Найти в Дзене
Меня не ИБ
5 подписчиков

Анализ нововведений в приказе ФСТЭК №117

2
2 мин
Приказ ФСТЭК №117, вступивший в силу 1 марта 2026 года, заменил Приказ ФСТЭК №17 и внёс значительные изменения в подход к защите информации в государственных информационных системах (ГИС) и других информационных системах (ИС) госорганов, учреждений, унитарных предприятий и муниципальных органов. Основные изменения касаются расширения сферы действия, методологии защиты, требований к персоналу, работе с подрядчиками, а также структуры и содержания организационно-распорядительной документации (ОРД). По Приказу ФСТЭК №17 требования к внутренним ОРД были включены в сам документ, но перечень был менее детализированным. В Приказе ФСТЭК №117 список ОРД существенно расширился. Теперь ОРД должны включать, в частности: Полный список ОРД доступен в системе Альфа-док по ссылке https://clck.ru/3SLcCG. ОРД должны доводиться до пользователей и подрядчиков и подлежать исполнению в соответствующих частях. Методические рекомендации к Приказу №117 на момент марта 2026 года ещё не были опубликованы, что з
Оглавление

Приказ ФСТЭК №117, вступивший в силу 1 марта 2026 года, заменил Приказ ФСТЭК №17 и внёс значительные изменения в подход к защите информации в государственных информационных системах (ГИС) и других информационных системах (ИС) госорганов, учреждений, унитарных предприятий и муниципальных органов. Основные изменения касаются расширения сферы действия, методологии защиты, требований к персоналу, работе с подрядчиками, а также структуры и содержания организационно-распорядительной документации (ОРД).

Сравнение ключевых аспектов Приказов №17 и №117

Сравнение списков ОРД

По Приказу ФСТЭК №17 требования к внутренним ОРД были включены в сам документ, но перечень был менее детализированным. В Приказе ФСТЭК №117 список ОРД существенно расширился. Теперь ОРД должны включать, в частности:

  • политику информационной безопасности с чётко определённым минимальным составом разделов;
  • регламенты по идентификации и моделям доступа пользователей;
  • требования к разрешённому/запрещённому ПО, типовым конфигурациям и настройкам программных и программно-аппаратных средств;
  • меры по защите конечных и мобильных устройств;
  • процедуры обеспечения непрерывности функционирования и резервного копирования;
  • порядок сбора, регистрации и анализа событий безопасности;
  • управление учётными записями и доступом пользователей (включая привилегированных);
  • предоставление удалённого доступа и доступа работникам сторонних организаций;
  • контроль доступа к сети «Интернет»;
  • повышение уровня знаний и информированности пользователей;
  • управление уязвимостями и обновлениями;
  • обеспечение физической защиты ИС;
  • обращение с информацией ограниченного доступа;
  • разработку безопасного ПО;
  • вывод в контур промышленной эксплуатации сервисов, доступ к которым осуществляется через сеть «Интернет» (при наличии);
  • мониторинг, восстановление штатного функционирования ИС и тестирование процессов восстановления;
  • контроль уровня защищённости информации.

Полный список ОРД доступен в системе Альфа-док по ссылке https://clck.ru/3SLcCG.

ОРД должны доводиться до пользователей и подрядчиков и подлежать исполнению в соответствующих частях.

Другие значимые изменения

  • Средства защиты информации. Требование использовать только сертифицированные СЗИ и СКЗИ сохранилось.
  • Аттестация. Для ГИС аттестация остаётся обязательной (регулируется Приказами ФСТЭК №77), для остальных ИС — добровольной. Аттестаты, выданные до 1 марта 2026 года, остаются действительными, но в будущем может потребоваться повторная аттестация;
  • Использование ИИ. Введены требования к ограничению возможностей ИИ: определение шаблонов запросов пользователей и ответов, тематики взаимодействия, критериев по выявлению и исправлению недостоверных ответов;
  • Безопасная разработка ПО. При самостоятельной разработке ПО или работе с подрядчиками необходимо применять ГОСТ Р 56939-2024;
  • Взаимодействие с ГосСОПКА. Требуется подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Методические рекомендации к Приказу №117 на момент марта 2026 года ещё не были опубликованы, что затрудняет детальное планирование внедрения требований.