Приказ, который касается всех – как выполнить новые требования ФСТЭК
Приказ, который касается всех – как выполнить новые требования ФСТЭК
В июне 2025 года был опубликован приказ ФСТЭК №117 «Об утверждении требований к защите информации в государственных информационных системах, других информационных системах государственных органов, унитарных предприятий и учреждений». Он вступит в силу 1 марта 2026 года, заменив приказ №17.
Кого затрагивает приказ
Ключевое отличие приказа №117 заключается в том, что он расширяет круг организаций, подпадающих под его регулирование, значительно выходя за рамки прежних требований.
Теперь нормы нового приказа распространяются на защиту информации в информационных системах (ИС), принадлежащих государственным органам, учреждениям и унитарным предприятиям. Если в предыдущем приказе №17 регулировались только операторы государственных информационных систем – органы власти и отдельные крупные учреждения – то приказ №117 предписывает выполнение требований всем организациям госсектора федерального, регионального и муниципального уровней, которые используют информационные системы. При этом в каждой такой организации должны быть сформированы штатные подразделения информационной безопасности или назначены специалисты по ИБ.
Пример: региональное государственное казенное учреждение в сфере занятости использует две системы, не относящиеся к ГИС: систему «Катарсис», автоматизирующую основную деятельность, и систему «1С Бухгалтерия». Аналогично, государственный театр, реализующий билеты через собственную автоматизированную систему. Ранее эти учреждения не подпадали под действие приказа №17, но с 1 марта 2026 года защита информации в этих системах должна соответствовать требованиям приказа №117, а в штате учреждения должен быть предусмотрен специалист по ИБ.
Еще одно нововведение – расширение действия требований на подрядные организации. Теперь выполнение мер по информационной безопасности станет обязательным условием договоров с подрядчиками.
Теперь нормы нового приказа распространяются на защиту информации в информационных системах (ИС), принадлежащих государственным органам, учреждениям и унитарным предприятиям. Если в предыдущем приказе №17 регулировались только операторы государственных информационных систем – органы власти и отдельные крупные учреждения – то приказ №117 предписывает выполнение требований всем организациям госсектора федерального, регионального и муниципального уровней, которые используют информационные системы. При этом в каждой такой организации должны быть сформированы штатные подразделения информационной безопасности или назначены специалисты по ИБ.
Пример: региональное государственное казенное учреждение в сфере занятости использует две системы, не относящиеся к ГИС: систему «Катарсис», автоматизирующую основную деятельность, и систему «1С Бухгалтерия». Аналогично, государственный театр, реализующий билеты через собственную автоматизированную систему. Ранее эти учреждения не подпадали под действие приказа №17, но с 1 марта 2026 года защита информации в этих системах должна соответствовать требованиям приказа №117, а в штате учреждения должен быть предусмотрен специалист по ИБ.
Еще одно нововведение – расширение действия требований на подрядные организации. Теперь выполнение мер по информационной безопасности станет обязательным условием договоров с подрядчиками.
Что изменится в документации
Обязательных документов станет меньше. Если приказ №17 делал основной акцент на организационно-методическом обеспечении ИБ, то приказ №117 сосредоточен на технической защите информации.
Основными внутренними документами станут политика, стандарты и регламенты защиты информации. Политика должна охватывать все информационные системы организации, определять цели защиты информации, защищаемые объекты, меры по ИБ, роли сотрудников и их ответственность за нарушения.
В стандартах организации фиксируются требования к мерам безопасности различных объектов ИС: модели доступа, список разрешенного и запрещенного ПО, требования к защите конечных устройств и других компонентов инфраструктуры. Регламенты содержат пошаговые алгоритмы реализации этих мер: порядок работы с учетными записями, порядок обработки информации ограниченного доступа, мониторинг состояния ИБ.
Некоторые положения уже отражены в самом приказе. Например, установлены обязательные цели защиты информации: предотвращение нарушения конфиденциальности и обеспечения функционирования ИС. Приоритет сделан на внутреннюю информационную безопасность, поэтому регламенты должны включать мониторинг систем, подключенных к Интернету, в соответствии с ГОСТ Р 59547-2021, включая выявление нарушений со стороны сотрудников.
Приказ также учитывает ограниченность ресурсов для внедрения средств защиты информации (СЗИ). ИБ-служба обязана информировать руководство о необходимых материальных, технических и организационных ресурсах для выполнения целей ИБ и о рисках, которые могут возникнуть при недостаточном уровне защиты. Руководство обязано предусмотреть выделение ресурсов и мощностей для выполнения задач ИБ на основе предложений службы.
Основными внутренними документами станут политика, стандарты и регламенты защиты информации. Политика должна охватывать все информационные системы организации, определять цели защиты информации, защищаемые объекты, меры по ИБ, роли сотрудников и их ответственность за нарушения.
В стандартах организации фиксируются требования к мерам безопасности различных объектов ИС: модели доступа, список разрешенного и запрещенного ПО, требования к защите конечных устройств и других компонентов инфраструктуры. Регламенты содержат пошаговые алгоритмы реализации этих мер: порядок работы с учетными записями, порядок обработки информации ограниченного доступа, мониторинг состояния ИБ.
Некоторые положения уже отражены в самом приказе. Например, установлены обязательные цели защиты информации: предотвращение нарушения конфиденциальности и обеспечения функционирования ИС. Приоритет сделан на внутреннюю информационную безопасность, поэтому регламенты должны включать мониторинг систем, подключенных к Интернету, в соответствии с ГОСТ Р 59547-2021, включая выявление нарушений со стороны сотрудников.
Приказ также учитывает ограниченность ресурсов для внедрения средств защиты информации (СЗИ). ИБ-служба обязана информировать руководство о необходимых материальных, технических и организационных ресурсах для выполнения целей ИБ и о рисках, которые могут возникнуть при недостаточном уровне защиты. Руководство обязано предусмотреть выделение ресурсов и мощностей для выполнения задач ИБ на основе предложений службы.
Практическая реализация требований приказа
К 2026 году организации должны перестроить или сформировать систему ИБ. В отличие от приказа №17, приказ №117 не устанавливает различий по составу мер ИБ для информационных систем с разным уровнем защищенности.
Выполнение этих мер направлено на минимизацию рисков ИБ-инцидентов. Задачи по предотвращению угроз подробно описаны в пункте 30 новых требований и обязательны для всех организаций, подпадающих под действие приказа. Среди таких задач:
Особый акцент сделан на технической защите, а не на бумажной формализации. Пункт 34 новых требований включает двадцать одно мероприятие для достижения целей защиты информации, из которых 18 – технические. Среди них: защита информации при обработке, хранении и обращении с информацией ограниченного доступа, защита информации при работе с конечными устройствами, обеспечение безопасности при удаленном и беспроводном доступе, постоянное взаимодействие с системой ГосСОПКА. Для каждого мероприятия указаны тип угроз и действия, которые необходимо предпринимать для их устранения.
Пример: обеспечение защиты информации ограниченного доступа (п.40) включает:
Наиболее комплексной мерой является реализация в ИС мер защиты и защиты содержащейся информации (п.34, п.62–63), включая технические задачи, изложенные в других пунктах приказа. Для этого реализуются базовые меры: идентификация и аутентификация, управление доступом, в том числе привилегированным, защита конечных точек, регистрация событий безопасности, защита каналов связи, антивирусная защита и другие.
Новый приказ четко определяет необходимые технические меры и связывает их с целями защиты информации, описывая функции СЗИ различных классов. Например, меры по защите информации с ограниченным доступом и защите конечных точек предполагают функции клиент-серверных систем для аудита, управления доступом и предотвращения утечек данных.
Важным элементом является ИБ-мониторинг, взаимодействие с ГосСОПКА и регистрация событий безопасности. Эти меры включают сбор, обработку и анализ данных о событиях безопасности, выявление признаков ИБ-инцидентов или нарушений внутренних стандартов и регламентов. Организации будут ежегодно отчитываться во ФСТЭК о выполнении этих мероприятий, фактически реализуя функции SIEM-систем.
Отличие приказа №117 – конкретные и четкие формулировки технических мер. Ранее организации самостоятельно выбирали средства для реализации требований, теперь акт дает четкие указания для ИБ-служб.
Выполнение этих мер направлено на минимизацию рисков ИБ-инцидентов. Задачи по предотвращению угроз подробно описаны в пункте 30 новых требований и обязательны для всех организаций, подпадающих под действие приказа. Среди таких задач:
- предотвращение утечки конфиденциальной информации;
- недопущение неправомерного доступа, модификации или подмены информации;
- исключение использования информации и ИС не по назначению;
- обеспечение восстановления информации после инцидентов.
Особый акцент сделан на технической защите, а не на бумажной формализации. Пункт 34 новых требований включает двадцать одно мероприятие для достижения целей защиты информации, из которых 18 – технические. Среди них: защита информации при обработке, хранении и обращении с информацией ограниченного доступа, защита информации при работе с конечными устройствами, обеспечение безопасности при удаленном и беспроводном доступе, постоянное взаимодействие с системой ГосСОПКА. Для каждого мероприятия указаны тип угроз и действия, которые необходимо предпринимать для их устранения.
Пример: обеспечение защиты информации ограниченного доступа (п.40) включает:
- предотвращение несанкционированного доступа и распространения информации;
- идентификацию информации ограниченного доступа и определение ресурсов для ее хранения;
- регистрацию всех фактов доступа к ресурсам;
- контроль обработки, хранения и передачи информации;
- немедленное уведомление ИБ-службы о фактах нарушения.
Наиболее комплексной мерой является реализация в ИС мер защиты и защиты содержащейся информации (п.34, п.62–63), включая технические задачи, изложенные в других пунктах приказа. Для этого реализуются базовые меры: идентификация и аутентификация, управление доступом, в том числе привилегированным, защита конечных точек, регистрация событий безопасности, защита каналов связи, антивирусная защита и другие.
Новый приказ четко определяет необходимые технические меры и связывает их с целями защиты информации, описывая функции СЗИ различных классов. Например, меры по защите информации с ограниченным доступом и защите конечных точек предполагают функции клиент-серверных систем для аудита, управления доступом и предотвращения утечек данных.
Важным элементом является ИБ-мониторинг, взаимодействие с ГосСОПКА и регистрация событий безопасности. Эти меры включают сбор, обработку и анализ данных о событиях безопасности, выявление признаков ИБ-инцидентов или нарушений внутренних стандартов и регламентов. Организации будут ежегодно отчитываться во ФСТЭК о выполнении этих мероприятий, фактически реализуя функции SIEM-систем.
Отличие приказа №117 – конкретные и четкие формулировки технических мер. Ранее организации самостоятельно выбирали средства для реализации требований, теперь акт дает четкие указания для ИБ-служб.
Как подготовиться
Выполнение новых требований, включая формирование ИБ-службы и технических мер, может стать серьезным вызовом для госорганов и учреждений с ограниченными ресурсами или кадровым дефицитом. По данным исследований, в 2024 году 65% государственных организаций не увеличили бюджет на ИБ, а 80% столкнулись с нехваткой специалистов.
Приказ №117 учитывает эту проблему: выделение организационных, материальных и технических ресурсов является обязательной частью ИБ-мероприятий. Пункт 27 требует, чтобы ИБ-служба подготовила предложения для руководства о необходимых ресурсах, указав цели защиты информации и последствия их недостатка.
Руководство обязано предусмотреть выделение или привлечение ресурсов в пределах бюджета организации. Отложенное вступление приказа в силу позволяет заранее планировать затраты на ИБ на следующий год.
Для подготовки необходимо:
Если начать подготовку уже сейчас и грамотно распределить ресурсы, организация сможет выполнить требования приказа №117 к моменту его вступления в силу.
Приказ №117 учитывает эту проблему: выделение организационных, материальных и технических ресурсов является обязательной частью ИБ-мероприятий. Пункт 27 требует, чтобы ИБ-служба подготовила предложения для руководства о необходимых ресурсах, указав цели защиты информации и последствия их недостатка.
Руководство обязано предусмотреть выделение или привлечение ресурсов в пределах бюджета организации. Отложенное вступление приказа в силу позволяет заранее планировать затраты на ИБ на следующий год.
Для подготовки необходимо:
- определить информационные активы, требующие защиты;
- выявить угрозы ИБ для этих активов;
- определить классы СЗИ или конкретные решения для защиты;
- подготовить предложения для руководства по ресурсному обеспечению ИБ с обоснованием на основе п.27;
- обозначить негативные последствия при недостаточном ресурсном обеспечении, включая сбои в деятельности, нарушение прав граждан, проблемы цифровой трансформации.
Если начать подготовку уже сейчас и грамотно распределить ресурсы, организация сможет выполнить требования приказа №117 к моменту его вступления в силу.