Приказ №117 вместо №17, отраслевые перечни КИИ: главные изменения 2026 года

Что произошло?

С 1 марта 2026 года вступил в силу Приказ ФСТЭК России №117 от 11.04.2025 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах…». Этот документ пришёл на смену Приказу №17, который действовал с 2013 года. Изменения — кардинальные.

Кого коснулось?

Если раньше требования 17-го приказа распространялись в основном на операторов государственных информационных систем (ГИС), то теперь под действие №117 попадают все информационные системы:

• государственных органов,
• государственных унитарных предприятий (ГУП),
• государственных учреждений,
• муниципалитетов —

вне зависимости от того, относятся ли они к объектам КИИ.

🔹 Простой пример: раньше автоматизированная система продажи билетов в государственном театре или бухгалтерская «1С» в региональном ГКУ не подпадали под требования ИБ. С 1 марта 2026 года — подпадают.

Что изменилось в требованиях?

• Классы защищённости — введены три класса (К1, К2, К3), определяемые исходя из уровня значимости информации и масштаба системы.
• Обязательная аттестация — теперь государственные информационные системы подлежат обязательной аттестации.
• Периодическая оценка — не реже одного раза в полгода нужно проводить оценку показателя защищённости (Кзи).
• 17 базовых мер защиты — идентификация и аутентификация, управление доступом, защита конечных точек, регистрация событий безопасности, антивирусная защита, межсетевое экранирование и другие.
• Акцент на техническую защиту — вместо абстрактных указаний — конкретные технические и организационные требования.

Часть 2. Отраслевые перечни типовых объектов КИИ: новая логика категорирования

Что произошло?

26 февраля 2026 года Правительство РФ утвердило Распоряжение №360-р, которым установлен единый перечень типовых отраслевых объектов критической информационной инфраструктуры. Документ содержит 397 категорий систем и технологий, используемых в различных секторах экономики.

В чём суть изменений?

Раньше организации самостоятельно оценивали, какие их объекты относятся к КИИ, и категорировали их «с нуля». Теперь логика меняется: нужно сверяться с готовыми списками. Если ваша информационная система подпадает под типовой перечень — значит, это объект КИИ, и она подлежит категорированию и защите по требованиям ФСТЭК.

Какие объекты попали в перечень?

• Медицина и наука: все медицинские информационные системы (МИС МО, ИС аптек, лабораторий), региональные и федеральные системы (РМИС, ЕГИСЗ), ГИС ОМС, ИС для управления рентген-аппаратами.
• ERP-системы: впервые напрямую включены в перечень объектов КИИ для химической промышленности, металлургии, горнодобывающей, ракетно-космической и оборонной промышленности.
• Финансовый сектор: Постановление Правительства РФ №92 установило отраслевые особенности категорирования для банковской и финансовой сферы с чёткими формулами расчета показателей значимости.

💡 Важно: ERP-системы (Enterprise Resource Planning) — это программные платформы, интегрирующие ключевые бизнес-процессы компании: финансы, закупки, производство, кадровый учёт. Теперь они официально признаны объектами КИИ.

Часть 3. Что будет дальше?

2026 год — переходный для многих организаций. В планах регуляторов на ближайшие кварталы:

• II квартал 2026 года: окончательное утверждение объединённого перечня типовых отраслевых объектов КИИ на уровне Правительства.
• IV квартал 2026 года: появление новых требований к защите информационных систем подрядчиков госорганизаций, а также корректировка порядка контроля за выполнением требований Приказа №117.

⚠️ Главный риск — формальный подход. Новые требования направлены на реальную техническую защиту, а не на «бумажную» безопасность.

📌 ГЛАВНЫЕ ВЫВОДЫ

• Приказ ФСТЭК №117 расширяет круг организаций, обязанных защищать свои информационные системы. Теперь это не только операторы ГИС, но и любые госучреждения, ГУПы и муниципалитеты.
• Отраслевые перечни меняют логику категорирования КИИ: теперь не нужно оценивать критические процессы «с нуля» — достаточно свериться с утверждённым списком.
• ERP-системы впервые прямо признаны объектами КИИ в стратегических отраслях. Это ускорит переход на отечественные решения.
• Финансовый сектор получил отдельные правила категорирования с чёткими формулами расчета показателей значимости.
• Несоблюдение требований может привести к штрафам, остановке производственных процессов и росту затрат на ИТ-поддержку.

🧪 А теперь — к делу. Готовы проверить себя?

Мы понимаем, что новая волна регулирования вызывает много вопросов. Особенно в медицине, где каждая система — на виду, а штрафы за утечку персональных данных пациентов могут быть катастрофическими.

Поэтому мы подготовили Экспресс-тест для ответственных за ИБ в медицинских организациях. За 3 минуты и 12 вопросов вы узнаете:

• ✔ Категорировались ли объекты КИИ в вашей организации
• ✔ Подпадают ли ваши МИС и региональные системы под новые отраслевые перечни
• ✔ Обновлена ли документация под Приказ ФСТЭК №117
• ✔ Внедрены ли 17 базовых мер защиты
• ✔ Какова реальная готовность к проверкам (в процентах)

Что вы получите после прохождения?

• Готовый перечень выявленных рисков и проблем
• Персональные рекомендации по приведению в соответствие
• Предложение бесплатной консультации с экспертом

🎯 Кому это нужно?

• Руководителям медицинских организаций
• Главным врачам
• Ответственным за информационную безопасность
• Системным администраторам
• Внешним специалистам по ИБ

📋 Как пройти тест?

Перейдите по ссылке: 👉 https://synlawtech.ru/kii-test/
Ответьте на 12 вопросов — это займёт не больше 3 минут.
Получите результат и рекомендации.

Не ждите проверки — проверьтесь сами.
Подпишитесь на канал, чтобы не пропустить следующие разборы — впереди ещё много изменений.