ФСТЭК России обновил правила: Приказ №117 вместо №17

Ранее требования распространялись исключительно на государственные информационные системы (ГИС). Теперь действие Приказа №117 распространяется не только на ГИС, но и на все информационные системы:

• государственных органов;
• государственных унитарных предприятий;
• государственных учреждений;
• муниципальных органов;
• а также на ИС, получающие данные из ГИС.

Если ваша система раньше не относилась к ГИС, но вы взаимодействуете с государственными структурами, необходимо внимательно изучить новые требования — вероятно, они уже применимы и к вам.

Сохранилась прежняя формула: Класс защищенности (К) = Уровень защищенности (УЗ) + Масштаб системы.

Ранее масштаб определялся по структурному расположению ИС (федеральный, региональный, объектовый), теперь — исходя из назначения системы. Это означает, что классификация уже существующих ГИС может быть изменена.

Дополнительно введено правило: если система обрабатывает документы с грифом «Для служебного пользования» (ДСП), ей автоматически присваивается класс защищенности 1.

В Приказе №17 требования к кадровому составу отсутствовали, теперь они официально закреплены:

• назначение структурного подразделения или ответственных за информационную безопасность;
• не менее 30% сотрудников должны иметь профильное ИБ-образование или пройти переподготовку;
• разработка Положения об ИБ-подразделении (в соответствии с Постановлением Правительства РФ №1272).

Ранее подобные требования были установлены в сфере критической информационной инфраструктуры (КИИ). Теперь аналогичный подход распространяется на кадровый состав государственных структур и на компании, эксплуатирующие системы, взаимодействующие с государством.

Требование об обязательной аттестации ГИС перед вводом в эксплуатацию сохраняется. Оно по-прежнему регулируется Приказом ФСТЭК №77. Для остальных ИС аттестация остается добровольной.

Аттестаты соответствия, выданные до 1 марта 2026 года, остаются действительными. Однако, так как требования обновились, в будущем может потребоваться повторная аттестация.

Требование использовать только сертифицированные средства защиты информации (СЗИ) и криптографические средства (СКЗИ) осталось без изменений.

Приказ №117 больше не содержит итоговой таблицы защитных мер. Вместо этого он требует от организации системного подхода к информационной безопасности: наличие системы управления, зрелых процессов, достаточного уровня технического оснащения и регулярной отчетности.

В пунктах 14, 23 и 34–63 перечислены организационные и технические меры, которые должны быть реализованы. Однако этот список:

• превышает перечень установленных базовых мер;
• не всегда согласован между собой, а также с комплектом ОРД, который необходимо разработать.

В связи с этим возникает логичный вопрос: «Какие меры выполнять? Только базовые и исходя из модели угроз? Или весь перечень, независимо от класса защищенности?»

До выхода методических рекомендаций целесообразно ориентироваться на полный перечень мер, а время в ожидании поясняющих документов использовать для оценки зрелости системы управления и обеспечения ИБ.

Что нового в перечне мер защиты?

Основные технические процессы сохранили свое присутствие в требованиях: аутентификация, управление доступом, защита от вредоносной активности, резервирование, физическая защита и др.

Новые организационные процессы:

• Политика информационной безопасности;
• Управление конфигурациями;
• Повышение осведомленности пользователей;
• Контроль защищенности;
• Безопасная разработка;
• Управление непрерывностью;
• Допустимое использование информации;
• Взаимодействие с ГосСОПКА;
• Автоматизация и аналитическая поддержка;
• Подходы к управлению ИБ с использованием искусственного интеллекта (AI Governance).

Новые технологические требования:

• Защита облачных вычислений (CSP, CASB);
• Защита контейнерных сред (Docker, Kubernetes);
• Защита веб-приложений (WAF);
• Безопасность интернета вещей (IoT);
• Расширенная защита конечных устройств (EDR/XDR);
• Регламентация удаленного доступа и доступа подрядчиков;
• Управление привилегированными учетными записями (PAM).

Уточнение существующих процессов:

• Более подробные требования к мониторингу, обновлениям, резервному копированию и управлению уязвимостями.
• Обязательное информирование в ГосСОПКА.
• Новые количественные метрики в зависимости от класса защищенности (например, устранение критических уязвимостей в течение 24 часов).

Ранее отчетность во ФСТЭК России не требовалась. Теперь она обязательна:

• Показатель защищенности должен направляться каждые шесть месяцев по методике ФСТЭК России.
• Показатель уровня зрелости направляется ежегодно, также по утвержденной методике.
• Дополнительно, в конце года нужно предоставить отчет о результатах мониторинга или итоговый годовой отчет (если он разрабатывался) после его представления руководителю.

Методические рекомендации ФСТЭК России, поясняющие применение Приказа №117, находятся в разработке и будут опубликованы позднее. После их выхода мы подготовим обновленный аналитический материал с разбором ключевых положений и практических аспектов применения новых требований.