ФСТЭК обновила ключевой документ по защите информации. Теперь правила касаются не только государственных информационных систем (ГИС), но и подрядчиков, разрабатывающих или сопровождающих такие системы. Разбираем, какие изменения закреплены в приказе №117 и как они отразятся на практике.
Шире рамки и выше требования
С 1 марта 2026 года вступает в силу приказ ФСТЭК России №117 от 11 апреля 2025 года, который устанавливает новые требования к защите информации в государственных информационных системах. Документ актуализирует подходы к обеспечению безопасности, отражая современную цифровую реальность: распространение облачных сервисов, мобильных устройств, IoT и удаленного доступа.
Область действия приказа включает все информационные системы государственных органов, унитарных предприятий и учреждений, а также решения, создаваемые или сопровождаемые по их поручению. Исключения установлены для систем, обрабатывающих государственную тайну, военных и специальных систем, а также объектов, подпадающих под действие законодательства о критической информационной инфраструктуре.
Обновленный документ детализирует организационные и технические меры, делая акцент на процессном управлении безопасностью. Среди ключевых направлений:
Управление уязвимостями и обновлениями. Требуется регулярно анализировать уязвимости, документировать результаты и устанавливать обновления с учетом классов защищенности.
Контроль привилегированного доступа. Обязано разделение ролей, фиксация действий администраторов, многофакторная аутентификация и контроль использования привилегий.
Безопасность беспроводных каналов. Установлены меры по защите точек доступа и изоляции беспроводных сетей от внешних.
Сегментация систем. Допускается присвоение разным сегментам системы различных классов защищенности, что упрощает архитектурное проектирование и снижает избыточные расходы.
Непрерывность функционирования и мониторинг. Введены требования к резервному копированию, восстановлению, мониторингу состояния ИБ и управлению инцидентами.
Технологическая гибкость. Документ учитывает современные архитектуры — облачные, контейнерные, гибридные решения, а также использование мобильных и IoT-устройств.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
Новые показатели, отчетность и требования к кадрам и подрядчикам
Кзи и Пзи
Приказ №117 вводит метрики защищенности и зрелости процессов — Кзи (коэффициент защищенности информации) и Пзи (показатель уровня зрелости обеспечения ИБ).
Кзи направляется в ФСТЭК каждые 6 месяцев.
Пзи — не реже одного раза в два года.
Эти показатели должны рассчитываться организациями, эксплуатирующими или сопровождающими государственные системы. Для определения значений и расчета Кзи нужно применять методические документы, утвержденные ФСТЭК России. Методических документов для расчета Пзи еще не предоставлено.
Внеочередная оценка показателя защищенности Кзи проводится в случаях:
- возникновения инцидента информационной безопасности, повлекшего наступление негативных последствий (возникновение значимого инцидента);
- развития (изменения) архитектуры информационных систем;
- запроса руководителя органа (организации) о текущем значении показателя защищенности КЗИ;
- запроса ФСТЭК России.
По сути, контроль со стороны регулятора переходит от единоразовой аттестации к регулярной оценке состояния ИБ, поэтому подрядчикам потребуется наладить системный мониторинг и автоматизированную отчетность.
Подготовка кадров
Отдельный блок приказа касается подготовки специалистов. Теперь организации, обеспечивающие защиту информации, должны иметь не менее 30% сотрудников ИБ-подразделения с профильным образованием или переподготовкой по направлениям информационной безопасности. Это требование распространяется и на подрядчиков, если они предоставляют услуги в рамках госконтрактов. Компании, где функции ИБ выполняются по совместительству, а чаще всего ИТ, должны пересмотреть кадровую структуру и план обучения.
Ответственность подрядчиков
Для подрядчиков, участвующих в разработке или сопровождении государственных систем, приказ №117 задает новую рамку ответственности. Даже если организация не является оператором ГИС, но взаимодействует с ней — например, через интеграцию, сервисное обслуживание или хранение данных, — она обязана соблюдать установленные меры.
ФСТЭК исключила прежнее требование обязательной сертификации подрядчиков, но сохранила обязанность внедрять меры безопасной разработки по ГОСТ Р 56939-2024, что повышает планку зрелости для компаний, работающих с кодом, инфраструктурой и эксплуатацией систем приказы.
Узнайте, как правильно потратить бюджет на информационную безопасность
Пришлем ссылку на гайд о стоимости ИБ-решений ответным письмом на почту, которую вы указали.
Что с документами
Приказ задает единую структуру внутренней документации по четырем уровням:
- Политики безопасности — базовые принципы и цели защиты.
- Стандарты — единые правила и процедуры.
- Регламенты — распределение обязанностей, контроль доступа, реагирование на инциденты.
- Специализированные документы — модели угроз, планы резервирования, акты классификации и т.д.
Деление помогает выстроить управляемую систему, в которой каждая мера опирается на документированное решение, а не на разовые инициативы. Что важно, аттестаты соответствия, выданные по приказу №17, сохраняют действие. Но если меняется конфигурация, например, при смене операционной системы, то нужно проводить новую аттестацию.
При модернизации систем и продлении аттестатов необходимо привести меры защиты в соответствие с новым приказом. Организациям рекомендуется использовать переходный год для обновления моделей угроз, корректировки профилей безопасности и актуализации документации.
Какие ИБ-документы еще регламентируют работу с информацией? Читайте в статье.
Как подготовиться к изменениям
Чтобы плавно перейти на новые правила, важно не ограничиваться пересмотром документов, ФСТЭК теперь оценивает процессы.
- Провести аудит действующих систем и классифицировать их по уровням защищенности.
- Пересмотреть архитектуру с учетом возможной сегментации.
- Проверить процессы управления уязвимостями и обновлениями.
- Настроить централизованный мониторинг и журналирование действий администраторов.
- Обновить планы резервного копирования и восстановления.
- Включить подрядчиков в единый контур ИБ-процессов.
- Пересмотреть договоры и SLA на сопровождение с учетом новых обязательств по безопасности.
- Подготовить отчетность по показателям Кзи и Пзи.
Больше статей о требованиях регуляторов
Что делать бизнесу
Для ИТ- и ИБ-директоров, отвечающих за соответствие системы требованиям государства, ключевая задача — встроить новые нормы в стратегическое управление безопасностью, а не решать их точечно.
Рекомендации:
Создать рабочую группу с участием ИТ, ИБ, юристов и сотрудников тендерного отдела для пересмотра договоров.
Пересчитать бюджеты и ресурсы. Некоторые меры — мониторинг, резервирование, сегментация — потребуют обновления инфраструктуры.
Синхронизировать политику ИБ с архитектурой систем. Приказ требует не просто описания мер, а их подтвержденного выполнения.
Интегрировать требования приказа в дорожные карты цифровизации. Это поможет избежать дублирования затрат между ИТ- и ИБ-направлениями.
Оценить готовность партнеров. Подрядчики, не соответствующие новым требованиям, станут слабым звеном при аттестации.
Организовать внутреннюю отчетность по Кзи и Пзи, чтобы быть готовыми к регулярным проверкам со стороны регулятора.
Приказ ФСТЭК №117 формирует новую систему требований к информационной безопасности — детализированную, измеряемую и направленную на реальное управление рисками. Для подрядчиков и интеграторов это сигнал: готовиться нужно уже сейчас, пока переходный период позволяет безболезненно перестроить процессы и обновить документацию.
Если у компании нет внутреннего ресурса или экспертизы, стоит обратиться к профессионалам, предоставляющим услуги по анализу защищенности, аудиту и подготовке к аттестации.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.