Приказ №117 уже в силе: что будет, если ничего не делать
Продолжение цикла о новом регулировании ИБ. В прошлом выпуске — что изменилось с 1 марта. Сегодня — цена бездействия и три шага, которые руководитель может сделать уже сейчас.
С 1 марта 2026 года действуют новые требования ФСТЭК к защите информации в информационных системах (Приказ №117). Если коротко: раньше жёсткий фокус был на государственных информационных системах (ГИС). Теперь — на иных ИС государственных органов, государственных унитарных предприятий и государственных учреждений, а также на муниципальные ИС (по требованиям приказа, если иное не установлено законом).
Под ударом — не только «большая» система
К требованиям №117 относятся, в частности:
- бухгалтерская программа;
- кадровая база (ФИО, СНИЛС, паспортные данные);
- медицинские информационные системы;
- системы учёта заявок и обращений;
- любая другая ИС, которую ваша организация создала или эксплуатирует.
Для медорганизации это особенно чувствительно: параллельно с №117 действует режим персональных данных (152-ФЗ). Нарушения в МИС и кадровых системах часто попадают сразу под два контура ответственности.
Кто отвечает?
По закону — обладатель информации, оператор ИС, заказчик. На практике ответственность ложится на руководителя организации.
Если вы не назначили приказом ответственного за защиту информации — формально отвечаете вы. Назначить можно существующего сотрудника (сисадмина, юриста и т.д.), но в приказе нужно закрепить полномочия, выделить время и обеспечить компетенции — иначе это бумага без исполнения.
Что грозит, если ничего не делать
1. Штрафы по требованиям №117 (ст. 13.12 КоАП)
За нарушение правил защиты информации, установленных в том числе приказом ФСТЭК №117, применяется ст. 13.12 КоАП РФ. После ужесточения санкций (закон 104-ФЗ, 2025 год) штрафы для организаций, как правило, измеряются десятками и сотнями тысяч рублей — в зависимости от состава нарушения.
Например: за использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации, для юридического лица предусмотрен штраф от 50 000 до 100 000 рублей. За иные нарушения требований о защите информации — по соответствующим частям той же статьи (часто от 15 000 до 100 000 рублей).
Сюда же относится неисполнение обязанностей по отчётности и документам, если это квалифицируется как нарушение требований о защите информации.
2. Штрафы за персональные данные (ст. 13.11 КоАП) — отдельно и жёстче
В больнице и поликлинике почти любая ИС обрабатывает ПДн пациентов и сотрудников. Здесь действует ст. 13.11 КоАП — с существенно более высокими санкциями.
Утечка, неуведомление Роскомнадзора, нарушения при обработке специальных категорий данных (здоровье, диагнозы) могут повлечь штрафы от сотен тысяч до миллионов рублей — в зависимости от части статьи и масштаба инцидента. При повторных и тяжёлых нарушениях суммы ещё выше.
Именно поэтому для медорганизации «ничего не делать по №117» опасно двойным ударом: формальная ИБ плюс реальные данные пациентов.
3. Приостановление деятельности и предписания
Реалистичные риски:
- административное приостановление деятельности (в отдельных составах по ст. 13.12 КоАП — при грубых нарушениях);
- предписание контролирующего органа с требованием устранить нарушения;
- ограничение эксплуатации ИС до приведения в соответствие.
Игнорирование предписания ФСТЭК — отдельный путь к серьёзным последствиям, а не «штраф за отсутствие политики завтра».
4. Уголовная ответственность
При утечке или незаконном распространении специальных категорий персональных данных (сведения о здоровье, диагнозы и т.п.) при наличии состава преступления возможна уголовная ответственность (в том числе по ст. 137 УК РФ) — для должностных лиц, в том числе руководителя и ответственного за ИБ.
Это не «обязательный исход» любой проверки, но риск при реальном инциденте с ПДн — высокий.
5. Постоянный контроль и отчётность
ФСТЭК перешёл к модели мониторинга защищённости, а не разовой «галочки» раз в несколько лет.
По Приказу №117 оператор обязан:
- рассчитывать и оценивать показатель защищённости (Кзи) — не реже одного раза в шесть месяцев;
- рассчитывать показатель зрелости (Пзи) — не реже одного раза в два года;
- направлять результаты во ФСТЭК — не позднее 5 рабочих дней после расчёта.
У многих организаций, которые начали отсчёт с 1 марта 2026 года, первая полугодовая отчётность по Кзи приходится на вторую половину 2026 года (часто — лето). Это не «магический дедлайн 1 августа для всех», а следствие шестимесячного цикла. За непредоставление отчётности и неисполнение требований — те же риски ответственности, что и за прочие нарушения в сфере защиты информации.
Срок давности привлечения по ст. 13.12 увеличен до одного года — «забыть и переждать» стало сложнее.
Что делать прямо сейчас: три шага для руководителя
Не перекладывайте на «потом» и на IT без приказа.
Шаг 1. Назначьте ответственного за защиту информации
Издайте приказ: кто отвечает, какие полномочия, кому подчиняется, сколько времени выделено. Без приказа ответственность остаётся на руководителе.
Шаг 2. Запустите разработку Политики защиты информации
Это базовый документ: цели защиты, объекты, принципы, роли, подход к рискам. По логике №117 и практике ФСТЭК политику имеет смысл делать в первую очередь — без неё сложно выстроить остальные регламенты и доказать системный подход.
Шаг 3. Составьте и утвердите план перехода к требованиям №117
Опишите мероприятия, меры и сроки: классификация ИС, внутренние стандарты, оценка Кзи, обучение, работа с подрядчиками, при необходимости — взаимодействие с ГосСОПКА (если это предусмотрено для ваших систем, а не «для всех подряд»).
План утверждает руководитель. После разъяснений ФСТЭК (информсообщение № 240/22/1492 от 12.03.2026) план перехода — ожидаемый элемент работы организации, а не формальная рекомендация из статьи.
Напоминание: аттестаты, выданные до 1 марта 2026 года, действуют до конца срока, указанного в документе — но новые системы и существенные изменения уже оцениваются по №117.
Чего ждать от проверок
ФСТЭК и иные контролёры будут смотреть не только на «есть ли антивирус», а на доказуемость:
- назначен ли ответственный (приказ);
- есть ли Политика и связанные регламенты;
- проводится ли расчёт Кзи (раз в полгода) и Пзи (раз в два года);
- направляются ли отчёты в установленные сроки;
- как закрываются уязвимости в заявленные сроки;
- как устроена работа с подрядчиками, имеющими доступ к вашим ИС.
Фраза «мы не знали» не отменяет требования. С 1 марта 2026 года они уже действуют.
Итог
Требования №117 уже работают. Для медорганизации бездействие — это не только «штраф по ИБ», но и риски по персональным данным в МИС и кадровых системах.
Руководителю сегодня:
- Назначить ответственного (приказ).
- Разработать Политику защиты информации.
- Утвердить план перехода с конкретными сроками.
Откладывать — значит копить риски под проверку, отчётность по Кзи и возможный инцидент с данными пациентов.
В ближайших выпусках цикла разберём:
- как разработать Политику защиты информации (пошагово);
- как определить класс защищённости вашей ИС;
- какие документы нужны помимо Политики;
- как работать с подрядчиками без лишних рисков;
- как отчитываться перед ФСТЭК.
Нужны шаблоны документов или экспресс-проверка готовности — на synlawtech.ru (тест и консультация). Вопросы по вашей ситуации — в комментариях, разберём в следующих статьях.
Подпишитесь на канал, чтобы не пропустить продолжение серии.
Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.