87% государственных информационных систем не соответствуют минимальному базовому уровню защиты. 73% проверок ФСТЭК выявляют критические нарушения. В 100% обследованных ГИС отсутствует анализ уязвимостей. Это не прогноз — это статистика 2024 года.
Ключевые запросы: статистика фстэк 2024, проверки гис, приказ 117 что делать, готовность гис к приказу 117
Время чтения: 5 минут
Через 43 дня вступает в силу Приказ ФСТЭК №117 с ужесточёнными требованиями. Что делать тем, кто оказался в числе 87%?
Почему так много «не готовых»
Цифра 87% — это не аномалия, а закономерный результат системы, построенной на формальной аттестации.
Приказ №17 создал модель «аттестовал и забыл». Между аттестациями (раз в 5 лет) система могла деградировать произвольно — на бумаге она оставалась защищённой. Регулятор не требовал отчётности, не проверял текущее состояние, не наказывал за ухудшение.
Результат: аттестаты есть, защиты нет. Документы написаны, процессы не работают. СЗИ закуплены, но не настроены. Уязвимости не сканируются, инциденты не регистрируются.
К этому добавляется кадровый дефицит (500-700 тысяч специалистов по ИБ не хватает рынку), бюджетные ограничения госсектора и приоритет «не трогай, пока работает» в ИТ-культуре.
Три типа организаций
Первые начали готовиться в 2025 году. Они прочитали текст приказа в июне, оценили масштаб изменений, запустили проекты. К январю 2026 у них готова документация, внедрены процессы, идёт пилотный расчёт КЗИ. Таких меньшинство — возможно, те самые 13%.
Вторые очнулись в январе 2026. Руководство узнало о новых требованиях из новостей или от коллег. Паника, срочные совещания, поиск подрядчиков. Шансы успеть к 1 марта минимальны, но можно минимизировать ущерб.
Третьи будут «договариваться». Надеются, что проверка придёт не к ним, что можно будет решить вопрос неформально, что ФСТЭК даст отсрочку. Эта стратегия работала при Приказе №17. При №117 она приведёт к предписаниям, штрафам и остановке систем.
Что реально сделать за 1-2 месяца
Полностью привести систему в соответствие за 43 дня невозможно. Но можно выстроить позицию, которая минимизирует риски при проверке.
Неделя 1: инвентаризация
Составить полный реестр информационных систем. Не только ГИС из официального реестра — все системы, попадающие под Приказ №117. Для каждой: название, назначение, владелец, текущий статус (аттестована/нет), класс защищённости.
Неделя 2: классификация и gap-анализ
Определить класс каждой системы по новой матрице. Провести экспресс-оценку по 22 мероприятиям пункта 34. Результат — таблица с красными, жёлтыми и зелёными ячейками.
Неделя 3-4: приоритизация
Выделить критические разрывы — то, что гарантированно приведёт к предписанию: отсутствие процесса управления уязвимостями, неподключение к ГосСОПКА, отсутствие регламента расчёта КЗИ.
Неделя 5-6: документирование
Разработать минимальный комплект ОРД: политика защиты информации, регламент управления уязвимостями, регламент расчёта КЗИ, порядок взаимодействия с ГосСОПКА.
Неделя 7-8: запуск процессов
Провести первое сканирование уязвимостей. Подать заявку на подключение к ГосСОПКА. Выполнить пилотный расчёт КЗИ.
Стратегия для «опоздавших»
Если вы понимаете, что не успеете к 1 марта — это не повод сдаваться. Это повод менять стратегию.
Документируйте всё. Каждый шаг, каждое решение, каждое ограничение. При проверке ФСТЭК важно показать не только результат, но и процесс: мы знаем о проблемах, мы работаем над ними, вот план и сроки.
Фиксируйте компенсирующие меры. Если критическую уязвимость невозможно устранить за 24 часа — изолируйте компонент, усильте мониторинг, оформите акт о невозможности устранения.
Приоритизируйте КЗИ. Первый отчёт в ФСТЭК нужно будет отправить через 6 месяцев после вступления приказа в силу. Процесс расчёта должен быть запущен к этому моменту.
Готовьтесь к диалогу с регулятором. Предписание — это не конец. Это начало переговоров о сроках устранения. Чем лучше документирована ваша позиция, тем конструктивнее будет диалог.
