С 1 марта 2026 года действуют новые требования ФСТЭК к защите информации в информационных системах (Приказ №117). Если коротко: раньше требования касались только государственных информационных систем (ГИС). Теперь — любых ИС госорганов, государственных унитарных предприятий и государственных учреждений.
Под удар попали:
- ваша бухгалтерская программа;
- кадровая база (ФИО, СНИЛС, паспортные данные);
- медицинские информационные системы;
- системы учёта заявок и обращений;
- любая другая ИС, даже самая простая, которая создана или эксплуатируется вашей организацией.
Кто отвечает?
Обладатель информации, оператор ИС, заказчик. На практике — руководитель организации. Если вы не назначили приказом ответственного за защиту информации — отвечаете лично.
Что грозит? Неприятного много
1. Штрафы по ст. 13.12 КоАП
Нарушение требований о защите информации (в том числе непредоставление отчётов, отсутствие документов, неиспользование сертифицированных средств защиты):
- на должностных лиц — до 50 тыс. ₽;
- на юридических лиц — до 1,5 млн ₽.
Повторное нарушение:
- на должностных лиц — дисквалификация до 3 лет;
- на юридических лиц — до 6 млн ₽.
2. Блокировка деятельности
При грубых нарушениях — по решению суда. До устранения.
3. Уголовная ответственность
При утечке специальных категорий персональных данных (диагнозы, здоровье, интимная жизнь) — реальные сроки для руководителя и ответственного за ИБ.
4. Постоянные проверки
ФСТЭК уже начал мониторинг. Первые отчёты по показателям защищённости требуют к августу 2026 года. За непредоставление — тот же штраф.
Что делать прямо сейчас (три шага)
Руководитель, не перекладывайте на потом.
Шаг 1. Назначьте ответственного за защиту информации
Издайте приказ. Можно назначить существующего сотрудника (сисадмина, юриста, любого). Если не назначите — отвечаете сами.
Шаг 2. Разработайте Политику защиты информации
Это главный документ. Без него нельзя действовать дальше. В Политике прописываются цели защиты, объекты защиты, принципы, обязанности.
Регулятор сказал: Политику разработать в первоочередном порядке.
Шаг 3. Составьте план перехода к требованиям №117
Опишите мероприятия, меры и сроки. Например: когда разработаете внутренние стандарты, когда проведёте классификацию ИС, когда начнёте взаимодействие с ГосСОПКА.
План утверждает руководитель.
Чего ждать от проверок
ФСТЭК будет проверять:
- наличие назначенного ответственного;
- наличие Политики и внутренних регламентов;
- расчёт показателей защищённости (раз в полгода);
- отчёты о мониторинге ИБ (раз в год);
- исполнение сроков устранения уязвимостей.
Всё это фиксируется документально. «Мы не знали» не освобождает от штрафа.
Итог
Требования №117 уже работают. Игнорировать не получится. Первые штрафы и блокировки — вопрос ближайших месяцев.
Что делать руководителю:
- Назначить ответственного.
- Начать разработку Политики защиты информации.
- Составить план перехода.
Подписывайтесь, чтобы не пропустить следующие статьи
В ближайших выпусках разберём:
- как разработать Политику защиты информации (пошагово);
- как определить класс защищённости вашей ИС;
- какие документы требуются помимо Политики;
- как работать с подрядчиками без риска;
- как отчитываться перед ФСТЭК.
Если нужны готовые шаблоны документов или тест на готовность к проверке — переходите на synlawtech.ru. Там же можно заказать бесплатную консультацию.
Есть вопросы? Пишите в комментариях — разберём в следующих статьях.
