9 подписчиков

Отличия приказа ФСТЭК 17 и 117: полное сравнение

16 февраля16 фев

2 мин

Приказ ФСТЭК №17 от 2013 года устарел и не соответствует современным угрозам информационной безопасности. Новый приказ №117 учитывает: Приказ №17: Бинарная оценка «выполнено/не выполнено».

Приказ №117: Каждый критерий оценивается по шкале 0-1, что позволяет видеть степень соответствия. Проведите инвентаризацию существующих мер защиты и сопоставьте их с новыми критериями. Используйте калькулятор КЗИ для определения текущего уровня соответствия. Определите разрыв между текущим КЗИ и базовым уровнем (КЗИ = 1). Составьте дорожную карту внедрения недостающих мер до 1 марта 2026. Переход с приказа №17 на №117 — это существенное изменение подхода к защите информации. По приказу №17 аттестация ГИС проводилась однократно с повторной проверкой: К1 — раз в год, К2/К3 — раз в 2 года. По приказу №117 аттестация сохраняется, но добавляется регулярная оценка КЗИ каждые 6 месяцев и оценка ПЗИ раз в 2 года. Классы К1, К2, К3 сохранены, но дополнены числовым показателем КЗИ. Для расчёта КЗИ лицензия Ф

Оглавление

1. Почему заменяют приказ №17
2. Таблица сравнения приказов 17 и 117
3. Ключевые отличия

1. Почему заменяют приказ №17

Приказ ФСТЭК №17 от 2013 года устарел и не соответствует современным угрозам информационной безопасности. Новый приказ №117 учитывает:

2. Таблица сравнения приказов 17 и 117

3. Ключевые отличия

1. От классов к числовому показателю

2. Регулярность проверок

3. Структура требований

4. Подход к оценке

Важное изменение

Приказ №17: Бинарная оценка «выполнено/не выполнено».

Приказ №117: Каждый критерий оценивается по шкале 0-1, что позволяет видеть степень соответствия.

4. Как подготовиться к переходу

1. Аудит текущего состояния

Проведите инвентаризацию существующих мер защиты и сопоставьте их с новыми критериями.

2. Расчёт текущего КЗИ

Используйте калькулятор КЗИ для определения текущего уровня соответствия.

3. GAP-анализ

Определите разрыв между текущим КЗИ и базовым уровнем (КЗИ = 1).

4. План мероприятий

Составьте дорожную карту внедрения недостающих мер до 1 марта 2026.

5. Что останется без изменений

Базовые принципы защиты информации
Необходимость аттестации ГИС
Ответственность оператора за безопасность
Требования к документированию

Начните подготовку сейчас

Переход с приказа №17 на №117 — это существенное изменение подхода к защите информации.

6. Аттестация: что меняется

По приказу №17 аттестация ГИС проводилась однократно с повторной проверкой: К1 — раз в год, К2/К3 — раз в 2 года.

По приказу №117 аттестация сохраняется, но добавляется регулярная оценка КЗИ каждые 6 месяцев и оценка ПЗИ раз в 2 года. Классы К1, К2, К3 сохранены, но дополнены числовым показателем КЗИ.

Лицензия не нужна для расчёта

Для расчёта КЗИ лицензия ФСТЭК не требуется — это может делать внутренний ответственный за ИБ. Для аттестации ИС нужна аккредитация ФСТЭК.

7. Частые вопросы

Чем приказ ФСТЭК №117 отличается от приказа 17?

Приказ №117 сохраняет классы К1-К3 и дополняет их числовым показателем КЗИ (от 0 до 1), вводит регулярную оценку каждые 6 месяцев вместо разовой аттестации, и сокращает ~150 мер до 16 критериев в 4 группах.

Когда перестаёт действовать приказ ФСТЭК 17?

Приказ ФСТЭК №17 от 11.02.2013 утрачивает силу с 1 марта 2026 года, когда вступает в силу приказ №117 от 11.04.2025.

Нужно ли переделывать документацию с приказа 17 на 117?

Да, необходимо актуализировать политики и процедуры. Приказ №117 требует документирования по 16 критериям вместо ~150 мер, а также регламент регулярной оценки КЗИ каждые 6 месяцев.

Как подготовиться к переходу с 17 на 117 приказ?

1) Провести аудит текущих мер защиты. 2) Рассчитать текущий КЗИ с помощью калькулятора. 3) Выполнить GAP-анализ. 4) Составить план мероприятий до 1 марта 2026.

Нужна ли лицензия ФСТЭК для расчёта КЗИ?

Нет. Расчёт КЗИ может проводить внутренний ответственный за ИБ без лицензии. Лицензия (аккредитация) ФСТЭК нужна только для аттестации информационной системы.