Контакты
Подписка 2025

Анализ приказа ФСТЭК России № 117

Angara Security, 31/07/25

11 апреля 2025 г. ФСТЭК России выпустила приказ № 117, утверждающий новые требования к защите информации в государственных информационных системах, а также в иных информационных системах государственных органов, унитарных предприятий, учреждений и муниципальных образований.

Авторы:
Андрей Рябов, руководитель группы по обеспечению комплексной безопасности Angara Security
Расим Гайнулин, старший консультант группы по обеспечению комплексной безопасности Angara Security

Документ вступает в силу 1 марта 2026 г. и заменит приказ ФСТЭК России № 17 от 11 февраля 2013 г. "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Новый приказ существенно расширяет сферу регулирования, вводя дополнительные меры защиты данных, включая обязательное применение сертифицированных средств защиты информации, усиленные требования к аутентификации и мониторингу угроз.

ris1-Jul-31-2025-09-16-25-7576-AM

Разберем ключевые изменения, новые требования и их влияние на ИТ-инфраструктуру государственных органов, унитарных предприятий, учреждений и муниципальных образований.

Основные изменения в регулировании

Требования приказа № 17 касались государственных информационных систем. Новый приказ № 117 распространяется на:

  • ИС государственных органов (федеральных и региональных);
  • ИС государственных унитарных предприятий (ГУП) и учреждений;
  • муниципальные информационные системы.

Это означает, что все организации, связанные с государственным управлением, должны будут привести свои ИС в соответствие с новыми требованиями.

Новые обязательные меры защиты

В приказе № 117 выделяется 17 ключевых базовых мер, включая новые технологические аспекты:

  1. Идентификация и аутентификация.
  2. Управление доступом.
  3. Регистрация событий безопасности.
  4. Защита виртуализации и облачных вычислений.
  5. Защита технологий контейнерных сред и их оркестрации.
  6. Защита сервисов электронной почты.
  7. Защита веб-технологий.
  8. Защита программных интерфейсов взаимодействия приложений.
  9. Защита конечных устройств.
  10. Защита мобильных устройств.
  11. Защита технологий интернета вещей.
  12. Защита точек беспроводного доступа.
  13. Антивирусная защита.
  14. Обнаружение и предотвращение вторжений на сетевом уровне.
  15. Сегментация и межсетевое экранирование.
  16. Защита от компьютерных атак, направленных на отказ в обслуживании.
  17. Защита каналов передачи данных и сетевого взаимодействия.

Отметим, что в приказе № 117 отсутствуют привычные нам наборы мер для соответствующих классов защиты ИС. Ожидается, что регулятор должен в ближайшее время выпустить отдельный документ с детализацией по выполнению мер защиты.

Ключевые нововведения

Новые требования приказа № 117 существенно изменяют подход к защите информации, что повлечет за собой значительные корректировки в работе государственных и муниципальных организаций, а также подведомственных предприятий. В первую очередь потребуется модернизация системы защиты, включая внедрение сертифицированных средств защиты информации и соблюдение запретов, установленных п. 6 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", даже в тех системах, которые не относятся к ГИС. Это означает, что многим учреждениям придется пересмотреть свои бюджеты на информационную безопасность, поскольку сертифицированные решения часто требуют дополнительных затрат на лицензирование и интеграцию.

Одним из ключевых направлений станет модернизация систем аутентификации. Приказ обязывает использовать строгую аутентификацию для привилегированного доступа, а в случае технических ограничений – усиленную многофакторную аутентификацию (MFA). Это затронет не только внутренние системы, но и удаленный доступ, включая мобильные устройства, где потребуется обеспечить защиту каналов передачи данных. Организациям придется внедрять решения на основе аппаратных токенов или одноразовых паролей (OTP).

Еще одним важным аспектом станет усиление защиты современных технологических платформ, таких как облачные сервисы, контейнерные среды и интернет вещей. Ранее для данных технологий в нормативно-правовых актах не были определены базовые меры защиты. Это означает, что организациям, использующим такие решения, придется пересмотреть свои подходы к обеспечению безопасности.

Новообразования коснутся и отчетности в адрес ФСТЭК России. Теперь организации должны будут проводить регулярные оценки защищенности (раз в полгода для оценки показателя защищенности и раз в два года для оценки уровня зрелости), а также оперативно информировать ФСТЭК России о выявленных уязвимостях – в течение пяти рабочих дней после обнаружения.

Новые требования также повлияют на процесс мониторинга, что потребует внедрения автоматизированных инструментов для сбора и анализа данных о событиях безопасности и угрозах.

Приказ затрагивает и направление безопасной разработки: в случае самостоятельной разработки оператором программного обеспечения, предназначенного для использования в информационных системах, должны быть учтены меры, предусмотренные в ГОСТ Р 56939–2024, а при привлечении подрядчиков требования к безопасной разработке должны быть включены в техническое задание на разработку программного обеспечения.

Впервые в регулировании защиты информации государственного сектора уделено внимание вопросам безопасности при использовании искусственного интеллекта. В частности, при использовании в информационных системах искусственного интеллекта или сервисов на основе искусственного интеллекта, согласно Национальной стратегии развития искусственного интеллекта, должны применяться доверенные технологии искусственного интеллекта или их компоненты.

Новый документ также сосредоточится на регламентации процессов информационной безопасности и работе с подрядчиками ИТ- и ИБ-услуг при реализации проектов.

Кроме того, важно отметить тему аттестации. Как и раньше, обязательная аттестация предусмотрена только для государственных информационных систем, а для остальных информационных систем решение принимается оператором самостоятельно. При этом все действующие аттестаты соответствия сохраняются, и повторной аттестации для действующих систем с 1 марта 2026 г. не потребуется. При этом в случае модернизации системы, аттестовываться нужно будет уже по новым требованиям.

Выводы

Приказ ФСТЭК России № 117 не только ужесточает требования к защите данных, но и стимулирует создание или модернизацию систем защиты информационных систем в государственном секторе. Организациям следует заранее начать подготовку, чтобы успеть адаптироваться к изменениям до вступления приказа в силу в марте 2026 г.

Для государственных организаций эти изменения несут определенные риски – несоответствие новым требованиям может привести к штрафам и ограничениям со стороны регулятора. При этом расширение сферы регулирования создаст спрос на услуги в области защиты информации. Для поставщиков услуг и решений в сфере информационной безопасности прогнозируется увеличение числа проектов по созданию и модернизации систем защиты информационных систем, а вендоры сертифицированных решений смогут увеличить продажи своих продуктов.



Темы:ГИСФСТЭК

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями: ожидание – реальность и рекомендации
    Сергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТ
    ФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.
  • Сертификация СЗИ – курс на РБПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта.
  • 50 лет ФСТЭК России
    18 декабря исполняется 50 лет со дня основания Гостехкомиссии СССР, которая в 2004 г. стала называться ФСТЭК России. Редакция журнала “Информационная безопасность” задала вопросы экспертам рынка, чтобы вместе рассмотреть важные вехи проходимого пути.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...