Новые требования ФСТЭК №117: что изменится с 1 марта 2026 года и как подготовиться

Что произошло: расширение охвата и ужесточение контроля

Главное нововведение — требования распространяются не только на государственные информационные системы (ГИС), но и на все иные информационные системы государственных органов, ГУП и госучреждений.
Это означает, что теперь под действие нормативов подпадают:

• Собственные медицинские информационные системы в госучреждениях здравоохранения
  
• Системы учета читателей в библиотеках
  
• Кадровые и бухгалтерские системы
  
• Любые другие ИС, созданные для обеспечения деятельности госорганов
  

За нарушение требований предусмотрена административная ответственность по статье 13.12 КоАП РФ, а контроль за исполнением возложен на ФСТЭК России.

---

Ключевые изменения: от документов до кибертренировок

1. Обязательная «бумажная» защита информации

Требования №117 устанавливают строгий перечень локальных актов, которые должны быть разработаны и утверждены руководителем или ответственным лицом :

Документ	Содержание
Политика защиты информации	Цели, задачи, принципы защиты, перечень объектов, категории участников, схема взаимодействия
Внутренние стандарты	Требования к идентификации, моделям доступа, перечни разрешенного/запрещенного ПО, требования к конфигурациям
Внутренние регламенты	Порядок создания учетных записей, управления уязвимостями, резервного копирования, мониторинга ИБ
Акты классификации ИС	Определение уровня значимости, масштаба и класса защищенности для каждой системы
Модель угроз безопасности	Обязательна для ГИС, рекомендуется для иных ИС

2. Новые сроки устранения уязвимостей

Требования устанавливают жесткие дедлайны для устранения уязвимостей в зависимости от их критичности :

• Критический уровень — не более 24 часов
  
• Высокий уровень — не более 7 календарных дней
  
• Средний уровень — не более 4 недель
  
• Низкий уровень — не более 4 месяцев
  

При обнаружении уязвимости «нулевого дня» (отсутствующей в базе ФСТЭК) организация обязана сообщить о ней в ФСТЭК в течение 5 рабочих дней.

3. Многофакторная аутентификация становится обязательной

Для привилегированного доступа и служебного удаленного доступа теперь требуется строгая аутентификация — многофакторная взаимная аутентификация с использованием криптографических протоколов .

4. Защита от DDoS-атак и взаимодействие с ГосСОПКА

Организации должны обеспечить :

• Взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
  
• Взаимодействие с Центром мониторинга и управления сетью связи общего пользования (ЦМУ ССОП)
  
• Контроль и фильтрацию сетевого трафика с составлением «белого списка» разрешенных интернет-ресурсов
  

5. Обучение пользователей и кибертренировки

Требования вводят обязательное обучение сотрудников с оценкой знаний не реже 1 раза в 3 года или после компьютерного инцидента. Рекомендуются тренировки по отработке действий при реализации угроз, включая имитационные рассылки (фишинг-тесты) .

---

Классы защищенности и время восстановления

Требования №117 устанавливают три класса защищенности ИС, от которых зависят сроки восстановления значимых функций при сбоях :

Класс защищенности	Время восстановления	Уровень нарушителя
К1	Не более 24 часов	Высокий
К2	Не более 7 календарных дней	Повышенный
К3	Не более 4 недель	Базовый

Класс определяется на основе уровня значимости информации (высокий, средний, низкий) и масштаба ИС (федеральный, региональный, объектовый).

---

Практические рекомендации по подготовке

До 1 марта 2026 года:

1. Провести инвентаризацию всех информационных систем и определить, какие из них попадают под действие Требований №117
   
2. Назначить ответственное лицо за организацию защиты информации и создать/переформатировать подразделение по защите информации
   
3. Разработать необходимые документы: Политику защиты информации, внутренние стандарты и регламенты
   
4. Провести классификацию ИС — определить уровень значимости, масштаб и присвоить класс защищенности
   
5. Разработать модель угроз безопасности информации
   
6. Обеспечить штат специалистов: не менее 30% сотрудников отдела защиты информации должны иметь специальное образование в области ИБ
   

После 1 марта 2026 года:

1. Внедрить процессы управления уязвимостями с соблюдением установленных сроков устранения
   
2. Организовать мониторинг информационной безопасности с периодической отчетностью в ФСТЭК
   
3. Провести аттестацию ГИС (обязательно) и иных ИС (по решению руководителя)
   
4. Налажить взаимодействие с ГосСОПКА — заключить регламент взаимодействия с НКЦКИ
   
5. Рассчитать показатели защищенности (Кзи) и уровня зрелости (Пзи) не реже 1 раза в полгода и 2 года соответственно
   

---

Как мы можем помочь

Компания ООО «ИЦ Региональные Системы» обладает всеми необходимыми лицензиями ФСТЭК и ФСБ России для выполнения работ по обеспечению информационной безопасности. Мы предлагаем:

• Аудит информационной безопасности — комплексная оценка текущего состояния защищенности с определением уязвимостей и разработкой дорожной карты приведения в соответствие с Требованиями №117
  
• Разработку документации — Политики защиты информации, внутренних стандартов и регламентов, моделей угроз
  
• Классификацию ИС и определение классов защищенности с оформлением актов классификации
  
• Аттестацию информационных систем на соответствие требованиям ФСТЭК
  
• Проектирование и внедрение систем защиты информации — от межсетевых экранов до систем обнаружения вторжений (IDS/IPS) и SIEM
  
• Обучение персонала — тренинги по информационной безопасности и практические кибертренировки
  

Наш 15-летний опыт реализации проектов в государственном секторе, промышленности и финансовой сфере позволяет нам гарантировать качественное выполнение работ в соответствии с требованиями регулятора.