Найти в Дзене
КиберБез инструктаж
11 подписчиков

Новые правила кибербезопасности: что изменилось в 17 и 117 приказах ФСТЭК

32
5 мин
Российская система информационной безопасности переживает важную трансформацию! С 1 марта 2026 года в силу вступит новый приказ ФСТЭК № 117, который полностью заменит действующий с 2013 года приказ № 17. Этот переход затронет множество государственных организаций и существенно изменит подходы к защите информации 🛡️. Новый документ не только ужесточает требования безопасности, но и расширяет сферу применения, охватывая теперь не только государственные информационные системы (ГИС), но и системы государственных унитарных предприятий и учреждений. Для специалистов по информационной безопасности это означает необходимость серьезной подготовки к переходу на новые стандарты 🚀. Приказ № 17 от 11 февраля 2013 года устанавливал требования по защите информации, не составляющей государственную тайну, в государственных информационных системах. Документ был создан для предотвращения утечки, несанкционированного доступа и специального воздействия на информацию. Действие приказа № 17 распространяло
Оглавление

📋 Введение

Российская система информационной безопасности переживает важную трансформацию! С 1 марта 2026 года в силу вступит новый приказ ФСТЭК № 117, который полностью заменит действующий с 2013 года приказ № 17. Этот переход затронет множество государственных организаций и существенно изменит подходы к защите информации 🛡️.

Новый документ не только ужесточает требования безопасности, но и расширяет сферу применения, охватывая теперь не только государственные информационные системы (ГИС), но и системы государственных унитарных предприятий и учреждений. Для специалистов по информационной безопасности это означает необходимость серьезной подготовки к переходу на новые стандарты 🚀.

🔍 Характеристика приказа № 17 (2013)

📊 Основные положения

Приказ № 17 от 11 февраля 2013 года устанавливал требования по защите информации, не составляющей государственную тайну, в государственных информационных системах. Документ был создан для предотвращения утечки, несанкционированного доступа и специального воздействия на информацию.

🎯 Сфера действия

Действие приказа № 17 распространялось на:

  • Федеральные информационные системы
  • Региональные информационные системы
  • Муниципальные информационные системы (при отсутствии отдельного регулирования)

⚙️ Классификация систем

Приказ предусматривал четыре класса защищенности информационных систем, которые определялись в зависимости от уровня значимости обрабатываемой информации и масштаба системы.

🔧 Основные требования

Документ включал "базовые наборы мер" для каждого класса защищенности, включая:

  • Идентификацию и аутентификацию
  • Управление доступом
  • Регистрацию событий безопасности
  • Антивирусную защиту
  • Защиту машинных носителей информации

🆕 Характеристика приказа № 117 (2025)

🌐 Расширенная область применения

Приказ № 117 кардинально расширяет сферу действия, распространяясь на:

  • Государственные информационные системы
  • Информационные системы государственных органов
  • Системы государственных унитарных предприятий
  • Системы государственных учреждений
  • Муниципальные информационные системы

🎯 Новый подход к целям защиты

Главная цель теперь формулируется через предотвращение негативных последствий для государства или организации. Под ними понимаются:

  • Угрозы жизни и здоровью граждан 👥
  • Утечки персональных данных 📱
  • Нарушения работы критических систем управления ⚡
  • Материальный ущерб 💸
  • Утрата конкурентных преимуществ 📈

🛠️ Модернизированные технические требования

Новый приказ включает 17 ключевых мер защиты, среди которых:

  • Защита виртуализации и облачных вычислений ☁️
  • Защита технологий контейнерных сред 📦
  • Защита программных интерфейсов API 🔗
  • Защита мобильных устройств 📱
  • Защита технологий интернета вещей 🌐
  • Защита искусственного интеллекта 🤖

📊 Сравнительная таблица ключевых изменений

КритерийПриказ № 17 (2013)Приказ № 117 (2025)Сфера примененияТолько ГИСГИС + системы госорганов, ГУПов, учреждений, МИСКлассы защищенности4 класса3 классаОсновные мерыБазовые наборы по классам17 ключевых мерТребования к кадрамНе регламентированыМинимум 30% с профильным образованиемСроки устранения уязвимостейНе установленыКритичные - 24 часа, высокие - 7 днейКонтроль защищенностиПо необходимостиНе реже 1 раза в 3 годаОтчетность в ФСТЭКНе требоваласьОбязательная ежегодная и полугодовая

🔄 Ключевые изменения и нововведения

👨💼 Кадровые требования

Одним из важнейших нововведений стало требование к квалификации сотрудников: не менее 30% работников подразделения информационной безопасности должны иметь профильное образование или пройти переподготовку. Это серьезно повысит планку профессионализма в сфере ИБ! 📚

⏰ Жесткие сроки устранения уязвимостей

Приказ № 117 устанавливает четкие временные рамки:

  • Критические уязвимости: устранение в течение 24 часов ⚡
  • Высокого уровня: не более 7 календарных дней 📅
  • Средние и низкие: сроки определяются внутренними регламентами 📋

📈 Регулярный мониторинг и отчетность

Новый документ вводит системный подход к контролю:

  • Оценка показателей защищенности каждые полгода 📊
  • Контроль уровня защищенности не реже раза в 3 года 🔄
  • Обязательная отчетность в ФСТЭК о состоянии безопасности 📄

🤝 Ужесточение требований к подрядчикам

Приказ № 117 существенно усиливает контроль за внешними организациями:

  • Обязательная разработка собственной политики ИБ 📑
  • Соблюдение требований заказчика 🎯
  • Включение обязательств по безопасности в договоры 📜

🔬 Внедрение новых технологий защиты

Документ учитывает современные технологические вызовы:

  • Обязательный контроль достоверности ответов ИИ-систем 🤖
  • Защита контейнерных технологий и их оркестрации 📦
  • Усиленная защита API и веб-технологий 🌐
  • Специальные требования к защите IoT-устройств 🔗

⏳ Переходный период и практические рекомендации

📅 Временные рамки

Организациям предоставлен переходный период до 1 марта 2026 года для адаптации к новым требованиям. Важно отметить, что действующие аттестаты соответствия сохранят свою силу, что смягчает переход.

✅ Что нужно сделать организациям:

До вступления приказа в силу:

  1. 🔍 Провести аудит текущего состояния систем защиты
  2. 📋 Разработать политику защиты информации и внутренние регламенты
  3. 👥 Обеспечить соответствие кадрового состава новым требованиям
  4. 🛠️ Модернизировать техническую инфраструктуру безопасности
  5. 📊 Внедрить системы мониторинга и контроля уязвимостей

После вступления в силу:

  1. 📈 Организовать регулярную отчетность в ФСТЭК
  2. 🔄 Проводить плановые оценки защищенности
  3. ⚡ Обеспечить соблюдение новых сроков устранения уязвимостей
  4. 🤝 Адаптировать работу с подрядными организациями

🎯 Выводы

Переход от приказа № 17 к приказу № 117 представляет собой качественный скачок в развитии российской системы информационной безопасности 🚀. Новый документ не просто ужесточает требования, но и предлагает системный, современный подход к защите информации.

Ключевые преимущества нового приказа:

  • 🌐 Расширение сферы действия обеспечит единые стандарты безопасности
  • 👨🎓 Повышение квалификационных требований улучшит качество защиты
  • ⏰ Четкие сроки устранения уязвимостей ускорят реагирование на угрозы
  • 📊 Регулярный мониторинг позволит поддерживать актуальный уровень защиты

Вызовы для организаций:

  • 💰 Необходимость дополнительных инвестиций в ИБ-инфраструктуру
  • 📚 Потребность в обучении и переподготовке кадров
  • 📋 Увеличение административной нагрузки по отчетности
  • 🔄 Необходимость пересмотра процессов и процедур

Успешный переход на новые требования потребует от организаций комплексного подхода, включающего техническую модернизацию, организационные изменения и развитие человеческого капитала. Однако результатом станет существенное повышение уровня информационной безопасности и готовности к современным киберугрозам 🛡️.

Время действовать уже настало! Организациям важно не откладывать подготовку к переходу, чтобы обеспечить плавную адаптацию к новым требованиям и избежать нарушений законодательства 📈✨.