Что изменилось кардинально
С 1 марта 2026 года в российском правовом поле информационной безопасности произошла настоящая революция — вступил в силу приказ ФСТЭК России №117 от 11.04.2025, который полностью заменил действовавший более 12 лет приказ №17 от 11.02.2013. Этот документ кардинально меняет философию организации защиты информации в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн) и иных значимых объектах критической информационной инфраструктуры.Ключевое нововведение — переход от жестко регламентированного «шаблонного» подхода, где набор мер защиты был механически привязан к классу защищенности системы, к риск-ориентированной модели. Теперь уровень защищенности определяется не по списку, а через глубокий анализ: потенциального ущерба от реализации угроз, актуальной киберкриминогенной обстановки, специфики архитектуры конкретной системы и даже бизнес-процессов, которые она поддерживает.
Технические и организационные новации
Приказ №117 вводит расширенную терминологию, адаптированную под современные реалии цифровой трансформации. В нормативе закреплены понятия облачных и гибридных архитектур, микросервисов, контейнеризации и распределенных систем — того, что было «серой зоной» в документах 2013 года.Особое внимание уделено моделям угроз: требования к их разработке стали существенно строже. Теперь модель угроз должна учитывать не только классические векторы атак, но и специфику удаленного доступа, мобильных рабочих мест, использования SaaS-решений и внешних API. При этом жесткая связь между классом ИС и перечнем мер защиты ослаблена — организации получили право обоснованно отказываться от отдельных мер, если докажут, что риски компенсированы другими, более эффективными средствами.
Парадигмальный сдвиг произошел в оценке технических средств защиты информации (СЗИ). Если раньше ключевым критерием был сертификат ФСТЭК на конкретное изделие, то теперь главное — реальный результат: способность системы предотвращать инциденты ИБ, оперативно их обнаруживать и локализовывать. Это поощряет использование комбинированных, интегрированных решений — например, связок EDR + SIEM + SOAR — при условии доказанной эффективности такого тандема в конкретной инфраструктуре.
Новые императивы: мониторинг, автоматизация, жизненный цикл
Приказ выводит на первый план непрерывный мониторинг состояния защищенности. Журналирование событий безопасности, их автоматизированная корреляция и анализ с применением средств выявления аномалий (включая элементы искусственного интеллекта) становятся не рекомендацией, а обязательным требованием. Требования ИБ теперь встроены в стратегические жизненные сценарии развития систем — от проектирования до вывода из эксплуатации, включая сценарии удаленной работы, распределенных команд и геораспределенной инфраструктуры.Риски неадаптации и срочные меры
Для органций-операторов ГИС и ИСПДн это означает срочную необходимость комплексной перестройки. Необходимо:- Обновить модели угроз с учетом новых требований к глубине и охвату анализа
- Провести переаттестацию систем с доказательством эффективности существующих мер (не формальным, а реальным — через тестирование)
- Пересмотреть архитектуру защиты для облачных и гибридных сред
Что делать бизнесу: пошаговый план действий
Немедленно (в течение 1-2 месяцев):- Провести аудит текущих моделей угроз и уровней защищенности на соответствие требованиям приказа №117
- Сформировать межфункциональную рабочую группу (ИБ, юристы, архитекторы, бизнес-заказчики)
- Обновить комплект документации: политики ИБ, инструкции, регламенты инцидент-менеджмента
- Провести пентест и моделирование инцидентов (red team exercise) для доказательства эффективности мер защиты
- Разработать план миграции на риск-ориентированную модель с обоснованием выбора конкретных мер
- Привлечь сертифицированного интегратора с опытом внедрения приказа №117 для сопровождения аттестации
- Инвестировать в автоматизацию SOC и средства корреляции событий
- Пересмотреть подход к закупкам СЗИ — переход от «коробочного» к «решение-ориентированному» подходу