1. Суть требований приказа ФСТЭК №117
Приказ ФСТЭК России № 117 от 11.04.2025 устанавливает требования к защите информации в государственных информационных системах (ГИС). Требования основаны на 16 критериях оценки, объединённых в 4 группы с разными весовыми коэффициентами.
2. На кого распространяются требования
Требования приказа ФСТЭК №117 обязательны для:
3. Группа 1: Организация и управление (R₁ = 0.10)
Первая группа требований охватывает организационные меры защиты информации. Вес группы — 10% от итогового показателя КЗИ.
4. Группа 2: Защита пользователей (R₂ = 0.25)
Вторая группа требований посвящена защите учётных записей и аутентификации. Вес группы — 25% от итогового показателя КЗИ.
5. Группа 3: Защита информационных систем (R₃ = 0.35)
Максимальный вес!
Группа 3 имеет наибольший вес — 35%. Это техническая защита: межсетевые экраны, управление уязвимостями, антивирус, защита от DDoS.
6. Группа 4: Мониторинг ИБ и реагирование (R₄ = 0.30)
Четвёртая группа требований посвящена мониторингу событий безопасности и реагированию на инциденты. Вес группы — 30% от итогового показателя КЗИ.
7. Сводная таблица требований
8. Частые вопросы
Когда вступают в силу требования приказа ФСТЭК №117?
Требования приказа ФСТЭК России № 117 вступают в силу 1 марта 2026 года.
Какой минимальный показатель КЗИ требуется?
В методике ФСТЭК порог КЗИ = 1 используется как минимальный базовый уровень для вывода о достаточности мер защиты.
Как часто нужно оценивать соответствие требованиям?
КЗИ — не реже 1 раза в 6 месяцев. ПЗИ (показатель зрелости) — не реже 1 раза в 2 года.
Нужна ли лицензия ФСТЭК для оценки соответствия?
Для расчёта КЗИ лицензия не требуется — это может делать внутренний ответственный за ИБ. Для аттестации ИС нужна аккредитация ФСТЭК.