Главная → Полезные материалы → Изменения в 117 приказе ФСТЭК: как перестроить процессы защиты информации
09/06/2026

Изменения в 117 приказе ФСТЭК: как перестроить процессы защиты информации

Анализируем ключевые изменения в 117 приказе ФСТЭК России. Экспертный разбор новых требований к ИБ-кадрам, защите веб-приложений и почты.

С 1 марта 2026 года вступили в силу новые требования ФСТЭК России к защите информации, утвержденные Приказом № 117. Этот документ полностью заменил действовавший более десяти лет Приказ № 17. Для ИТ- и ИБ-департаментов организаций это означает необходимость пересмотреть подходы к обеспечению безопасности — от проектирования архитектуры до операционных процессов. Старая схема, при которой было достаточно единожды внедрить технические средства, формально пройти аттестацию и не обновлять систему защиты годами, более не применима.

Разбираемся, какие изменения принес 117 приказ ФСТЭК, к чему готовиться государственным и коммерческим организациям и что конкретно нужно делать для приведения систем в соответствие с новыми правилами.

Почему изменились требования: несоответствие прежней модели современным условиям

Предыдущий 17-й приказ создавался в условиях, когда корпоративная инфраструктура была монолитной и изолированной. Вся защита строилась вокруг фиксированного внутреннего периметра, пользователи работали преимущественно из офиса, а такие технологии, как микросервисы, API, контейнеризация и гибридные облака, не использовались массово.

Сегодня ИТ-среда и характер угроз изменились:

  • инфраструктуры стали распределенными и гибридными;
  • удаленный доступ сотрудников стал стандартной практикой, что ликвидировало классический периметр;
  • приложения активно интегрируются между собой через API;
  • целевые атаки стали технически сложнее, точечнее и быстрее.

В этих условиях регулятор зафиксировал концептуальный сдвиг. Безопасность теперь позиционируется не как разовое достижение фиксированных показателей, а как непрерывный, управляемый и постоянно контролируемый процесс.

Переход к процессной модели управления ИБ

Главное положение нового документа — внедрение непрерывного цикла управления защитой информации. Организации обязаны выстроить постоянный процесс, состоящий из четырех этапов:

  1. Регулярная оценка актуальных угроз.
  2. Внедрение и модернизация мер защиты.
  3. Непрерывный контроль текущего состояния безопасности.
  4. Своевременная корректировка защитных механизмов.

ФСТЭК привела российские регуляторные требования в соответствие с международными практиками управления ИБ, сохранив при этом обязательную для исполнения нормативную рамку.

117 приказ ФСТЭК: основные изменения в организации ИБ

Новый регламент существенно расширяет требования как к техническим средствам, так и к организации внутренних процессов компании. Изменения можно разделить на несколько организационных и кадровых блоков.

Расширение области применения и новые правила аттестации

Действие новых требований теперь распространяется на все информационные системы государственных органов, государственных унитарных предприятий (ГУП) и государственных учреждений. При этом законодатель четко разграничил зоны ответственности: обязательной аттестации подлежат исключительно государственные информационные системы (ГИС).

Требования к квалификации ИБ-кадров

Регулятор усиливает контроль за компетенциями ИТ- и ИБ-специалистов внутри организаций. Теперь не менее 30% штатных сотрудников подразделения по защите информации обязаны иметь высшее или среднее профильное образование в области информационной безопасности либо пройти официальную программу профессиональной переподготовки.

Классификация служебной информации

Вводится обязательное категорирование информации ограниченного распространения. Для любых данных, циркулирующих в системе под пометкой «для служебного пользования» (ДСП), организации теперь обязаны в автоматическом порядке устанавливать первый уровень значимости (УЗ 1).

Трехуровневая структура внутренней документации

Формализованы требования к ведению локальных нормативных актов (ЛНА) компании в области ИБ. Вся внутренняя документация должна строго соответствовать трехуровневой иерархии:

  1. Политика защиты информации (верхнеуровневый стратегический документ).
  2. Стандарты организации (технические правила и параметры).
  3. Регламенты (пошаговые инструкции для исполнителей).

Кроме того, все существовавшие ранее меры защиты информации были детализированы регулятором с точки зрения их практической реализации и способов контроля их эффективности.

Технические изменения в 117 приказе ФСТЭК и новые регламентированные сроки

Новый документ вводит прямые обязанности по контролю инфраструктуры, которых раньше не было на нормативном уровне, либо они носили рекомендательный характер.

Управление уязвимостями по регламенту

Процесс анализа защищенности стал строго регламентированным. Организации обязаны развернуть автоматизированные системы мониторинга уязвимостей. Сканирование всех ИТ-активов должно проводиться не реже одного раза в месяц. При этом установлены конкретные временные рамки на ликвидацию брешей в безопасности с момента их обнаружения:

  • Критический уровень уязвимости: устранение в течение 24 часов.
  • Высокий уровень уязвимости: устранение в течение 7 календарных дней.

Если в ходе сканирования ИБ-служба обнаруживает уязвимость, которой еще нет в официальном банке данных угроз (БДУ) ФСТЭК, оператор системы обязан направить информацию о ней регулятору в срок до 5 рабочих дней. Сам процесс работы с уязвимостями теперь должен в обязательном порядке включать проверку ложных срабатываний, подтверждение возможности эксплуатации уязвимости в конкретном контуре и итоговый контроль устранения выявленных проблем.

Защита веб-приложений и предотвращение утечек (DLP)

Для защиты корпоративных веб-ресурсов и веб-интерфейсов становится обязательным использование специализированных решений класса Web Application Firewall (WAF), способных осуществлять глубокий анализ и фильтрацию трафика на седьмом (прикладном) уровне модели OSI.

В части борьбы с утечками конфиденциальной информации предписано внедрение систем контроля передачи данных (DLP). Они должны контролировать как сетевые каналы передачи данных (почта, мессенджеры, облака), так и интерфейсы ввода-вывода (USB-порты, печать на принтерах) на конечных устройствах (ПК и серверах).

Выделенный контур защиты электронной почты

Почтовые системы выделены регулятором в самостоятельное направление базовых мер защиты. Операторы обязаны обеспечивать безопасность почтового трафика на протяжении всего жизненного цикла сообщений. В перечень обязательных мер входят:

  • Резервное копирование почтовых баз данных и аудит учетных записей.
  • Тотальная регистрация всех событий безопасности.
  • Автоматизированный контроль вложений и входящих ссылок.
  • Применение технологий антиспама, антифишинга и антивирусной защиты.
  • Использование изолированных сред («песочниц» / sandboxes) для анализа подозрительных файлов.
  • Защита служебных данных о структуре почтовых ящиков компании для исключения компрометации адресов.

Новые правила антивирусной защиты

Классического сканирования по расписанию больше недостаточно. Антивирусное ПО обязано проверять файлы и сетевые потоки в режиме, максимально приближенном к реальному времени (real-time мониторинг). Для выявления сложных, ранее неизвестных целевых угроз регулятор рекомендует интегрировать антивирусные средства с изолированными средами исполнения.

Количественные показатели: оценка эффективности для регулятора

Одно из важнейших нововведений Приказа № 117 — перевод ИБ-эффективности в плоскость измеряемых математических показателей. Вводятся два ключевых коэффициента для оценки зрелости защиты организации:

Показатель Наименование Что отражает Периодичность расчета
Кзи Показатель защищенности Текущее состояние защиты ИТ-инфраструктуры от базового уровня актуальных угроз. Не реже 1 раза в 6 месяцев
Пзи Показатель уровня зрелости Достаточность, полноту и практическую эффективность проводимых ИБ-мероприятий. Не реже 1 раза в 2 года

Расчет коэффициентов производится строго по утвержденным методическим документам ФСТЭК России. Результаты оценки должны отправляться регулятору в течение 5 рабочих дней после проведения расчетов. Это обязывает компании переходить на автоматизированный сбор и аналитику ИБ-метрик.

Архитектура ИТ и требования к средствам защиты информации

Технический блок приказа адаптирован под современный стек технологий. В документе появились самостоятельные разделы, регламентирующие безопасность:

  • Средств контейнеризации (Docker, Kubernetes).
  • Мобильных устройств, имеющих доступ к корпоративным ресурсам.
  • Интерфейсов API программного взаимодействия.

В качестве фундаментального базиса ФСТЭК рассматривает управление доступом и идентификацию пользователей. Контроль привилегированных учетных записей (администраторов) усиливается: требуется разделение ролей, непрерывный аудит действий персонала и контроль активных сессий.

Эшелонированная архитектура защиты

Архитектурно защита должна быть многоуровневой. Требуется построение модели, при которой средства ИБ внедряются на всех уровнях инфраструктуры:

  1. Внешний периметр сети.
  2. Границы внутренних сетевых сегментов (микросегментация).
  3. Конечные устройства сотрудников (серверы, рабочие станции).

Это позволяет выявлять атаки на разных стадиях и изолировать угрозы.

Критерии выбора СЗИ

Все программные и аппаратные инструменты, используемые для реализации требований 117 приказа, должны отвечать четырем критериям:

  • Наличие действующего сертификата соответствия ФСТЭК России.
  • Соответствие установленному классу защиты.
  • Наличие полноценной технической поддержки, осуществляемой на территории РФ.
  • Обеспечение регулярных обновлений и оперативное закрытие уязвимостей разработчиком.

Важно: применение зарубежных ИБ-продуктов, не имеющих официальной технической поддержки на территории Российской Федерации, полностью запрещено.

Порядок перехода: что делать организациям прямо сейчас

ФСТЭК России предусмотрела определенные правила для адаптации рынка к новым условиям в переходный период:

  • Проектирование всех вновь создаваемых информационных систем должно осуществляться с учетом требований Приказа № 117.
  • Модернизация уже эксплуатируемых систем требует разработки официального пошагового плана перехода на новые стандарты (с указанием сроков, объемов изменений и необходимых ресурсов).
  • Для ИТ-контрактов и договоров на создание систем защиты, которые были заключены до 1 марта 2026 года, допускается завершение работ по старой нормативной базе (Приказ № 17).

Чтобы перестроить инфраструктуру под актуальный регламент, организации необходимо выполнить четыре базовых шага:

117 приказ ФСТЭК: основные изменения, требования и пошаговый план перехода. Подробный гайд по изменениям в 117 приказе ФСТЭК. Рассказываем, какие изменения внесены в технические требования защиты данных

Дальнейшее развитие нормативной базы

Изучая, 117 приказ ФСТЭК, какие изменения станут финальными, важно понимать: нормативная база продолжит развиваться. Регулятор уже опубликовал официальный проект приказа о внесении изменений в сами Требования, утвержденные Приказом № 117 от 11 апреля 2025 года.

Это означает, что текущая редакция требований не является окончательной. ФСТЭК планирует корректировать требования, опираясь на практику применения нормативного акта компаниями, появление новых ИТ-технологий и изменения в тактиках проведения атак. Способ соответствовать регулятору сегодня — перейти на автоматизированные процессы защиты и использовать сертифицированные отечественные ИБ-решения.

Поможем с подбором ПО и оборудования в соответствии с требованиями ФСТЭК

Подробнее

Узнайте больше о наших мероприятиях и образовательных программах. Присоединяйтесь к сообществу профессионалов!

Смотреть все мероприятия
Вернуться к списку
К следующей