AZEXO

Подготовка и аттестация по приказу ФСТЭК России № 117: практическое руководство

от автора

Андрей Солодухин
в

С 2025 года в Российской Федерации вступили в силу новые требования к защите информации в государственных информационных системах (ГИС), а также в иных информационных системах государственных органов, государственных унитарных предприятий и учреждений. Основным документом, регламентирующим эту сферу, стал Приказ ФСТЭК России от 11 апреля 2025 г. № 117.

В апреле 2026 года ФСТЭК России дополнительно выпустил Информационное сообщение № 240/22/2457, утвердившее методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах». Этот документ детализирует требования Приказа № 117.

Данная статья предназначена для специалистов по информационной безопасности (ИБ), руководителей органов власти и государственных учреждений. Она поможет разобраться в регуляторных требованиях и предлагает пошаговый план действий по подготовке к аттестации.

1. Кто должен исполнять требования Приказа № 117?

Приказ № 117 распространяется на операторов (обладателей информации) следующих систем:

  • Государственные информационные системы (ГИС).
  • Иные информационные системы государственных органов.
  • Информационные системы государственных унитарных предприятий (ГУП) и государственных учреждений.
  • Муниципальные информационные системы (если иное не установлено законодательством).

Важно: Если информационная система является значимым объектом критической информационной инфраструктуры (КИИ), защита обеспечивается также с учетом требований законодательства о КИИ (187-ФЗ, Приказы ФСТЭК № 235, 239), но Приказ № 117 устанавливает базовые требования к защите информации в части, не противоречащей требованиям по безопасности КИИ.

Требования не распространяются на информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства, Конституционного и Верховного Судов, а также систем органов разведки и управления вооружением.

2. Ключевые изменения и требования

Приказ № 117 унифицирует подход к защите информации в государственном секторе. Вот основные аспекты, которые необходимо учесть:

2.1. Классы защищенности

Класс защищенности информационной системы (ИС) определяется по матрице, зависящей от уровня значимости информации (УЗ) и масштаба ИС:

Уровень значимости (УЗ)Федеральный масштабРегиональный масштабОбъектовый масштаб
УЗ 1 (Высокий ущерб)К1К1К1
УЗ 2 (Средний ущерб)К1К2К2
УЗ 3 (Низкий ущерб)К2К3К3
  • К1 — первый класс (наивысший).
  • К3 — третий класс (наименьший).

Определение УЗ базируется на оценке возможного ущерба от нарушения конфиденциальности, целостности или доступности информации. Для оценки угроз рекомендуется использовать Методику оценки угроз безопасности информации (ФСТЭК, 2021) и актуальные данные из Банка данных угроз ФСТЭК.

2.2. Управление уязвимостями

Приказ устанавливает жесткие сроки устранения уязвимостей:

  • Критический уровень опасности: не более 24 часов.
  • Высокий уровень опасности: не более 7 календарных дней.
  • Средний и низкий уровни: сроки определяются внутренними регламентами.

Информацию об уязвимостях, отсутствующих в банке данных угроз ФСТЭК, необходимо направлять в службу в течение 5 рабочих дней.

2.3. Мониторинг информационной безопасности

Мероприятия по мониторингу должны осуществляться в соответствии с ГОСТ Р 59547-2021. Это включает сбор, хранение, агрегирование и анализ событий безопасности. Отчет о результатах мониторинга за текущий год направляется в ФСТЭК России.

2.4. Безопасная разработка ПО

Если оператор самостоятельно разрабатывает ПО для своих ИС, должны быть реализованы меры согласно ГОСТ Р 56939-2024 («Разработка безопасного программного обеспечения»). Если разработка ведется подрядчиком, соответствующие требования могут быть включены в техническое задание.

2.5. Показатели эффективности (Kzi и Pzi)

Вводится система оценки состояния защиты:

  • Показатель защищенности (Кзи): рассчитывается не реже 1 раза в 6 месяцев.
  • Показатель уровня зрелости (Пзи): рассчитывается не реже 1 раза в 2 года.

При несоответствии нормированным значениям руководитель оператора должен быть проинформирован в течение 3 дней, а сведения направляются в ФСТЭК в течение 5 рабочих дней.

2.6. Требования к персоналу

Не менее 30% работников структурного подразделения по защите информации должны иметь профильное образование в области ИБ или пройти профессиональную переподготовку.

3. Роль методического документа (Информационное сообщение от 14.04.2026)

Утвержденный ФСТЭК методический документ «Состав и содержание мероприятий и мер по защите информации» играет ключевую роль в реализации Приказа № 117. Он:

  1. Детализирует меры защиты: Описывает конкретные процессы и технические меры, необходимые для выполнения требований Приказа.
  2. Используется при аттестации: Служит основой для оценки достаточности принимаемых мер в ходе аттестационных испытаний.
  3. Применим на всех этапах: Используется при организации деятельности по защите, создании и эксплуатации ИС, а также при оценке эффективности.

Операторам следует использовать данный документ при разработке внутренних стандартов и регламентов.

4. Пошаговое руководство: от классификации до аттестации

Процесс приведения информационных систем в соответствие с Приказом № 117 и последующей аттестации можно разделить на следующие этапы.

Шаг 1. Инвентаризация и классификация

  • Проведите полную инвентаризацию информационных систем.
  • Определите масштаб каждой ИС (федеральный, региональный, объектовый).
  • Оцените уровень значимости обрабатываемой информации (УЗ 1, 2 или 3) на основе возможного ущерба.
  • Присвойте класс защищенности (К1, К2, К3) и оформите Акт классификации.

Шаг 2. Анализ разрывов (Gap Analysis)

  • Сравните текущее состояние системы защиты информации с требованиями Приказа № 117 и новым методическим документом.
  • Выявите недостающие организационные и технические меры.
  • Особое внимание уделите срокам устранения уязвимостей и наличию сертифицированных средств защиты информации (СЗИ) требуемых классов (для К1 — не ниже 4 класса, для К2 — не ниже 5 класса, для К3 — 6 класса).

Шаг 3. Разработка организационно-распорядительной документации (ОРД)

Согласно Приказу, у оператора должны быть утверждены:

  • Политика защиты информации.
  • Внутренние стандарты по защите информации (требования к настройкам, доступу, обновлениям и т.д.).
  • Внутренние регламенты по защите информации (порядки действий, процедуры).

Документы должны быть доведены до пользователей и подрядчиков.

Шаг 4. Внедрение технических мер и мониторинга

  • Внедрите необходимые СЗИ (межсетевые экраны, средства антивирусной защиты, средства обнаружения вторжений и т.д.).
  • Настройте систему мониторинга ИБ в соответствии с ГОСТ Р 59547-2021. Обеспечьте сбор событий безопасности со всех значимых узлов.
  • Настройте процессы управления уязвимостями с соблюдением сроков (24 часа / 7 дней) и регулярной проверкой через Банк данных угроз ФСТЭК.
  • Обеспечьте взаимодействие с ГосСОПКА (для ГИС и значимых объектов КИИ).

Шаг 5. Подготовка к аттестации

Аттестация проводится в соответствии с Приказом ФСТЭК России от 29 апреля 2021 г. № 77.
Подготовьте пакет документов для органа по аттестации:

  1. Технический паспорт на объект информатизации.
  2. Акт классификации ИС.
  3. Модель угроз (если ее разработка требуется; рекомендуется использовать Методику оценки угроз ФСТЭК, 2021).
  4. Техническое задание на создание/развитие системы защиты.
  5. Проектная и эксплуатационная документация на СЗИ.
  6. ОРД оператора (политики, регламенты, планы мероприятий).
  7. Результаты анализа уязвимостей и приемочных испытаний.

Шаг 6. Проведение аттестационных испытаний

  • Орган по аттестации разрабатывает Программу и методику испытаний (ПМИ).
  • Проводятся проверки документации и тестирование технических мер (функциональное тестирование, попытки НСД, контроль настроек).
  • В ходе испытаний могут выявляться недостатки. Оператор должен устранить их в процессе аттестации.

Шаг 7. Получение аттестата и дальнейшая эксплуатация

  • После успешных испытаний оформляется Аттестат соответствия.
  • Сведения вносятся в реестр аттестованных объектов ФСТЭК.
  • В процессе эксплуатации необходимо проводить контроль уровня защищенности (не реже 1 раза в 3 года) и направлять протоколы в ФСТЭК (не реже 1 раза в 2 года).

5. Типичные ошибки и риски

  1. Формальный подход к документации: Наличие документов «на бумаге», которые не исполняются в реальности, выявляется в ходе аттестационных испытаний (опрос персонала, проверка журналов).
  2. Нарушение сроков устранения уязвимостей: Автоматизированный контроль со стороны регулятора делает это нарушение легко выявляемым. Требуется внедрение сканеров уязвимостей и процессов патч-менеджмента.
  3. Игнорирование требований к персоналу: Несоблюдение требования о 30% квалифицированных специалистов в подразделении ИБ может стать основанием для замечаний.
  4. Отсутствие мониторинга: Формальное наличие средств мониторинга без настройки правил корреляции и анализа событий не соответствует требованиям ГОСТ Р 59547-2021.
  5. Неактуализированная модель угроз: Угрозы должны актуализироваться в ходе эксплуатации, а не только при создании системы.

Заключение

Приказ ФСТЭК России № 117 и сопутствующий методический документ 2026 года устанавливают высокий стандарт зрелости процессов защиты информации в государственном секторе. Успешная аттестация требует не только закупки сертифицированных средств защиты, но и выстраивания полноценной системы управления информационной безопасностью: от политики и обучения персонала до оперативного реагирования на инциденты и уязвимости.

Начинать работу по приведению систем в соответствие с новыми требованиями рекомендуется с проведения детальной инвентаризации и классификации, так как от этого зависит весь дальнейший набор необходимых мер защиты.

Полезные ресурсы и нормативные документы

ДокументСсылка
Приказ ФСТЭК России от 11.04.2025 № 117 (основные требования)Открыть
Информационное сообщение ФСТЭК от 14.04.2026 № 240/22/2457Открыть
Методический документ «Состав и содержание мероприятий и мер по защите информации»Открыть
Приказ ФСТЭК России от 29.04.2021 № 77 (аттестация)Открыть
ГОСТ Р 59547-2021 (мониторинг ИБ)Открыть
ГОСТ Р 56939-2024 (безопасная разработка ПО)Открыть
Методика оценки угроз безопасности информации (ФСТЭК, 2021)Открыть
Банк данных угроз ФСТЭКОткрыть
187-ФЗ «О безопасности КИИ»Открыть
149-ФЗ «Об информации, информационных технологиях и о защите информации»Открыть