ENG
Приказ ФСТЭК 117: что изменилось для владельцев КИИ с 1 марта 2026

1 марта 2026 года вступил в силу Приказ ФСТЭК России от 11 апреля 2025 года №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее — Приказ №117). Документ полностью заменил Приказ ФСТЭК России от 11 февраля 2013 г. №17, которым были утверждены аналогичные требования. В дополнении к Приказу №117 12 апреля 2026 года опубликован Методический документ ФСТЭК России «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» (далее — Методический документ).

Новый приказ значительно расширяет перечень организаций, на которые распространяет действия, и включает абсолютно новый подход по защите информации в государственных информационных системах (ГИС) и ИС госсектора. Методика определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации при работе с указанными ГИС и ИС.

Кто подпадает под действие нового приказа

Приказ ФСТЭК №17 касался только ГИС. Под действия Приказа №117 подпадают:

  • Государственные информационные системы
  • ИС государственных органов
  • ИС государственных унитарных предприятий
  • ИС государственных учреждений
  • Муниципальные информационные системы
  • ИС подрядчиков (разработчиков и интеграторов)
  • ИС организаций, взаимодействующих с вышеперечисленными ИС.

Ключевые отличия Приказа №117 от предшественника:

  • Меры по обеспечению защиты информации (ЗИ): Приказ №117 больше не включает итоговую таблицу защитных мер (они «перетекли» в Методический документ);
  • Требования к организационно-распорядительным документам (ОРД): Приказ №117 устанавливает трехуровневую систему документации, включающую политику защиты информации, внутренние стандарты и внутренние регламенты;
  • Отчетность перед ФСТЭК России. Обязательны две сквозные метрики: Кзи (раз в полгода) + Пзи (раз в 2 года);
  • Сроки по устранению уязвимостей: критические уязвимости — 24 часа, высокие — 7 дней. При нахождении новых уязвимостей, которых нет в Базе данные уязвимостей ФСТЭК России, необходимо сообщить о них регулятору за 5 рабочих дней;
  • Контроль подрядчиков: обязательные требования в договорах — подрядчик под надзором;
  • Кадровые требования: не менее 30% сотрудников ИБ должны иметь профильное образование или пройти переподготовку;
  • Контекст современных технологий: ИИ, контейнеризация, облачные технологии, IoT;
  • Инфраструктурные меры ЗИ: акцент на «современных» NGFW, WAF, EDR, защиты конечных точек, усиленной аутентификации/MFA;
  • Информирование регуляторов:
    •    ГосСОПКА об инцидентах;
    •    ФСТЭК о новых уязвимостях.

Технические меры защиты

В приказе №117 выделяется 17 ключевых базовых мер, в том числе 9 учитывают новые технологические аспекты:

  • Идентификация и аутентификация
  • Управление доступом
  • Регистрация событий безопасности
  • Защита виртуализации и облачных вычислений (New)
  • Защита технологий контейнерных сред и их оркестрации (New)
  • Защита сервисов электронной почты (New)
  • Защита веб-технологий (New)
  • Защита программных интерфейсов взаимодействия приложений (New)
  • Защита конечных устройств (New)
  • Защита мобильных устройств (New)
  • Защита технологий интернета вещей (New)
  • Защита точек беспроводного доступа (New)
  • Антивирусная защита
  • Обнаружение и предотвращение вторжений на сетевом уровне
  • Сегментация и межсетевое экранирование
  • Защита от компьютерных атак, направленных на отказ в обслуживании
  • Защита каналов передачи данных и сетевого взаимодействия.

Требования к безопасной разработке ПО

  • Единый стандарт: при самостоятельной разработке обязательно следовать требованиям разделов 4 и 5 ГОСТ Р 56939-2024 «Разработка безопасного программного обеспечения. Общие требования», которые описывают 25 процессов безопасной разработки (РБПО);
  • Внедрение практик DevSecOps и использование инструментов статического и динамического анализа кода (SAST/DAST);
  • Требования к подрядчикам: ответственность за безопасность конечного ПО лежит на госзаказчике, поэтому в договорах с подрядчиками требования по ГОСТ Р 56939-2024 уже должны быть включены в техзадание;
  • Обязательный внутренний регламент (п. 14д): организации, самостоятельно разрабатывающие ПО, обязаны создать и утвердить внутренний регламент. Этот документ детально прописывает порядок безопасной разработки согласно ГОСТ.

Особенности при взаимодействии с внешними организациями

Приказ №117 впервые закрепляет необходимость защищать госинформацию на всей цепочке поставщиков:

  • Требования распространяются на подрядчиков, которые разрабатывают, сопровождают, администрируют системы заказчика или получают доступ к его данным и инфраструктуре;
  • Обязательная разработка политик информационной безопасности у организаций-партнеров;
  • Обязательно включение в договоры обязательств по обеспечению безопасности информации;
  • Введена фиксация ответственности внешних организаций за соблюдение требований безопасности при взаимодействии с критическими информационными системами.

Новые механизмы контроля со стороны регулятора

Контроль состояния защищенности осуществляться ФСТЭК России по двум показателям, помимо классического контроля при аттестации ГИС.

  • Показатели ФСТЭК России:
  •     Показатель защищенности (Кзи) (проводится не реже одного раза в шесть месяцев.).
  •     Показатель уровня зрелости (Пзи) (не реже одного раза в два года).
  • Методика оценки КЗИ утверждена ФСТЭК России 11 ноября 2025 года.

Оценку защищенности может проводить как оператор ИС, так и лицензиат ФСТЭК.
Методика расчета показателя уровня зрелости (Пзи) на данный момент не утверждена.

Вопросы аттестации

Продолжают действовать аттестаты соответствия, выданные до 1 марта 2026 года. При создании новой ГИС или модернизации существующей проектировать систему защиты информации необходимо по новым требованиям:

  • Аттестации подлежат ГИС, остальные информационные системы аттестуются на усмотрение оператора или в соответствии с отраслевыми требованиями;
  • Инфраструктура ЦОД, где планируется размещать ГИС, должна быть аттестована на соответствие требованиям Приказа №117;
  • Информационные системы, аттестованные на соответствие требованиям Приказа №17, после вступления в силу Приказа №117 переаттестации не подлежат. Однако последующая аттестация ИС при модернизации будет производиться уже по новым требованиям;

В рамках аттестации выполняется анализ защищённости с учетом Методического документа ФСТЭК России «Методика анализа защищенности информационных систем» (утв. от 25 ноября 2025 года).
В рамках аттестации для ГИС и других ИС госорганов 1 и 2 классов защищенности, которые имеют подключение к сети Интернет, выполняется тестирование на проникновение (пентест) по методике ФСТЭК.

Анализ защищенности по методике ФСТЭК России от 25.11.2025

В рамках аттестации выполняется анализ защищённости с учетом Методического документа ФСТЭК России «Методика анализа защищенности информационных систем» (утв. от 25 ноября 2025 года).

Процедура включает:

  • Инвентаризацию ИС (сетевые адреса/порты, ПО, СЗИ, пользователи);
  • Внешний анализ уязвимостей: сканирование периметра ИС из сети Интернет;
  • Внутренний анализ уязвимостей: сканирование изнутри периметра (внутренняя инфраструктура);
  • Оценку выявленных уязвимостей: экспертная оценка критичности на основе угроз;
  • Устранение выявленных уязвимостей;
  • Повторное сканирование;
  • Подготовку отчета.

Анализ защищенности по Методике может проводить как оператор ИС, так и лицензиат ФСТЭК России.

Тестирование на проникновение (пентест) проводится по «Методике испытаний систем защиты информации информационных систем методами тестирования на проникновение» Соответствующее информационное сообщение № 240/24/4734 было опубликовано ФСТЭК России 8 сентября 2025 г.

Методика становится обязательной для ГИС и других систем госорганов, госпредприятий и госучреждений 1 и 2 классов защищенности, которые имеют подключение к сети Интернет и (или) взаимодействуют с иными ИС, в том числе с ИС подрядных организаций (за исключением случаев, когда такое взаимодействие реализовано с использованием VPN ГОСТ (с применением сертифицированных СКЗИ).

В остальных случаях операторы и владельцы ИС могут принимать решение о применении методики самостоятельно.

Для контроля уровня защищенности может привлекаться лицензиат ФСТЭК России.

Пентест проводится как завершающий этап после анализа уязвимостей.

Контроль уровня защищенности

Контроль уровня защищенности — это комплексная оценка того, насколько эффективно реализованные меры защиты противостоят реальным угрозам

Виды и методы контроля:

  1. Автоматизированное/ручное выявление уязвимостей с экспертной оценкой возможности их использования;
  2. Выявление несанкционированных подключений устройств к информационным системам;
  3. Тестирование путем моделирования актуальных угроз (пентест);
  4. Тренировки по отработке действий в условиях реализации угроз.

Периодичность: не реже 1 раза в 3 года или после компьютерного инцидента.

По результатам контроля уровня защищенности составляется отчет, который подписывается проводившими контроль лицами и в течение 3 рабочих дней представляется руководителю. Отчет также направляется в ФСТЭК России.

Для контроля уровня защищенности может привлекаться лицензиат ФСТЭК России.

Взаимодействие с ГосСОПКА

Абзац 2 пункта 59 Приказа №117 обязывает всех операторов (госорганы, ГУП, госучреждения) обеспечить взаимодействие с ГосСОПКА Каналы передачи информации ГосСОПКА:

  • Средства автоматизированного обмена информацией (API);
  • Личный кабинет ГосСОПКА в технической инфраструктуре НКЦКИ;
  • Электронная почта;
  • Почтовые отправления;
  • Телефонная связь (в качестве дополнительного канала).

Требования к персоналу

  • Не менее 30% специалистов по ИБ должны иметь профильное ИБ-образование (или пройти переподготовку);
  • Изменения потребуют от многих организаций и их подрядчиков пересмотреть состав и квалификацию своих ИБ-команд;
  • Проведение мероприятий по повышению уровня знаний и информированности пользователей ИС.

Чек-лист: что сделать в ближайшее время для соответствия требованиям Приказа №117

  • Составить реестр всех ИС организации, подпадающих под требования приказа;
  • Оценить класс защищённости каждой системы;
  • Провести аудит текущего состояния ИС и СОИБ, сравнить их с обязательными пунктами из Приказа №117 и Методического документа ФСТЭК России от 12 апреля 2026 г.;
  • Заложить бюджеты на закупку новых сертифицированных СЗИ и услуг (построение СОИБ, пентест, анализ уязвимостей, аттестацию, оценку Кзи и т.д.);
  • Актуализировать внутренние стандарты и регламенты защиты информации;
  • Организовать взаимодействие с ГосСОПКА;
  • Провести кадровую инвентаризацию и обучение персонала;
  • Привести договоры с подрядчиками в соответствие с требованиями Приказа №117.

Мы поможем закрыть требования регулятора и исключить риски штрафов за их нарушения.

Если у вас остаются вопросы по применению Приказа №117 — обратитесь к нам, разберем конкретные ситуации.


29.05.2026

Другие публикации

Risk-Based Vulnerability Management: как перестать гадать и начать управлять

Количество публично раскрываемых уязвимостей растёт, а крупная организация не может устранять все находки одинаково быстро. Поэтому главный вопрос для управления уязвимостями — не «как закрыть все CVE», а «какие из них создают наибольший риск именно для нашего бизнеса». На ответ влияют не только техническая оценка, но и доступность актива из сети, его роль в критическом процессе, наличие признаков эксплуатации, компенсирующие меры и реальное покрытие средствами защиты.

15.07.2026

Специалисты Angara MTDR зафиксировали новую фишинговую рассылку от группировки Rare Werewolf

Фишинговая кампания нацелена на российские организации. Основной целью злоумышленников является первичное закрепление в ИТ-инфраструктуре жертвы и кража пользовательских учётных данных.

08.07.2026

Атаки типа «отказ в обслуживании» становятся угрозой для российских организаций

22 мая 2026 года ФСТЭК России опубликовал рекомендации по повышению защищенности от атак типа «отказ в обслуживании». Они предназначены для государственных органов и организаций, провайдеров связи, субъектов КИИ и содержат конкретные меры по защите от различных типов DoS-атак. Также документ прописывает порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак.

03.07.2026

Почему DLP не даёт результата без аналитики инцидентов

Системы предотвращения утечек данных (DLP) традиционно воспринимаются как один из базовых инструментов защиты информации. Они контролируют каналы передачи данных, выявляют попытки вывода чувствительной информации и позволяют блокировать или фиксировать такие действия. На уровне ожиданий бизнеса всё выглядит достаточно просто: внедрение DLP — снижение риска утечек.

26.06.2026

Практические рекомендации и примеры оценки показателя защищенности с учетом актуальных требований ФСТЭК России

Российское регулирование в области информационной безопасности в 2025–2026 гг. совершило колоссальный сдвиг. ФСТЭК России утвердила новые нормативные акты, которые полностью пересмотрели подходы к оценке защищенности информационных систем госсектора, субъектов критической информационной инфраструктуры (КИИ).

24.06.2026

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах