Приказ ФСТЭК № 117: как требования к защите ГИС поменяются в 2026 году
ФСТЭК России выпустила приказ № 117, который утверждает обновлённые требования к защите информации в государственных информационных системах (ГИС), а также в ИС госорганов, унитарных предприятий и учреждений. Специалисты департамента аудита и консалтинга iTPROTECT разобрались, как организациям подготовиться к новому порядку регулирования.
Документ, который вступит в силу 1 марта 2026 года, заменяет действующий с 2013 года приказ № 17 и значительно расширяет сферу своего действия. Теперь требования распространяются не только на ГИС, но и на иные ИС всех государственных органов, государственных учреждений и государственных унитарных предприятий. Важно отметить, что под действие приказа попадают и организации, получающие информацию из ГИС.
Новый подход к безопасности
Документ строится вокруг системного подхода к управлению безопасностью информации. Теперь защита информации рассматривается как управляемый процесс, охватывающий весь жизненный цикл информационной системы — от её проектирования до вывода из эксплуатации.
Существенное внимание уделено организационным аспектам: каждая организация обязана разработать и утвердить политику защиты информации, назначить ответственных лиц, создать или адаптировать внутренние регламенты и стандарты. Впервые на нормативном уровне вводится обязанность регулярно оценивать уровень защищённости и зрелости процессов по защите, используя при этом показатели, рассчитанные по методикам ФСТЭК России.
Требования к отчетности
Организациям следует заранее подготовиться к увеличению административной нагрузки, уделив особое внимание процессам сбора данных, формированию отчетности и оперативному взаимодействию с регуляторами. С введением приказа возрастает объем отчетности, которую операторы ИС обязаны предоставлять ФСТЭК России:
Акцент на актуальных атаках и новых технологиях
Особое внимание в новом приказе уделено защите от распределенных атак типа «отказ в обслуживании» (DoS/DDoS), интеграции с ГосСОПКА и ЦМУ ССОП. Также документ содержит новые положения по безопасности облачной инфраструктуры, контейнерных сред и их оркестраторов, систем интернета вещей и решений на базе искусственного интеллекта. Помимо программного и аппаратного обеспечения по обнаружению и предотвращению угроз и вторжений, а также контролю защищенности и выявлению уязвимостей, мониторингу событий, должны применяться средства по контролю настроек и конфигураций информационных систем, а также средства и системы, предназначенные для автоматизации и аналитической поддержки деятельности по защите информации.
В любом случае нужно ожидать выпуска ФСТЭК России методических рекомендаций, уточняющих состав мер, — регулятор традиционно публикует разъясняющие документы. Эти рекомендации помогут организациям точнее интерпретировать требования, особенно в части новых технологий (например, ИИ или облачных сред), а также адаптировать под них существующие процессы защиты информации.
Дополнительные детали
Приказ вводит новые требования к компетенциям персонала. Организации должны обеспечить наличие квалифицированных специалистов, при этом не менее 30% работников подразделений по защите информации обязаны иметь профильное образование или пройти переподготовку.
Все аттестаты, выданные до 1 марта 2026 года, сохраняют свою юридическую силу и продолжают действовать на прежних условиях. Однако для вновь создаваемых ГИС, а также для систем, проходящих переаттестацию, будут применяться уже новые требования.
Роман Писарев, руководитель департамента консалтинга и аудита iTPROTECT:
«Переход на новый приказ № 117 сопровождается юридической коллизией, поскольку формально отсутствует переходный период. Государственные организации сталкиваются с дилеммой: тратить ли бюджет на подготовку к требованиям, которые ещё не вступили в силу, или ждать 1 марта 2026 года.
Возможные решения имеют свои ограничения. Например, можно заключить договор со сдачей работ после вступления приказа в силу, но это потребует особого подхода к формулировкам в закупочной документации. Другой вариант — провести аттестацию до марта 2026 года, однако такой аттестат, выданный по старому приказу, не гарантирует соответствия новым требованиям».
Эксперты iTPROTECT готовы провести комплексный аудит систем, подготовить необходимую документацию и успешно пройти процедуру аттестации в сжатые сроки. Своевременное обращение позволит избежать дополнительных затрат и сложностей, связанных с переходом на новые стандарты. Рекомендуем начать подготовку уже сейчас, чтобы успеть завершить все процедуры до изменения нормативной базы.
Документ, который вступит в силу 1 марта 2026 года, заменяет действующий с 2013 года приказ № 17 и значительно расширяет сферу своего действия. Теперь требования распространяются не только на ГИС, но и на иные ИС всех государственных органов, государственных учреждений и государственных унитарных предприятий. Важно отметить, что под действие приказа попадают и организации, получающие информацию из ГИС.
Новый подход к безопасности
Документ строится вокруг системного подхода к управлению безопасностью информации. Теперь защита информации рассматривается как управляемый процесс, охватывающий весь жизненный цикл информационной системы — от её проектирования до вывода из эксплуатации.
Существенное внимание уделено организационным аспектам: каждая организация обязана разработать и утвердить политику защиты информации, назначить ответственных лиц, создать или адаптировать внутренние регламенты и стандарты. Впервые на нормативном уровне вводится обязанность регулярно оценивать уровень защищённости и зрелости процессов по защите, используя при этом показатели, рассчитанные по методикам ФСТЭК России.
Требования к отчетности
Организациям следует заранее подготовиться к увеличению административной нагрузки, уделив особое внимание процессам сбора данных, формированию отчетности и оперативному взаимодействию с регуляторами. С введением приказа возрастает объем отчетности, которую операторы ИС обязаны предоставлять ФСТЭК России:
- оценку показателя защищенности необходимо проводить каждые полгода;
- отчёт о результатах мониторинга событий безопасности следует предоставлять ежегодно;
- уровень зрелости требуется оценивать каждые два года;
- отчет по результатам проведения контроля уровня защищенности информации (нужно готовить не реже одного раза в три года или после компьютерного инцидента).
Акцент на актуальных атаках и новых технологиях
Особое внимание в новом приказе уделено защите от распределенных атак типа «отказ в обслуживании» (DoS/DDoS), интеграции с ГосСОПКА и ЦМУ ССОП. Также документ содержит новые положения по безопасности облачной инфраструктуры, контейнерных сред и их оркестраторов, систем интернета вещей и решений на базе искусственного интеллекта. Помимо программного и аппаратного обеспечения по обнаружению и предотвращению угроз и вторжений, а также контролю защищенности и выявлению уязвимостей, мониторингу событий, должны применяться средства по контролю настроек и конфигураций информационных систем, а также средства и системы, предназначенные для автоматизации и аналитической поддержки деятельности по защите информации.
В любом случае нужно ожидать выпуска ФСТЭК России методических рекомендаций, уточняющих состав мер, — регулятор традиционно публикует разъясняющие документы. Эти рекомендации помогут организациям точнее интерпретировать требования, особенно в части новых технологий (например, ИИ или облачных сред), а также адаптировать под них существующие процессы защиты информации.
Дополнительные детали
Приказ вводит новые требования к компетенциям персонала. Организации должны обеспечить наличие квалифицированных специалистов, при этом не менее 30% работников подразделений по защите информации обязаны иметь профильное образование или пройти переподготовку.
Все аттестаты, выданные до 1 марта 2026 года, сохраняют свою юридическую силу и продолжают действовать на прежних условиях. Однако для вновь создаваемых ГИС, а также для систем, проходящих переаттестацию, будут применяться уже новые требования.
Роман Писарев, руководитель департамента консалтинга и аудита iTPROTECT:
«Переход на новый приказ № 117 сопровождается юридической коллизией, поскольку формально отсутствует переходный период. Государственные организации сталкиваются с дилеммой: тратить ли бюджет на подготовку к требованиям, которые ещё не вступили в силу, или ждать 1 марта 2026 года.
Возможные решения имеют свои ограничения. Например, можно заключить договор со сдачей работ после вступления приказа в силу, но это потребует особого подхода к формулировкам в закупочной документации. Другой вариант — провести аттестацию до марта 2026 года, однако такой аттестат, выданный по старому приказу, не гарантирует соответствия новым требованиям».
Эксперты iTPROTECT готовы провести комплексный аудит систем, подготовить необходимую документацию и успешно пройти процедуру аттестации в сжатые сроки. Своевременное обращение позволит избежать дополнительных затрат и сложностей, связанных с переходом на новые стандарты. Рекомендуем начать подготовку уже сейчас, чтобы успеть завершить все процедуры до изменения нормативной базы.
Хотите получать наши новости?
