Горячая линия
Приказ, который касается всех – как выполнить новые требования ФСТЭК
Приказ, который касается всех – как выполнить новые требования ФСТЭК
В июне 2025 года был опубликован приказ ФСТЭК №117 «Об утверждении требований к защите информации в государственных информационных системах, других информационных системах государственных органов, унитарных предприятий и учреждений». Он вступит в силу 1 марта 2026 года, заменив приказ №17.
Кого затрагивает приказ
Ключевое отличие приказа №117 заключается в том, что он расширяет круг организаций, подпадающих под его регулирование, значительно выходя за рамки прежних требований.
Теперь нормы нового приказа распространяются на защиту информации во всех информационных системах (ИС), принадлежащих государственным органам, учреждениям и унитарным предприятиям, если эти системы не относятся к объектам критической информационной инфраструктуры (КИИ). Если в предыдущем приказе №17 регулировались только операторы государственных информационных систем – органы власти и отдельные крупные учреждения – то приказ №117 предписывает выполнение требований всем организациям госсектора федерального, регионального и муниципального уровней, которые используют информационные системы. При этом в каждой такой организации должны быть сформированы штатные подразделения информационной безопасности или назначены специалисты по ИБ.
Пример: региональное государственное казенное учреждение в сфере занятости использует две системы, не относящиеся к ГИС: систему «Катарсис», автоматизирующую основную деятельность, и систему «1С Бухгалтерия». Аналогично, государственный театр, реализующий билеты через собственную автоматизированную систему. Ранее эти учреждения не подпадали под действие приказа №17, но с 1 марта 2026 года защита информации в этих системах должна соответствовать требованиям приказа №117, а в штате учреждения должен быть предусмотрен специалист по ИБ.
Еще одно нововведение – расширение действия требований на подрядные организации. Теперь выполнение мер по информационной безопасности станет обязательным условием договоров с подрядчиками.
Теперь нормы нового приказа распространяются на защиту информации во всех информационных системах (ИС), принадлежащих государственным органам, учреждениям и унитарным предприятиям, если эти системы не относятся к объектам критической информационной инфраструктуры (КИИ). Если в предыдущем приказе №17 регулировались только операторы государственных информационных систем – органы власти и отдельные крупные учреждения – то приказ №117 предписывает выполнение требований всем организациям госсектора федерального, регионального и муниципального уровней, которые используют информационные системы. При этом в каждой такой организации должны быть сформированы штатные подразделения информационной безопасности или назначены специалисты по ИБ.
Пример: региональное государственное казенное учреждение в сфере занятости использует две системы, не относящиеся к ГИС: систему «Катарсис», автоматизирующую основную деятельность, и систему «1С Бухгалтерия». Аналогично, государственный театр, реализующий билеты через собственную автоматизированную систему. Ранее эти учреждения не подпадали под действие приказа №17, но с 1 марта 2026 года защита информации в этих системах должна соответствовать требованиям приказа №117, а в штате учреждения должен быть предусмотрен специалист по ИБ.
Еще одно нововведение – расширение действия требований на подрядные организации. Теперь выполнение мер по информационной безопасности станет обязательным условием договоров с подрядчиками.
Что изменится в документации
Обязательных документов станет меньше. Если приказ №17 делал основной акцент на организационно-методическом обеспечении ИБ, то приказ №117 сосредоточен на технической защите информации.
Основными внутренними документами станут политика, стандарты и регламенты защиты информации. Политика должна охватывать все информационные системы организации, определять цели защиты информации, защищаемые объекты, меры по ИБ, роли сотрудников и их ответственность за нарушения.
В стандартах организации фиксируются требования к мерам безопасности различных объектов ИС: модели доступа, список разрешенного и запрещенного ПО, требования к защите конечных устройств и других компонентов инфраструктуры. Регламенты содержат пошаговые алгоритмы реализации этих мер: порядок работы с учетными записями, порядок обработки информации ограниченного доступа, мониторинг состояния ИБ.
Некоторые положения уже отражены в самом приказе. Например, установлены обязательные цели защиты информации: предотвращение нарушения конфиденциальности и обеспечения функционирования ИС. Приоритет сделан на внутреннюю информационную безопасность, поэтому регламенты должны включать мониторинг систем, подключенных к Интернету, в соответствии с ГОСТ Р 59547-2021, включая выявление нарушений со стороны сотрудников.
Приказ также учитывает ограниченность ресурсов для внедрения средств защиты информации (СЗИ). ИБ-служба обязана информировать руководство о необходимых материальных, технических и организационных ресурсах для выполнения целей ИБ и о рисках, которые могут возникнуть при недостаточном уровне защиты. Руководство обязано предусмотреть выделение ресурсов и мощностей для выполнения задач ИБ на основе предложений службы.
Основными внутренними документами станут политика, стандарты и регламенты защиты информации. Политика должна охватывать все информационные системы организации, определять цели защиты информации, защищаемые объекты, меры по ИБ, роли сотрудников и их ответственность за нарушения.
В стандартах организации фиксируются требования к мерам безопасности различных объектов ИС: модели доступа, список разрешенного и запрещенного ПО, требования к защите конечных устройств и других компонентов инфраструктуры. Регламенты содержат пошаговые алгоритмы реализации этих мер: порядок работы с учетными записями, порядок обработки информации ограниченного доступа, мониторинг состояния ИБ.
Некоторые положения уже отражены в самом приказе. Например, установлены обязательные цели защиты информации: предотвращение нарушения конфиденциальности и обеспечения функционирования ИС. Приоритет сделан на внутреннюю информационную безопасность, поэтому регламенты должны включать мониторинг систем, подключенных к Интернету, в соответствии с ГОСТ Р 59547-2021, включая выявление нарушений со стороны сотрудников.
Приказ также учитывает ограниченность ресурсов для внедрения средств защиты информации (СЗИ). ИБ-служба обязана информировать руководство о необходимых материальных, технических и организационных ресурсах для выполнения целей ИБ и о рисках, которые могут возникнуть при недостаточном уровне защиты. Руководство обязано предусмотреть выделение ресурсов и мощностей для выполнения задач ИБ на основе предложений службы.
Практическая реализация требований приказа
К 2026 году организации должны перестроить или сформировать систему ИБ. В отличие от приказа №17, приказ №117 не устанавливает различий по составу мер ИБ для информационных систем с разным уровнем защищенности.
Выполнение этих мер направлено на минимизацию рисков ИБ-инцидентов. Задачи по предотвращению угроз подробно описаны в пункте 30 новых требований и обязательны для всех организаций, подпадающих под действие приказа. Среди таких задач:
Особый акцент сделан на технической защите, а не на бумажной формализации. Пункт 34 новых требований включает двадцать одно мероприятие для достижения целей защиты информации, из которых 18 – технические. Среди них: защита информации при обработке, хранении и обращении с информацией ограниченного доступа, защита информации при работе с конечными устройствами, обеспечение безопасности при удаленном и беспроводном доступе, постоянное взаимодействие с системой ГосСОПКА. Для каждого мероприятия указаны тип угроз и действия, которые необходимо предпринимать для их устранения.
Пример: обеспечение защиты информации ограниченного доступа (п.40) включает:
Наиболее комплексной мерой является реализация в ИС мер защиты и защиты содержащейся информации (п.34, п.62–63), включая технические задачи, изложенные в других пунктах приказа. Для этого реализуются базовые меры: идентификация и аутентификация, управление доступом, в том числе привилегированным, защита конечных точек, регистрация событий безопасности, защита каналов связи, антивирусная защита и другие.
Новый приказ четко определяет необходимые технические меры и связывает их с целями защиты информации, описывая функции СЗИ различных классов. Например, меры по защите информации с ограниченным доступом и защите конечных точек предполагают функции клиент-серверных систем для аудита, управления доступом и предотвращения утечек данных.
Важным элементом является ИБ-мониторинг, взаимодействие с ГосСОПКА и регистрация событий безопасности. Эти меры включают сбор, обработку и анализ данных о событиях безопасности, выявление признаков ИБ-инцидентов или нарушений внутренних стандартов и регламентов. Организации будут ежегодно отчитываться во ФСТЭК о выполнении этих мероприятий, фактически реализуя функции SIEM-систем.
Отличие приказа №117 – конкретные и четкие формулировки технических мер. Ранее организации самостоятельно выбирали средства для реализации требований, теперь акт дает четкие указания для ИБ-служб.
Выполнение этих мер направлено на минимизацию рисков ИБ-инцидентов. Задачи по предотвращению угроз подробно описаны в пункте 30 новых требований и обязательны для всех организаций, подпадающих под действие приказа. Среди таких задач:
- предотвращение утечки конфиденциальной информации;
- недопущение неправомерного доступа, модификации или подмены информации;
- исключение использования информации и ИС не по назначению;
- обеспечение восстановления информации после инцидентов.
Особый акцент сделан на технической защите, а не на бумажной формализации. Пункт 34 новых требований включает двадцать одно мероприятие для достижения целей защиты информации, из которых 18 – технические. Среди них: защита информации при обработке, хранении и обращении с информацией ограниченного доступа, защита информации при работе с конечными устройствами, обеспечение безопасности при удаленном и беспроводном доступе, постоянное взаимодействие с системой ГосСОПКА. Для каждого мероприятия указаны тип угроз и действия, которые необходимо предпринимать для их устранения.
Пример: обеспечение защиты информации ограниченного доступа (п.40) включает:
- предотвращение несанкционированного доступа и распространения информации;
- идентификацию информации ограниченного доступа и определение ресурсов для ее хранения;
- регистрацию всех фактов доступа к ресурсам;
- контроль обработки, хранения и передачи информации;
- немедленное уведомление ИБ-службы о фактах нарушения.
Наиболее комплексной мерой является реализация в ИС мер защиты и защиты содержащейся информации (п.34, п.62–63), включая технические задачи, изложенные в других пунктах приказа. Для этого реализуются базовые меры: идентификация и аутентификация, управление доступом, в том числе привилегированным, защита конечных точек, регистрация событий безопасности, защита каналов связи, антивирусная защита и другие.
Новый приказ четко определяет необходимые технические меры и связывает их с целями защиты информации, описывая функции СЗИ различных классов. Например, меры по защите информации с ограниченным доступом и защите конечных точек предполагают функции клиент-серверных систем для аудита, управления доступом и предотвращения утечек данных.
Важным элементом является ИБ-мониторинг, взаимодействие с ГосСОПКА и регистрация событий безопасности. Эти меры включают сбор, обработку и анализ данных о событиях безопасности, выявление признаков ИБ-инцидентов или нарушений внутренних стандартов и регламентов. Организации будут ежегодно отчитываться во ФСТЭК о выполнении этих мероприятий, фактически реализуя функции SIEM-систем.
Отличие приказа №117 – конкретные и четкие формулировки технических мер. Ранее организации самостоятельно выбирали средства для реализации требований, теперь акт дает четкие указания для ИБ-служб.
Как подготовиться
Выполнение новых требований, включая формирование ИБ-службы и технических мер, может стать серьезным вызовом для госорганов и учреждений с ограниченными ресурсами или кадровым дефицитом. По данным исследований, в 2024 году 65% государственных организаций не увеличили бюджет на ИБ, а 80% столкнулись с нехваткой специалистов.
Приказ №117 учитывает эту проблему: выделение организационных, материальных и технических ресурсов является обязательной частью ИБ-мероприятий. Пункт 27 требует, чтобы ИБ-служба подготовила предложения для руководства о необходимых ресурсах, указав цели защиты информации и последствия их недостатка.
Руководство обязано предусмотреть выделение или привлечение ресурсов в пределах бюджета организации. Отложенное вступление приказа в силу позволяет заранее планировать затраты на ИБ на следующий год.
Для подготовки необходимо:
Если начать подготовку уже сейчас и грамотно распределить ресурсы, организация сможет выполнить требования приказа №117 к моменту его вступления в силу.
Приказ №117 учитывает эту проблему: выделение организационных, материальных и технических ресурсов является обязательной частью ИБ-мероприятий. Пункт 27 требует, чтобы ИБ-служба подготовила предложения для руководства о необходимых ресурсах, указав цели защиты информации и последствия их недостатка.
Руководство обязано предусмотреть выделение или привлечение ресурсов в пределах бюджета организации. Отложенное вступление приказа в силу позволяет заранее планировать затраты на ИБ на следующий год.
Для подготовки необходимо:
- определить информационные активы, требующие защиты;
- выявить угрозы ИБ для этих активов;
- определить классы СЗИ или конкретные решения для защиты;
- подготовить предложения для руководства по ресурсному обеспечению ИБ с обоснованием на основе п.27;
- обозначить негативные последствия при недостаточном ресурсном обеспечении, включая сбои в деятельности, нарушение прав граждан, проблемы цифровой трансформации.
Если начать подготовку уже сейчас и грамотно распределить ресурсы, организация сможет выполнить требования приказа №117 к моменту его вступления в силу.