Добавить в корзинуПозвонить
Найти в Дзене

Приказ №117 уже в силе: что будет, если ничего не делать

Продолжение цикла о новом регулировании ИБ. В прошлом выпуске — что изменилось с 1 марта. Сегодня — цена бездействия и три шага, которые руководитель может сделать уже сейчас. С 1 марта 2026 года действуют новые требования ФСТЭК к защите информации в информационных системах (Приказ №117). Если коротко: раньше жёсткий фокус был на государственных информационных системах (ГИС). Теперь — на иных ИС государственных органов, государственных унитарных предприятий и государственных учреждений, а также на муниципальные ИС (по требованиям приказа, если иное не установлено законом). К требованиям №117 относятся, в частности: Для медорганизации это особенно чувствительно: параллельно с №117 действует режим персональных данных (152-ФЗ). Нарушения в МИС и кадровых системах часто попадают сразу под два контура ответственности. По закону — обладатель информации, оператор ИС, заказчик. На практике ответственность ложится на руководителя организации. Если вы не назначили приказом ответственного за защи
Оглавление

Приказ №117 уже в силе: что будет, если ничего не делать

Продолжение цикла о новом регулировании ИБ. В прошлом выпуске — что изменилось с 1 марта. Сегодня — цена бездействия и три шага, которые руководитель может сделать уже сейчас.

С 1 марта 2026 года действуют новые требования ФСТЭК к защите информации в информационных системах (Приказ №117). Если коротко: раньше жёсткий фокус был на государственных информационных системах (ГИС). Теперь — на иных ИС государственных органов, государственных унитарных предприятий и государственных учреждений, а также на муниципальные ИС (по требованиям приказа, если иное не установлено законом).

Под ударом — не только «большая» система

К требованиям №117 относятся, в частности:

  • бухгалтерская программа;
  • кадровая база (ФИО, СНИЛС, паспортные данные);
  • медицинские информационные системы;
  • системы учёта заявок и обращений;
  • любая другая ИС, которую ваша организация создала или эксплуатирует.

Для медорганизации это особенно чувствительно: параллельно с №117 действует режим персональных данных (152-ФЗ). Нарушения в МИС и кадровых системах часто попадают сразу под два контура ответственности.

Кто отвечает?

По закону — обладатель информации, оператор ИС, заказчик. На практике ответственность ложится на руководителя организации.

Если вы не назначили приказом ответственного за защиту информации — формально отвечаете вы. Назначить можно существующего сотрудника (сисадмина, юриста и т.д.), но в приказе нужно закрепить полномочия, выделить время и обеспечить компетенции — иначе это бумага без исполнения.

Что грозит, если ничего не делать

1. Штрафы по требованиям №117 (ст. 13.12 КоАП)

За нарушение правил защиты информации, установленных в том числе приказом ФСТЭК №117, применяется ст. 13.12 КоАП РФ. После ужесточения санкций (закон 104-ФЗ, 2025 год) штрафы для организаций, как правило, измеряются десятками и сотнями тысяч рублей — в зависимости от состава нарушения.

Например: за использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации, для юридического лица предусмотрен штраф от 50 000 до 100 000 рублей. За иные нарушения требований о защите информации — по соответствующим частям той же статьи (часто от 15 000 до 100 000 рублей).

Сюда же относится неисполнение обязанностей по отчётности и документам, если это квалифицируется как нарушение требований о защите информации.

2. Штрафы за персональные данные (ст. 13.11 КоАП) — отдельно и жёстче

В больнице и поликлинике почти любая ИС обрабатывает ПДн пациентов и сотрудников. Здесь действует ст. 13.11 КоАП — с существенно более высокими санкциями.

Утечка, неуведомление Роскомнадзора, нарушения при обработке специальных категорий данных (здоровье, диагнозы) могут повлечь штрафы от сотен тысяч до миллионов рублей — в зависимости от части статьи и масштаба инцидента. При повторных и тяжёлых нарушениях суммы ещё выше.

Именно поэтому для медорганизации «ничего не делать по №117» опасно двойным ударом: формальная ИБ плюс реальные данные пациентов.

3. Приостановление деятельности и предписания

Реалистичные риски:

  • административное приостановление деятельности (в отдельных составах по ст. 13.12 КоАП — при грубых нарушениях);
  • предписание контролирующего органа с требованием устранить нарушения;
  • ограничение эксплуатации ИС до приведения в соответствие.

Игнорирование предписания ФСТЭК — отдельный путь к серьёзным последствиям, а не «штраф за отсутствие политики завтра».

4. Уголовная ответственность

При утечке или незаконном распространении специальных категорий персональных данных (сведения о здоровье, диагнозы и т.п.) при наличии состава преступления возможна уголовная ответственность (в том числе по ст. 137 УК РФ) — для должностных лиц, в том числе руководителя и ответственного за ИБ.

Это не «обязательный исход» любой проверки, но риск при реальном инциденте с ПДн — высокий.

5. Постоянный контроль и отчётность

ФСТЭК перешёл к модели мониторинга защищённости, а не разовой «галочки» раз в несколько лет.

По Приказу №117 оператор обязан:

  • рассчитывать и оценивать показатель защищённости (Кзи)не реже одного раза в шесть месяцев;
  • рассчитывать показатель зрелости (Пзи)не реже одного раза в два года;
  • направлять результаты во ФСТЭКне позднее 5 рабочих дней после расчёта.

У многих организаций, которые начали отсчёт с 1 марта 2026 года, первая полугодовая отчётность по Кзи приходится на вторую половину 2026 года (часто — лето). Это не «магический дедлайн 1 августа для всех», а следствие шестимесячного цикла. За непредоставление отчётности и неисполнение требований — те же риски ответственности, что и за прочие нарушения в сфере защиты информации.

Срок давности привлечения по ст. 13.12 увеличен до одного года — «забыть и переждать» стало сложнее.

Что делать прямо сейчас: три шага для руководителя

Не перекладывайте на «потом» и на IT без приказа.

Шаг 1. Назначьте ответственного за защиту информации

Издайте приказ: кто отвечает, какие полномочия, кому подчиняется, сколько времени выделено. Без приказа ответственность остаётся на руководителе.

Шаг 2. Запустите разработку Политики защиты информации

Это базовый документ: цели защиты, объекты, принципы, роли, подход к рискам. По логике №117 и практике ФСТЭК политику имеет смысл делать в первую очередь — без неё сложно выстроить остальные регламенты и доказать системный подход.

Шаг 3. Составьте и утвердите план перехода к требованиям №117

Опишите мероприятия, меры и сроки: классификация ИС, внутренние стандарты, оценка Кзи, обучение, работа с подрядчиками, при необходимости — взаимодействие с ГосСОПКА (если это предусмотрено для ваших систем, а не «для всех подряд»).

План утверждает руководитель. После разъяснений ФСТЭК (информсообщение № 240/22/1492 от 12.03.2026) план перехода — ожидаемый элемент работы организации, а не формальная рекомендация из статьи.

Напоминание: аттестаты, выданные до 1 марта 2026 года, действуют до конца срока, указанного в документе — но новые системы и существенные изменения уже оцениваются по №117.

Чего ждать от проверок

ФСТЭК и иные контролёры будут смотреть не только на «есть ли антивирус», а на доказуемость:

  • назначен ли ответственный (приказ);
  • есть ли Политика и связанные регламенты;
  • проводится ли расчёт Кзи (раз в полгода) и Пзи (раз в два года);
  • направляются ли отчёты в установленные сроки;
  • как закрываются уязвимости в заявленные сроки;
  • как устроена работа с подрядчиками, имеющими доступ к вашим ИС.

Фраза «мы не знали» не отменяет требования. С 1 марта 2026 года они уже действуют.

Итог

Требования №117 уже работают. Для медорганизации бездействие — это не только «штраф по ИБ», но и риски по персональным данным в МИС и кадровых системах.

Руководителю сегодня:

  1. Назначить ответственного (приказ).
  2. Разработать Политику защиты информации.
  3. Утвердить план перехода с конкретными сроками.

Откладывать — значит копить риски под проверку, отчётность по Кзи и возможный инцидент с данными пациентов.

В ближайших выпусках цикла разберём:

  • как разработать Политику защиты информации (пошагово);
  • как определить класс защищённости вашей ИС;
  • какие документы нужны помимо Политики;
  • как работать с подрядчиками без лишних рисков;
  • как отчитываться перед ФСТЭК.

Нужны шаблоны документов или экспресс-проверка готовности — на synlawtech.ru (тест и консультация). Вопросы по вашей ситуации — в комментариях, разберём в следующих статьях.

Подпишитесь на канал, чтобы не пропустить продолжение серии.

Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.