У вас есть аттестат соответствия по Приказу ФСТЭК №17. Он висит в рамке или лежит в сейфе. Вы думаете, что защищены. Это заблуждение закончится 1 марта 2026 года.
Приказ ФСТЭК №117 от 11.04.2025 полностью заменяет тринадцатилетний Приказ №17. Это не косметическое обновление — это смена парадигмы. Разовая аттестация превращается в непрерывный мониторинг. Бумажка на стене превращается в процесс с количественными метриками и жёсткими сроками.
Ключевые запросы: приказ фстэк 117, аттестация гис, чем отличается от приказа 17, что изменится с 1 марта 2026, требования к гис
Время чтения: 5 минут
Что сломалось в старой модели
Приказ №17 создал индустрию «аттестационного театра». Схема была простой: заплатил лицензиату, получил аттестат, повесил на стену, забыл на пять лет. Между аттестациями система могла деградировать как угодно — формально она оставалась «защищённой».
Результат этой модели — 87% государственных информационных систем не соответствуют минимальному базовому уровню защиты по данным проверок ФСТЭК 2024 года. 73% проверок выявляют критические нарушения. В 100% обследованных ГИС отсутствует анализ уязвимостей.
Аттестат не равен защите. Сертификат на стене не останавливает APT-группировку.
Что меняет Приказ №117
Новый приказ вводит количественные показатели защищённости, которые нельзя нарисовать на бумаге.
Коэффициент защищённости информации (КЗИ) рассчитывается каждые шесть месяцев по методике ФСТЭК от 11.11.2025. Результаты направляются в ФСТЭК в течение пяти рабочих дней. Это не рекомендация — это обязанность оператора.
КЗИ включает 17 показателей в четырёх группах: идентификация и аутентификация, управление уязвимостями, управление инцидентами, защита периметра. Если минимальные требования не выполняются дважды за год — обнуляется весовой коэффициент всей группы.
Сроки устранения уязвимостей теперь конкретные: критические — 24 часа, высокие — 7 дней. Не «в разумные сроки», не «по мере возможности» — часы и дни.
Почему старый аттестат не спасёт
Аттестаты, выданные по Приказу №17 до 01.03.2026, остаются действительными до истечения срока. Но это не означает, что можно расслабиться.
Во-первых, требование расчёта КЗИ действует для всех систем с 01.03.2026 — независимо от даты аттестации. Через полгода после вступления приказа в силу вы обязаны отправить первый отчёт в ФСТЭК.
Во-вторых, любая модернизация системы (обновление СУБД, расширение функционала, изменение топологии) запускает переаттестацию — уже по требованиям №117.
В-третьих, плановые проверки ФСТЭК будут оценивать соответствие новым требованиям. Наличие старого аттестата не защитит от предписания по результатам проверки.
Что делать прямо сейчас
До вступления в силу Приказа №117 осталось 43 дня. Минимальный план действий:
Провести инвентаризацию всех информационных систем. Приказ №117 расширяет периметр регулирования — под требования попадают не только ГИС, но и иные информационные системы госорганов, муниципальные ИС, системы ГУП и госучреждений.
Пересмотреть класс защищённости по новой матрице. Приказ №117 упраздняет класс К4 и вводит новую логику классификации. Если ваша система доступна из двух и более регионов — масштаб автоматически становится федеральным.
Провести gap-анализ по 22 мероприятиям пункта 34. Зафиксировать несоответствия, приоритизировать по критичности.
Запустить процесс управления уязвимостями. Без него вы не выполните требования по срокам устранения и провалите расчёт КЗИ.
Подать заявку на подключение к ГосСОПКА. С 01.03.2026 это обязательно для всех ГИС.
Старый аттестат — это история. Новая реальность требует непрерывной работы над защитой, а не разовых ритуалов раз в пять лет.
