Добавить в корзинуПозвонить
Найти в Дзене
Кредо-С Информ Безопасность
9 подписчиков

Приказ ФСТЭК № 117: Как изменятся правила игры для госсектора в 2026 году и как к этому подготовиться

2
3 мин
Сфера информационной безопасности в государственном секторе готовится к масштабной трансформации. Документ, который изменит ландшафт ИБ для тысяч организаций — Приказ ФСТЭК России № 117. Он был утвержден 11 апреля 2025 года, уже прошел регистрацию в Минюсте и официально вступает в силу с 1 марта 2026 года. Для руководителей организаций и ИТ-директоров это означает одно: правила игры меняются, и адаптироваться к ним придется в сжатые сроки. Приказ № 117 не просто обновляет старые нормы, он вводит принципиально новый, системный подход к защите информации и оценке защищенности. Что именно изменится и почему начинать подготовку нужно уже сейчас? Главная боль, с которой столкнутся многие руководители — это резкое расширение списка субъектов, подпадающих под действие новых правил. В отличие от привычного Приказа ФСТЭК № 17, новый 117-й приказ охватывает гораздо больший пул организаций. Теперь требования по защите информации распространяются не только на классические государственные информаци
Оглавление

Сфера информационной безопасности в государственном секторе готовится к масштабной трансформации. Документ, который изменит ландшафт ИБ для тысяч организаций — Приказ ФСТЭК России № 117. Он был утвержден 11 апреля 2025 года, уже прошел регистрацию в Минюсте и официально вступает в силу с 1 марта 2026 года.

Для руководителей организаций и ИТ-директоров это означает одно: правила игры меняются, и адаптироваться к ним придется в сжатые сроки. Приказ № 117 не просто обновляет старые нормы, он вводит принципиально новый, системный подход к защите информации и оценке защищенности. Что именно изменится и почему начинать подготовку нужно уже сейчас?

Расширение зоны ответственности: кто теперь «под прицелом» ФСТЭК?

Главная боль, с которой столкнутся многие руководители — это резкое расширение списка субъектов, подпадающих под действие новых правил. В отличие от привычного Приказа ФСТЭК № 17, новый 117-й приказ охватывает гораздо больший пул организаций.

Теперь требования по защите информации распространяются не только на классические государственные информационные системы (ГИС). В периметр контроля включены иные информационные системы муниципальных образований, государственных органов, а также унитарных предприятий и учреждений. Это означает, что даже те организации, которые раньше находились вне жесткого поля зрения регулятора в части ГИС, теперь обязаны выстраивать защиту по всей строгости закона.

Важный нюанс: если у вас уже есть действующие аттестаты соответствия, выданные до 1 марта 2026 года, они остаются действительными. Однако их наличие не освобождает вашу организацию от новой ключевой обязанности — регулярного расчета показателя защищенности (КЗИ).

Новые векторы угроз: что придется защищать по-новому?

Регулятор прекрасно понимает, что технологии не стоят на месте. Поэтому в новом приказе появились дополнительные, весьма жесткие требования, которые ранее либо вообще не учитывались, либо оставались в серой зоне. Руководителям ИТ и ИБ-подразделений предстоит провести аудит своих систем по следующим новым направлениям:

  • Безопасная разработка ПО (DevSecOps): Теперь контролируется не только конечный продукт, который функционирует в вашей системе, но и сам процесс создания этого программного обеспечения.
  • Контроль подрядчиков: Если к вашей инфраструктуре или данным имеют доступ внешние организации и подрядчики, эти процессы должны быть строго формализованы и защищены.
  • Искусственный интеллект: Выделен отдельный блок по защите информации при использовании ИИ. Даже точечное применение нейросетей требует обязательной оценки рисков.
  • Защита конечных точек: Значительно усилены требования к защите информации на конечных устройствах — от рабочих станций и ноутбуков до мобильных устройств сотрудников.
  • Привилегированный доступ (PAM): К защите привилегированных пользователей теперь предъявляются повышенные требования, необходим строгий контроль и защита их учетных записей.

КЗИ: ваш новый «градусник» безопасности

Смысл Приказа № 117 сводится к единому и понятному подходу: прозрачной оценке защищенности и стандартизированной отчетности. Для этого вводится центральное понятие — показатель защищенности информации (КЗИ).

КЗИ — это числовое значение в диапазоне от 0 до 1. Он наглядно демонстрирует, насколько внедренные в вашей организации меры соответствуют актуальным требованиям ФСТЭК. Согласно методике, КЗИ, равный 1, считается минимальным базовым уровнем, при котором меры защиты признаются достаточными. По сути, это индикатор здоровья вашей системы безопасности.

И здесь кроется главная организационная сложность: оценивать этот показатель необходимо не реже одного раза в 6 месяцев.

Как избежать хаоса в таблицах Excel?

На бумаге методика ФСТЭК может показаться логичной. Однако на практике специалистам предстоит работать с 16 критериями, которые разделены на 4 группы, каждая из которых имеет свой весовой коэффициент. Выполнять эти расчеты вручную в Excel каждые полгода — это гарантированная потеря времени, высокий риск человеческой ошибки и головная боль для всего отдела ИБ.

Чтобы избавить государственные организации от этой рутины, эксперты компании КРЕДО-С (лицензиата ФСТЭК и ФСБ) разработали специализированный инструмент — бесплатный онлайн-калькулятор КЗИ.

Вместо того чтобы тратить дни на изучение формул и составление таблиц, ваш специалист может пройти расчет за 5–10 минут. Система автоматически рассчитает коэффициенты, подсветит проблемные зоны (цветовая индикация: зеленый, оранжевый, красный) и поможет сгенерировать готовые документы для регулятора.

Готовы узнать свой уровень защищенности прямо сейчас?

Не ждите наступления 2026 года. Оцените готовность вашей инфраструктуры к новым требованиям ФСТЭК уже сегодня.

Переходите по ссылке и рассчитайте КЗИ для вашей организации абсолютно бесплатно.

Рассчитать КЗИ на калькуляторе.