Добавить в корзинуПозвонить
Найти в Дзене

Приказ №117: какие внутренние документы обязательны и с чего начать

Продолжение цикла о Приказе ФСТЭК №117. Раньше — кто отвечает и как назначать. Сегодня — какие документы обязательны и что в них писать. Требования Приказа №117 — это не про «купить оборудование и закрыть вопрос».
Основа защиты информации — внутренние документы. Именно по ним проверяющие оценивают, организована ли защита в системе на практике, а не «на словах». ФСТЭК в разъяснении от 12.03.2026 прямо указала:
политику, внутренние стандарты и внутренние регламенты нужно разрабатывать в первоочередном порядке — сразу после назначения ответственного за защиту информации. Базовый документ, который задаёт: Определяют как должно быть настроено и что допускается в вашей ИС: Это пошаговые процедуры: Документы утверждаются в установленном в организации порядке (как правило, руководителем). Во внутренних стандартах должны быть описаны минимум следующие блоки: Регламенты должны фиксировать процедуры по направлениям: По срокам устранения уязвимостей и иным параметрам используйте значения, установл
Оглавление

Продолжение цикла о Приказе ФСТЭК №117. Раньше — кто отвечает и как назначать. Сегодня — какие документы обязательны и что в них писать.

Требования Приказа №117 — это не про «купить оборудование и закрыть вопрос».
Основа защиты информации —
внутренние документы. Именно по ним проверяющие оценивают, организована ли защита в системе на практике, а не «на словах».

ФСТЭК в разъяснении от 12.03.2026 прямо указала:
политику, внутренние стандарты и внутренние регламенты нужно разрабатывать в первоочередном порядке — сразу после назначения ответственного за защиту информации.

Минимальный обязательный комплект документов

1) Политика защиты информации

Базовый документ, который задаёт:

  • цели и принципы защиты;
  • объекты защиты;
  • роли и ответственность сотрудников.

2) Внутренние стандарты по защите информации

Определяют как должно быть настроено и что допускается в вашей ИС:

  • технические требования;
  • организационные правила;
  • единые требования к конфигурациям и доступу.

3) Внутренние регламенты по защите информации

Это пошаговые процедуры:

  • кто делает;
  • когда делает;
  • в какой последовательности;
  • как фиксируется результат.

Документы утверждаются в установленном в организации порядке (как правило, руководителем).

Что обязательно включить во внутренние стандарты (п. 14 Приказа №117)

Во внутренних стандартах должны быть описаны минимум следующие блоки:

  • идентификация пользователей;
  • модели и уровни доступа к данным;
  • перечень разрешённого ПО;
  • перечень запрещённого ПО;
  • типовые конфигурации серверов, рабочих мест и сетевого оборудования;
  • настройки доступа в интернет из ИС;
  • настройки удалённого доступа;
  • запрещённые действия пользователей;
  • требования к защите конечных устройств (ПК/ноутбуки);
  • требования к защите мобильных устройств;
  • требования к непрерывности работы значимых функций ИС;
  • порядок резервного копирования;
  • порядок сбора и анализа событий безопасности.

Что обязательно включить во внутренние регламенты (п. 14 Приказа №117)

Регламенты должны фиксировать процедуры по направлениям:

  • учётные записи (создание, изменение, блокировка, удаление, включая привилегированные);
  • аутентификация (пароли, ключи, сертификаты и правила работы с ними);
  • удалённый доступ (заявка, согласование, контроль);
  • доступ подрядчиков;
  • управление уязвимостями;
  • управление обновлениями ПО;
  • обучение пользователей и проверка знаний;
  • мониторинг ИБ и отчётность;
  • физическая защита и контроль носителей;
  • восстановление после сбоев и инцидентов.

По срокам устранения уязвимостей и иным параметрам используйте значения, установленные применимыми требованиями и внутренними стандартами вашей организации.

Сроки: когда всё это делать

Позиция регулятора однозначная:
политика, стандарты и регламенты — первоочередные документы.

На практике без них крайне сложно:

  • корректно провести классификацию ИС;
  • обоснованно построить модель угроз;
  • подтвердить выполнение требований при контроле и отчётности.

Рабочий порядок:

  1. Сначала — Политика (рамочный документ).
  2. Затем параллельно — стандарты и регламенты.
  3. После этого — детализация по системам, процессам и ролям.

Что делать, если нет штатного ИБ-специалиста

Старт можно организовать силами назначенного ответственного (например, юриста или системного администратора), но для качественной проработки технических разделов обычно нужен профильный ИБ-специалист или внешняя экспертная поддержка.

Критично не «написать бумагу», а сделать документы:

  • применимыми к вашей ИС;
  • связными между собой;
  • готовыми к практическому исполнению и проверке.

Практический шаг на сегодня

Если вы только начинаете работу по №117:

  • зафиксируйте ответственное лицо;
  • утвердите структуру трёх базовых документов;
  • запустите разработку Политики;
  • параллельно соберите черновики стандартов и регламентов по п. 14.

На сайте synlawtech.ru можно:

В следующей статье

Разберём, как определить класс защищённости ИС и оформить акт классификации — обязательный шаг для каждой системы.

Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.