С 1 марта 2026 года правила в сфере информационной безопасности претерпевают фундаментальные изменения. Приказ ФСТЭК России от 11.02.2013 № 17 утрачивает силу, а его место занимает новый документ — приказ ФСТЭК от 11.04.2025 № 117. Этот нормативный акт не просто дополняет предыдущие требования, а кардинально меняет подход к регулированию: переход от формального соответствия к риск-ориентированной модели защиты.
Общий подход к регулированию защиты информации
Ранее приказ № 17 фокусировался на проверке наличия мер защиты — «есть ли сертификат?», «есть ли журнал?», «есть ли приказ?». Новый приказ № 117 смещает акцент на обоснованность и эффективность этих мер. Регулятор теперь оценивает не просто факт внедрения, а то, насколько выбранные меры соответствуют реальным угрозам, характеру обрабатываемых данных и потенциальному ущербу от инцидента.
Так, две организации с одинаковыми ИС — например, с одинаковыми серверами и ПО — могут иметь разный уровень защиты, если одна обрабатывает критически важные данные (например, ПДн сотен тысяч клиентов), а другая — внутренние служебные сведения. Формальный подход «одинаковые системы — одинаковые меры» уходит в прошлое.
Область применения и терминология
Приказ № 117 существенно расширяет и уточняет понятийный аппарат. Термины приведены в соответствие с ФЗ-149, ФЗ-187, приказами ФСБ и другими нормативными актами. Вводятся чёткие определения таких понятий, как «система информационной безопасности», «информационная система», «средство защиты информации», «инцидент ИБ» — что снижает толковательные риски при проверках.
Важно: термин «ИС» теперь охватывает не только технические компоненты, но и организационные, программные и кадровые элементы — то есть всю совокупность мер, обеспечивающих безопасность.
Классификация и уровни защищённости
В приказе № 17 класс защищённости ИС (1–4) напрямую определял набор обязательных мер. Приказ № 117 сохраняет классификацию, но отвязывает её от жёсткого перечня. Теперь уровень защиты определяется на основе анализа:
- потенциального ущерба от инцидента (финансовый, репутационный, юридический);
- актуальных угроз (внешних и внутренних);
- архитектуры системы (локальная, облачная, гибридная).
Это означает, что организация может выбрать более низкий уровень защиты, если обоснованно покажет, что угрозы минимальны — и наоборот, даже для «некритичной» системы может потребоваться высокий уровень, если данные чувствительны.
Модель угроз и нарушителя
Ранее модель угроз часто составлялась формально — «на бумаге», без привязки к реальным сценариям. Приказ № 117 требует, чтобы модель была живой, динамичной и отражала реальные риски. Особое внимание уделяется:
- угрозам, связанным с удалённым доступом (VPN, RDP, облачные сервисы);
- атакам через цепочки поставок (уязвимости в ПО, обновлениях, сторонних сервисах);
- человеческому фактору (социальная инженерия, ошибки персонала, утечки через мессенджеры).
Модель должна быть не статичным документом, а основой для принятия решений по защите — и регулярно обновляться.
Организационные меры и документы
Приказ № 117 усиливает требования к управленческому уровню. Политика информационной безопасности больше не является «документом для галочки». Она должна:
- чётко определять роли и ответственность (не только ИБ-отдела, но и руководителей подразделений);
- регламентировать процессы принятия решений при инцидентах;
- включать обязательные процедуры обучения персонала и внутреннего контроля.
Ответственность за ИБ теперь распространяется на топ-менеджмент — не только на технических специалистов.
Технические и программные меры защиты
Если ранее акцент делался на наличии сертифицированных СЗИ, то теперь ключевой критерий — результат. Важно не то, что установлено, а то, что работает:
- способна ли система выявлять инциденты в реальном времени?
- есть ли мониторинг и журналирование событий?
- обеспечивает ли корреляция событий (например, несколько попыток входа + скачивание файла → тревога)?
- используются ли комбинированные решения, обоснованные анализом рисков?
Сертификат ФСТЭК — необходимое, но недостаточное условие. Главное — эффективность.
Защита автоматизированных и сетевых систем
Новый приказ детально прописывает требования к современным архитектурам:
- облачным и гибридным системам;
- виртуализированным средам;
- распределённым ИС с удалёнными рабочими местами;
- сегментированным сетям.
Особое внимание — контролю доступа, шифрованию трафика, защите данных в облаках и соблюдению требования о хранении ПДн на территории РФ.
Реагирование на инциденты и контроль
Приказ № 117 вводит чёткий регламент управления инцидентами:
- выявление и фиксация (журнал инцидентов);
- анализ причин и масштаба;
- устранение последствий;
- принятие управленческих решений;
- обучение персонала на основе полученного опыта;
- обновление модели угроз.
Отсутствие процедур реагирования — серьёзное нарушение, которое может привести к штрафам и уголовной ответственности при утечке.
Связь с государственной политикой в сфере ИБ
Приказ № 117 не изолирован — он вписывается в стратегию цифрового суверенитета и национальной безопасности. Его требования напрямую связаны с задачами обеспечения устойчивости российской экономики в условиях санкций, развития отечественных технологий и защиты критической инфраструктуры.
Практическое значение для бизнеса и ответственности
Для руководителей это означает рост управленческой ответственности. ИБ больше не «дело ИТ-отдела». Ошибки в оценке угроз, несвоевременное обновление документов, отсутствие обучения персонала — всё это может повлечь не только административные, но и имущественные, репутационные и даже уголовные последствия.Для руководителей это означает рост управленческой ответственности. ИБ больше не «дело ИТ-отдела». Ошибки в оценке угроз, несвоевременное обновление документов, отсутствие обучения персонала — всё это может повлечь не только административные, но и имущественные, репутационные и даже уголовные последствия.
Как организациям адаптироваться к изменениям
Для успешного перехода на новый приказ рекомендуем следующие шаги:
1. Проведите правовой аудит — сравните текущие организационные и технические меры с требованиями приказа № 117. Особое внимание — обоснованию выбора мер: ФСТЭК будет оценивать не факт их наличия, а их соответствие реальным угрозам.
2. Актуализируйте модель угроз — проверьте, отражает ли она современные сценарии атак. Устаревшая модель — основание для признания системы несоответствующей.
3. Пересмотрите локальные нормативные акты — Политика ИБ, положения, регламенты должны быть переписаны с учётом новой терминологии и логики. Документы, разработанные под приказ № 17, юридически устареют.
4. Проверьте распределение ответственности — закрепите роли и полномочия не только ИБ-специалистов, но и руководителей подразделений, ИТ-службы и топ-менеджмента. Приказ № 117 расширяет зону ответственности — это нужно отразить в приказах и должностных инструкциях.
5. Оцените готовность к контролю и инцидентам — проверьте наличие чётких процедур выявления, анализа и устранения инцидентов. Отсутствие таких процедур — типичная уязвимость, которую ФСТЭК выявляет в первую очередь.
6. Не откладывайте на потом — переход требует времени: пересмотр документов, доработка архитектуры, обучение персонала. Оптимальная стратегия — начать подготовку заранее, пока изменения ещё можно внедрить без авралов и рисков.
С учётом того, что приказ ФСТЭК № 117 вступает в силу 1 марта 2026 года, оптимальная стратегия — начать подготовку уже сегодня.