Криптография для всех систем госсектора: что меняет Приказ №117 ФСБ России
26 марта 2025 года опубликован Приказ ФСБ России № 117, утверждающий обновлённые требования по защите информации с использованием шифровальных средств. Документ вступает в силу уже 6 апреля - через 10 дней после официальной публикации, что ставит организации госсектора перед необходимостью быстрой адаптации к новым условиям.
Что изменилось?
Данный документ отменяет действие Приказа ФСБ России от 24.10.2022 N 524 (мы писали о нем ранее) который действовал с 23 ноября 2023 года и регулировал криптографическую защиту информации исключительно в государственных информационных системах (ГИС).
Ключевое изменение нового приказа - расширение сферы действия. Если ранее требования касались только ГИС, то теперь они распространяются на все информационные системы государственных органов, унитарных предприятий и учреждений. Это важный шаг в общей тенденции усиления регуляторных требований к защите информации в госсекторе. Примечательно, что ФСБ опередила ФСТЭК России, которая также готовит схожие изменения, но в зоне своей ответственности.
Кому и зачем теперь нужны СКЗИ?
Согласно новому приказу, применение сертифицированных ФСБ России средств криптографической защиты информации (СКЗИ) обязательно в нескольких случаях. Речь идёт о ситуациях, когда законодательство прямо предписывает такую защиту, при передаче данных за пределы контролируемой зоны, при использовании электронной подписи, а также при хранении информации на носителях с недостаточным уровнем контроля доступа.
Организациям предстоит серьёзная работа по приведению своих систем в соответствие с новыми требованиями. Первоочередная задача - проведение полной инвентаризации систем с анализом обрабатываемых данных и существующей документации. Особое внимание нужно уделить обоснованию использования криптографических средств в моделях угроз, технических проектах и заданиях на развитие систем. Для ГИС эти документы подлежат обязательному согласованию с ФСБ России.
«Отсутствие переходного периода в приказе означает, что времени на раскачку нет. Уже сейчас стоит начать оценку необходимых изменений и планирование работ по модернизации систем. В некоторых случаях может потребоваться не только обновление документации, но и внедрение новых средств криптографической защиты. Для уже созданных систем потребуется оценить необходимость внедрения недостающих СКЗИ и пересмотра документации для обоснования их использования в модели угроз, техническом проекте и техническом задании на развитие. При этом, порядок определения требуемого класса СКЗИ по сравнению с прошлой версией данного приказа не претерпел сильных изменений», — объяснила Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT.
Команда iTPROTECT уже детально изучила новый приказ и готова помочь с его реализацией — от аудита систем до внедрения ИБ-решений «под ключ». Если вам нужна консультация или помощь в адаптации к новым требованиям, оставьте заявку на сайте — вместе мы сделаем этот переход гладким и безболезненным.
