Анализ приказа ФСТЭК России № 117

11 апреля 2025 г. ФСТЭК России выпустила приказ № 117, утверждающий новые требования к защите информации в государственных информационных системах, а также в иных информационных системах государственных органов, унитарных предприятий, учреждений и муниципальных образований.

Авторы:
Андрей Рябов, руководитель группы по обеспечению комплексной безопасности Angara Security
Расим Гайнулин, старший консультант группы по обеспечению комплексной безопасности Angara Security

Документ вступает в силу 1 марта 2026 г. и заменит приказ ФСТЭК России № 17 от 11 февраля 2013 г. "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Новый приказ существенно расширяет сферу регулирования, вводя дополнительные меры защиты данных, включая обязательное применение сертифицированных средств защиты информации, усиленные требования к аутентификации и мониторингу угроз.

Разберем ключевые изменения, новые требования и их влияние на ИТ-инфраструктуру государственных органов, унитарных предприятий, учреждений и муниципальных образований.

Основные изменения в регулировании

Требования приказа № 17 касались государственных информационных систем. Новый приказ № 117 распространяется на:

• ИС государственных органов (федеральных и региональных);
• ИС государственных унитарных предприятий (ГУП) и учреждений;
• муниципальные информационные системы.

Это означает, что все организации, связанные с государственным управлением, должны будут привести свои ИС в соответствие с новыми требованиями.

Новые обязательные меры защиты

В приказе № 117 выделяется 17 ключевых базовых мер, включая новые технологические аспекты:

1. Идентификация и аутентификация.
2. Управление доступом.
3. Регистрация событий безопасности.
4. Защита виртуализации и облачных вычислений.
5. Защита технологий контейнерных сред и их оркестрации.
6. Защита сервисов электронной почты.
7. Защита веб-технологий.
8. Защита программных интерфейсов взаимодействия приложений.
9. Защита конечных устройств.
10. Защита мобильных устройств.
11. Защита технологий интернета вещей.
12. Защита точек беспроводного доступа.
13. Антивирусная защита.
14. Обнаружение и предотвращение вторжений на сетевом уровне.
15. Сегментация и межсетевое экранирование.
16. Защита от компьютерных атак, направленных на отказ в обслуживании.
17. Защита каналов передачи данных и сетевого взаимодействия.

Отметим, что в приказе № 117 отсутствуют привычные нам наборы мер для соответствующих классов защиты ИС. Ожидается, что регулятор должен в ближайшее время выпустить отдельный документ с детализацией по выполнению мер защиты.

Ключевые нововведения

Новые требования приказа № 117 существенно изменяют подход к защите информации, что повлечет за собой значительные корректировки в работе государственных и муниципальных организаций, а также подведомственных предприятий. В первую очередь потребуется модернизация системы защиты, включая внедрение сертифицированных средств защиты информации и соблюдение запретов, установленных п. 6 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", даже в тех системах, которые не относятся к ГИС. Это означает, что многим учреждениям придется пересмотреть свои бюджеты на информационную безопасность, поскольку сертифицированные решения часто требуют дополнительных затрат на лицензирование и интеграцию.

Одним из ключевых направлений станет модернизация систем аутентификации. Приказ обязывает использовать строгую аутентификацию для привилегированного доступа, а в случае технических ограничений – усиленную многофакторную аутентификацию (MFA). Это затронет не только внутренние системы, но и удаленный доступ, включая мобильные устройства, где потребуется обеспечить защиту каналов передачи данных. Организациям придется внедрять решения на основе аппаратных токенов или одноразовых паролей (OTP).

Еще одним важным аспектом станет усиление защиты современных технологических платформ, таких как облачные сервисы, контейнерные среды и интернет вещей. Ранее для данных технологий в нормативно-правовых актах не были определены базовые меры защиты. Это означает, что организациям, использующим такие решения, придется пересмотреть свои подходы к обеспечению безопасности.

Новообразования коснутся и отчетности в адрес ФСТЭК России. Теперь организации должны будут проводить регулярные оценки защищенности (раз в полгода для оценки показателя защищенности и раз в два года для оценки уровня зрелости), а также оперативно информировать ФСТЭК России о выявленных уязвимостях – в течение пяти рабочих дней после обнаружения.

Новые требования также повлияют на процесс мониторинга, что потребует внедрения автоматизированных инструментов для сбора и анализа данных о событиях безопасности и угрозах.

Приказ затрагивает и направление безопасной разработки: в случае самостоятельной разработки оператором программного обеспечения, предназначенного для использования в информационных системах, должны быть учтены меры, предусмотренные в ГОСТ Р 56939–2024, а при привлечении подрядчиков требования к безопасной разработке должны быть включены в техническое задание на разработку программного обеспечения.

Впервые в регулировании защиты информации государственного сектора уделено внимание вопросам безопасности при использовании искусственного интеллекта. В частности, при использовании в информационных системах искусственного интеллекта или сервисов на основе искусственного интеллекта, согласно Национальной стратегии развития искусственного интеллекта, должны применяться доверенные технологии искусственного интеллекта или их компоненты.

Новый документ также сосредоточится на регламентации процессов информационной безопасности и работе с подрядчиками ИТ- и ИБ-услуг при реализации проектов.

Кроме того, важно отметить тему аттестации. Как и раньше, обязательная аттестация предусмотрена только для государственных информационных систем, а для остальных информационных систем решение принимается оператором самостоятельно. При этом все действующие аттестаты соответствия сохраняются, и повторной аттестации для действующих систем с 1 марта 2026 г. не потребуется. При этом в случае модернизации системы, аттестовываться нужно будет уже по новым требованиям.

Выводы

Приказ ФСТЭК России № 117 не только ужесточает требования к защите данных, но и стимулирует создание или модернизацию систем защиты информационных систем в государственном секторе. Организациям следует заранее начать подготовку, чтобы успеть адаптироваться к изменениям до вступления приказа в силу в марте 2026 г.

Для государственных организаций эти изменения несут определенные риски – несоответствие новым требованиям может привести к штрафам и ограничениям со стороны регулятора. При этом расширение сферы регулирования создаст спрос на услуги в области защиты информации. Для поставщиков услуг и решений в сфере информационной безопасности прогнозируется увеличение числа проектов по созданию и модернизации систем защиты информационных систем, а вендоры сертифицированных решений смогут увеличить продажи своих продуктов.