11 апреля 2025 года ФСТЭК России утвердила приказ № 117, который с 1 марта 2026 года полностью заменил действовавший двенадцать лет приказ № 17 ФСТЭК России. Это не косметическая правка, а смена самой логики защиты информации в государственных и ведомственных системах. Если прежний подход строился вокруг разовой аттестации и фиксированного списка мер, новый документ переводит безопасность в плоскость непрерывного процесса с измеримыми показателями. Разбираемся, что именно поменялось и куда смотреть руководителям и ИБ-специалистам уже сейчас.
Кого теперь касается приказ № 117
Главное расширение охвата произошло на уровне субъектов регулирования. Приказ № 17 распространялся только на государственные информационные системы (ГИС). Новый документ охватывает значительно более широкий круг операторов. Под действие 117 приказа ФСТЭК России попадают:
- государственные информационные системы;
- иные ИС государственных органов, ГУП и государственных учреждений;
- системы внутреннего документооборота, кадрового и бухгалтерского учёта в перечисленных организациях;
- подрядчики, работающие с информацией под действием приказа.
На практике это означает, что региональное учреждение, использующее «1С: Бухгалтерию» и собственную автоматизированную систему, по новым правилам обязано выстраивать защиту согласно требованиям документа. Раньше такие системы выпадали из периметра № 17, и многие операторы воспринимали это как зону свободы выбора. С 1 марта 2026 года требование стало обязательным, а в штате должен появиться специалист по ИБ или соответствующее подразделение.
Аттестат соответствия, полученный до 1 марта 2026 года, сохраняет силу. Но при существенных изменениях в системе или окружении его потребуется переоформить уже по новым требованиям, и здесь нельзя откладывать аудит до момента, когда инспектор постучит в дверь.
Расширение зоны ответственности на подрядчиков стало отдельной новацией. Соответствие требованиям 117 становится обязательным условием договоров с организациями, которым передаётся доступ к информации.
От аттестации к процессу: смена парадигмы
Приказ № 17 фактически работал по логике: получили аттестат, забыли о ней до следующей проверки. Приказ № 117 заменяет эту модель непрерывным управлением защитой. Аттестация в обязательном порядке требуется только для ГИС, а для прочих информационных систем государственных органов решение об аттестации принимает сам оператор. Зато появляются регулярные обязательства, которых раньше не было.
Что включает новый процессный подход:
- Числовые метрики Кзи и Пзи. Кзи (коэффициент защищённости информации) и Пзи (показатель защищённости информации) рассчитываются по утверждённой методике ФСТЭК и принимают значения от 0 до 1. Они отражают зрелость системы защиты в каждый момент времени.
- Сроки устранения уязвимостей. Жёстко фиксированы. Раньше они оставались на усмотрение оператора, теперь это часть обязательных требований.
- Отчётность во ФСТЭК. Результаты расчёта Кзи и Пзи направляются в регулятор в течение пяти рабочих дней. Раз в год оператор отчитывается о выполнении мероприятий по защите.
- Расширенный перечень мероприятий. Вместо двоичной оценки в формате «есть мера, нет меры» применяется градуированная шкала зрелости, отдалённо похожая на NIST CSF.
Такой подход формирует постоянную нагрузку на службу ИБ, но даёт регулятору и руководству актуальную картину защиты, а не отчёт двухлетней давности.
Новая иерархия документов и роль ОРД
Прежняя редакция требовала наличия организационно-распорядительных документов, но без чёткой структуры. Приказ № 117 вводит трёхуровневую систему документации, и здесь связь с ОРД становится прямой. Работа с организационно распорядительным документом подчиняется ясной иерархии:
- Политика защиты информации — верхнеуровневый акт, определяет принципы и цели. Принимается руководителем организации.
- Внутренние стандарты — детализируют, как реализуются положения политики на уровне подсистем и процессов.
- Внутренние регламенты — описывают конкретные операции: парольная политика, реагирование на инциденты, контроль доступа подрядчиков.
Документы должны быть согласованы между собой, утверждены и доведены до сотрудников. Формальный шаблон, скачанный из интернета, не выдержит проверки: инспектор ФСТЭК сверит написанное с реально работающими процессами и наличием подтверждающих записей.
Перечень мер и подсистем защиты
В отличие от приказа № 17, где меры были собраны в итоговую таблицу с привязкой к классам защищённости, новый документ структурирует их иначе. ФСТЭК перечень мероприятий вынесла в отдельный методический документ, утверждённый в апреле 2026 года. Он описывает восемнадцать групп мер, охватывающих весь жизненный цикл защиты.
Что входит в обновлённый набор:
- управление доступом и идентификацией;
- защита от вредоносного кода;
- мониторинг событий безопасности и взаимодействие с ГосСОПКА;
- управление уязвимостями с фиксированными сроками устранения;
- защита конечных устройств, включая EDR-решения;
- безопасный удалённый доступ к информационным системам;
- криптографическая защита каналов и хранимой информации;
- обучение пользователей с практической ориентацией.
Класс защищенности информационной системы ФСТЭК по-прежнему определяет глубину применяемых мер, но конкретный состав мероприятий теперь читается не из одной таблицы, а из связки приказа и методдокумента. Это требует более вдумчивого проектирования системы защиты и регулярного пересмотра принятых решений.
Что делать бизнесу прямо сейчас
Подготовка к работе по новым правилам требует ревизии. Для большинства организаций минимальный план действий выглядит так:
- Определить, попадает ли организация под действие приказа № 117, и зафиксировать перечень информационных систем в периметре.
- Провести аудит текущей документации и реальных процессов, сопоставив их с новыми требованиями.
- Пересмотреть договоры с подрядчиками: внести обязательства по соответствию требованиям приказа.
- Рассчитать Кзи и Пзи по методике ФСТЭК, чтобы понимать стартовую точку.
- Сформировать или обновить трёхуровневую иерархию документов.
- Запланировать мероприятия по закрытию пробелов и согласовать бюджет.
ФСТЭК меры защиты информации в государственных информационных системах теперь привязаны к измеримым показателям, и формальный подход к процессу больше не работает. Чем раньше начата подготовка, тем меньше риск получить предписание при первой же плановой проверке.
Аудит ИБ от БИТ.CLOUD: разобраться без проб и ошибок
Самостоятельное чтение приказа № 117, методического документа и сопровождающих ГОСТов занимает у непрофильной команды недели и редко даёт цельную картину. Аудит информационной безопасности от БИТ.CLOUD — это структурированная проверка вашей инфраструктуры и документации на соответствие действующим требованиям, включая № 117 приказ ФСТЭК России. По итогам вы получаете не только перечень несоответствий, но и приоритизированный план их устранения с оценкой сроков и стоимости.
Что входит в работу:
- инвентаризация информационных систем и анализ текущего класса защищённости;
- оценка соответствия документации и фактических процессов;
- расчёт стартовых значений Кзи и Пзи по методике ФСТЭК;
- рекомендации по составу подсистем защиты и техническим мерам;
- поддержка при подготовке и подаче отчётности во ФСТЭК.
Если работа с персональными данными становится отдельным пластом задач, можно сразу подключить аудит соответствия 152-ФЗ. Для каждой задачи мы формируем команду из специалистов с подтверждённой экспертизой: ИТ-аудиторы, инженеры ИБ, юристы. Организация системы внутреннего контроля в организации после такого аудита превращается в управляемый процесс. Оставьте заявку, чтобы получить расчёт стоимости и сроки под задачи вашей компании.