6 мая 2026 г.

Михаил Манцуров

Приказ ФСТЭК № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» от 11.04.2025 вступил в силу с 1 марта 2026 года. Он заменил аналогичный приказ, который действовал для государственных информационных систем более 10 лет — Приказ ФСТЭК № 17 от 11 февраля 2013 года.

Целью нового приказа является усиление требований по защите информации, содержащейся в государственных информационных системах, а также расширение области их применения.

Давайте остановимся на самых важных нововведениях, о которых должны в первую очередь знать разработчики, выполняющие проекты по заказу государственных органов, а также собственники и руководители компаний, взаимодействующих с ними или с компаниями с госучастием, а также элементами государственной критической информационной инфраструктуры.

1. Расширение сферы применения

Если Приказ № 17 касался только государственных информационных систем (ГИС) и систем защиты информации по требованию закона, то действие нового приказа расширено на:

  • любые ИС государственных органов, государственных унитарных предприятий, государственных учреждений (т.е. всех организаций, имеющих отношение к государству, вне зависимости от используемых систем);

  • объекты информатизации любых организаций, которые взаимодействуют с ГИС (подключены к ГИС).

2. Переход к процессному подходу

Главное изменение на идеологическом уровне — переход от соблюдения конечного списка обязательных мер к управлению процессами на основе цикла PDCA (называемого также циклом Деминга), что нашло отражение во всех разделах документа.

Теперь оператор обязан не просто устанавливать средства защиты информации, но также разрабатывать и соблюдать целый комплект внутренних документов, связанных в единую иерархию. Их перечень включает более 40 внутренних документов от политики конфиденциальности до модели угроз конкретной ИСПДн.

Другие нововведения касаются:

  • обязанностей по выделению организационных, технических и иных ресурсов, необходимых для защиты информации;

  • требований документального закрепления ответственности за деятельность по защите информации за конкретными сотрудниками и подразделениями;

  • расширения перечня мероприятий по защите информации с учетом новых технологических аспектов — облачных сервисов, контейнерных сред, интернета вещей, искусственного интеллекта, мер по безопасной разработке ПО, использованию мобильных устройств и удаленного доступа (отметим, что в приказе отсутствует упоминание наборов мер для соответствующих классов защиты ИС — предполагается, что ФСТЭК планирует их выпустить в виде отдельного методического документа);

  • усиления требований к защите привилегированных учетных записей в части использования более строгой аутентификации или усиленной многофакторной аутентификации;

  • определения сроков устранения уязвимостей критического (24 часа) и высокого (7 суток) уровня;

  • запрета на «бесконтрольную» установку обновлений — Приказ требует обязательного наличия тестовой среды (стенда) для проверки обновлений перед применением в промышленном контуре;

  • установки интервалов времени, отводимых на восстановления ИС с момента обнаружения нарушения функционирования, а именно — не более 24 часов для ИС 1-го класса защищенности, не более 7 календарных дней — для ИС 2-го класса, не более 4 недель — для ИС 3-го класса;

  • ужесточения требований к подрядчикам — от документирования внутренних регламентов защиты информации, к которой подрядчик получил доступ, до запрета на разработку и тестирование ПО в производственном контуре.

3. Закрепление метрик по оценке состояния защиты информации

Согласно новому Приказу:

  • расчет показателя защищенности КЗИ должен производиться не реже 1 раза в 6 месяцев;

  • расчет показателя уровня зрелости ПЗИ — не реже 1 раза в 2 года.

Результаты такой оценки должны быть в течение 5 рабочих дней направлены во ФСТЭК.

Хотим обратить ваше внимание, что показатель защищенности должен рассчитываться согласно «Методике оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» ФСТЭК от 11 ноября 2025 года. Что касается методического документа для расчета уровня зрелости, то он пока не утвержден.

4. Расширение требований по обязательной аттестации: не только ГИС

Как и раньше, все ГИС аттестуются в обязательном порядке, но нововведения касаются и других информационных систем, а именно:

  • иные ИС госорганов аттестуются по решению руководителя или ответственного лица;

  • любые объекты информатизации, подключенные к ГИС, теперь аттестуются по требованию оператора ГИС.

Как соблюсти новые требования регулятора

Мы уже много лет работаем с регуляторными требованиями в области информационной безопасности, в том числе и как участники процесса разработки нормативной документации, давая комментарии по оптимизации будущих НПА (нормативно-правовых актов). Можно сказать, что 117-й Приказ ФСТЭК России совершенно логично укладывается в общую канву последних нововведений, усиливая контроль за критически значимыми сегментами государственных информационных систем.

С учетом изменений и дополнений, которые этот документ внес в регуляторную практику, компаниям — заказчикам, владельцам и разработчикам — необходимо дополнительно оценить свою готовность отчитаться перед регулятором по следующим моментам.

  • Классификация систем. Для системы должен быть определен уровень значимости информации и масштаба системы (К1, К2, К3), о результатах необходимо отчитаться регулятору с помощью соответствующего акта.

  • Политики и регламенты. Необходимо иметь разработанные и внедренные стандарты, включая политики идентификации, удаленного доступа, использования мобильных устройств и облачных вычислений.

  • Организация службы ИБ. Иметь разработанные и внедренные документы, описывающие обязанности ответственных лиц — внутренние положения о подразделении защиты информации, учитывающие требования к квалификации персонала, в том числе необходимость иметь в штате не менее 30% специалистов соответствующего профиля.

  • Модель угроз. Наличие модели угроз, разработанной на основе банка данных ФСТЭК России с учетом новых векторов атак.

  • Защита ИТ-инфраструктуры. Наличие сертифицированных средств защиты для микросервисов типа Docker и Kubernetes, механизмов виртуализации и облачных сред.

  • Контроль конфигураций. Подтверждение наличия процессов и средств контроля за изменениями настроек ПО и оборудования для предотвращения несанкционированного доступа.

  • Безопасный удаленный доступ. Для работы удаленных сотрудников должны применяться строгие правила аутентификации и использования исключительно защищенных каналов связи.

За каждым из этих пунктов скрывается множество специфических подзадач и, главное, подводных камней, которые лучше обсудить с вашим личным специалистом по информационной безопасности, а еще лучше — с ним же, но в компании с независимым экспертом с лицензией ФСТЭК.

Краткий вывод

Модернизация требований по защите информации для госсектора кажется закономерной и естественной. Однако новый приказ — это не просто ввод дополнительных мер защиты с учетом изменившегося ИТ-ландшафта, которые сводятся с простым ростом дополнительной бюрократической нагрузки. Эти требования знаменуют собой переход от реактивной модели защиты к проактивной, при которой безопасность должна стать непрерывным процессом, интегрированным в жизненный цикл ИС.

Источник: Михаил Манцуров, руководитель направления аудита и консалтинга в области информационной безопасности «САЙБЕР Бизнес Консалтинг»