Этот сайт использует файлы Cookies.
Нажимая ПРИНЯТЬ или продолжая просмотр сайта, Вы даете свое согласие на обработку файлов cookies вашего браузера. Вы можете запретить обработку некоторых типов файлов cookies в настройках вашего браузера. Подробнее
+7 495 786-34-93
+7 495 120-64-46
 

ФСТЭК разъяснила порядок перехода на приказ № 117: что это означает для государственных и негосударственых организаций

ФСТЭК разъяснила порядок перехода на приказ № 117: что это означает для государственных и негосударственых организаций

ФСТЭК России выпустила информационное сообщение от 12.03.2026 № 240/22/1492 с разъяснением порядка применения приказа № 117 о защите информации в государственных информационных системах (ГИС) и иных информационных системах государственных органов, ГУП и госучреждений.

Документ фиксирует общий сценарий перехода на новые требования, действующие с 1 марта 2026 года. В сообщении указано, что в первоочередном порядке государственным органам и организациям необходимо разработать и утвердить политику защиты информации, внутренние стандарты и регламенты по защите информации. Переход на приказ № 117 должен начинаться не с точечных технических доработок, а с актуализации внутренней нормативной базы и перестройки организационного контура управления защитой информации. 

Для новых государственных и иных информационных систем, создаваемых после 1 марта 2026 года, необходимо сразу руководствоваться положениями приказа № 117. Для действующих систем подход переходный: в ходе модернизации или развития необходимо планировать их приведение в соответствие новым требованиям. Регулятор рекомендует разработать план перехода на новые требования с перечнем мероприятий и сроками их реализации.  

При этом ФСТЭК России сохранила ограниченный переходный механизм для уже начатых работ. Если договор с подрядчиком был заключен до 1 марта 2026 года, то допускается выполнять работы по прежним требованиям приказа № 17. Это особенно важно для проектов, находящихся в активной фазе исполнения. 

Отдельно урегулирован вопрос, который был одним из самых чувствительных на практике: на что опираться по составу мер защиты до появления новой детализированной методики. ФСТЭК прямо указала, что до утверждения методического документа «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» можно руководствоваться методическим документом от 11.02.2014 «Меры защиты информации в государственных информационных системах».

Что это значит для негосударственных организаций

Разъяснения имеют практическое значение не только для госорганов, но и организаций, которые обмениваются информацией с ГИС: получают данные или отправляют их. В таких случаях необходимо учитывать требования к защите информации или обязанности, установленные документами оператора информационной системы.

В случае передачи из ГИС, доступ к которой ограничен в соответствии с законодательством Российской Федерации , принимаемая информационная система должна соответствовать требованиям о защите информации, установленным в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Состав передаваемой информации ограниченного доступа, цели ее защиты и уровень защищенности в соответствии с требованиями должны устанавливаться обладателем информации, заказчиком, заключившим контракт на создание информационных систем, оператором информационных систем. 

Организации, которые получают доступ к информационным системам оператора (обладателя информации) и/или содержащейся в них информации в ходе оказания услуг, работ по обработке, хранению информации, создания, развития и поддержки информационных систем, а также для выполнения работ, оказания услуг по защите информации (далее - подрядные организации), должны быть ознакомлены с политикой защиты информации в части, их касающейся.

Переход к регулированию по приказу № 117 означает движение к более унифицированной и процессной модели требований, усилению роли внутренних регламентов и расширению ожидаемого состава средств защиты информации. Поэтому работу важно начинать уже сейчас: с пересмотра внутренних документов, оценки действующих систем и формирования поэтапного плана, допускающего уточнение по мере появления дальнейшей методической детализации.
Алена Лукашева
Заместитель руководителя департамента консалтинга и аудита iTPROTECT

Февральский проект документа уже показывает направление дальнейшей детализации требований: переход к более унифицированной и процессной модели, расширение внутренних регламентов и более широкий состав СЗИ. В этих условиях для госсектора важно не откладывать подготовку, но строить ее как поэтапный процесс, допускающий последующее уточнение.

Чем может помочь iTPROTECT

Эксперты iTPROTECT помогают государственным организациям выстроить переход на приказ № 117 на практике: определить, какие системы уже подпадают под новые требования, подготовить план перехода, актуализировать политику, стандарты и регламенты, а также сопровождать проекты модернизации, аттестации и переоформления аттестатов.

Если вам необходимо оценить, как разъяснения ФСТЭК влияют на конкретные системы, текущие проекты и комплект внутренних документов, напишите нам — поможем определить корректный сценарий перехода и снизить регуляторные и проектные риски.

К новостям
Хотите получать наши новости?
Успейте забрать выгоду
Специальные предложения
на ИБ-продукты от ведущих российских вендоров
Перейти в промо