© «Безопасность компании», №01-2026, Январь, 2026 г.
Евгений Бессонов, член Общественного совета Минцифры НСО, член Общественного Совета Следственного Комитета РФ по НСО
Приказ ФСТЭК № 117 вступает в силу 01.03.2026 и заменяет Приказ ФСТЭК России № 17 от 11.02.2013 «Об утверждении Требований о защите информации, не составляющую государственную тайну, содержащейся в государственных информационных системах».
Вот что поменяется в связи со вступлением в силу данного приказа:
- ужесточение защиты ГИС. Полностью меняется подход, когда происходит аттестация, а потом мы забываем об этом. Теперь это будет непрерывное управление рисками;
- меняется классификация систем (теперь будет по назначению, а не по территории);
- усиливаются требования к персоналу организаций, подрядчикам;
- вводятся требования по автоматизации контроля, что повлияет на устойчивость предприятий госсектора к кибератакам.
К основным положениям и изменениям в Приказе № 117 относятся:
Новая классификация ГИС: Переход к определению класса защищенности по назначению системы, а не по территориальному признаку. Все системы обрабатывающие информацию «Для служебного пользования» (ДСП), автоматически получают 1 класс.
Акцент ставится на непрерывную защиту: Происходит отказ от формального соответствия (“аттестовали и забыли”) в пользу постоянного непрерывного контроля, постоянное обучение персонала и внедрение современных технологий.
Управление рисками и цепочки поставок: Происходит ужесточение требований к подрядным организациям, исключение несанкционированного доступа (НСД) и запрет на разработку/тестирование ПО в эксплуатируемых системах.
Отчетность: Срок направления отчетности во ФСТЭК по результатам оценки защищенности, уязвимостей и инцидентов сокращен до 5 рабочих дней.
Персонал: Делается акцент на важности квалифицированных кадров, необходимости их обучения или найма специалистов с профильными компетенциями. Добавлено требование — не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности или пройти обучение по программе профессиональной переподготовки в области информационной безопасности.
В приказе № 117 подробнее описан контроль уровня защищенности информации, содержащейся в информационных системах.
Обозначена периодичность — не реже одного раза в три года или после компьютерного инцидента, произошедшего у оператора (обладателя информации). Методы контроля уровня защищенности информации и периодичность его проведения определяются оператором (обладателем информации) во внутреннем регламенте.
Требования приказа № 17 касались государственных информационных систем. Новый же приказ № 117 будет распространяться на:
- Информационные системы (ИС) государственных органов (федеральных и региональных);
- ИС государственных унитарных предприятий (ГУП) и учреждений;
- Муниципальные информационные системы.
Обобщая вышесказанное, данные приказ говорит о том, что все организации, которые связаны с государственным управлением, обязаны будут привести свои ИС в соответствии уже с новыми требованиями.
Приказ № 117 выделяет 17 ключевых базовых мер, включая и новые технологические аспекты:
1. Идентификация и аутентификация.
2. Управление доступом.
3. Регистрация событий безопасности.
4. Защита виртуализации и облачных вычислений.
5. Защита технологий контейнерных средств и их оркестрации.
6. Защита сервисов электронной почты.
7. Защита веб-технологий.
8. Защита программных интерфейсов взаимодействия приложений.
9. Защита конечных устройств.
10. Защита мобильных устройств.
11. Защита технологий интернета вещей.
12. Защита точек беспроводного доступа.
13. Антивирусная защита.
14. Обнаружение и предотвращение вторжений на сетевом уровне.
15. Сегментация и межсетевое экранирование.
16. Защита от компьютерных атак, направленных на отказ от обслуживания.
17. Защита каналов передачи данных и сетевого взаимодействия.
Хотел бы обратить ваше внимание на то, что в приказе № 117 отсутствуют привычные нам наборы мер для соответствующих классов защиты ИС. В любом случае регулятор должен в ближайшее время выпустить отдельный документ с детализацией по выполнению мер защиты.
Еще важно отметить, что одним из ключевых направлений станет модернизация систем аутентификации. Данный приказ обязывает использовать строгую аутентификацию для привилегированного доступа, а в случае технических ограничений – усиленную аутентификацию (MFA). И это затронет не только внутренние системы, но и удаленный доступ, включая мобильные устройства, в которых придется обеспечивать защиту каналов передачи данных. Для этого организациям придется внедрять у себя решения на основе аппаратных токенов или одноразовых паролей (OTP).
Также не стоит забывать о усилении защиты современных платформ, таких как облачные сервисы, интернет вещей и контейнерные среды. Для данных технологий в нормативно-правовых актах не были определены базовые меры защиты. Это значит, что теперь если предприятия используют такие решения, то им придется пересмотреть свои подходы к обеспечению безопасности данных платформ.
Что касается процесса мониторинга, то потребуется внедрять автоматизированные инструменты для сбора и анализа данных о событиях безопасности и угрозах.
В случае, если на предприятии планируется разрабатывать и внедрять свое ПО для использования в информационных системах, оператор ПО обязан учесть меры, предусмотренные в ГОСТ Р 56939-2024, а если предприятие привлекает подрядчиков для разработки ПО, то в техническом задании на разработку ПО в обязательном порядке должны быть включены требования для безопасной разработки.
Впервые в вопросе регулирования защиты информации в государственном секторе уделено внимание вопросам безопасности при использовании искусственного интеллекта. Согласно Национальной стратегии развития искусственного интеллекта, должны применяться доверенные технологии ИИ или их компоненты.
Что касается темы, связанной с аттестацией, то как и раньше, обязательная аттестация предусмотрена только для государственных информационных систем, для остальных ИС решение принимается оператором самостоятельно. Все действующие аттестаты соответствия сохраняются и повторная аттестация для действующих систем с 1 марта 2026 года не потребуется. Но в случае модернизации уже действующей системы, аттестовываться придется уже по новым требованиям, согласно Приказа № 117.
Руководителям предприятий уже сейчас надо задуматься о пересмотре программ обучения пользователей, а именно сделать их более практико-ориентированными, а не для галочки как раньше. В разрезе этого можно привести пример, как проведение тренировки на полигоне, где она из команд будет атаковать, а другая защищаться. А в конце проводится разбор данных инцидентов и какие меры были приняты для их отражения. Также сотрудников отделов информационной безопасности, можно целенаправленно отправлять на различные мероприятия, например CTF, с целью подтверждения их профпригодности и получения практического опыта для расследования инцидентов по информационной безопасности.
Приказ № 117 – это не просто замена документа, это новая эра в информационной безопасности в государственном секторе, где ценность получает не сама форма, а реальная защита ИС от атак.
Для государственных организаций все изменения в Приказе № 117 несут определенные риски, несоответствие новым требованиям данного приказа может привести к штрафам и определенным ограничениям со стороны регулятора. Для компаний, занимающихся предоставлениям услуг в области защиты информации внедрение приказа означает повышение спроса в данном направлении.
Ну и конечно не надо забывать о планах по планированию бюджета для выделения средств на модернизацию и внедрение новых средств защиты в соответствии с Приказом № 117.
