Добавить в корзинуПозвонить
Найти в Дзене

Приказ №117 вместо №17, отраслевые перечни КИИ: главные изменения 2026 года

Материал из цикла про новое регулирование ИБ в госсекторе и здравоохранении. Сегодня — два параллельных контура: защита государственных ИС и категорирование объектов КИИ. С 1 марта 2026 года вступил в силу Приказ ФСТЭК России №117 от 11.04.2025 — «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах…». Он заменил Приказ №17, действовавший с 2013 года. Это не косметическая правка, а смена модели: от «сдали аттестат и живём спокойно» — к непрерывной защищённости, процессам и регулярной оценке. Раньше жёсткий фокус №17 был на государственных информационных системах (ГИС). №117 расширяет охват: Важно: это режим защиты госИС и иных ИС госсектора. Он не сводится к статусу объекта КИИ. Театр с билетной системой или «1С» в региональном ГКУ раньше часто оставались «вне радара» ГИС — с марта 2026 года для таких систем требования к защите нужно обеспечивать в рамках №117 (с учётом класса и типа системы). Классы защищённости К1–К3 — по-прежнему есть
Оглавление

Материал из цикла про новое регулирование ИБ в госсекторе и здравоохранении. Сегодня — два параллельных контура: защита государственных ИС и категорирование объектов КИИ.

Часть 1. Приказ ФСТЭК №117: кого коснулось и что поменялось

Что произошло

С 1 марта 2026 года вступил в силу Приказ ФСТЭК России №117 от 11.04.2025 — «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах…». Он заменил Приказ №17, действовавший с 2013 года.

Это не косметическая правка, а смена модели: от «сдали аттестат и живём спокойно» — к непрерывной защищённости, процессам и регулярной оценке.

Кого это касается

Раньше жёсткий фокус №17 был на государственных информационных системах (ГИС). №117 расширяет охват:

  • государственные органы;
  • государственные унитарные предприятия (ГУП);
  • государственные учреждения;
  • муниципальные информационные системы — по требованиям приказа, если иное не установлено законом.

Важно: это режим защиты госИС и иных ИС госсектора. Он не сводится к статусу объекта КИИ. Театр с билетной системой или «1С» в региональном ГКУ раньше часто оставались «вне радара» ГИС — с марта 2026 года для таких систем требования к защите нужно обеспечивать в рамках №117 (с учётом класса и типа системы).

Что изменилось по сути

Классы защищённости К1–К3 — по-прежнему есть, но логика их назначения и обеспечения стала жёстче привязана к назначению системы и обрабатываемой информации, а не только к «уровню власти».

Аттестация. Для ГИС аттестация остаётся обязательной (как и при №17), но по новым правилам. Для иных ИС госорганов, ГУП и учреждений обязательны требования к защите; вопрос аттестации зависит от типа системы — для части «иных» ИС в практике применения допускается иной порядок (в т.ч. добровольная аттестация как способ подтвердить соответствие).

Переходный период: аттестаты, выданные до 1 марта 2026 года, действуют до окончания срока, указанного в документе.

Показатель защищённости (Кзи) — организации ориентируются на регулярную оценку (в т.ч. с периодичностью не реже раза в полгода — по правилам приказа и методических документов).

Меры защиты. В самом №117 нет привычной таблицы «17 мер на класс», как в старом №17. Конкретный состав мер и процессов детализируется методикой ФСТЭК (в 2026 году — 19 процессов и 18 групп мер: идентификация и аутентификация, управление доступом, защита конечных точек, регистрация событий, антивирус, межсетевое экранирование и др., включая современные темы — уязвимости, облака, ИИ).

Акцент на практику — меньше «бумажной модели угроз», больше управления уязвимостями, инцидентами и доказуемой защищённости.

Часть 2. Перечни типовых объектов КИИ: новая логика (отдельно от №117)

Что произошло

26 февраля 2026 года Правительство РФ утвердило Распоряжение №360-рединый перечень типовых отраслевых объектов критической информационной инфраструктуры (КИИ). В документе — 397 типовых объектов по 14 отраслям (здравоохранение, транспорт, энергетика, связь, ТЭК, ОПК и др.).

Это другой контур регулирования — по 187-ФЗ и процедурам категорирования (в т.ч. с учётом обновлённого порядка категорирования). Приказ №117 его не заменяет.

В чём суть

Раньше многие субъекты КИИ фактически «собирали» объекты с нуля. Теперь есть единый методический ориентир: для каждого типового объекта указаны типовые процессы и признаки значимости (в т.ч. виды деятельности / ОКВЭД).

Корректная формулировка: если ваша система по функциям совпадает с типовым объектом из перечня, вы обязаны рассмотреть её при категорировании. При подтверждении признаков значимости — отнести к объектам КИИ и присвоить категорию. Это не автоматическая «штамповка» без анализа.

После утвержения перечня субъектам КИИ, как правило, нужно актуализировать сведения, поданные во ФСТЭК (в т.ч. по ранее категорированным объектам).

Примеры из перечня

Здравоохранение и наука: МИС медорганизаций, ИС аптек и лабораторий, региональные и федеральные системы (РМИС, ЕГИСЗ), ГИС ОМС, ИС управления медоборудованием.

Промышленность: в перечне для химической, металлургической, горнодобывающей, ракетно-космической и оборонной отраслей прямо названы, в том числе, ERP-системы (платформы, объединяющие финансы, закупки, производство, кадры). Формулировка «впервые в едином типовом перечне» точнее, чем «впервые вообще стали КИИ».

Финансовый сектор: для банков и финрынка действуют отдельные правила — в т.ч. Постановление Правительства РФ №92 с отраслевыми формулами расчёта показателей значимости. Это не часть распоряжения №360-р, а параллельный инструмент.

ERP (Enterprise Resource Planning) — корпоративные платформы ключевых бизнес-процессов; попадание в типовой перечень означает необходимость проверить систему на предмет статуса объекта КИИ.

Часть 3. Что будет дальше (кратко)

2026 год для многих организаций остаётся переходным:

  • перечень №360-р уже действует, но ожидаются уточнения и обновления отраслевых перечней и особенностей категорирования;
  • по №117 — доработка контроля, требований к подрядчикам госзаказчиков, развитие методической базы;
  • для медицины параллельно остаётся жёсткий контур персональных данных (152-ФЗ) — утечки данных пациентов бьют по репутации и бюджету не меньше, чем формальные несоответствия по КИИ.

Главный риск — формальный подход: новые правила требуют работающей технической и организационной защиты, а не только папки с политиками.

Главные выводы

  1. №117 расширил круг обязанных по защите информации: не только операторы ГИС, но и иные ИС госорганов, ГУП, гос- и (с оговоркой) муниципальных учреждений — независимо от КИИ.
  2. №360-р стандартизировал идентификацию объектов КИИ: сверка с перечнем → категорирование, а не «оценка с нуля в вакууме».
  3. Два режима могут пересекаться: медорганизация одновременно может попадать под №117 (свои ИС) и под 187-ФЗ (МИС как объекты КИИ).
  4. Аттестаты до 01.03.2026 не «сгорают» в один день — но план перехода на новую модель нужен уже сейчас.
  5. Последствия несоблюдения — разные по веткам: предписания и надзор ФСТЭК (№117), обязанности субъекта КИИ (187-ФЗ), штрафы по КоАП и 152-ФЗ (ПДн). Универсальная «остановка производства» — скорее крайний сценарий для значимых объектов КИИ, чем типичный исход для любой больницы.

Проверьте себя: экспресс-тест для медицины

Новая волна регулирования порождает десятки вопросов — особенно там, где каждая МИС на виду, а цена ошибки с персональными данными высока.

Мы подготовили экспресс-тест для руководителей и специалистов по ИБ в медорганизациях: 12 вопросов, около 3 минут.

После прохождения вы увидите:

  • есть ли у вас категорированные объекты КИИ и учтён ли перечень №360-р;
  • попадают ли МИС и региональные системы под типовые объекты;
  • обновлена ли модель защиты под №117 и методику ФСТЭК 2026 года;
  • ориентировочную оценку готовности к проверкам (по критериям теста, не «официальный процент»);
  • перечень рисков и персональные рекомендации;
  • возможность бесплатной консультации с экспертом.

Кому полезно: главврачу, руководителю МО, ответственному за ИБ, системному администратору, внешнему консультанту.

Как пройти: https://synlawtech.ru/security/kii-test → ответить на вопросы → получить результат.

Не ждите проверки — сверьтесь с новыми правилами сами.

В следующих материалах цикла разберём подробнее: классы К1–К3 под №117, типовые объекты КИИ в здравоохранении по перечню №360-р и практический чек-лист для МО.

Подпишитесь на канал, чтобы не пропустить следующие разборы — впереди ещё много изменений.