Приказ ФСТЭК № 117: что изменилось, как подготовиться и не сорвать аттестацию

За последние годы ИТ-инфраструктуры в государстве и бизнесе радикально изменились: классические «закрытые» системы уступили место облачным и распределённым решениям, которые имеют на своём борту множество технических решений. Очевидно, большее разнообразие архитектурных решений ведёт к появлению потенциальных угроз безопасности и требует новых подходов к защите.

Новые требования ФСТЭК — не просто обновление документа, а переработка фундаментального подхода к обеспечению защиты информации в организациях. Новая система защиты информации выстраивается «от общего к частному» и превращает стандартного ИБ-шника из человека с агрессивными требованиями к ИТ в полноценного помощника, который идёт нога в ногу с нуждами руководства.

Новые требования: что и для кого изменилось

Приказ № 117 вступает в силу 1 марта 2026 года и затрагивает всех, кто имеет отношение к государственным и муниципальным информационным системам:

• Федеральные и региональные органы власти.
• Государственные и муниципальные учреждения.
• Государственные унитарные предприятия.
• Подрядные организации и сервис-провайдеры, которым оператор предоставляет доступ к ГИС и/или содержащейся в них информации для выполнения работ или оказания услуг.

Под действие приказа попадают все информационные системы, в которых обрабатывается служебная информация, кроме тех, где действуют специальные режимы (например, государственная тайна).

К концу I квартала 2026 года каждый из доменов безопасности, рассмотренных в рамках приказа ФСТЭК № 117, должен получить утверждённые методические документы, которые будут детализировать процессы обеспечения безопасности и устанавливать более конкретные нормативы. Рассмотрим домены, получившие наиболее критичные изменения, по которым доступно достаточно деталей, чтобы оценить возможные последствия для оператора.

Защита информации как осмысленное решение руководства

Защита информации — это не разовая акция, а планомерно развиваемый процесс. Эта идея является основой обновлённого подхода к защите информации ГИС. Безопасность — это не просто выполнение требований, «потому что иначе будут санкции», это то, что является полноценной частью функционирования организации на каждом этапе развития её процессов и информационных систем.

Теперь полноценным первым и базовым этапом в обеспечении безопасности в организации являются:

• разработка и утверждение политики информационной безопасности организации (раньше это был опциональный документ без полноценно закреплённой формы);
• фундаментальное назначение ответственных;
• верхнеуровневая регламентация процессов ИБ в организации на уровне методик.

Когда есть понимание процессов в организации, гораздо легче планировать численность специалистов, необходимых для обеспечения их функционирования.

Классификация информационных систем

Как и ранее, все ГИС распределяются по трём классам защищённости: К1, К2 и К3. Но теперь они соответствуют классам защищённости, установленным приказом ФСБ № 117, что делает определение актуального нарушителя безопасности информации при моделировании угроз более однозначным. Кроме того, это существенно облегчает согласование модели угроз с обоими регуляторами.

Определение классов основывается на оценке масштаба защищённости ИС, а также уровня значимости содержащейся (обрабатываемой) в ней информации. При этом масштаб определяется территорией функционирования ИС, а не местом размещения серверов.

Чем выше класс, тем жёстче требования к защите:

* УЗ 1 — когда возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности, и/или информационная система и/или оператор, обладатель информации не могут выполнять возложенные на них функции.

* УЗ 2 — умеренные негативные последствия в указанных сферах и невозможность выполнения хотя бы одной возложенной функции.

* УЗ 3 — незначительные негативные последствия, выполнение возложенных функций с недостаточной эффективностью или возможность выполнения функций только с привлечением дополнительных сил и средств.

Как и ранее, критериев для определения критичности последствий нет — уровни значимости информации определяются оператором эмпирически.

Определение перечня недопустимых событий

Комплексный подход к обеспечению безопасности в организации не может обойтись без выстраивания конструктивного диалога с руководством. Недопустимое событие — это точка пересечения, в которой безопасность и руководство начинают говорить на одном языке.

Процесс определения недопустимых событий может включать:

• сбор рабочей группы (ИБ, IT, риски, при необходимости — бизнес);
• формирование верхнеуровневого перечня негативных последствий и ранжирование их по степени значимости;
• определение ключевых бизнес- и технологических процессов;
• формирование сценариев реализации процессов, приводящих к негативным последствиям;
• определение критериев реализации недопустимых событий;
• моделирование сценариев реализации недопустимых событий;
• формирование итогового перечня.

Управление уязвимостями

Установлены чёткие сроки для устранения уязвимостей в зависимости от их уровня:

• критичные — 24 часа;
• высокие — 7 дней;
• средние/низкие — определяется оператором в ОРД, но не более 4 недель.

Обеспечение непрерывности функционирования

Программные, программно-аппаратные средства, позволяющие обеспечить выполнение значимых функций, должны быть развёрнуты в отказоустойчивой конфигурации. Помимо этого, установлены сроки для восстановления функционирования для ИС различных классов:

• К1 — не более 24 часов с момента обнаружения;
• К2 — не более 7 дней с момента обнаружения;
• К3 — не более 4 недель с момента обнаружения.

Мероприятия по разработке программного обеспечения

В этом направлении приказ ФСТЭК № 117 выделяет два трека: самостоятельная разработка ПО оператором и привлечение для разработки ПО сторонней организации.

Мероприятия по обеспечению защиты информации при удалённом доступе

Помимо стандартного обеспечения защиты конечных устройств и каналов связи, допускается использование личных устройств работников — при условии применения для удалённого доступа:

• сертифицированных средств обеспечения безопасной дистанционной работы;
• средств антивирусной защиты;
• иных средств защиты информации, исключающих угрозы безопасности информации, связанные с удалённым доступом.

Мероприятия по обеспечению защиты информации при взаимодействии с подрядными организациями

Эти мероприятия потенциально добавляют ряд пунктов в договоры с подрядными организациями:

• В договорах должны быть установлены обязанности подрядных организаций по обеспечению защиты информации, к которой получен доступ, а также ответственность за невыполнение этой обязанности.
• Не допускается копирование подрядными организациями информации, к которой им предоставлен доступ.
• В информационных системах, отдельных программно-аппаратных средствах подрядных организаций, в которых осуществляется обработка и хранение полученной в результате предоставленного доступа информации, должны быть приняты меры по защите информации.
• Запрещается допуск разработчиков в производственный контур для разработки и тестирования программного обеспечения.

Мероприятия по обеспечению защиты информации от DDoS-атак

Для обеспечения защиты от DDoS-атак операторы обязаны привлекать провайдеров услуг связи или хостингов.

Коэффициенты защищённости и информирование регулятора

Для проведения промежуточной оценки состояния защищённости ИС самим оператором вводятся новые числовые показатели:

1. Текущее состояние защиты (Кзи) — не реже, чем раз в шесть месяцев.
2. Достаточность/эффективность мер (Пзи) — не реже, чем раз в два года.

Результаты расчёта показателей направляются оператором во ФСТЭК в срок не позднее 5 дней с момента расчёта. На данный момент имеется формула для расчёта Кзи, однако эталонные значения всё ещё ожидаются к публикации.

Условия применения ИИ

Раньше применение AI/ML-сервисов (например, для автоматического поиска аномалий, анализа логов или корреляции событий) в госсекторе находилось в «серой зоне»: оно не запрещалось, но и не регулировалось напрямую. Приказ № 117 разделяет подходы в использовании ИИ в ГИС на два крупных трека: для обеспечения безопасности информации в части мониторинга событий ИБ и как часть основной логики ИС.

Какие условия нужно соблюдать, чтобы применять ИИ в мониторинге событий ИБ:

1. Только как дополнение, а не замена специалиста. ИИ-решения не могут полностью заменить принятие решений ответственным сотрудником по ИБ. Алгоритмы ИИ используются для ускорения анализа, выявления сложных паттернов атак, фильтрации инцидентов, но окончательное слово всегда остаётся за человеком.
2. Контролируемость и прозрачность работы. ИИ-системы должны быть настраиваемыми, а результат работы — воспроизводимым и проверяемым. Не допускается чёрный ящик: оператор ИС обязан понимать, почему система классифицировала событие как инцидент.
3. Соблюдение требований к обработке и хранению данных. Все данные, которые анализирует ИИ, должны храниться и обрабатываться в соответствии с требованиями законодательства РФ (федеральные законы № 152-ФЗ, № 242-ФЗ и поправки к закону № 23-ФЗ).
4. Использование только проверенных решений. Предпочтение отдаётся отечественным или сертифицированным продуктам, ИИ-системы должны соответствовать требованиям безопасности к программному обеспечению (ГОСТ Р 56939‑2024).
5. Регулярное тестирование и аудит ИИ-алгоритмов. Требуется периодически проверять корректность работы, отсутствие неконтролируемых действий, а также возможность ручной корректировки или отключения автоматизации в случае ошибок.
6. Документирование применения ИИ. Описываются процессы, условия использования, перечень задач, за которые отвечает ИИ, а также схема взаимодействия с ИБ-специалистами.

Аттестация: особенности проведения по новому приказу

Аттестация информационных систем, как и раньше, проводится в соответствии с приказом ФСТЭК России от 29 апреля 2021 года № 77 «О порядке организации и проведения работ по аттестации объектов информатизации...». Однако со вступлением в силу приказа № 117 появились важные новые особенности, которые меняют структуру и стоимость аттестационных работ.

Что изменилось

Сканирование уязвимостей, как и прежде, остаётся первым этапом испытаний, но к нему добавлены новые обязательные шаги. Теперь во время аттестации необходимо:

• выявлять несанкционированные подключения устройств к информационным системам;
• проводить тестирование на проникновение (пентест) после функциональных испытаний;
• организовывать тренировки сотрудников по действиям в условиях инцидентов и угроз.

Особое внимание уделено тестированию на проникновение:

• Проводится обязательно в составе аттестации после завершения функционального тестирования.
• Область проведения работ фиксируется на этапе согласования с заказчиком и не определяется исполнителем самостоятельно.
• Введён единый формат отчётного документа, включающий описание области, методики, результатов и рекомендаций.
• Запрещено доводить систему до состояния «отказа в обслуживании», если это не оговорено в согласии на проведение тестирования.

Обобщённый порядок проведения комплексного проекта — от обследования до аттестации:

1. Обследование: инвентаризация ИС, определение перечня недопустимых событий и объектов доступа, классификация.
2. Моделирование угроз: разработка модели нарушителя и сценариев атак.
3. Формирование требований: подготовка ТЗ на создание подсистем защиты.
4. Проектирование: пояснительная записка, рабочая и эксплуатационная документация.
5. Внедрение: разработка и утверждение комплекта ОРД (обновлённого состава) и внедрение средств защиты.
6. Оценка соответствия:
   ● отчёт об уязвимостях;
   ●оценка показателей защищённости;
   ●оценка уровня зрелости процессов защиты;
   ●выявление несанкционированных подключений;
   ●обязательный пентест;
   ●аттестационная документация.
7. Эксплуатация: регулярный контроль уровня защищённости и разработка плана совершенствования защиты информации.

Подготовка к аттестации по-новому стала более затратной и длительной. Ключевой фактор — обязательное проведение пентеста и расширение перечня проверочных мероприятий. Для крупных операторов это означает необходимость заранее планировать бюджеты, пересматривать подходы к защите и готовиться к более жёсткой проверке со стороны регулятора.

Что это значит на практике

Система стала прозрачнее, но требования — строже. Общая механика проведения работ осталась старой, но кусочный подход «от появляющихся в эксплуатации систем» больше не работает. Формализация процессов организации, обновление верхнеуровневой документации и внедрение новых инструментов безопасности — теперь обязательный минимум.

Что изменилось в требованиях относительно предыдущей версии приказа:

* Передача ПДн за пределы контролируемой зоны находится в ведении ФСБ России и защищается с помощью мер криптографической защиты.

Риски для операторов ИС: что ждёт, если игнорировать новые требования

Какие сервисы рекомендуются для минимального соответствия требованиям ФСТЭК

Эксперты ГК «Солар» выделили набор решений и сервисов, которые закрывают большую часть требований приказа № 117 и рекомендуются для построения базовой, минимально необходимой системы кибербезопасности. Это не обязательный перечень, так как каждый проект индивидуален и какие-то решения могут замещаться компенсирующими мерами:

• Антивирус — для своевременного обнаружения и блокировки вредоносных программ.
• ГОСТ VPN — шифрование каналов связи с использованием отечественных стандартов.
• Защита виртуализации — предотвращение несанкционированного доступа и атак на виртуальные среды.
• СЗИ от НСД — средства защиты от несанкционированного доступа.
• Сканер уязвимостей (Vuln Mgmt) — регулярная диагностика, выявление и управление уязвимостями.
• СКЗИ — сертифицированные средства криптографической защиты информации.
• Эксплуатация — сервисы эксплуатации и мониторинга систем защиты информации.
• Anti-DDoS — защита от распределённых атак отказа в обслуживании.
• DFIR — средства расследования и реагирования на инциденты.
• Email Security — защита электронной почты от фишинга и вредоносных вложений.
• IDS/IPS — системы обнаружения и предотвращения вторжений.
• MFA — многофакторная аутентификация для критических пользователей и администраторов.
• NGFW — современные межсетевые экраны с глубокой фильтрацией трафика.
• PAM — управление привилегированными доступами (администраторы, подрядчики).
• Pentest — регулярное тестирование на проникновение для оценки реальных рисков.
• SIEM — централизованный сбор и анализ событий информационной безопасности.
• SOC/MDR — услуги по постоянному мониторингу и реагированию на инциденты.
• WAF — веб-экраны для защиты приложений и сайтов.

Что делать уже сейчас: чек-лист для операторов

• Инвентаризируйте все свои информационные системы. Составьте полный список всех ИС, которые подпадают под действие приказа № 117, включая вспомогательные, облачные и мобильные сервисы.
• Оцените класс защищённости каждой системы. Определите или уточните для каждой ИС класс (К1, К2 или К3) — учитывайте масштабы системы, критичность обрабатываемых данных и возможные последствия инцидентов.
• Сравните свои текущие меры с новыми требованиями. Проведите аудит соответствия текущего состояния систем существующим мерам защиты и сравните их с обязательными пунктами из приказа № 117 и связанных ГОСТов. Особое внимание уделите вопросам сегментации и сетевой защиты, тестированию программного обеспечения, организации мониторинга и порядку взаимодействия с подрядными организациями.
• Сформируйте план-график приведения в соответствие. Разбейте работу на этапы, определите приоритеты — что критично сделать сразу, а что можно внедрять постепенно.
• Определите исполнителей в штате и на аутсорсе. Назначьте ответственных сотрудников и при необходимости подключите внешних специалистов или подрядчиков. Проверьте квалификацию вашей ИБ-команды: не менее 30% сотрудников должны иметь профильное образование или сертификацию.
• Заложите бюджеты на инструменты и переобучение. Учтите в бюджете закупку новых сертифицированных СЗИ, расходы на тестирование ПО, обновление инфраструктуры, пентесты и обязательное обучение (тренировки) сотрудников.
• Подготовьтесь к аттестации по новым правилам. Запланируйте переаттестацию всех ИС по обновлённым требованиям заранее — это поможет избежать авралов и лишних расходов на срочные работы.