С 1 марта 2026 года начинает применяться приказ ФСТЭК России № 117, устанавливающий требования к защите информации в государственных информационных системах, а также в информационных системах государственных органов, учреждений и унитарных предприятий.
В начале февраля регулятор опубликовал проект документа «Мероприятия и меры по защите информации, содержащейся в информационных системах». Он раскрывает практическую сторону применения норм приказа и поясняет порядок их реализации.
«На текущий момент это именно проект — до 19 февраля продолжается общественное обсуждение. Финальная версия документа может отличаться от опубликованной редакции, однако уже сейчас можно оценить предлагаемые изменения и начать подготовку к выполнению требований», — уточняет Александр Метальников, архитектор дивизиона консалтинга Infosecurity.
Обновление методического подхода
Проект заменяет методический документ 2014 года «Меры защиты информации в государственных информационных системах».
Главное отличие — пересматривается не только набор защитных мер, но и сам принцип построения системы безопасности: упор делается на процессную модель и архитектурные решения.
Где будет применяться документ
Новая методика ориентирована не только на ГИС. Её положения могут использоваться при защите:
- объектов критической информационной инфраструктуры;
- систем персональных данных;
- производственных информационных систем предприятий ОПК;
- автоматизированных систем управления технологическими процессами на критически важных и потенциально опасных объектах.
Таким образом, документ фактически формирует единый подход к защите для широкого круга систем.
Разделение на мероприятия и меры
Документ разделяет требования на два уровня:
- организационные мероприятия для достижения целей защиты информации;
- конкретные меры защиты, подлежащие внедрению.
Мероприятия обязательны вне зависимости от установленного класса защищенности информационной системы.
Состав мер определяется классом защищенности и актуальными угрозами безопасности.
Это усиливает зависимость между классификацией системы и необходимыми техническими решениями.
Усиления и выбор средств защиты
Для мероприятий и мер предусмотрены усиления.
При этом усиления для мероприятий применяются по решению оператора, а для мер защиты — обязательны (в текущей редакции проекта).
Документ также делает явный акцент на использовании отечественных средств защиты информации и отечественных ИТ-решений.
Процессный подход и современные технологии
Как и сам приказ, методика ориентирована на процессную модель управления безопасностью и учитывает современные технологические архитектуры, включая:
- облачные инфраструктуры;
- контейнеризацию;
- системы на базе искусственного интеллекта;
- IoT-среду.
Что стоит сделать уже сейчас
Несмотря на статус проекта, подготовку лучше начинать заранее. Организациям рекомендуется:
- Изучить раздел с описанием 18 процессов и сопоставить его с действующими практиками ИБ.
- Проверить архитектуру систем на соответствие принципам безопасного проектирования.
- Оценить применяемые средства защиты на возможность реализации усилений.
- Подготовить или обновить внутренние регламенты — управление уязвимостями, конфигурациями, обновлениями и мониторинг безопасности.
«Приказ ФСТЭК 117 — это системное изменение модели регулирования. Организациям важно заранее оценить, как новые требования 117 приказа ФСТЭК повлияют на архитектуру и процессы информационной безопасности», — комментирует Александр Метальников.
Поддержка внедрения
Специалисты Infosecurity оказывают помощь:
- в интерпретации требований;
- в определении класса защищенности информационной системы;
- в проектировании и внедрении системы защиты информации;
- в реализации отдельных этапов или полного комплекса работ.