Добавить в корзинуПозвонить
Найти в Дзене
Учебный центр Дельфа
10 подписчиков

Ключевые изменения в защите ГИС: что принес Приказ ФСТЭК России 117

2
4 мин
С 1 марта 2026 года вступает в силу новый регуляторный документ — Приказ ФСТЭК России 117, который существенно меняет подход к обеспечению безопасности государственных информационных систем (ГИС). В отличие от ранее действовавшего Приказа 17, новый документ не просто обновляет требования, а фактически формирует новую модель управления информационной безопасностью. Разберем, какие изменения являются наиболее значимыми и к чему стоит готовиться организациям. Одно из ключевых нововведений — значительное расширение области применения требований.
Теперь под действие приказа подпадают не только владельцы государственных информационных систем, но и широкий круг организаций, включая: Таким образом, требования распространяются даже на тех, кто формально не является оператором ГИС, но взаимодействует с ними. Это означает, что экосистема регулирования становится значительно шире. Приказ 117 вводит принципиально новый подход — непрерывное управление защитой информации.
Организациям необходимо выст
Оглавление

С 1 марта 2026 года вступает в силу новый регуляторный документ — Приказ ФСТЭК России 117, который существенно меняет подход к обеспечению безопасности государственных информационных систем (ГИС). В отличие от ранее действовавшего Приказа 17, новый документ не просто обновляет требования, а фактически формирует новую модель управления информационной безопасностью.

Разберем, какие изменения являются наиболее значимыми и к чему стоит готовиться организациям.

Расширение круга регулируемых организаций

Одно из ключевых нововведений — значительное расширение области применения требований.
Теперь под действие приказа подпадают не только владельцы государственных информационных систем, но и широкий круг организаций, включая:

  • государственные и муниципальные органы;
  • государственные учреждения и унитарные предприятия;
  • любые информационные системы органов власти;
  • организации, которые получают или обрабатывают данные из ГИС.

Таким образом, требования распространяются даже на тех, кто формально не является оператором ГИС, но взаимодействует с ними. Это означает, что экосистема регулирования становится значительно шире.

Переход к процессному управлению безопасностью

Приказ 117 вводит принципиально новый подход — непрерывное управление защитой информации.
Организациям необходимо выстроить замкнутый цикл процессов:

  1. Планирование мер защиты.
  2. Реализация и внедрение.
  3. Оценка эффективности.
  4. Совершенствование на основе анализа.

Такой подход соответствует международным практикам (например, модели PDCA) и предполагает постоянную адаптацию системы безопасности к новым угрозам.

Изменение подхода к мерам защиты

В отличие от предыдущих нормативных актов, новый приказ:

  • не содержит фиксированной итоговой таблицы мер защиты;
  • делает акцент на системности и зрелости процессов;
  • требует внедрения комплексной системы управления ИБ.

При этом сохраняется обязательность использования сертифицированных средств защиты информации (СЗИ) и криптографических средств (СКЗИ). Организации должны самостоятельно формировать набор мер защиты, исходя из рисков, архитектуры систем и уровня зрелости процессов.

Жесткие сроки устранения уязвимостей

Впервые вводятся четкие требования по срокам реагирования на уязвимости:

  • критические — до 24 часов;
  • высокие — до 7 дней;
  • средние и низкие — в рамках внутренних регламентов.

Это требует внедрения полноценных процессов управления уязвимостями, включая:

  • их регулярное выявление;
  • классификацию;
  • контроль сроков устранения.

Дополнительно вводится обязанность информирования о инцидентах в систему ГосСОПКА.

Обязательная отчетность перед регулятором

Еще одно существенное нововведение — регулярная отчетность во ФСТЭК.
Организациям необходимо будет предоставлять:

  • показатели защищенности (раз в полгода и ежегодно);
  • уровень зрелости системы защиты (ежегодно);
  • итоговый годовой отчет.

Ранее подобные требования отсутствовали, что делает новый приказ значительно более строгим с точки зрения контроля.

Усиление требований к подрядчикам

Особое внимание уделяется взаимодействию с внешними организациями.
Теперь необходимо:

  • проверять наличие политик информационной безопасности у подрядчиков;
  • включать требования по ИБ в договоры;
  • фиксировать ответственность за нарушение требований.

Фактически безопасность становится сквозным требованием по всей цепочке взаимодействия.

Новые требования к персоналу

Приказ 117 закрепляет жесткие требования к кадровому обеспечению:

Организационные требования

  • создание отдельного подразделения по ИБ;
  • назначение ответственного руководителя уровня заместителя.

Квалификационные требования

  • руководитель должен иметь профильное образование или переподготовку (не менее 360 часов);
  • не менее 30% сотрудников ИБ-подразделения — с профильным образованием.

Это означает, что многим организациям придется:

  • пересматривать структуру подразделений;
  • обучать персонал;
  • формировать кадровый резерв.

Что делать организациям

Для соответствия новым требованиям рекомендуется:

До вступления приказа

  • провести аудит текущей системы защиты;
  • оценить кадровый состав;
  • определить пробелы в процессах ИБ.

После вступления

  • внедрить процессы управления уязвимостями;
  • наладить регулярную отчетность;
  • пересмотреть договоры с подрядчиками;
  • организовать обучение сотрудников.

Преимущества нового регулирования

Несмотря на усложнение требований, приказ 117 дает ряд системных плюсов:

  • единые стандарты безопасности;
  • повышение качества защиты информации;
  • ускорение реагирования на угрозы;
  • развитие зрелости ИБ-процессов.

Основные вызовы

В то же время организации столкнутся с рядом сложностей:

  • рост затрат на информационную безопасность;
  • необходимость обучения персонала;
  • увеличение объема отчетности;
  • перестройка внутренних процессов.

Приказ ФСТЭК России 117 — это переход от формального выполнения требований к полноценному управлению информационной безопасностью.

Организациям предстоит не просто внедрить отдельные меры защиты, а выстроить комплексную систему, включающую процессы, технологии и квалифицированный персонал.

Те, кто начнет подготовку заранее, смогут не только выполнить требования регулятора, но и значительно повысить устойчивость своих информационных систем к современным угрозам.