11 апреля 2025 года Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России) издала приказ № 117, устанавливающий обновленные нормативы в сфере обеспечения информационной безопасности в государственных информационных системах, а также в иных информационных системах органов государственной власти, унитарных предприятий, бюджетных учреждений и муниципальных образований. Данный нормативный акт вступит в действие 1 марта 2026 года, заменив собой приказ ФСТЭК России № 17 от 11.02.2013 «Об утверждении Требований по защите информации, не содержащей государственную тайну, в государственных информационных системах».
Приказ № 117 существенно расширяет область регулирования, вводя дополнительные механизмы защиты данных, включая обязательное использование сертифицированных средств защиты информации, ужесточенные стандарты аутентификации и мониторинга угроз. В данном материале рассматриваются ключевые изменения, новые нормативные положения и их влияние на ИТ-инфраструктуру государственных структур, унитарных предприятий, учреждений и муниципалитетов.
Основные изменения в регулировании
Если приказ № 17 распространялся исключительно на государственные информационные системы (ГИС), то приказ № 117 охватывает:
- информационные системы федеральных и региональных органов власти;
- информационные системы государственных унитарных предприятий (ГУП) и учреждений;
- муниципальные информационные системы.
Таким образом, все организации, связанные с государственным управлением, обязаны привести свои информационные системы в соответствие с новыми требованиями.
Новые обязательные меры защиты
Приказ № 117 устанавливает 17 базовых мер защиты, среди которых:
1. Идентификация и аутентификация пользователей.
2. Управление правами доступа.
3. Фиксация событий информационной безопасности.
4. Обеспечение безопасности виртуализации и облачных сервисов.
5. Защита контейнерных сред и систем их оркестрации.
6. Безопасность электронной почты.
7. Защита веб-технологий.
8. Обеспечение безопасности API.
9. Защита терминальных устройств.
10. Безопасность мобильных устройств.
11. Защита IoT-устройств.
12. Обеспечение безопасности точек беспроводного доступа.
13. Антивирусная защита.
14. Обнаружение и предотвращение сетевых вторжений.
15. Сегментация сетей и использование межсетевых экранов.
16. Защита от DDoS-атак.
17. Обеспечение безопасности каналов передачи данных.
Следует отметить, что в приказе № 117 отсутствует привычное деление мер по классам защиты. Ожидается, что ФСТЭК России в ближайшее время выпустит отдельный документ, детализирующий порядок выполнения указанных требований.
Ключевые нововведения
Приказ № 117 вносит значительные изменения в подход к защите информации, что потребует существенной корректировки работы государственных и муниципальных организаций, а также подведомственных предприятий.
1. Модернизация систем защиты
- Обязательное применение сертифицированных средств защиты информации.
- Соблюдение ограничений, установленных Указом Президента РФ от 01.05.2022 № 250, даже для систем, не относящихся к ГИС.
2. Усиление аутентификации
- Использование строгой аутентификации для привилегированного доступа.
- Применение многофакторной аутентификации (MFA) при технических ограничениях.
- Обеспечение безопасности удаленного доступа, включая мобильные устройства.
3. Защита современных технологий
- Впервые регламентированы требования к облачным сервисам, контейнерным средам и IoT.
4. Отчетность перед ФСТЭК России
- Проведение регулярных оценок защищенности (раз в полгода — оценка защищенности, раз в два года — оценка уровня зрелости).
- Уведомление регулятора об обнаруженных уязвимостях в течение 5 рабочих дней.
5. Мониторинг и безопасная разработка
- Внедрение автоматизированных систем мониторинга угроз.
- Соблюдение требований ГОСТ Р 56939–2024 при самостоятельной разработке ПО.
- Включение требований к безопасной разработке в технические задания для подрядчиков.
6. Искусственный интеллект
- При использовании ИИ-технологий должны применяться доверенные решения, соответствующие Национальной стратегии развития искусственного интеллекта.
7. Аттестация информационных систем
- Обязательная аттестация сохраняется только для ГИС.
- Действующие аттестаты соответствия остаются в силе, повторная аттестация не требуется.
- При модернизации системы аттестация проводится по новым требованиям.
Вывод
Таким образом Приказ ФСТЭК России № 117 ужесточает требования к защите информации и стимулирует модернизацию систем безопасности в государственном секторе. Организациям следует начать подготовку заранее, чтобы успеть адаптироваться к изменениям до 1 марта 2026 года.
Несоблюдение новых требований может повлечь санкции со стороны регулятора, в то время как расширение регулирования создаст дополнительный спрос на услуги в сфере информационной безопасности. Для поставщиков ИБ-решений это открывает новые возможности для реализации проектов по модернизации защитных механизмов.