Что такое Приказ ФСТЭК № 117
Приказ ФСТЭК России № 117 от 11 февраля 2025 года — нормативный акт, утверждающий «Требования по организации защиты информации в государственных информационных системах и иных информационных системах». Документ вступил в силу 1 марта 2026 года и полностью заменил действовавший с 2013 года Приказ ФСТЭК № 17.Цель документа: обеспечить безопасность данных в ГИС и построить эффективную систему информационной безопасности (ИБ), ориентированную на повышение прозрачности и зрелости процессов защиты.
Ключевые изменения: Приказ № 17 vs Приказ № 117
| Параметр | Приказ № 17 (2013) | Приказ № 117 (2025) |
|---|---|---|
| Область применения | Только ГИС | ГИС + другие ИС |
| Подход к защите | Технологический | Процессно-ориентированный |
| Управление уязвимостями | Не регламентировано | Обязательное, с чёткими сроками |
| Мониторинг ИБ | Отсутствовал | Обязательный, с отчётностью в ФСТЭК |
| Показатели защищённости | Не требовались | Кзи (раз в 6 мес.) и Пзи (раз в 2 года) |
| Взаимодействие с ГосСОПКА | Не обязательно | Обязательно через НКЦКИ |
| Аттестация ГИС | По решению руководителя | Обязательна |
Первоочередные задачи по выполнению требований
Этап подготовки (до 1 марта 2026 года)
1. Инвентаризация информационных систем
- Составить полный реестр ИС организации.
- Определить, какие системы попадают под действие Требований № 117.
- Классифицировать системы по уровню критичности.
2. Назначение ответственного лица и создание подразделения ИБ
- Определить руководителя за организацию защиты информации.
- Создать или переформатировать подразделение по ИБ.
- Закрепить функции и обязанности в должностных инструкциях.
3. Обследование ИС и оценка состояния защиты
- Обследовать каждую информационную систему.
- Определить негативные последствия для каждой ИС.
- Оценить текущее состояние защиты информации.
- Составить перечень подрядчиков, имеющих доступ к ИС.
4. Разработка политики защиты информации
- Сформировать политику защиты информации.
- Составить стандарты и регламенты ИБ.
- Определить архитектуру системы защиты.
- Разработать модели угроз и требуемый уровень защищённости.
5. Составление плана мероприятий и дорожной карты
- Разработать план доработки защиты ИС.
- Создать дорожную карту по выполнению требований.
- Определить сроки и ресурсы для реализации мер.
Этап реализации (после 1 марта 2026 года)
1. Внедрение процессов управления уязвимостями
- Организовать регулярный аудит программного и аппаратного обеспечения.
- Установить чёткие сроки устранения уязвимостей.
- Внедрить процессы поиска и устранения уязвимостей.
2. Организация мониторинга информационной безопасности
- Настроить систему мониторинга событий ИБ.
- Обеспечить идентификацию событий и прогноз сбоев.
- Подготовить периодическую отчётность в ФСТЭК.
3. Аттестация ГИС
- Обязательно аттестовать все государственные информационные системы.
- Аттестация иных ИС — по решению руководителя.
- Подтвердить достаточность принятых мер защиты.
4. Налаживание взаимодействия с ГосСОПКА
- Заключить регламент взаимодействия с НКЦКИ (Национальный центр мониторинга и реагирования на компьютерные атаки).
- Интегрироваться с системой ГосСОПКА для обмена информацией об угрозах.
5. Расчёт показателей защищённости и зрелости
- Кзи (коэффициент защищённости): расчёт не реже 1 раза в полгода.
- Пзи (показатель зрелости): расчёт не реже 1 раза в 2 года.
- Документировать и отчитываться по показателям.
Технические меры защиты
Сетевой периметр
| Мера | Описание |
|---|---|
| Межсетевые экраны (МЭ) | Использование российских МЭ с сертификацией ФСТЭК |
| Защита сети | Сегментация сети, контроль трафика |
| Удалённый доступ | Безопасный удалённый доступ с двухфакторной аутентификацией |
Конечные точки
| Мера | Описание |
|---|---|
| Защита ОС | Антивирусная защита операционных систем |
| Контроль устройств | Управление мобильными устройствами сотрудников |
| Обновление ПО | Соблюдение регламента обновлений в установленные сроки |
Данные и доступ
| Мера | Описание |
|---|---|
| Двухфакторная аутентификация | Внедрение строгой 2FA для всех критических систем |
| DLP-системы | Системы предотвращения утечек информации |
| Резервное копирование | Регламентированное резервное копирование данных |
| Контроль привилегий | Жёсткий контроль привилегий администраторов |
Организационные меры защиты
Повышение осведомлённости сотрудников
- Регулярное обучение сотрудников в области ИБ.
- Тренировки по отработке действий при реализации угроз.
- Имитационные рассылки (фишинг-тесты) для проверки готовности.
Работа с подрядчиками
- Проверять наличие политик ИБ у подрядчиков.
- Включать требования по ИБ в договоры.
- Фиксировать ответственность за нарушение требований.
- Составить перечень подрядчиков с доступом к ИС.
Планирование и реализация
- Строгий контроль изменений конфигурации оборудования и ПО.
- Соблюдение регламента обновлений в установленные сроки.
- Обеспечение непрерывности деятельности.
Меры по устранению нарушений
Что делать при выявлении нарушений:- Срочно устранить выявленные уязвимости — в установленные сроки согласно требованиям № 117, документировать процесс.
- Провести дополнительный аудит безопасности — повторное обследование ИС, оценка состояния защиты после устранения.
- Обновить документацию — пересмотреть политику защиты информации, обновить стандарты и регламенты.
- Сообщить в ФСТЭК — подготовить отчётность о принятых мерах, предоставить показатели Кзи и Пзи.
- Повторить аттестацию (для ГИС) — подтвердить достаточность мер защиты после устранения нарушений.
Ключевые показатели для отчётности
Кзи — Коэффициент защищённости
- Периодичность: не реже 1 раза в полгода.
- Что оценивает: уровень технической защищённости системы.
- Требование: документирование и отчётность в ФСТЭК.
Пзи — Показатель зрелости
- Периодичность: не реже 1 раза в 2 года.
- Что оценивает: зрелость процессов управления ИБ.
- Включает: организационные и кадровые меры.
Практические рекомендации для российских компаний
Немедленные действия
- Провести аудит текущей системы защиты — оценить пробелы в процессах ИБ.
- Оценить кадровый состав — определить достаточность специалистов по ИБ.
- Определить пробелы в процессах ИБ — составить перечень необходимых улучшений.
- Закупить и внедрить необходимые СЗИ — средства защиты информации с сертификацией ФСТЭК.
- Внедрить процессы управления ИБ — включая непрерывность деятельности и безопасную разработку ПО.
Импортозамещение
- Использовать российские ОС (Astra Linux, ROSA) с встроенной защитой.
- Интегрировать с КриптоПро для криптографической защиты данных.
- Применять российские МЭ, антивирусы («Лаборатория Касперского», Positive Technologies).
- Обеспечить соответствие требованиям ФСТЭК и Минцифры.
Ответственность за невыполнение требований
Несоблюдение требований Приказа ФСТЭК № 117 может привести к:- Административной ответственности по КоАП РФ.
- Блокировке информационных систем.
- Репутационным потерям для организации.
- Финансовым штрафам от регуляторов.
Часто задаваемые вопросы (FAQ)
Вопрос: Когда вступил в силу Приказ ФСТЭК № 117?Ответ: 1 марта 2026 года.
Вопрос: Какой документ заменяет Приказ № 117?
Ответ: Приказ ФСТЭК № 17 от 2013 года.
Вопрос: Обязательна ли аттестация для всех ИС?
Ответ: Аттестация обязательна для всех ГИС. Для иных ИС — по решению руководителя.
Вопрос: Как часто нужно рассчитывать Кзи и Пзи?
Ответ: Кзи — не реже 1 раза в полгода, Пзи — не реже 1 раза в 2 года.
Вопрос: Что такое ГосСОПКА и НКЦКИ?
Ответ: ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. НКЦКИ — Национальный центр мониторинга и реагирования на компьютерные атаки, через который осуществляется обязательное взаимодействие.
Выводы
Приказ ФСТЭК № 117 — ключевой документ для обеспечения информационной безопасности в российских государственных и коммерческих организациях. С 1 марта 2026 года требования становятся обязательными.Первоочередные задачи:
- Инвентаризация ИС.
- Назначение ответственного лица.
- Разработка политики защиты информации.
- Внедрение управления уязвимостями.
- Организация мониторинга ИБ.
- Аттестация ГИС.
- Взаимодействие с ГосСОПКА.
- Расчёт показателей Кзи и Пзи.