AZEXO

Надежда Скакун

Приказ ФСТЭК России № 117: Новые требования к защите информации в государственных системах. Руководство к действию

Надежда Скакун
в
Эксперт по информационной безопасности с фокусом на регуляторику РФ. Более 10 лет помогаю компаниям выстраивать защиту в соответствии с требованиями ФСТЭК и ФСБ.

В 2025 году регулятор информационной безопасности внес существенные коррективы в правила защиты данных для государственного сектора. Приказ ФСТЭК России № 117 утвердил новые Требования о защите информации в государственных информационных системах (ГИС) и информационных системах государственных органов, учреждений и унитарных предприятий.

По состоянию на май 2026 года документ вступил в силу и является обязательным для исполнения. Данная статья поможет специалистам по информационной безопасности (ИБ) разобраться в ключевых изменениях, понять новые метрики контроля и составить план внедрения требований.

1. Область применения: Кто должен исполнять?

Приказ № 117 распространяется на широкий круг организаций государственного сектора. Требования обязательны для:

  • Государственных информационных систем (ГИС), функционирующих на территории РФ.
  • Иных информационных систем (ИС) государственных органов.
  • Информационных систем государственных унитарных предприятий (ГУП) и государственных учреждений.
  • Муниципальных информационных систем (если иное не установлено законодательством о местном самоуправлении).

Правовая основа: Требования разработаны в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Важное исключение: Требования не распространяются на информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства, Конституционного и Верховного Судов, а также систем органов разведки и контрразведки.

Если ваша организация относится к субъектам критической информационной инфраструктуры (КИИ), требования № 117 применяются в части, не противоречащей законодательству о безопасности КИИ (187-ФЗ). При обработке персональных данных требования № 117 применяются совместно с Постановлением Правительства № 1119.

2. Ключевые изменения по сравнению с предыдущими требованиями

Приказ № 117 приходит на смену Приказу ФСТЭК России № 17 (2013 г.) для государственных систем. Основные нововведения направлены на переход от формального соблюдения мер к управлению реальным уровнем защищенности.

2.1. Введение метрик эффективности

Вместо статической проверки наличия мер защиты вводится динамический контроль через два показателя:

  1. Показатель защищенности (Kзи) — характеризует текущее состояние защиты от базового уровня угроз.
  2. Показатель уровня зрелости (Pзи) — определяет достаточность и эффективность процессов защиты.

Периодичность контроля:

  • Расчет Kзи — не реже 1 раза в 6 месяцев.
  • Расчет Pзи — не реже 1 раза в 2 года.

Отчетность: Если значения показателей не соответствуют нормированным значениям (указанным в методических документах ФСТЭК), оператор обязан в течение 3 календарных дней сообщить руководителю, а в течение 5 рабочих дней направить информацию в ФСТЭК России.

2.2. Жесткие сроки устранения уязвимостей

Требования к управлению уязвимостями стали значительно строже (п. 38 Требований):

  • Критический уровень опасности: устранение не более 24 часов.
  • Высокий уровень опасности: устранение не более 7 календарных дней.
  • Средний и низкий уровень: сроки определяются внутренним регламентом.

При выявлении уязвимости, отсутствующей в банке данных угроз ФСТЭК, информация о ней должна быть направлена регулятору в течение 5 рабочих дней.

2.3. Защита искусственного интеллекта (ИИ)

Впервые на уровне требований ФСТЭК для госсектора закреплены нормы использования ИИ (п. 60-61):

  • Запрещена передача информации ограниченного доступа разработчикам моделей ИИ.
  • Необходимо исключать нерегламентированное влияние ИИ на параметры моделей и функционирование систем.
  • Требуется контроль шаблонов запросов и ответов при взаимодействии с сервисами ИИ.
  • В состав ИС должны включаться только доверенные технологии ИИ.

2.4. Удаленный доступ и защита от DoS

  • Удаленный доступ для выполнения обязанностей должен осуществляться через сети связи, расположенные на территории РФ, с использованием строгой аутентификации и защиты канала передачи данных.
  • Для систем с доступом из Интернет обязательна защита от атак типа DoS/DDoS, включая взаимодействие с Центром мониторинга и управления сетью связи общего пользования и наличие двукратного резерва пропускной способности каналов.

3. Классификация информационных систем

Класс защищенности ИС определяется по двум параметрам: Уровню значимости информации (УЗ) и Масштабу системы.

Шаг 1. Определение уровня значимости (УЗ)

Оценивается степень ущерба от нарушения конфиденциальности, целостности или доступности:

  • Высокая степень ущерба (существенные негативные последствия, невозможность выполнения функций) → УЗ 1.
  • Средняя степень ущерба (умеренные последствия, невозможность выполнения хотя бы одной функции) → УЗ 2.
  • Низкая степень ущерба (незначительные последствия, снижение эффективности) → УЗ 3.
  • Примечание: Для информации с пометкой «Для служебного пользования» автоматически устанавливается УЗ 1.

Шаг 2. Определение масштаба

  • Федеральный: задачи на всей территории РФ или в пределах двух и более субъектов.
  • Региональный: задачи в пределах одного субъекта РФ.
  • Объектовый: задачи в пределах одного органа/организации.

Шаг 3. Присвоение класса защищенности

Класс защищенности (К1 — highest, К3 — lowest) определяется по таблице (Приложение к Приказу № 117):

УЗФедеральныйРегиональныйОбъектовый
УЗ 1К1К1К1
УЗ 2К1К2К2
УЗ 3К2К3К3

Результаты оформляются Актом классификации, утверждаемым оператором.

4. Дорожная карта внедрения требований № 117

Для организаций, которые еще не привели свои системы в соответствие с Приказом № 117, рекомендуется следующий план действий.

Этап 1. Организационная подготовка (1-2 месяца)

  1. Издание распорядительного документа: Руководитель организации должен издать приказ о приведении ИС в соответствие с Требованиями № 117.
  2. Назначение ответственных: Определить структурное подразделение или специалистов по защите информации (п. 19). Не менее 30% сотрудников подразделения должны иметь профильное образование или переподготовку в области ИБ.
  3. Инвентаризация: Составить полный реестр информационных систем и ИТ-активов.

Этап 2. Классификация и моделирование (2-3 месяца)

  1. Классификация: Провести оценку уровня значимости информации и масштаба систем. Оформить Акты классификации.
  2. Актуализация модели угроз: Разработать или обновить модели угроз безопасности информации для каждой системы (п. 36) с использованием Банка данных угроз ФСТЭК и Методики определения актуальных угроз.
  3. Выбор мер защиты: На основе класса защищенности выбрать базовый набор мер (Приложение к Приказу) и провести их адаптацию под архитектуру системы с учетом Методического документа о мерах защиты в ГИС.

Этап 3. Техническая реализация (3-6 месяцев)

  1. Внедрение средств защиты: Установка и настройка СЗИ (антивирусы, межсетевые экраны, средства обнаружения вторжений и т.д.). Для ГИС 1 класса требуются сертифицированные средства не ниже 4 класса защиты (Приказ ФСТЭК № 76).
  2. Настройка процессов:
    • Внедрить процесс управления уязвимостями (с учетом сроков 24 часа/7 дней).
    • Настроить мониторинг безопасности и сбор событий (в соответствии с ГОСТ Р 59547-2021).
    • Организовать защиту каналов удаленного доступа.
  3. Работа с ИИ: Если в системах используются модели ИИ, провести аудит на соответствие п. 60-61 (локализация данных, контроль запросов).
  4. Безопасная разработка: При самостоятельной разработке ПО соблюдать требования ГОСТ Р 56939-2024.

Этап 4. Оценка и аттестация (2-3 месяца)

  1. Расчет показателей: Провести первый расчет показателей Kзи и Pзи согласно методикам ФСТЭК.
  2. Аттестация ГИС: Для государственных информационных систем провести аттестацию на соответствие требованиям защиты информации (п. 65) в соответствии с Порядком аттестации (Приказ № 77). Для иных систем решение об аттестации принимает руководитель.
  3. Ввод в эксплуатацию: Ввод системы в промышленную эксплуатацию возможен только при наличии положительного заключения аттестации (для ГИС) или акта приемки.

Этап 5. Эксплуатация и мониторинг (постоянно)

  1. Регулярный контроль: Расчет Kзи (раз в полгода) и Pзи (раз в 2 года).
  2. Отчетность: Своевременное направление отчетов в ФСТЭК при отклонении показателей.
  3. Обучение: Проводить обучение персонала не реже 1 раза в 3 года или после инцидента (п. 57).
  4. Контроль уровня защищенности: Проводить не реже 1 раза в 3 года или после инцидента (п. 67).

5. Типичные риски и на что обратить внимание

  1. Недостаточность ресурсов для устранения уязвимостей: Срок в 24 часа для критических уязвимостей требует наличия автоматизированных систем управления уязвимостями (VM) и отлаженных процессов патч-менеджмента. Ручное обновление не обеспечит compliance.
  2. Использование иностранного ПО: Требования подчеркивают приоритет использования отечественных информационных технологий (Стратегия нацбезопасности, Указ № 400, п. 71 Требований № 117). Необходимо проверить реестр отечественного ПО.
  3. Облачные сервисы: Если ИС функционирует на базе инфраструктуры ЦОД, класс защищенности ИС не может быть выше класса защищенности инфраструктуры ЦОД (п. 8 Приложения). Необходимо запросить документы у провайдера.
  4. Взаимодействие с ГСОПКА: Для защиты от DoS-атак обязательно взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (п. 59).
  5. Документация: Все процессы должны быть задокументированы в соответствии с Постановлением Правительства № 676 о порядке создания и эксплуатации ГИС.

Заключение

Приказ ФСТЭК России № 117 знаменует собой переход к риск-ориентированному подходу в защите государственных информационных систем. Главный фокус смещается с наличия «корочек» на сертифицированные средства на реальную способность системы противостоять угрозам, что измеряется через показатели Kзи и Pзи.

Для организаций госсектора соблюдение этих требований является не только вопросом избежания штрафов, но и необходимым условием устойчивого функционирования в текущих геополитических условиях, описанных в Стратегии национальной безопасности (Указ № 400) и Доктрине информационной безопасности (Указ № 646).

Начинать работу по приведению систем в соответствие рекомендуется с проведения gap-анализа текущей инфраструктуры относительно требований Приказа № 117 и разработки плана мероприятий по устранению выявленных несоответствий.

Данная статья носит информационный характер и не является официальным разъяснением нормативно-правовых актов. При реализации требований рекомендуется обращаться к тексту Приказа ФСТЭК России от 11.04.2025 № 117 и сопутствующим методическим документам ФСТЭК России.