.
2. Уровни контроля (п. 2.2). Устанавливается 6 уровней контроля, определяющих состав, содержание и методы исследований и требования к применяемым инструментальным средствам. Самый низкий уровень − шестой, самый высокий − первый; требования к уровню контроля предъявляются в соответствии с Требованиями доверия (приказ ФСТЭК России № 76).
3. Исходные данные (п. 2.3). При исследованиях используются:
  • документация на ОО;
  • исходный код;
  • сборочная среда и система сборки;
  • дистрибутив ОО;
  • результаты процессов разработки по ГОСТ Р 56 939−2024 (анализ безопасности архитектуры и определения поверхности атаки, композиционный анализ, статический анализ, фаззинг-тестирование, тестирование на проникновение, результаты программ Bug Bounty, результаты интеграционного, функционального и модульного тестирования);
  • перечень программных компонентов и образов контейнеров;
  • тестовая документация;
  • план поддержки безопасности заимствованных компонентов;
  • методики анализа поверхности атаки, статического анализа, тестирования и фаззинг-тестирования заимствованных компонентов с открытым исходным кодом, публикуемые Центром исследований безопасности системного программного обеспечения (portal.linuxtesting.ru).
4. Требования к инструментам и исполнителям (пп. 2.5, 2.6). Применяются инструментальные средства анализа и выявления ошибок, уязвимостей и НДВ, не имеющие ограничений по применению и адаптации на территории России. Исследования проводятся специалистами испытательной лаборатории и специалистами организации-разработчика, ответственными за безопасную разработку ПО (с привлечением участвующих в разработке ОО). Если у организации-разработчика есть сертификат соответствия процессов безопасной разработки требованиям ГОСТ Р 56 939−2024, ее специалисты могут рассматриваться как специалисты испытательной лаборатории.
5. Этапы исследований (п. 2.4). Исследования включают подготовку к проведению, проведение исследований и оформление результатов. Выявленные недостатки допускается устранять в ходе исследования (п. 2.7).
6. Подготовка к исследованиям (раздел 3). Включает анализ документации и иных исходных данных (ПОД.1) и подготовку исследовательского стенда (ПОД.2). На этапе анализа документации формируется и проверяется на полноту перечень анализируемых модулей (в том числе модулей служебных интерфейсов и периодических обновлений), выделяются критичные для безопасности участки кода (взаимодействующие с данными потенциального нарушителя и имеющие высокую сложность по одной из метрик − например, цикломатической сложности).
7. Проведение исследований (раздел 4). Включает четыре вида работ:
  • анализ архитектуры ОО (КАО) статическими (КАО.1) и динамическими (КАО.2) методами — с контролем назначения минимально необходимых полномочий и выявлением избыточных полномочий как недостатков;
  • статический анализ ОО (САО);
  • динамический анализ ОО (ДАО), включающий тестирование модулей (ДАО.1, с требованием достигнутого тестового покрытия не менее 25% для каждого модуля);
  • фаззинг-тестирование (ДАО.2);
  • экспертизу кода ОО (ЭКО) − ручной анализ участков исходного и восстановленного кода. Состав и глубина исследований дифференцированы по уровням контроля.
8. Оформление результатов (раздел 5). Результаты оформляются отдельным протоколом исследований, разрабатываемым в соответствии с Положением о системе сертификации средств защиты информации (приказ ФСТЭК России от 03.04.2018 № 55 «Об утверждении Положения о системе сертификации средств защиты информации» (далее − приказ ФСТЭК России № 55)). Протокол включает:
  • общие положения, объект и цели;
  • средства и условия;
  • технические результаты; результаты исследований;
  • перечень выявленных недостатков;
  • выводы
К протоколу прилагаются технические результаты (файлы конфигураций, журналы запуска инструментов и работы с результатами, разметка, скриншоты); каждое предупреждение, отнесённое к той или иной категории (истинное/ложное срабатывание), сопровождается содержательным комментарием (формулировки общего вида не допускаются). Выявленные недостатки, принятые разработчиком меры по устранению и вердикты лаборатории фиксируются по установленной форме (таблица 6). Сведения об уязвимостях ОО и его компонентов направляются разработчиком в банк данных угроз безопасности информации ФСТЭК России. Протокол подписывается проводившими исследования исследователями, которые несут ответственность за сделанные выводы.
Что должны сделать организации?
01
Испытательным лабораториям:
  • привести процессы исследований ОО (в рамках сертификационных испытаний и при внесении изменений в сертифицированные средства) в соответствие с новой Методикой, прекратив применение методического документа от 25.12.2020;
  • определить применимый уровень контроля (из шести) в соответствии с Требованиями доверия (приказ ФСТЭК России № 76) и сформировать состав и глубину исследований исходя из него;
  • подготовить исходные данные и стенд (этапы ПОД.1 и ПОД.2): собрать документацию, исходный код, сборочную среду, дистрибутив, перечень компонентов и образов контейнеров, результаты процессов разработки по ГОСТ Р 56 939−2024 и тестовую документацию; сформировать и проверить на полноту перечень анализируемых модулей и выделить критичные участки кода;
  • провести исследования по четырем направлениям − анализ архитектуры (КАО.1/КАО.2), статический анализ (САО), динамический анализ (ДАО.1 с тестовым покрытием не менее 25%, ДАО.2 − фаззинг) и экспертизу кода (ЭКО) − с использованием инструментальных средств без ограничений на применение в России;
  • оформить протокол исследований по требованиям раздела 5 и Положения о системе сертификации средств защиты информации (приказ ФСТЭК России № 55), приложив технические результаты и содержательную разметку предупреждений.
02
Разработчикам ОО:
  • использовать положения Методики для организации внутренних процессов жизненного цикла ПО по ГОСТ Р 56 939−2024;
  • устранять выявленные недостатки (в том числе в ходе исследования);
  • направлять сведения об уязвимостях ОО и его компонентов в банк данных угроз безопасности информации ФСТЭК России.
03
Разработчикам с сертификатом соответствия процессов безопасной разработки требованиям ГОСТ Р 56 939−2024 учитывать возможность привлечения своих специалистов в качестве специалистов испытательной лаборатории.
Типовые межотраслевые нормы труда на работы по защите информации в ГИС
ФСТЭК России опубликовала информационное сообщение от 03.06.2026 № 240/22/3821 об утверждении приказа Министерства труда РФ (далее — Минтруд России) России от 19.03.2026 № 106нДСП «Об утверждении Типовых межотраслевых норм труда (норм времени) на работы по обеспечению защиты информации, содержащейся в ГИС, иных ИС государственных органов, государственных организаций, государственных учреждений». Приказ Минтруда России имеет пометку «для служебного пользования». В открытом доступе размещено информационное сообщение ФСТЭК России о его утверждении.
Типовые межотраслевые нормы труда определяют нормы времени в человеко-часах для одной типовой ИС (объекта), государственного органа (организации) или документа в зависимости от вида выполняемой работы. Они предназначены для планирования и реализации требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных организаций и учреждений, установленных частью 5 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Основные положения:
1. Предмет нормирования. Нормы времени в человеко-часах устанавливаются для одной типовой ИС (объекта), государственного органа (организации) или документа в зависимости от вида выполняемой работы по обеспечению защиты информации.
2. Рекомендации ФСТЭК России по расчету норм. В целях расчета норм труда (норм времени) при реализации требований о защите информации в ГИС и иных ИС государственных органов, государственных организаций и учреждений в зависимости от масштаба ИС, класса защищенности ИС и условий их эксплуатации ФСТЭК России разработаны соответствующие рекомендации по расчету норм труда на работы по обеспечению защиты информации.
3. Порядок доведения документа. В соответствии с письмом Минтруда России от 12.05.2026 № 14−1/10/В-7769ДСП ФСТЭК России дано право по доведению Типовых межотраслевых норм труда до государственных органов, государственных организаций и государственных учреждений.
Что должны сделать организации?
01
Руководствоваться Типовыми межотраслевыми нормами труда при планировании и реализации требований о защите информации, содержащейся в ГИС и иных ИС государственных органов, государственных организаций и учреждений.
02
Использовать разработанные рекомендации ФСТЭК России по расчету норм труда (норм времени) с учетом масштаба ИС, класса их защищенности и условий эксплуатации.
03
Получить документ в установленном порядке.
04
Применять нормы времени при кадровом и организационном планировании работ по защите информации − для расчета трудозатрат на одну типовую ИС (объект), государственный орган (организацию) или документ в зависимости от вида выполняемой работы.
Деятельность ТК 362
На сайте ФСТЭК России опубликована Справка-доклад о ходе работ по техническому комитету по стандартизации «Защита информации» (далее − ТК 362) на 2026 год по состоянию на 27 мая 2026 года.
Основные итоги:
1. Разработка и актуализация стандартов:
  • проект ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации» (разработчик − АО «Аладдин Р.Д.») с мотивированным предложением о его утверждении направлен в Росстандарт на издательское редактирование и подготовку к утверждению. Ранее по проекту было подготовлено решение ТК 362 о представлении его окончательной редакции (приказ ФГБУ «НТЦ ФСТЭК России» от 04.05.2026 № 989), а решение председателя ТК 362 от 19.05.2026, мотивированное предложение, протокол заседания, экспертное заключение и копии уведомлений о разработке и завершении публичного обсуждения направлены разработчику (приказ от 22.05.2026 № 1170);
  • проект ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» доработан разработчиком (ООО «Открытая мобильная платформа») по замечаниям, полученным от ТК 167 «Программно-аппаратные комплексы для КИИ и программное обеспечение для них». В настоящее время проект, пояснительная записка и сводка отзывов подготавливаются разработчиком для представления в секретариат ТК 362 (ожидаемый срок − июнь 2026 г.);
  • проект ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратно-программной платформе» доработан разработчиком (АО «Актив-софт») по замечаниям рабочей группы РГ ¾ и представлен председателю РГ 3 на согласование для дальнейшего представления в секретариат ТК 362 (плановый срок − июль 2026 г.);
2. Нормативно-правовая деятельность:
  • утвержденное председателем ТК 362 решение о создании РГ 2/4 по разработке проекта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Среда разработки безопасного программного обеспечения. Общие требования», о назначении руководителя и утверждении состава РГ 2/4 (от 05.05.2026 № 4/26) направлено по электронной почте (06.05.2026) руководителю РГ 2/4 и размещено на странице ТК 362 официального сайта ФСТЭК России;
  • подготовлены и направлены в организации-разработчики − члены ТК 362 (ООО «Ц», ООО «Профископ», ФГУП «НПП», АО «Аладдин Р.Д.», АО «Лаборатория Касперского», ООО «Открытая мобильная платформа», НПО «Доверенная платформа») информационные письма о необходимости представления в секретариат ТК 362 справок о состоянии работ по разработке проектов национальных стандартов согласно плану работы ТК 362 (приказы ФГБУ «НТЦ ФСТЭК России» №№ 1196−1200 от 26.05.2026, исх. №№ 1059/12−1062/12 от 26.05.2026);
3. Организационная работа и членский состав:
  • подготовлено и представлено председателю ТК 362 решение о приеме в состав ТК 362 ФГАОУ ВО «Уральский федеральный университет имени первого Президента России Б. Н. Ельцина» со статусом «Наблюдатель» (приказ ФГБУ «НТЦ ФСТЭК России» от 20.05.2026 № 1110);
  • подготовлено и представлено председателю ТК 362 решение о приеме в состав ТК 362 ФГУП «5 ЦНИИИ» Министерства обороны России со статусом «Наблюдатель» (приказ ФГБУ «НТЦ ФСТЭК России» от 28.05.2026 № 1203).
Контроль и надзор
Перечень нормативных правовых актов ФСТЭК России
ФСТЭК России разместила два актуализированных перечня нормативных правовых актов, содержащих обязательные требования, соблюдение которых оценивается при лицензировании: по деятельности по технической защите конфиденциальной информации и по деятельности по разработке и производству средств защиты конфиденциальной информации (оба − по состоянию на 10 июня 2026 г.). Перечни носят справочно-систематизирующий характер: они сводят воедино акты, применяемые при оценке соответствия соискателей лицензий и лицензиатов лицензионным требованиям.
Что должны сделать организации?
01
Свериться с перечнем и обеспечить соблюдение требований.
02
Подготовиться к оценке соответствия лицензионным требованиям по соответствующей форме оценочного листа.
03
Проверить наличие необходимого оборудования и документов согласно перечням, методическим документам и национальным стандартам, утвержденных ФСТЭК России.
04
Использовать перечни как ориентир при внутреннем аудите соответствия и при подготовке к контрольным (надзорным) мероприятиям в рамках лицензионного контроля.