Что меняет приказ ФСТЭК №117 и как подготовить бизнес — Контур.Эгида

В этой статье

Что меняет приказ ФСТЭК №117 и как подготовить бизнес

11 декабря 2025

ФСТЭК обновила ключевой документ по защите информации. Теперь правила касаются не только государственных информационных систем (ГИС), но и подрядчиков, разрабатывающих или сопровождающих такие системы. Разбираем, какие изменения закреплены в приказе №117 и как они отразятся на практике.

Фотография Ольга Попова Ольга Попова Ведущий юрист

Шире рамки и выше требования

С 1 марта 2026 года вступает в силу приказ ФСТЭК России №117 от 11 апреля 2025 года, который устанавливает новые требования к защите информации в государственных информационных системах. Документ актуализирует подходы к обеспечению безопасности, отражая современную цифровую реальность: распространение облачных сервисов, мобильных устройств, IoT и удаленного доступа.

Область действия приказа включает все информационные системы государственных органов, унитарных предприятий и учреждений, а также решения, создаваемые или сопровождаемые по их поручению. Исключения установлены для систем, обрабатывающих государственную тайну, военных и специальных систем, а также объектов, подпадающих под действие законодательства о критической информационной инфраструктуре.

Обновленный документ детализирует организационные и технические меры, делая акцент на процессном управлении безопасностью. Среди ключевых направлений:

Управление уязвимостями и обновлениями. Требуется регулярно анализировать уязвимости, документировать результаты и устанавливать обновления с учетом классов защищенности.

Контроль привилегированного доступа. Обязано разделение ролей, фиксация действий администраторов, многофакторная аутентификация и контроль использования привилегий.

Безопасность беспроводных каналов. Установлены меры по защите точек доступа и изоляции беспроводных сетей от внешних.

Сегментация систем. Допускается присвоение разным сегментам системы различных классов защищенности, что упрощает архитектурное проектирование и снижает избыточные расходы.

Непрерывность функционирования и мониторинг. Введены требования к резервному копированию, восстановлению, мониторингу состояния ИБ и управлению инцидентами.

Технологическая гибкость. Документ учитывает современные архитектуры — облачные, контейнерные, гибридные решения, а также использование мобильных и IoT-устройств.

Новые показатели, отчетность и требования к кадрам и подрядчикам

Кзи и Пзи

Приказ №117 вводит метрики защищенности и зрелости процессов — Кзи (коэффициент защищенности информации) и Пзи (показатель уровня зрелости обеспечения ИБ).

Кзи направляется в ФСТЭК каждые 6 месяцев.

Пзи — не реже одного раза в два года.

Эти показатели должны рассчитываться организациями, эксплуатирующими или сопровождающими государственные системы. Для определения значений и расчета Кзи нужно применять методические документы, утвержденные ФСТЭК России. Методических документов для расчета Пзи еще не предоставлено.

Внеочередная оценка показателя защищенности Кзи проводится в случаях:

  1. возникновения инцидента информационной безопасности, повлекшего наступление негативных последствий (возникновение значимого инцидента);
  2. развития (изменения) архитектуры информационных систем;
  3. запроса руководителя органа (организации) о текущем значении показателя защищенности КЗИ;
  4. запроса ФСТЭК России.

По сути, контроль со стороны регулятора переходит от единоразовой аттестации к регулярной оценке состояния ИБ, поэтому подрядчикам потребуется наладить системный мониторинг и автоматизированную отчетность.

Подготовка кадров

Отдельный блок приказа касается подготовки специалистов. Теперь организации, обеспечивающие защиту информации, должны иметь не менее 30% сотрудников ИБ-подразделения с профильным образованием или переподготовкой по направлениям информационной безопасности. Это требование распространяется и на подрядчиков, если они предоставляют услуги в рамках госконтрактов. Компании, где функции ИБ выполняются по совместительству, а чаще всего ИТ, должны пересмотреть кадровую структуру и план обучения.

Ответственность подрядчиков

Для подрядчиков, участвующих в разработке или сопровождении государственных систем, приказ №117 задает новую рамку ответственности. Даже если организация не является оператором ГИС, но взаимодействует с ней — например, через интеграцию, сервисное обслуживание или хранение данных, — она обязана соблюдать установленные меры.

ФСТЭК исключила прежнее требование обязательной сертификации подрядчиков, но сохранила обязанность внедрять меры безопасной разработки по ГОСТ Р 56939-2024, что повышает планку зрелости для компаний, работающих с кодом, инфраструктурой и эксплуатацией систем приказы.

Что с документами

Приказ задает единую структуру внутренней документации по четырем уровням:

  1. Политики безопасности — базовые принципы и цели защиты.
  2. Стандарты — единые правила и процедуры.
  3. Регламенты — распределение обязанностей, контроль доступа, реагирование на инциденты.
  4. Специализированные документы — модели угроз, планы резервирования, акты классификации и т.д.

Деление помогает выстроить управляемую систему, в которой каждая мера опирается на документированное решение, а не на разовые инициативы. Что важно, аттестаты соответствия, выданные по приказу №17, сохраняют действие. Но если меняется конфигурация, например, при смене операционной системы, то нужно проводить новую аттестацию. 

При модернизации систем и продлении аттестатов необходимо привести меры защиты в соответствие с новым приказом. Организациям рекомендуется использовать переходный год для обновления моделей угроз, корректировки профилей безопасности и актуализации документации.

Какие ИБ-документы еще регламентируют работу с информацией? Читайте в статье.

Как подготовиться к изменениям

Чтобы плавно перейти на новые правила, важно не ограничиваться пересмотром документов, ФСТЭК теперь оценивает процессы.

  1. Провести аудит действующих систем и классифицировать их по уровням защищенности.
  2. Пересмотреть архитектуру с учетом возможной сегментации.
  3. Проверить процессы управления уязвимостями и обновлениями.
  4. Настроить централизованный мониторинг и журналирование действий администраторов.
  5. Обновить планы резервного копирования и восстановления.
  6. Включить подрядчиков в единый контур ИБ-процессов.
  7. Пересмотреть договоры и SLA на сопровождение с учетом новых обязательств по безопасности.
  8. Подготовить отчетность по показателям Кзи и Пзи.

Больше статей о требованиях регуляторов
 

Что делать бизнесу

Для ИТ- и ИБ-директоров, отвечающих за соответствие системы требованиям государства, ключевая задача — встроить новые нормы в стратегическое управление безопасностью, а не решать их точечно.

Рекомендации:

Создать рабочую группу с участием ИТ, ИБ, юристов и сотрудников тендерного отдела для пересмотра договоров.

Пересчитать бюджеты и ресурсы. Некоторые меры — мониторинг, резервирование, сегментация — потребуют обновления инфраструктуры.

Синхронизировать политику ИБ с архитектурой систем. Приказ требует не просто описания мер, а их подтвержденного выполнения.

Интегрировать требования приказа в дорожные карты цифровизации. Это поможет избежать дублирования затрат между ИТ- и ИБ-направлениями.

Оценить готовность партнеров. Подрядчики, не соответствующие новым требованиям, станут слабым звеном при аттестации.

Организовать внутреннюю отчетность по Кзи и Пзи, чтобы быть готовыми к регулярным проверкам со стороны регулятора.

Приказ ФСТЭК №117 формирует новую систему требований к информационной безопасности — детализированную, измеряемую и направленную на реальное управление рисками. Для подрядчиков и интеграторов это сигнал: готовиться нужно уже сейчас, пока переходный период позволяет безболезненно перестроить процессы и обновить документацию.

Если у компании нет внутреннего ресурса или экспертизы, стоит обратиться к профессионалам, предоставляющим услуги по анализу защищенности, аудиту и подготовке к аттестации.

Фотография Ольга Попова Ольга Попова Ведущий юрист
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться