С 1 марта 2026 года вступают в силу новые требования ФСТЭК России. Новый Приказ №117 официально заменит ранее действовавший Приказ №17. Методические рекомендации по его применению пока еще в разработке, однако ключевые изменения уже известны. Разберем, что можно сказать на данный момент.
Расширение области действия
Ранее требования распространялись исключительно на государственные информационные системы (ГИС). Теперь действие Приказа №117 распространяется не только на ГИС, но и на все информационные системы:
Если ваша система раньше не относилась к ГИС, но вы взаимодействуете с государственными структурами, необходимо внимательно изучить новые требования — вероятно, они уже применимы и к вам.
- государственных органов;
- государственных унитарных предприятий;
- государственных учреждений;
- муниципальных органов;
- а также на ИС, получающие данные из ГИС.
Если ваша система раньше не относилась к ГИС, но вы взаимодействуете с государственными структурами, необходимо внимательно изучить новые требования — вероятно, они уже применимы и к вам.
Классификация информационных систем
Сохранилась прежняя формула: Класс защищенности (К) = Уровень защищенности (УЗ) + Масштаб системы.
Ранее масштаб определялся по структурному расположению ИС (федеральный, региональный, объектовый), теперь — исходя из назначения системы. Это означает, что классификация уже существующих ГИС может быть изменена.
Дополнительно введено правило: если система обрабатывает документы с грифом «Для служебного пользования» (ДСП), ей автоматически присваивается класс защищенности 1.
Ранее масштаб определялся по структурному расположению ИС (федеральный, региональный, объектовый), теперь — исходя из назначения системы. Это означает, что классификация уже существующих ГИС может быть изменена.
Дополнительно введено правило: если система обрабатывает документы с грифом «Для служебного пользования» (ДСП), ей автоматически присваивается класс защищенности 1.
Требования к персоналу
В Приказе №17 требования к кадровому составу отсутствовали, теперь они официально закреплены:
Ранее подобные требования были установлены в сфере критической информационной инфраструктуры (КИИ). Теперь аналогичный подход распространяется на кадровый состав государственных структур и на компании, эксплуатирующие системы, взаимодействующие с государством.
- назначение структурного подразделения или ответственных за информационную безопасность;
- не менее 30% сотрудников должны иметь профильное ИБ-образование или пройти переподготовку;
- разработка Положения об ИБ-подразделении (в соответствии с Постановлением Правительства РФ №1272).
Ранее подобные требования были установлены в сфере критической информационной инфраструктуры (КИИ). Теперь аналогичный подход распространяется на кадровый состав государственных структур и на компании, эксплуатирующие системы, взаимодействующие с государством.
Аттестация
Требование об обязательной аттестации ГИС перед вводом в эксплуатацию сохраняется. Оно по-прежнему регулируется Приказом ФСТЭК №77. Для остальных ИС аттестация остается добровольной.
Аттестаты соответствия, выданные до 1 марта 2026 года, остаются действительными. Однако, так как требования обновились, в будущем может потребоваться повторная аттестация.
Аттестаты соответствия, выданные до 1 марта 2026 года, остаются действительными. Однако, так как требования обновились, в будущем может потребоваться повторная аттестация.
Средства защиты информации
Требование использовать только сертифицированные средства защиты информации (СЗИ) и криптографические средства (СКЗИ) осталось без изменений.
Меры защиты
Приказ №117 больше не содержит итоговой таблицы защитных мер. Вместо этого он требует от организации системного подхода к информационной безопасности: наличие системы управления, зрелых процессов, достаточного уровня технического оснащения и регулярной отчетности.
В пунктах 14, 23 и 34–63 перечислены организационные и технические меры, которые должны быть реализованы. Однако этот список:
В связи с этим возникает логичный вопрос: «Какие меры выполнять? Только базовые и исходя из модели угроз? Или весь перечень, независимо от класса защищенности?»
До выхода методических рекомендаций целесообразно ориентироваться на полный перечень мер, а время в ожидании поясняющих документов использовать для оценки зрелости системы управления и обеспечения ИБ.
Что нового в перечне мер защиты?
Основные технические процессы сохранили свое присутствие в требованиях: аутентификация, управление доступом, защита от вредоносной активности, резервирование, физическая защита и др.
Новые организационные процессы:
Новые технологические требования:
Уточнение существующих процессов:
В пунктах 14, 23 и 34–63 перечислены организационные и технические меры, которые должны быть реализованы. Однако этот список:
- превышает перечень установленных базовых мер;
- не всегда согласован между собой, а также с комплектом ОРД, который необходимо разработать.
В связи с этим возникает логичный вопрос: «Какие меры выполнять? Только базовые и исходя из модели угроз? Или весь перечень, независимо от класса защищенности?»
До выхода методических рекомендаций целесообразно ориентироваться на полный перечень мер, а время в ожидании поясняющих документов использовать для оценки зрелости системы управления и обеспечения ИБ.
Что нового в перечне мер защиты?
Основные технические процессы сохранили свое присутствие в требованиях: аутентификация, управление доступом, защита от вредоносной активности, резервирование, физическая защита и др.
Новые организационные процессы:
- Политика информационной безопасности;
- Управление конфигурациями;
- Повышение осведомленности пользователей;
- Контроль защищенности;
- Безопасная разработка;
- Управление непрерывностью;
- Допустимое использование информации;
- Взаимодействие с ГосСОПКА;
- Автоматизация и аналитическая поддержка;
- Подходы к управлению ИБ с использованием искусственного интеллекта (AI Governance).
Новые технологические требования:
- Защита облачных вычислений (CSP, CASB);
- Защита контейнерных сред (Docker, Kubernetes);
- Защита веб-приложений (WAF);
- Безопасность интернета вещей (IoT);
- Расширенная защита конечных устройств (EDR/XDR);
- Регламентация удаленного доступа и доступа подрядчиков;
- Управление привилегированными учетными записями (PAM).
Уточнение существующих процессов:
- Более подробные требования к мониторингу, обновлениям, резервному копированию и управлению уязвимостями.
- Обязательное информирование в ГосСОПКА.
- Новые количественные метрики в зависимости от класса защищенности (например, устранение критических уязвимостей в течение 24 часов).
Введена регулярная отчетность
Ранее отчетность во ФСТЭК России не требовалась. Теперь она обязательна:
- Показатель защищенности должен направляться каждые шесть месяцев по методике ФСТЭК России.
- Показатель уровня зрелости направляется ежегодно, также по утвержденной методике.
- Дополнительно, в конце года нужно предоставить отчет о результатах мониторинга или итоговый годовой отчет (если он разрабатывался) после его представления руководителю.
Что дальше?
Методические рекомендации ФСТЭК России, поясняющие применение Приказа №117, находятся в разработке и будут опубликованы позднее. После их выхода мы подготовим обновленный аналитический материал с разбором ключевых положений и практических аспектов применения новых требований.