С 1 марта 2026 года вступает в силу новый приказ ФСТЭК России №117 от 11.04.2025, который полностью заменяет устаревший норматив №17 от 2013 года и кардинально меняет подход к организации защиты информации. Ключевое изменение — переход от жесткого перечня мер, привязанного к классу системы, к риск‑ориентированной модели, где уровень защищенности определяется анализом ущерба, актуальных угроз и архитектуры конкретной системы.
Приказ вводит расширенную терминологию, новые понятия и более строгие требования к моделям угроз, а также ослабляет жесткую связь между классами ИС и набором мер, предлагая гибкую модель на основе анализа. Особое внимание уделено современным архитектурам — облачным, распределенным и гибридным системам, а также удаленным рабочим местам. Технические средства защиты теперь оцениваются не по наличию сертификатов, а по результату — способности системы предотвращать инциденты и быстро их обнаруживать, что поощряет комбинированные решения при условии их эффективности. Мониторинг, журналирование и автоматизированная корреляция событий выходят на первый план, а требования встроены в стратегические жизненные сценарии развития ИБ.
Что делать бизнесу: Провести аудит текущих моделей угроз и уровней защищенности, обновить документацию под новый риск‑ориентированный подход, протестировать эффективность существующих мер через пентест и моделирование инцидентов.