ФСТЭК №117
Почему отсидеться с «бумажной» безопасностью больше не выйдет
Долгие годы в отечественной практике информационной безопасности существовал негласный, но всех устраивающий статус-кво. Компании и ведомства готовили солидный пакет документов, закупали базовый набор средств защиты инфраструктуры, успешно проходили аттестацию и со спокойной совестью возвращались к повседневным задачам. Принято было считать, что вопрос закрыт на ближайшие годы. Пусть выстроенная система не была идеальной с практической точки зрения, зато она полностью удовлетворяла формальным требованиям проверяющих.
Новый приказ ФСТЭК №117 не просто корректирует эту парадигму — он полностью ее перечеркивает.
Начиная с 1 марта 2026 года кибербезопасность на уровне требований закона окончательно перестает быть статичным состоянием, зафиксированным на дату выдачи аттестата. Регулятор переводит ее в категорию непрерывного процесса, который бизнесу и госсектору придется поддерживать, измерять и аргументированно доказывать. Причем доказывать не объемными регламентами, а конкретными метриками и событиями в логах. Фокус смещается с банального комплаенса на реальное управление инфраструктурными рисками.
В новой регуляторной реальности классический подход «внедрили средства защиты и отчитались» теряет смысл. Теперь главный критерий оценки — это фактическая работоспособность внедренных мер. И речь идет не об идеальных схемах из презентации системного интегратора, а о живой ИТ-инфраструктуре компании, которая постоянно меняется: еженедельно выявляются свежие уязвимости, обновляются конфигурации сети, приходят и уходят подрядчики с временными правами доступа.
Фармацевтически точными формулировками ФСТЭК дает четкий сигнал: безопасность должна восприниматься не как набор закупленного софта, а как выстроенная система мониторинга и реагирования. Если ИБ-служба не видит аномалий в своей сети в режиме реального времени, значит, контроля над ситуацией нет, а все выстроенные эшелоны защиты — лишь дорогостоящая декорация.
Из этого программного сдвига вытекает одно из ключевых требований приказа — регулярная, а не предписанная лишь раз в несколько лет ради продления документов, оценка состояния защищенности. Теперь это необходимо делать как минимум раз в полугодие, опираясь на конкретные показатели и отслеживая динамику изменений. В оборот плотно внедряется коэффициент защищенности (Кзи). Для проверяющих органов это далеко не формальность. Регулятор получает на руки прозрачный математический инструмент для сравнения: он сможет четко увидеть, развивается ли система защиты предприятия на дистанции, стагнирует или откровенно деградирует. С объективными цифрами во время проверок спорить будет практически невозможно.
Однако самые масштабные и болезненные трансформации коснутся операционной деятельности. То, что годами обсуждалось на профильных конференциях исключительно как лучшие управленческие практики (best practices), приказ делает строго обязательным. Речь идет о непрерывном мониторинге инцидентов и жестком регламентировании работы с уязвимостями.
Сроки закрытия брешей становятся отдельной болевой точкой для корпоративных ИТ-служб. Согласно новым вводным, закрыть критическую уязвимость требуется за сутки. Уязвимость высокого уровня опасности — за неделю. В этих нормативах не заложено послаблений в духе «крайне рекомендовано». Это новые правила игры, где обнаруженная брешь перестает быть просто строчкой в автоматическом отчете сканера безопасности. Она превращается в экстренную задачу с неумолимым дедлайном, просрочка по которой автоматически переводит ситуацию из категории рутинного технического долга в прямое нарушение регуляторных норм.
Именно на этом этапе концепция «бумажной» безопасности терпит окончательный крах. Ни один блестяще написанный регламент сам по себе не накатит патч на уязвимый сервер и не изолирует скомпрометированный хост. Подобные задачи требуют слаженной работы профильных специалистов и средств автоматизации в условиях высокой нагрузки. Информационная безопасность трансформируется из конечного проектного внедрения в полноценную производственную функцию, сопоставимую по безостановочности процессов с ИТ-эксплуатацией крупного завода.
Реакция B2B и B2G-сектора предсказуемо напряженная. Аудит текущих возможностей часто вскрывает управленческую проблему: существующие организационные модели заказчиков просто не способны переварить новые требования. У многих штатных команд сегодня банально нет бюджетов и кадров для организации круглосуточного мониторинга. Отсутствуют выстроенные процессы межотраслевого взаимодействия (например, между ИБ-отделом и системными администраторами), позволяющие уложиться в заветные 24 часа для устранения «критики». Нетипична и сама культура работы в условиях перманентной проверки на прочность.
Долгое время аттестат соответствия играл роль надежного щита от любых претензий. Теперь же нужно привыкнуть к мысли, что этот документ — не более чем фотография прошлого. Он подтверждает лишь то, что инфраструктура соответствовала нормам в определенный день. С учетом скорости появления новых киберугроз, уже через месяц эта оценка теряет практический смысл, и приказ №117 фиксирует этот факт официально.
Еще один важный аспект приказа — существенное расширение зоны контроля. Раньше многие организации предпочитали выносить за скобки проверок облачные площадки, сторонних разработчиков или сервисных контрагентов. Теперь вся эта экосистема рассматривается как единый ландшафт. Любая API-интеграция или канал удаленного доступа внешнего специалиста попадает под мониторинг. Для крупных корпораций это серьезный вызов: навести порядок во внутренних бизнес-процессах тяжело, но заставить соответствовать требованиям ФСТЭК всю цепочку контрагентов — задача на порядок сложнее.
Эта сложность возрастает многократно на фоне внедрения систем с элементами искусственного интеллекта. Законодатель рассматривает машинное обучение не через призму рыночного хайпа, а исключительно как новую поверхность атаки и зону риска. Вопросы прозрачности дата-сетов, логики работы алгоритмов и хранения данных, проходящих через модель, выходят на первый план. Любая «серая зона» в этой цепочке трактуется как уязвимость.
Учитывая сроки вступления нормативных актов в силу, сентябрь 2026 года вырисовывается как критический, хоть и неформальный рубеж. Да, формальный переход стартует в марте, но именно к началу осеннего делового сезона накопится первая инспекторская практика. Появятся реальные кейсы проверок с выводами регулятора, и оправдание «мы находимся в процессе перестройки ИТ-ландшафта» перестанет работать. Рынок наглядно разделится на тех, кто сумел трансформировать процессы, и тех, кто по инерции понадеялся на старые схемы.
В новой регуляторной реальности классический подход «внедрили средства защиты и отчитались» теряет смысл. Теперь главный критерий оценки — это фактическая работоспособность внедренных мер. И речь идет не об идеальных схемах из презентации системного интегратора, а о живой ИТ-инфраструктуре компании, которая постоянно меняется: еженедельно выявляются свежие уязвимости, обновляются конфигурации сети, приходят и уходят подрядчики с временными правами доступа.
Фармацевтически точными формулировками ФСТЭК дает четкий сигнал: безопасность должна восприниматься не как набор закупленного софта, а как выстроенная система мониторинга и реагирования. Если ИБ-служба не видит аномалий в своей сети в режиме реального времени, значит, контроля над ситуацией нет, а все выстроенные эшелоны защиты — лишь дорогостоящая декорация.
Из этого программного сдвига вытекает одно из ключевых требований приказа — регулярная, а не предписанная лишь раз в несколько лет ради продления документов, оценка состояния защищенности. Теперь это необходимо делать как минимум раз в полугодие, опираясь на конкретные показатели и отслеживая динамику изменений. В оборот плотно внедряется коэффициент защищенности (Кзи). Для проверяющих органов это далеко не формальность. Регулятор получает на руки прозрачный математический инструмент для сравнения: он сможет четко увидеть, развивается ли система защиты предприятия на дистанции, стагнирует или откровенно деградирует. С объективными цифрами во время проверок спорить будет практически невозможно.
Однако самые масштабные и болезненные трансформации коснутся операционной деятельности. То, что годами обсуждалось на профильных конференциях исключительно как лучшие управленческие практики (best practices), приказ делает строго обязательным. Речь идет о непрерывном мониторинге инцидентов и жестком регламентировании работы с уязвимостями.
Сроки закрытия брешей становятся отдельной болевой точкой для корпоративных ИТ-служб. Согласно новым вводным, закрыть критическую уязвимость требуется за сутки. Уязвимость высокого уровня опасности — за неделю. В этих нормативах не заложено послаблений в духе «крайне рекомендовано». Это новые правила игры, где обнаруженная брешь перестает быть просто строчкой в автоматическом отчете сканера безопасности. Она превращается в экстренную задачу с неумолимым дедлайном, просрочка по которой автоматически переводит ситуацию из категории рутинного технического долга в прямое нарушение регуляторных норм.
Именно на этом этапе концепция «бумажной» безопасности терпит окончательный крах. Ни один блестяще написанный регламент сам по себе не накатит патч на уязвимый сервер и не изолирует скомпрометированный хост. Подобные задачи требуют слаженной работы профильных специалистов и средств автоматизации в условиях высокой нагрузки. Информационная безопасность трансформируется из конечного проектного внедрения в полноценную производственную функцию, сопоставимую по безостановочности процессов с ИТ-эксплуатацией крупного завода.
Реакция B2B и B2G-сектора предсказуемо напряженная. Аудит текущих возможностей часто вскрывает управленческую проблему: существующие организационные модели заказчиков просто не способны переварить новые требования. У многих штатных команд сегодня банально нет бюджетов и кадров для организации круглосуточного мониторинга. Отсутствуют выстроенные процессы межотраслевого взаимодействия (например, между ИБ-отделом и системными администраторами), позволяющие уложиться в заветные 24 часа для устранения «критики». Нетипична и сама культура работы в условиях перманентной проверки на прочность.
Долгое время аттестат соответствия играл роль надежного щита от любых претензий. Теперь же нужно привыкнуть к мысли, что этот документ — не более чем фотография прошлого. Он подтверждает лишь то, что инфраструктура соответствовала нормам в определенный день. С учетом скорости появления новых киберугроз, уже через месяц эта оценка теряет практический смысл, и приказ №117 фиксирует этот факт официально.
Еще один важный аспект приказа — существенное расширение зоны контроля. Раньше многие организации предпочитали выносить за скобки проверок облачные площадки, сторонних разработчиков или сервисных контрагентов. Теперь вся эта экосистема рассматривается как единый ландшафт. Любая API-интеграция или канал удаленного доступа внешнего специалиста попадает под мониторинг. Для крупных корпораций это серьезный вызов: навести порядок во внутренних бизнес-процессах тяжело, но заставить соответствовать требованиям ФСТЭК всю цепочку контрагентов — задача на порядок сложнее.
Эта сложность возрастает многократно на фоне внедрения систем с элементами искусственного интеллекта. Законодатель рассматривает машинное обучение не через призму рыночного хайпа, а исключительно как новую поверхность атаки и зону риска. Вопросы прозрачности дата-сетов, логики работы алгоритмов и хранения данных, проходящих через модель, выходят на первый план. Любая «серая зона» в этой цепочке трактуется как уязвимость.
Учитывая сроки вступления нормативных актов в силу, сентябрь 2026 года вырисовывается как критический, хоть и неформальный рубеж. Да, формальный переход стартует в марте, но именно к началу осеннего делового сезона накопится первая инспекторская практика. Появятся реальные кейсы проверок с выводами регулятора, и оправдание «мы находимся в процессе перестройки ИТ-ландшафта» перестанет работать. Рынок наглядно разделится на тех, кто сумел трансформировать процессы, и тех, кто по инерции понадеялся на старые схемы.
Как разумно действовать организациям в оставшееся время? План адаптации достаточно прагматичен:
1. Проведите инвентаризацию реальности, а не бумаг. Отложите папки с приказами и оцените факты. Какие именно инциденты фиксирует ваша система? Сколько часов или дней реально уходит на расследование и устранение угрозы? Кто физически реагирует на алерты в выходные дни? Разрыв между желаемым в документах и реальным в серверной — ваш главный риск на сегодня.
2. Определитесь с форматом мониторинга. Без непрерывного отслеживания событий выполнить требования законодательства будет невозможно. Будет ли это собственный центр мониторинга (SOC) или подключение к коммерческому внешнему провайдеру (MDR) — вопрос исключительно экономической целесообразности заказчика. Суть в другом: должна появиться единая точка концентрации компетенций, где события слипаются в осмысленные инциденты и запускается механизм реагирования.
3. Переведите управление уязвимостями в статус управленческой задачи. Уложиться в сутки для закрытия критических багов невозможно силами одних безопасников. Это требует оперативной приоритизации задач на уровне ИТ-директора и бесшовного взаимодействия смежных подразделений. Наличие дорогого сканера кода больше не является гарантией результата — нужен живой, работающий процесс патч-менеджмента.
4. Научитесь доверять метрикам. Цифры часто недолюбливают за то, что они вскрывают неэффективность процессов. Однако именно они станут основным языком аргументации в диалоге с проверяющими органами и идеальным инструментом для обоснования ИБ-бюджетов перед руководством компании.
5. Обновляйте документы в последнюю очередь. Не начинайте подготовку с переписывания политик безопасности. Сначала выстройте и отладьте процессы маршрутизации инцидентов, а уже затем формализуйте их на бумаге.
Если заглянуть за горизонт 2026 года, стратегический вектор государства в части информационной безопасности становится абсолютно прозрачным. Регулятор планомерно ведет отрасль к измеримости. Логика здесь железная: если параметры защиты можно оцифровать, их можно отслеживать в динамике. А то, что отслеживается программно, в перспективе можно будет валидировать дистанционно, без привычных выездных комиссий и изучения кип распечатанных журналов. Окно возможностей для традиционной авральной подготовки перед визитом аудитора стремительно закрывается, уступая место концепции непрерывного комплаенса.
Важно понимать, что приказ ФСТЭК №117 не призван искусственно усложнить жизнь корпоративному сектору. Его задача — сделать сферу защиты информации максимально прозрачной и честной по отношению к бизнесу и государству. Этот документ лишает руководителей возможности прятаться за размытыми формулировками и ставит прямой вопрос: вы действительно контролируете свою инфраструктуру, или это лишь иллюзия, подкрепленная сертификатом в кабинете директора?
Времени до вступления новых правил в силу осталось немного, но его вполне достаточно для планомерного перевода ИБ-подразделений из режима видимости в режим реального операционного контроля. Системы защиты данных все реже будут оценивать по качеству сопровождающей документации. Единственным значимым критерием останется их способность выдерживать реальную нагрузку и справляться с инцидентами в условиях жестких ограничений по времени.
Самостоятельно перестроить процессы, годами работавшие по старым правилам, удается редко — штатной команде банально не хватает профильного ресурса и времени. В таких масштабных трансформациях надежнее привлекать внешнюю экспертизу. Независимый аудит поможет безболезненно вскрыть узкие места, а привлечение опытных специалистов — плавно перевести ИБ из режима имитации в режим реального контроля. Если нет уверенности, с чего начать, лучше сразу обратиться к практикам, которые знают механику работы с новыми требованиями ФСТЭК.
2. Определитесь с форматом мониторинга. Без непрерывного отслеживания событий выполнить требования законодательства будет невозможно. Будет ли это собственный центр мониторинга (SOC) или подключение к коммерческому внешнему провайдеру (MDR) — вопрос исключительно экономической целесообразности заказчика. Суть в другом: должна появиться единая точка концентрации компетенций, где события слипаются в осмысленные инциденты и запускается механизм реагирования.
3. Переведите управление уязвимостями в статус управленческой задачи. Уложиться в сутки для закрытия критических багов невозможно силами одних безопасников. Это требует оперативной приоритизации задач на уровне ИТ-директора и бесшовного взаимодействия смежных подразделений. Наличие дорогого сканера кода больше не является гарантией результата — нужен живой, работающий процесс патч-менеджмента.
4. Научитесь доверять метрикам. Цифры часто недолюбливают за то, что они вскрывают неэффективность процессов. Однако именно они станут основным языком аргументации в диалоге с проверяющими органами и идеальным инструментом для обоснования ИБ-бюджетов перед руководством компании.
5. Обновляйте документы в последнюю очередь. Не начинайте подготовку с переписывания политик безопасности. Сначала выстройте и отладьте процессы маршрутизации инцидентов, а уже затем формализуйте их на бумаге.
Если заглянуть за горизонт 2026 года, стратегический вектор государства в части информационной безопасности становится абсолютно прозрачным. Регулятор планомерно ведет отрасль к измеримости. Логика здесь железная: если параметры защиты можно оцифровать, их можно отслеживать в динамике. А то, что отслеживается программно, в перспективе можно будет валидировать дистанционно, без привычных выездных комиссий и изучения кип распечатанных журналов. Окно возможностей для традиционной авральной подготовки перед визитом аудитора стремительно закрывается, уступая место концепции непрерывного комплаенса.
Важно понимать, что приказ ФСТЭК №117 не призван искусственно усложнить жизнь корпоративному сектору. Его задача — сделать сферу защиты информации максимально прозрачной и честной по отношению к бизнесу и государству. Этот документ лишает руководителей возможности прятаться за размытыми формулировками и ставит прямой вопрос: вы действительно контролируете свою инфраструктуру, или это лишь иллюзия, подкрепленная сертификатом в кабинете директора?
Времени до вступления новых правил в силу осталось немного, но его вполне достаточно для планомерного перевода ИБ-подразделений из режима видимости в режим реального операционного контроля. Системы защиты данных все реже будут оценивать по качеству сопровождающей документации. Единственным значимым критерием останется их способность выдерживать реальную нагрузку и справляться с инцидентами в условиях жестких ограничений по времени.
Самостоятельно перестроить процессы, годами работавшие по старым правилам, удается редко — штатной команде банально не хватает профильного ресурса и времени. В таких масштабных трансформациях надежнее привлекать внешнюю экспертизу. Независимый аудит поможет безболезненно вскрыть узкие места, а привлечение опытных специалистов — плавно перевести ИБ из режима имитации в режим реального контроля. Если нет уверенности, с чего начать, лучше сразу обратиться к практикам, которые знают механику работы с новыми требованиями ФСТЭК.