Что конкретно изменилось?
-
Управление уязвимостями становится «горящим» процессом. Если раньше можно было неделями ждать закрытия дыр, то теперь:
-
Критические уязвимости (CVSS 9.0–10.0) — обязаны устранить в течение 24 часов с момента обнаружения. Продление невозможно даже по согласованию.
-
Высокий уровень опасности (CVSS 7.0–8.9) — максимум 7 дней.
-
Для средних и низких — 30 и 90 дней соответственно.
-
-
Подрядчики теперь не «сбоку», а внутри периметра. Компании, которые оказывают услуги по обеспечению ИБ для госорганов, обязаны внедрить у себя такие же меры защиты, как и заказчик. Это касается даже субподрядчиков. Простыми словами: если ваш провайдер облачных сервисов окажется дырявым — ответственность понесете вы.
-
Квалификация персонала — не просто «корочка». Требование, что не менее 30% сотрудников подразделений защиты информации должны иметь профильное высшее образование в области ИБ, вызвало ажиотаж на рынке. По данным HeadHunter, спрос на дипломированных специалистов вырос на 240% за первый квартал 2026 года. Без этого — лицензия ФСТЭК под угрозой.
Что делать бизнесу? Эксперты рекомендуют немедленно провести ауорт compliance на соответствие приказу № 117, пересмотреть SLA с подрядчиками и автоматизировать процесс сканирования уязвимостей (ручные отчёты больше не прокатят). Компания «ЭК-РС» (ec-rs.ru) может предложить внедрение систем непрерывного мониторинга защищенности с готовыми шаблонами для новых требований.