Приказ ФСТЭК 117: что изменилось для владельцев КИИ с 1 марта 2026

1 марта 2026 года вступил в силу Приказ ФСТЭК России от 11 апреля 2025 года №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее — Приказ №117). Документ полностью заменил Приказ ФСТЭК России от 11 февраля 2013 г. №17, которым были утверждены аналогичные требования. В дополнении к Приказу №117 12 апреля 2026 года опубликован Методический документ ФСТЭК России «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» (далее — Методический документ).

Новый приказ значительно расширяет перечень организаций, на которые распространяет действия, и включает абсолютно новый подход по защите информации в государственных информационных системах (ГИС) и ИС госсектора. Методика определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации при работе с указанными ГИС и ИС.

Кто подпадает под действие нового приказа

Приказ ФСТЭК №17 касался только ГИС. Под действия Приказа №117 подпадают:

• Государственные информационные системы
• ИС государственных органов
• ИС государственных унитарных предприятий
• ИС государственных учреждений
• Муниципальные информационные системы
• ИС подрядчиков (разработчиков и интеграторов)
• ИС организаций, взаимодействующих с вышеперечисленными ИС.

Ключевые отличия Приказа №117 от предшественника:

• Меры по обеспечению защиты информации (ЗИ): Приказ №117 больше не включает итоговую таблицу защитных мер (они «перетекли» в Методический документ);
• Требования к организационно-распорядительным документам (ОРД): Приказ №117 устанавливает трехуровневую систему документации, включающую политику защиты информации, внутренние стандарты и внутренние регламенты;
• Отчетность перед ФСТЭК России. Обязательны две сквозные метрики: Кзи (раз в полгода) + Пзи (раз в 2 года);
• Сроки по устранению уязвимостей: критические уязвимости — 24 часа, высокие — 7 дней. При нахождении новых уязвимостей, которых нет в Базе данные уязвимостей ФСТЭК России, необходимо сообщить о них регулятору за 5 рабочих дней;
• Контроль подрядчиков: обязательные требования в договорах — подрядчик под надзором;
• Кадровые требования: не менее 30% сотрудников ИБ должны иметь профильное образование или пройти переподготовку;
• Контекст современных технологий: ИИ, контейнеризация, облачные технологии, IoT;
• Инфраструктурные меры ЗИ: акцент на «современных» NGFW, WAF, EDR, защиты конечных точек, усиленной аутентификации/MFA;
• Информирование регуляторов:
•    ГосСОПКА об инцидентах;
•    ФСТЭК о новых уязвимостях.

Технические меры защиты

В приказе №117 выделяется 17 ключевых базовых мер, в том числе 9 учитывают новые технологические аспекты:

• Идентификация и аутентификация
• Управление доступом
• Регистрация событий безопасности
• Защита виртуализации и облачных вычислений (New)
• Защита технологий контейнерных сред и их оркестрации (New)
• Защита сервисов электронной почты (New)
• Защита веб-технологий (New)
• Защита программных интерфейсов взаимодействия приложений (New)
• Защита конечных устройств (New)
• Защита мобильных устройств (New)
• Защита технологий интернета вещей (New)
• Защита точек беспроводного доступа (New)
• Антивирусная защита
• Обнаружение и предотвращение вторжений на сетевом уровне
• Сегментация и межсетевое экранирование
• Защита от компьютерных атак, направленных на отказ в обслуживании
• Защита каналов передачи данных и сетевого взаимодействия.

Требования к безопасной разработке ПО

• Единый стандарт: при самостоятельной разработке обязательно следовать требованиям разделов 4 и 5 ГОСТ Р 56939-2024 «Разработка безопасного программного обеспечения. Общие требования», которые описывают 25 процессов безопасной разработки (РБПО);
• Внедрение практик DevSecOps и использование инструментов статического и динамического анализа кода (SAST/DAST);
• Требования к подрядчикам: ответственность за безопасность конечного ПО лежит на госзаказчике, поэтому в договорах с подрядчиками требования по ГОСТ Р 56939-2024 уже должны быть включены в техзадание;
• Обязательный внутренний регламент (п. 14д): организации, самостоятельно разрабатывающие ПО, обязаны создать и утвердить внутренний регламент. Этот документ детально прописывает порядок безопасной разработки согласно ГОСТ.

Особенности при взаимодействии с внешними организациями

Приказ №117 впервые закрепляет необходимость защищать госинформацию на всей цепочке поставщиков:

• Требования распространяются на подрядчиков, которые разрабатывают, сопровождают, администрируют системы заказчика или получают доступ к его данным и инфраструктуре;
• Обязательная разработка политик информационной безопасности у организаций-партнеров;
• Обязательно включение в договоры обязательств по обеспечению безопасности информации;
• Введена фиксация ответственности внешних организаций за соблюдение требований безопасности при взаимодействии с критическими информационными системами.

Новые механизмы контроля со стороны регулятора

Контроль состояния защищенности осуществляться ФСТЭК России по двум показателям, помимо классического контроля при аттестации ГИС.

• Показатели ФСТЭК России:
•     Показатель защищенности (Кзи) (проводится не реже одного раза в шесть месяцев.).
•     Показатель уровня зрелости (Пзи) (не реже одного раза в два года).
• Методика оценки КЗИ утверждена ФСТЭК России 11 ноября 2025 года.

Оценку защищенности может проводить как оператор ИС, так и лицензиат ФСТЭК.
Методика расчета показателя уровня зрелости (Пзи) на данный момент не утверждена.

Вопросы аттестации

Продолжают действовать аттестаты соответствия, выданные до 1 марта 2026 года. При создании новой ГИС или модернизации существующей проектировать систему защиты информации необходимо по новым требованиям:

• Аттестации подлежат ГИС, остальные информационные системы аттестуются на усмотрение оператора или в соответствии с отраслевыми требованиями;
• Инфраструктура ЦОД, где планируется размещать ГИС, должна быть аттестована на соответствие требованиям Приказа №117;
• Информационные системы, аттестованные на соответствие требованиям Приказа №17, после вступления в силу Приказа №117 переаттестации не подлежат. Однако последующая аттестация ИС при модернизации будет производиться уже по новым требованиям;

В рамках аттестации выполняется анализ защищённости с учетом Методического документа ФСТЭК России «Методика анализа защищенности информационных систем» (утв. от 25 ноября 2025 года).
В рамках аттестации для ГИС и других ИС госорганов 1 и 2 классов защищенности, которые имеют подключение к сети Интернет, выполняется тестирование на проникновение (пентест) по методике ФСТЭК.

Анализ защищенности по методике ФСТЭК России от 25.11.2026

В рамках аттестации выполняется анализ защищённости с учетом Методического документа ФСТЭК России «Методика анализа защищенности информационных систем» (утв. от 25 ноября 2025 года).

Процедура включает:

• Инвентаризацию ИС (сетевые адреса/порты, ПО, СЗИ, пользователи);
• Внешний анализ уязвимостей: сканирование периметра ИС из сети Интернет;
• Внутренний анализ уязвимостей: сканирование изнутри периметра (внутренняя инфраструктура);
• Оценку выявленных уязвимостей: экспертная оценка критичности на основе угроз;
• Устранение выявленных уязвимостей;
• Повторное сканирование;
• Подготовку отчета.

Анализ защищенности по Методике может проводить как оператор ИС, так и лицензиат ФСТЭК России.

Тестирование на проникновение (пентест) проводится по «Методике испытаний систем защиты информации информационных систем методами тестирования на проникновение» Соответствующее информационное сообщение № 240/24/4734 было опубликовано ФСТЭК России 8 сентября 2025 г.

Методика становится обязательной для ГИС и других систем госорганов, госпредприятий и госучреждений 1 и 2 классов защищенности, которые имеют подключение к сети Интернет и (или) взаимодействуют с иными ИС, в том числе с ИС подрядных организаций (за исключением случаев, когда такое взаимодействие реализовано с использованием VPN ГОСТ (с применением сертифицированных СКЗИ).

В остальных случаях операторы и владельцы ИС могут принимать решение о применении методики самостоятельно.

Для контроля уровня защищенности может привлекаться лицензиат ФСТЭК России.

Пентест проводится как завершающий этап после анализа уязвимостей.

Контроль уровня защищенности

Контроль уровня защищенности — это комплексная оценка того, насколько эффективно реализованные меры защиты противостоят реальным угрозам

Виды и методы контроля:

1. Автоматизированное/ручное выявление уязвимостей с экспертной оценкой возможности их использования;
2. Выявление несанкционированных подключений устройств к информационным системам;
3. Тестирование путем моделирования актуальных угроз (пентест);
4. Тренировки по отработке действий в условиях реализации угроз.

Периодичность: не реже 1 раза в 3 года или после компьютерного инцидента.

По результатам контроля уровня защищенности составляется отчет, который подписывается проводившими контроль лицами и в течение 3 рабочих дней представляется руководителю. Отчет также направляется в ФСТЭК России.

Для контроля уровня защищенности может привлекаться лицензиат ФСТЭК России.

Взаимодействие с ГосСОПКА

Абзац 2 пункта 59 Приказа №117 обязывает всех операторов (госорганы, ГУП, госучреждения) обеспечить взаимодействие с ГосСОПКА Каналы передачи информации ГосСОПКА:

• Средства автоматизированного обмена информацией (API);
• Личный кабинет ГосСОПКА в технической инфраструктуре НКЦКИ;
• Электронная почта;
• Почтовые отправления;
• Телефонная связь (в качестве дополнительного канала).

Требования к персоналу

• Не менее 30% специалистов по ИБ должны иметь профильное ИБ-образование (или пройти переподготовку);
• Изменения потребуют от многих организаций и их подрядчиков пересмотреть состав и квалификацию своих ИБ-команд;
• Проведение мероприятий по повышению уровня знаний и информированности пользователей ИС.

Чек-лист: что сделать в ближайшее время для соответствия требованиям Приказа №117

• Составить реестр всех ИС организации, подпадающих под требования приказа;
• Оценить класс защищённости каждой системы;
• Провести аудит текущего состояния ИС и СОИБ, сравнить их с обязательными пунктами из Приказа №117 и Методического документа ФСТЭК России от 12 апреля 2026 г.;
• Заложить бюджеты на закупку новых сертифицированных СЗИ и услуг (построение СОИБ, пентест, анализ уязвимостей, аттестацию, оценку Кзи и т.д.);
• Актуализировать внутренние стандарты и регламенты защиты информации;
• Организовать взаимодействие с ГосСОПКА;
• Провести кадровую инвентаризацию и обучение персонала;
• Привести договоры с подрядчиками в соответствие с требованиями Приказа №117.

Мы поможем закрыть требования регулятора и исключить риски штрафов за их нарушения.

Если у вас остаются вопросы по применению Приказа №117 — обратитесь к нам, разберем конкретные ситуации.