Найти в Дзене
ООО «Рубикон». Комплексные ИБ-решения
377 подписчиков

Ключевые положения приказа №117 ФСТЭК

24
8 мин
Уже 01.03.2026 года начинает действовать новый приказ ФСТЭК. Нормативный акт устанавливает обновленные требования к защите информации, содержащейся в ГИС. В связи с утверждением нового приказа утратят силу прежние требования, которые регламентировал Приказ №17 от 11.02.2013 г. Следует учитывать, что аттестаты соответствия информационных систем, которые были или будут выданы до 01.03.2026 года, будут считаться действительными и после введения нового приказа. Одним из главных последствий введения в действие нового приказа будет расширение сферы его действия. С 1 марта 2026 года действие документа будет распространяться не только на ГИС, но также на иные информационные системы: Исключение будет сделано только для ИС спецслужб и высших органов власти. Также приказ не затронет информационные системы, которые используются для управления военной техникой и вооружениями. При подготовке организаций к реализации внедрения требований Приказа следует обратить внимание на следующий принципиальный м
Оглавление

Уже 01.03.2026 года начинает действовать новый приказ ФСТЭК. Нормативный акт устанавливает обновленные требования к защите информации, содержащейся в ГИС. В связи с утверждением нового приказа утратят силу прежние требования, которые регламентировал Приказ №17 от 11.02.2013 г.

Следует учитывать, что аттестаты соответствия информационных систем, которые были или будут выданы до 01.03.2026 года, будут считаться действительными и после введения нового приказа.

Основные положения и ключевые требования

Одним из главных последствий введения в действие нового приказа будет расширение сферы его действия. С 1 марта 2026 года действие документа будет распространяться не только на ГИС, но также на иные информационные системы:

  • государственных унитарных предприятий;
  • госорганов и учреждений;
  • муниципальные ИС.

Исключение будет сделано только для ИС спецслужб и высших органов власти. Также приказ не затронет информационные системы, которые используются для управления военной техникой и вооружениями.

При подготовке организаций к реализации внедрения требований Приказа следует обратить внимание на следующий принципиальный момент.

Приказ вводит элементы цикла Деминга-Шухарта, обозначая их как базис управления деятельностью по ИБ. Именно эта цикличность, пусть и в иной формулировке, прослеживается и в требованиях нового приказа (п.28 документа).

В частности, в п.28 Приказа прописана необходимость:

  • совершенствовать меры защиты информации;
  • оценивать состояние защиты данных;
  • разрабатывать и планировать. а также реализовывать мероприятия и меры по обеспечению безопасности информации.

Таким образом, организациям необходимо обеспечить более зрелый подход к процессам защиты информации с учетом необходимости их постоянного совершенствования.

Обновление требований к технологиям и ИБ-сотрудникам

Документ устанавливает требования к защите данных при использовании технологий искусственного интеллекта, причем предусматривает необходимость ограничивать возможности ИИ и контролировать его работу. В частности, потребуется определить тематики взаимодействия, шаблоны запросов пользователей и ответов на них со стороны ИИ. Не менее важно разрабатывать и постоянно актуализировать критерии по выявлению недостоверных ответов ИИ и проводить их оперативную корректировку.

Регулятор не обошел вниманием и вопрос квалификации персонала, занимающегося защитой информации. В соответствии с п.20 Приказа в соответствующем структурном подразделении доля сотрудников, которые получили профессиональное образование в сфере ИБ либо прошли профессиональную переподготовку по этому направлению, должна составлять 30% и более.

Кроме того, обязанности и ответственность персонала должна быть четко прописана и закреплена документально – в должностных инструкциях и трудовых договорах.

Разработка безопасного ПО — что изменилось

В обновленном Приказе прямо прописана обязанность использовать конкретный ГОСТ для случаев, когда ПО разрабатывается самостоятельно либо с привлечением сторонних подрядчиков (п.50 рассматриваемого Приказа).

На что обратить внимание:

  • если разработка ведется самостоятельно – то требуется строго соблюдать разделы 4 и 5 вышеуказанного ГОСТа;
  • если ПО разрабатывает подрядчик – то указание на обязательное соответствие ГОСТ должно быть прописаны в ТЗ.

В число основных этапов разработки согласно ГОСТ входят:

  • Аналитика в части текущих угроз и требований безопасности;
  • Проектирование с учетом необходимости внедрения механизмов защиты на уровне архитектуры;
  • Безопасное кодирование (следование правилам безопасного программирования с исключением типовых хорошо известных уязвимостей);
  • Тестирование;
  • Управление обновлениями и конфигурациями;
  • Подготовка документации по ИБ.

Внедрение СОВ и EDR-систем

В соответствии с п.63 организации обязаны обнаруживать и предотвращать вторжения на сетевом уровне, а значит, теперь не обойтись без СОВ.

СОВ (система обнаружения вторжений) или IDS позволяет выявлять атаки на информационные ресурсы и своевременно получать уведомления о них для оперативного реагирования.

Для того, чтобы реализовать СОВ на сетевом уровне, потребуется:

1. обеспечить наличие функционирующих сетевых сенсоров обнаружения сетевых атак – это может быть как ПО, так и программно-аппаратные устройства;

2. обеспечить возможность анализа информации, которую соберут сетевых сенсоров обнаружения сетевых атак, а также предусмотреть генерацию отчетности по результатам анализа, управление реагированием на вторжения;

3. задокументировать процедуры.

Внедряя СОВ важно помнить, что система не предотвращает вторжение и никак не влияет на успешность действий злоумышленников, если те проникли в ИТ-инфраструктуру организации. Главная задача системы – вовремя зафиксировать компьютерный инцидент и уведомить о нем службу ИБ.

Несмотря на то, что в Приказе нет четкого требования внедрять именно EDR-системы, некоторые, его положения фактически обязывают использовать подобные решения в организациях. В частности, внедрение EDR становится необходимым для исполнения требований следующих пунктов:

  • Раздел III Приказа (в том числе п.41)
    Требуется внедрение средств для повышенного контроля над конечными устройствами. Системы класса EDR позволяют контролировать запуск ПО, блокировать вредоносные исполняемые файлы, обнаруживать аномалии (к примеру, подозрительные скрипты и сетевые подключения), мониторить службы и процессы на рабочих серверах и отдельных рабочих станциях.
  • Раздел III Приказа (в том числе п.49)
    Требуется непрерывно собирать, регистрировать и анализировать события безопасности (исключение сделано только для изолированных ИС). SIEM-системы позволяют централизованно собирать логи с контрольных точек, коррелировать события (чтобы выявлять цепочки атак) и формировать отчеты об угрозах (потребуются в соответствии с внутренними нормативными актами, а также пригодятся, чтобы передавать их во ФСТЭК в установленном порядке).
  • Раздел III Приказа и документ в целом в части общих мер защиты
    Установлены сжатые сроки устранения выявленных уязвимостей — 7 суток для высоких и всего 1 сутки для критических (если уровень средний и низкий – сроки можно установить внутренним регламентом, а для уязвимостей, не вошедших в соответствующий Банк данных ФСТЭК, на информирование ФСТЭК дается 5 рабочих дней). Здесь EDR пригодится для идентификации устройств с незакрытыми уязвимостями, оперативной блокировки использования слабых мест до устранения уязвимостей, а также контроля установки патчей.

По сути своей EDR можно и нужно рассматривать как уровень мониторинга, так как системы предназначены для записи действий процессов и пользователей, анализа текущих угроз.

Таким образом, несмотря на отсутствие прямых указаний на внедрение EDR, их использование может стать эффективным вариантом в части исполнения требований Приказа.

Оценочные показатели

Организации обязаны проводить оценку состояния защищенности данных – это требование теперь закреплено законодательно. Для этого потребуется определять два показателя:

  • Пзи (Показатель уровня зрелости)– оценивается каждые два года (это минимум – при необходимости можно чаще, но не реже). Показатель демонстрирует, насколько эффективны и достаточны мероприятия в сфере защиты информации. На текущий момент методика расчета находится на стадии разработки.
  • Кзи – оценивается каждые полгода по ранее утвержденной Методике ФСТЭК. Показатель защищенности позволяет понять, каково актуальное состояние защищенности от базовых угроз.

Результаты оценки показателей предоставляются в формате отчета в адрес ФСТЭК не позднее 5 рабочих дней с даты расчета.

Также согласно п.67 общий контроль уровня защищенности должен проводиться не реже 1 раза в 3 года либо в случае наступления компьютерного инцидента. Подробнее методы и периодичность необходимо отразить во внутренних регламентах. При этом следует учесть требование о предоставлении отчета в адрес ФСТЭК не позднее 5 рабочих дней с даты завершения проверки.

Особенности документации и работа с подрядчиками

С введением в действие рассматриваемого Приказа разработка и утверждение (а также, разумеется, исполнение) политики защиты информации становится обязательным требованием. Политика должна стать основой для разработки всех остальных внутренних документов, регулирующих сферу ИБ в организации. В ее положениях необходимо охватить все общие цели, принципы и задачи обеспечения ИБ.

Если подрядная организация получает доступ к информационным системам либо информации организации, которая в этих системах содержится, то в соответствии с п.16 Приказа, ее представителей необходимо ознакомить с политикой защиты информации. Кроме того, в тексте договора требуется прописать, что подрядчик обязуется соблюдать эту политику и внутренние стандарты ИБ, действующие в организации. При необходимости можно разработать отдельные положения по ИБ специально для подрядных организаций.

ГосСОПКА – особенности взаимодействия и интеграции

В соответствии с п.34 Раздела III рассматриваемого Приказа взаимодействовать с ГосСОПКА теперь придется непрерывно плюс интегрировать это взаимодействие в ИБ-процессы организации. Взаимодействие возможно как в автоматизированном так и в неавтоматизированном виде, в случае принятия решения о взаимодействии в автоматизированном виде то подключиться можно самостоятельно или через специальный коммерческий центр (в этом случае у центра должно быть действующее соглашение с НКЦКИ).

Особое внимание к «удаленке» и беспроводному доступу

Если для доступа к информационным системам в организации используют беспроводные сети, в соответствии с требованиями п.47 Приказа их необходимо изолировать от тех сетей, которые имеют доступ в Интернет.

Если в организации предусмотрен удаленный доступ пользователей к рабочим станциям, то в соответствии с п.46 Приказа для его осуществления следует использовать сети связи на территории России, при этом должны применяться средства строгой аутентификации и защиты каналов передачи данных.

Обновленные требования, предусмотренные приказом ФСТЭК – это базовая необходимость в современных реалиях постоянно растущих киберугроз, и ведомство будет строго контролировать их исполнение, поэтому подготовку к вступлению в силу приказа №117 следует начинать уже сейчас. Не «потеряться» в многообразии требований и избежать неприятных сюрпризов со стороны контролирующих органов и киберпреступников вполне реально – за методической помощью и рекомендациями по вопросам исполнения положений ИБ законодательства обращайтесь к экспертам ООО «Рубикон».

Безопасность и правопорядок
95,2 тыс интересуются