Найти в Дзене
Secret Technologies
5 подписчиков

С 1 марта 2026 г. обновляются Требования о защите информации. Приказ ФСТЭК России № 117

3
5 мин
Приказ ФСТЭК России № 117 11.04.2025 принят Приказ ФСТЭК России № 117
«Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Приказ вступает в силу 01.03.2026 и заменяет Приказ ФСТЭК России от 11.02.2013 № 17. В отличие от Приказа № 17, новый Приказ распространяется не только на государственные информационные системы (ГИС), но и на:
- муниципальные информационные системы (МИС);
- ИС государственных органов;
- ИС государственных унитарных предприятий и учреждений. Требования обязательны для всех указанных ИС, функционирующих на территории РФ. Приказ № 117 вводит многоэтапный процесс формирования мер защиты:
- реализация базовых мер в соответствии с классом защищённости ИС;
- их адаптация к архитектуре, технологиям и условиям эксплуатации;
- верификация с учётом актуальных угроз и возможностей нарушителей. При невозмож
Оглавление

Анализ ключевых изменений требований к защите информации

Приказ ФСТЭК России № 117

11.04.2025 принят Приказ ФСТЭК России № 117

«Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений».

Приказ вступает в силу 01.03.2026 и заменяет Приказ ФСТЭК России от 11.02.2013 № 17.

Ключевые изменения:

  • расширена область применения требований;
  • введён процессный подход к защите информации;
  • расширен перечень мероприятий по защите информации;
  • уточнены требования к реализации защитных мер.

1. Область применения

В отличие от Приказа № 17, новый Приказ распространяется не только на государственные информационные системы (ГИС), но и на:
- муниципальные информационные системы (МИС);
- ИС государственных органов;
- ИС государственных унитарных предприятий и учреждений.

Требования обязательны для всех указанных ИС, функционирующих на территории РФ.

2. Организация защиты информации

2.1. Подход к защите информации

Выбор мер защиты

Приказ № 117 вводит многоэтапный процесс формирования мер защиты:
- реализация базовых мер в соответствии с классом защищённости ИС;
- их адаптация к архитектуре, технологиям и условиям эксплуатации;
- верификация с учётом актуальных угроз и возможностей нарушителей.

При невозможности реализации отдельных мер должны применяться компенсирующие меры с обязательным обоснованием и подтверждением эффективности.

Перечень мер защиты по классам, присутствовавший в Приказе № 17, в Приказе № 117 отсутствует. Ожидается отдельный методический документ ФСТЭК.

В числе новых направлений защиты:
- облачные вычисления;
- контейнерные среды и оркестрация;
- электронная почта;
- веб‑технологии и API;
- Интернет вещей (IoT).

Процессный подход (PDCA)

Для управления защитой информации внедрён цикл Plan–Do–Check–Act, охватывающий:
- планирование мер;
- их реализацию;
- оценку состояния защиты;
- постоянное совершенствование.

2.2. Требования к средствам защиты информации (СрЗИ)

Сохраняется требование применения сертифицированных СрЗИ, соответствующих Указу Президента РФ № 250.

Введена связь между:
- классами защищённости ГИС;
- уровнями доверия сертифицированных СрЗИ.

Таблица 1 – Соответствие классов защищенности ГИС уровням доверия и классов защищенности СрЗИ
Таблица 1 – Соответствие классов защищенности ГИС уровням доверия и классов защищенности СрЗИ

Приложение к Приказу № 117 содержит:
- классы защищённости ИС (К1–К3);
- степени возможного ущерба;
- уровни значимости информации;
- масштабы ИС;
- требования к акту классификации.

Изменения:
- формула расчёта уровня значимости из Приказа № 17 не применяется;
- содержание акта классификации закреплено явно.

2.3. Организационно‑распорядительная документация (ОРД)

Операторам ИС необходимо актуализировать и дополнить ОРД, включая:
- политику защиты информации;
- внутренние регламенты и стандарты.

Приказ № 117 регламентирует содержание ОРД, включая требования и порядки:
- идентификации и управления доступом;
- допустимого ПО и конфигураций;
- защиты конечных и мобильных устройств;
- резервного копирования и непрерывности;
- мониторинга событий безопасности;
- удалённого доступа и доступа подрядчиков;
- управления уязвимостями и обновлениями;
- физической защиты;
- разработки безопасного ПО;
- мониторинга и восстановления ИС.

ОРД должны быть доведены не только до пользователей, но и до подрядчиков, и обязательны к исполнению.

2.4. Подрядные организации

Введены требования:
- обязательного соблюдения подрядчиками политики и ОРД оператора ИС;
- регламентации условий и порядка доступа к ИС.

Работы подрядчиков по разработке, развитию и тестированию ПО запрещены в эксплуатируемых ИС и должны выполняться на выделенных стендах.

2.5. Ответственные за защиту информации

Защиту информации организует руководитель оператора ИС либо уполномоченное лицо.

Требуется:
- создание профильного подразделения или назначение специалистов;
- наличие квалифицированных кадров по ИБ (обучение или найм).

Закрепляется взаимодействие:
- подразделения ИБ;
- подразделений эксплуатации и пользователей ИС.

Подразделение ИБ обязано представлять руководству обоснованные предложения:
- по ресурсам на реагирование;
- по прогнозируемым негативным последствиям при их отсутствии.

3. Контроль и оценка

3.1. Контроль уровня защищённости

Периодичность — не реже 1 раза в 3 года или после инцидента.

Методы:
- поиск уязвимостей;
- выявление несанкционированных подключений;
- моделирование атак;
- тренировки персонала.

Отчёт:
- руководителю — в течение 3 рабочих дней;
- в ФСТЭК — в течение 5 рабочих дней.

3.2. Оценка состояния защиты

Проводится расчёт:
- показателя защищённости КЗИ;
- уровня зрелости системы защиты (ПЗИ).

Результаты направляются:
- руководителю — в течение 3 дней;
- в ФСТЭК — в течение 5 рабочих дней.

При необходимости разрабатывается план повышения показателей до нормированных значений.

3.3. Аттестация

Для ГИС аттестация обязательна (Приказ ФСТЭК № 77).

Для иных ИС — по решению руководителя оператора.

Ранее выданные аттестаты сохраняют силу.

4. Основные мероприятия по защите информации

Перечень мероприятий расширен и включает, в частности:
- выявление и оценку угроз;
- управление конфигурациями, уязвимостями и обновлениями;
- защиту ИОД;
- защиту конечных и мобильных устройств;
- удалённый и беспроводной доступ;
- привилегированный доступ (PAM);
- мониторинг ИБ (ГОСТ Р 59547‑2021);
- разработку безопасного ПО (ГОСТ Р 56939‑2024);
- физическую защиту;
- обеспечение непрерывности;
- обучение пользователей;
- защиту от DDoS;
- защиту при использовании ИИ.

Ключевые требования:
- критические уязвимости — устранение ≤ 24 часов;
- высокие — ≤ 7 дней;
- EDR и PAM — обязательны;
- восстановление ИС:

К1 — до 24 часов, К2 — до 7 дней, К3 — до 4 недель.

5. Рекомендации по подготовке к 01.03.2026

Операторам ИС рекомендуется:

  1. Назначить ответственное лицо за защиту информации.
  2. Обеспечить обучение или найм специалистов по ИБ.
  3. Актуализировать ОРД (включая сроки устранения уязвимостей).
  4. Закрепить требования по ИБ в договорах с подрядчиками.
  5. Выстроить процессы:оценки защищённости;
    управления уязвимостями;
    резервного восстановления;
    обучения пользователей.
  6. Внедрить EDR и PAM.
  7. В установленные сроки направлять сведения в ФСТЭК: по КЗИ и ПЗИ;
    по новым уязвимостям;
    по результатам контроля защищённости.

Преемственность требований

Приказ № 117 не отменяет положения Приказа № 17 в части:
- взаимодействия с ГосСОПКА;
- использования сертифицированных СрЗИ.

Аттестаты, выданные до вступления Приказа № 117 в силу, остаются действительными, повторная аттестация не требуется.

Telegram-канал | Сообщество VK