Найти в Дзене
TS Solution
747 подписчиков

Что изменится в защите госсистем с 1 марта 2026 года: приказ ФСТЭК № 117

4
3 мин
1 апреля 2025 года увидел свет новый Приказ ФСТЭК России № 117, который кардинально меняет привычные подходы к защите информации ограниченного доступа в государственных структурах.
С 1 марта 2026 года он заменит собой действующий уже более 10 лет Приказ № 17. Это не просто обновление — это смена парадигмы, которая потребует от ИБ-специалистов госсектора пересмотреть свои подходы к построению систем защиты.
В этой статье мы разберем ключевые нововведения приказа и расскажем, на что стоит обратить внимание уже сейчас, чтобы подготовиться к изменениям.
Сфера действия расширяется: под ударом все системы госорганов
Первое и самое важное изменение — приказ распространяется не только на государственные информационные системы (ГИС), но и на любые другие информационные системы государственных органов, учреждений и унитарных предприятий.
Под действие новых требований теперь попадают: Один из главных шоков для специалистов — в приказе № 117 отсутствует привычное деление на классы защищенности
Оглавление

1 апреля 2025 года увидел свет новый Приказ ФСТЭК России № 117, который кардинально меняет привычные подходы к защите информации ограниченного доступа в государственных структурах.

С 1 марта 2026 года он заменит собой действующий уже более 10 лет Приказ № 17. Это не просто обновление — это смена парадигмы, которая потребует от ИБ-специалистов госсектора пересмотреть свои подходы к построению систем защиты.


В этой статье мы разберем ключевые нововведения приказа и расскажем, на что стоит обратить внимание уже сейчас, чтобы подготовиться к изменениям.

Сфера действия расширяется: под ударом все системы госорганов
Первое и самое важное изменение — приказ распространяется не только на государственные информационные системы (ГИС), но и на любые другие информационные системы государственных органов, учреждений и унитарных предприятий.

Под действие новых требований теперь попадают:

  • Системы внутреннего электронного документооборота (ЭДО);
  • Кадровые системы;
  • Бухгалтерские и учетные системы;
  • И другие ИС, обрабатывающие информацию ограниченного доступа.

Важный нюанс: Такая система не станет автоматически ГИС — от нее не потребуется обязательная аттестация и согласование модели угроз. Но защищать ее придется по новым, более строгим правилам.

Исчезли классы и базовые меры: на что теперь ориентироваться?

Один из главных шоков для специалистов — в приказе № 117 отсутствует привычное деление на классы защищенности и нет базового набора мер защиты.

Нет этапов жизненного цикла ИС;
Нет таблицы с мерами для каждого класса;
Нет самого понятия «базовый набор мер».

Возникает резонный вопрос: как же работать? Ответ есть: ФСТЭК России готовит методические документы, которые должны восполнить эти «пробелы» и детализировать требования с учетом классов защищенности. Пока же можно ориентироваться на ГОСТ 51583-2014 по жизненному циклу.

Новый подход: от «мер» к «мероприятиям»

Ключевое изменение философии документа — переход от абстрактных «мер» к конкретным «мероприятиям». От организаций теперь требуется не просто «иметь средство защиты», а реализовывать четкий перечень действий.


Это позволяет уже сейчас начать подготовку:

  1. Рассмотреть внедрение EDR-решений для защиты конечных устройств.
  2. Проанализировать системы безопасного удаленного доступа к своим ИС.
  3. Пересмотреть программы обучения пользователей, сделав их более практико-ориентированными.

17 подсистем защиты и новые вызовы: ИИ и не только

Приказ описывает 17 подсистем защиты информации. Помимо классических (управление доступом, антивирусная защита), появились и абсолютно новые, отражающие современные угрозы.

-2

Это сигнал: угрозы эволюционируют, и защита должна идти в ногу с ними. Просто «закрыть доступ в интернет» — уже недостаточно.

Что будет дальше?

Ожидается публикация методических документов от ФСТЭК, которые:

  • Детализируют меры по классам защищённостиэ
  • Уточнят требования к реализации подсистем
  • Введут показатель уровня зрелости (maturity level) — аналог NIST CSF или CIS Controls

Это значит, что оценка безопасности будет не двоичной («есть/нет защита»), а градуированной — сколько процентов требований выполнено, насколько зрела система защиты.


Что можно сделать уже сейчас?

  • Проведите инвентаризацию всех ИС в вашей организации — не только ГИС, но и СЭД, HRM, ERP
  • Оцените текущий уровень защиты по новым подсистемам (особенно: EDR, удалённый доступ, обучение)
  • Запланируйте апгрейд инфраструктуры: если у вас нет EDR — начните поиск решений
  • Обновите политики ИБ с учётом новых требований к обучению, доступу, обработке данных
  • Подготовьтесь к аудиту зрелости — собирайте доказательства выполнения мероприятий

Как команда TS Solution может вам помочь?

Мы уже анализируем новые требования и адаптируем наши решения под них:

  • TS Hard — поможет привести системы к безопасным конфигурациям, соответствующим новым подсистемам
  • ScanBox — протестирует устойчивость почты к атакам (критично при расширении периметра)
  • Multicheck — экспресс-аудит вашей инфраструктуры на соответствие новым мерам
  • Консультации и сопровождение — наши инженеры помогут разобраться в деталях и построить дорожную карту перехода

Заключение

Приказ №117 — не просто замена документа. Это новая эра информационной безопасности в госсекторе, где важна не сама форма, а реальная защита.

Организациям нужно перестать думать в категориях «аттестовали — забыли». Теперь безопасность выглядит как процесс, с постоянным контролем, обучением и внедрением современных технологий.

Начните подготовку уже сегодня. Потому что с 1 марта 2026 года отсрочки не будет.