АНО ДПО "Международная академия современного образования"

🔥 ФСТЭК утвердил новые требования по защите информации в госорганах, ГУП и учреждениях (Приказ №117 от 11.04.2025)

С 1 марта 2026 года начинают действовать новые Требования №117. Они пришли на смену старым (№17) и теперь касаются не только ГИС, но и любых информационных систем госорганов, ГУП и госучреждений.

📌 Кого касается?

Всех, кто является обладателем информации, оператором или заказчиком ИС. Фактически — подавляющее большинство госорганов и подведомственных учреждений.

⚠️ Главное новшество

Требования распространяются на «иные ИС» (не только на ГИС). Это значит, что защищать нужно и внутренние системы кадрового, бухгалтерского учёта, МИС в больницах и т.д.

📝 Что сделать в первую очередь (до 01.03.2026 и сразу после):

1️⃣ Назначить ответственного за защиту информации (если нет – отвечает лично руководитель).

2️⃣ Создать отдел защиты информации или возложить функции на существующее подразделение (минимум 30% сотрудников должны иметь профильное образование в области ИБ).

3️⃣ Разработать и утвердить ключевые документы:

Политику защиты информации

Внутренние стандарты и регламенты по защите информации

Акты классификации для каждой ИС (класс защищенности К1–К3)

Модель угроз (обязательно для ГИС)

4️⃣ Применять только сертифицированные СЗИ из реестра ФСТЭК. Запрещены средства из недружественных стран (Указ №250).

📊 Новая отчётность во ФСТЭК

Показатель защищённости Кзи – рассчитывать не реже 1 раза в 6 месяцев. Нормированное значение = 1.

Показатель уровня зрелости Пзи – не реже 1 раза в 2 года.

Отчёт направлять во ФСТЭК в течение 5 рабочих дней после расчёта.

В 2026 году отчёты ожидаются уже в августе и декабре!

🛡 Обязательные мероприятия (21 направление):

Управление уязвимостями

(критические – устранять за 24 часа, высокие – за 7 дней)

Управление обновлениями ПО

Защита мобильных и конечных устройств

Привилегированный доступ – только по принципу минимальности прав

Мониторинг ИБ (SIEM, EDR)

Контроль уровня защищённости (пентест не реже 1 раза в 3 года)

🚨 Взаимодействие с ГосСОПКА – обязательно для всех! (даже если вы не субъект КИИ)

Подключиться к технической инфраструктуре НКЦКИ (личный кабинет)

Сообщать об инцидентах в течение 24 часов

Составить «белый список» разрешённых интернет-ресурсов

🤖 Если в ИС используется ИИ

Не передавать информацию ограниченного доступа разработчику модели ИИ

Контролировать запросы и ответы ИИ (шаблоны или допустимые тематики)

Использовать только доверенные технологии ИИ

📅 Что делать, если контракт заключён до 01.03.2026?

Допускается выполнять работы по старым правилам (Приказ №17). При модернизации ранее аттестованных ГИС – провести дополнительные аттестационные испытания и переоформить аттестат.

📎 Аттестация

ГИС – обязательна до начала обработки информации.

Иные ИС – по решению руководителя.

Аттестаты, выданные до 01.03.2026, действительны.

📢 Рекомендация: не затягивайте с разработкой политики, стандартов и регламентов – регулятор ждёт их в первоочередном порядке.

Полный текст комментария (на 11 страницах) с примерами форм документов – по ссылке (добавьте вашу ссылку).

#ФСТЭК #ЗащитаИнформации #Приказ117 #ГИС #ИнформационнаяБезопасность #Госорганы

drive.google.com/...ing

drive.google.com

2 минуты

19 июня