1. Распространяется ли ФСТЭК №117 на КИИ
Да. Методика оценки показателя состояния технической защиты информации (утв. ФСТЭК 11.11.2025) в заголовке прямо указывает, что распространяется на оценку «обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Настоящая Методика определяет показатель, характеризующий текущее состояние технической защиты информации, содержащейся в информационных системах, и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
2. На кого именно распространяется методика
Методика (п. 3) определяет круг организаций, для которых применяется оценка КЗИ:
3. Связь с приказами ФСТЭК для КИИ
Методика в сноске 1 перечисляет нормативные правовые акты, меры из которых формируют «минимально необходимый уровень защиты». Для КИИ это:
Приказ ФСТЭК №239 — основной для КИИ
Приказ ФСТЭК №239 от 25.12.2017 устанавливает требования по обеспечению безопасности значимых объектов КИИ. При расчёте КЗИ по методике (утв. 11.11.2025) меры из приказа 239 формируют «минимально необходимый уровень защиты» (сноска 1 Методики).
4. Что методика НЕ покрывает для КИИ
Важно понимать границы применения. Методика прямо исключает одну область:
п. 6 Методики оценки КЗИМетодика не применяется для оценки деятельности в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
5. Если система — и ГИС, и объект КИИ
На практике многие системы имеют «двойной статус»: являются одновременно ГИС (приказ 117) и значимым объектом КИИ (приказ 239). В этом случае:
6. Риски для субъектов КИИ при низком КЗИ
Для субъектов КИИ последствия несоответствия нормированному значению КЗИ серьёзнее, чем для обычных ГИС: