Главная цель требований — обеспечить безопасность данных в ГИС и построить эффективную систему информационной безопасности (ИБ), ориентированную на повышение прозрачности и зрелости процессов защиты.
Ключевые изменения Приказа № 17
|
Параметр |
Приказ № 17 (старый) |
Приказ № 117 (новый) |
|
Область применения |
ГИС только |
ГИС + другие ИС |
|
Подход к защите |
Технологический |
Процессно-ориентированный |
|
Управление уязвимостями |
Не регламентировано |
Обязательное с чёткими сроками |
|
Мониторинг ИБ |
Отсутствует |
Обязательный с отчетностью в ФСТЭК |
|
Показатели защищенности |
Не требуются |
Кзи (каждые пол года) и Пзи (2 года) |
|
Взаимодействие с ГосСОПКА |
Не обязательное |
Обязательное через НКЦКИ |
|
Аттестация ГИС |
По решению |
Обязательно |
Первоочередные задачи по выполнению требований № 117
ДО 1 марта 2026 года: Этап подготовки
1. Провести инвентаризацию всех информационных систем
- Составить полный реестр ИС организации
- Определить, какие системы попадают под действие Требований № 117
- Классифицировать системы по уровню критичности
2. Назначить ответственное лицо и создать подразделение по защите информации
-
Определить руководителя за организацию защиты информации
-
Создать или переформатировать подразделение по ИБ
-
Закрепить функции и обязанности в должностных инструкциях
3. Провести обследование ИС и оценить состояние защиты
-
Обследовать каждую информационную систему
-
Определить негативные последствия для каждой ИС
-
Оценить текущее состояние защиты информации
-
Составить перечень подрядчиков, имеющих доступ к ИС
4. Разработать политику защиты информации
Сформировать политику защиты информации
-
Составить стандарты и регламенты ИБ
-
Определить архитектуру системы защиты
-
Разработать модели угроз и требуемый уровень защищённости
5. Составить план мероприятий и дорожную карту
-
Разработать план доработки защиты ИС
-
Создать дорожную карту по выполнению требований
-
-
Определить сроки и ресурсы для реализации мер
ПОСЛЕ 1 марта 2026 года: Этап реализации
1. Внедрить процессы управления уязвимостями
-
Организовать регулярный аудит программного и аппаратного обеспечения
-
Установить чёткие сроки устранения уязвимостей
-
Внедрить процессы поиска и устранения уязвимостей
2. Организовать мониторинг информационной безопасности
-
Настроить систему мониторинга событий ИБ
-
Обеспечить идентификацию событий и прогноз сбоев
-
Подготовить периодическую отчетность в ФСТЭК
3. Провести аттестацию ГИС
-
Обязательно аттестовать все государственные информационные системы
-
Аттестация иных ИС — по решению руководителя
-
Подтвердить достаточность принятых мер защиты
4. Наладить взаимодействие с ГосСОПКА
-
Заключение регламента взаимодействия с НКЦКИ (Национальный центр мониторинга и реагирования на компьютерные атаки)
-
Интеграция с системой ГосСОПКА для обмена информацией об угрозах
5. Рассчитать показатели защищенности и уровня зрелости
-
Кзи (коэффициент защищенности) — не реже 1 раза в полгода
-
Пзи (показатель зрелости) — не реже 1 раза в 2 года
-
Документировать и отчитываться по показателям
Технические меры защиты: Что необходимо внедрить
Сетевой периметр
|
Мера |
Описание |
|
Межсетевые экраны (МЭ) |
Использование российских МЭ с сертификацией ФСТЭК |
|
Защита сети |
Сегментация сети, контроль трафика |
|
Удалённый доступ |
Безопасный удалённый доступ с двухфакторной аутентификацией |
Конечные точки
|
Мера |
Описание |
|
Защита ОС |
Антивирусная защита операционных систем |
|
Контроль устройств |
Управление мобильными устройствами сотрудников |
|
Обновление ПО |
Соблюдение регламента обновлений в установленные сроки |
Данные и доступ
|
Мера |
Описание |
|
Двухфакторная аутентификация |
Внедрение строгой 2FA для всех критических систем |
|
DLP-системы |
Системы предотвращения утечек информации |
|
Резервное копирование |
Регламентированное резервное копирование данных |
|
Контроль привилегий |
Жесткий контроль привилегий администраторов |
Организационные меры защиты
Повышение осведомлённости сотрудников
-
Регулярное обучение сотрудников в области ИБ
-
Тренировки по отработке действий при реализация угроз
-
Имитационные рассылки (фишинг-тесты) для проверки готовности
Работа с подрядчиками
-
Проверять наличие политик ИБ у подрядчиков
-
Включать требования по ИБ в договоры
-
Фиксировать ответственность за нарушение требований
-
Составить перечень подрядчиков с доступом к ИС
Планирование и реализация
-
Строгий контроль изменений конфигурации оборудования и ПО
-
Соблюдение регламента обновлений в установленные сроки
- Обеспечение непрерывности деятельности
Меры по устранению нарушений
Что делать при выявлении нарушений:
1. Срочно устранить выявленные уязвимости
-
В установленные сроки согласно требованиям № 117
-
Документировать процесс устранения
2. Провести дополнительный аудит безопасности
-
Повторное обследование ИС
-
Оценка состояния защиты после устранения
3. Обновить документацию
-
Пересмотреть политику защиты информации
-
Обновить стандарты и регламенты
4. Сообщить в ФСТЭК
-
Подготовить отчетность о принятых мерах
-
Предоставить показатели Кзи и Пзи
5. Повторить аттестацию (для ГИС)
- Подтвердить достаточность мер защиты после устранения нарушений
Ключевые показатели для отчётности
Кзи (Коэффициент защищенности)
-
Расчёт не реже 1 раза в полгода
-
Оценивает уровень технической защищенности системы
-
Документирование и отчётность в ФСТЭК
Пзи (Показатель зрелости)
-
Расчёт не реже 1 раза в 2 года
-
Оценивает зрелость процессов управления ИБ
-
-
Включает организационные и кадровые меры
Практические рекомендации для российских компаний
Что необходимо сделать немедленно:
-
Провести аудит текущей системы защиты — оценить пробелы в процессах ИБ
-
Оценить кадровый состав — определить достаточность специалистов по ИБ
-
Определить пробелы в процессах ИБ — составить перечень необходимых улучшений
-
Закупить и внедрить необходимые СЗИ — средства защиты информации с сертификацией ФСТЭК
-
Внедрить процессы управления ИБ — включая непрерывность деятельности и безопасную разработку ПО
Для импортозамещения:
-
Использовать российские ОС (Astra Linux, ROSA) с встроенной защитой
-
Интегрировать с КриптоПро для криптографической защиты данных
-
Применять российские МЭ, антивирусы («Лаборатория Касперского», Positive Technologies)
-
Обеспечить соответствие требованиям ФСТЭК и Минцифры
Ответственность за невыполнение требований
Несоблюдение требований Приказа ФСТЭК № 117 может привести к:
-
Административной ответственности по КоАП РФ
-
Блокировке информационных систем
-
Репутационным потерям для организации
-
Финансовым штрафам от регуляторов
Заключение
Приказ ФСТЭК № 117 — это ключевой документ для обеспечения информационной безопасности в российских государственных и коммерческих организациях. С 1 марта 2026 года требования становятся обязательными, и организации должны немедленно начать подготовку к их выполнению.
Первоочередные задачи:
-
Инвентаризация ИС
-
Назначение ответственного лица
-
Разработка политики защиты информации
-
Внедрение управления уязвимостями
-
Организация мониторинга ИБ
-
Аттестация ГИС
-
Взаимодействие с ГосСОПКА
-
Расчёт показателей Кзи и Пзи
Для успешного выполнения требований рекомендуется работать с экспертами в области информационной безопасности, такими как специалисты ИЦРС, которые обладают опытом импортозамещения и интеграции с российскими решениями защиты (КриптоПро, Astra Linux) и обеспечивают соответствие требованиям ФСТЭК.