Аттестация государственных информационных систем (ГИС): переход от приказа № 17 к приказу № 117 ФСТЭК России

Защита информации в государственных информационных системах (ГИС) является обязательным требованием законодательства Российской Федерации. В 2025 году регуляторная база претерпела значительные изменения: на смену приказу ФСТЭК России от 11.02.2013 № 17 пришел новый документ — приказ ФСТЭК России от 11.04.2025 № 117.

Данная статья предназначена для специалистов по информационной безопасности, руководителей заказчиков и операторов ГИС. Она поможет разобраться в актуальных требованиях, сравнить старые и новые нормы и предложит пошаговый алгоритм действий по аттестации.

1. Нормативная база: что изменилось?

До 2025 года основным документом, регламентирующим защиту ГИС, являлся приказ ФСТЭК России № 17. С вступлением в силу приказа ФСТЭК России № 117 требования были актуализированы с учетом современных угроз, развития ИТ-инфраструктуры и новых технологий (включая искусственный интеллект).

Ключевые документы, регулирующие процесс:

1. Приказ ФСТЭК России от 11.04.2025 № 117 «Требования о защите информации, содержащейся в государственных информационных системах…» (основной документ).
2. Приказ ФСТЭК России от 11.02.2013 № 17 (действует для систем, не перешедших на новые требования, или в части, не противоречащей № 117).
3. Методический документ ФСТЭК России от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации…» (детализирует меры для приказа № 117).
4. Методический документ ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах» (детализирует меры для приказа № 17).
5. Приказ ФСТЭК России от 18.02.2013 № 21 (если в ГИС обрабатываются персональные данные).
6. Приказ ФСТЭК России от 29.04.2021 № 77 (Порядок аттестации объектов информатизации).
7. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
8. Постановление Правительства РФ от 01.11.2012 № 1119 (требования к защите персональных данных).

2. Классификация информационной системы

Первый этап работы — определение класса защищенности системы. От этого зависит набор мер защиты и строгость требований.

По приказу № 117 (актуально)

Класс защищенности определяется на основе Уровня Значимости информации (УЗ) и Масштаба системы.

Уровень значимости (УЗ)	Федеральный масштаб	Региональный масштаб	Объектовый масштаб
УЗ 1 (Высокий)	К1	К1	К1
УЗ 2 (Средний)	К1	К2	К2
УЗ 3 (Низкий)	К2	К3	К3

• УЗ 1 устанавливается, если возможен существенный ущерб или система не сможет выполнять функции.
• УЗ 2 — умеренные последствия или невозможность выполнения хотя бы одной функции.
• УЗ 3 — незначительные последствия.
• Масштаб определяется территорией действия (вся РФ, субъект РФ или конкретный объект/организация).

Важно: Приказ № 117 устанавливает 3 класса защищенности (К1, К2, К3). В отличие от него, реализация приказа № 17 через Методический документ 2014 года предполагала 4 класса (К1–К4). При переходе на № 117 необходимо пересмотреть классификацию.

Действия оператора:

1. Проанализировать обрабатываемую информацию и оценить возможный ущерб (конфиденциальность, целостность, доступность).
2. Определить масштаб системы.
3. Оформить Акт классификации (утверждается руководителем оператора).

3. Моделирование угроз

На основе класса защищенности и структуры системы разрабатывается Модель угроз безопасности информации (МУБ).

• Источник данных: Банк данных угроз безопасности информации (БДУ) ФСТЭК России.
• Содержание: Описание системы, актуальные угрозы, модель нарушителя, возможные уязвимости.
• Методическая основа: Методика оценки угроз безопасности информации, утв. ФСТЭК России 05.02.2021.
• Требование № 117: В ходе эксплуатации должен быть обеспечен поиск признаков актуальных угроз и их приоритизация.

4. Выбор и реализация мер защиты

Меры защиты выбираются из базового набора, соответствующего классу защищенности, и адаптируются под конкретную систему.

Основные группы мер (согласно Методическому документу 2026 г.):

1. Идентификация и аутентификация (включая строгую аутентификацию для привилегированных пользователей).
2. Управление доступом (разграничение прав, учетные записи).
3. Регистрация событий безопасности (аудит, хранение логов).
4. Защита виртуализации и облачных вычислений (если применяются).
5. Защита веб-технологий и API.
6. Антивирусная защита и обнаружение вторжений.
7. Защита от атак типа «Отказ в обслуживании» (DDoS).
8. Защита при использовании искусственного интеллекта (новое требование № 117).

Ключевые отличия требований № 117 от № 17:

• Уязвимости: Критические уязвимости должны устраняться в срок не более 24 часов, высокого уровня опасности — не более 7 календарных дней (п. 38 Приказа № 117).
• Мониторинг: Введены требования к показателям защищенности (Кзи) и зрелости (Пзи). Отчеты направляются в ФСТЭК.
• ИИ: Запрещена передача информации ограниченного доступа разработчикам моделей ИИ для их улучшения. Требуется контроль запросов и ответов ИИ.
• DDoS: Обязательное взаимодействие с ГосСОПКА и Центром мониторинга сети связи общего пользования.

Если обрабатываются персональные данные (ПДн)

Согласно п. 5 Приказа № 117 и п. 5 Приказа № 17, требования по защите ПДн (Постановление № 1119 и Приказ № 21) применяются наряду с требованиями для ГИС.

Дополнительные ресурсы по ПДн:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
• Реестр операторов, осуществляющих обработку персональных данных
• Базовая модель угроз безопасности персональных данных (ФСТЭК, 2008)
• Методика определения актуальных угроз безопасности ПДн (ФСТЭК, 2008)

• Меры защиты ГИС 1 класса обеспечивают 1–4 уровни защищенности ПДн.
• Меры защиты ГИС 2 класса обеспечивают 2–4 уровни защищенности ПДн.
• Меры защиты ГИС 3 класса обеспечивают 3–4 уровни защищенности ПДн.

5. Пошаговое руководство к аттестации

Аттестация ГИС обязательна до начала обработки информации (п. 65 Приказа № 117).

Шаг 1. Организационная подготовка

• Назначить ответственных за защиту информации (структурное подразделение или специалисты).
• Утвердить политику безопасности, внутренние стандарты и регламенты.
• Определить границы системы и подлежащие защите компоненты.

Шаг 2. Проектирование системы защиты

• Разработать Техническое задание (ТЗ) на создание системы защиты информации (СЗИ).
• Выбрать сертифицированные средства защиты информации (СЗИ) нужного класса (для К1 — не ниже 4 класса, для К2 — не ниже 5 класса, для К3 — 6 класса защиты).
• Спроектировать архитектуру СЗИ с учетом мер из Методического документа 2026 г..

Шаг 3. Внедрение и настройка

• Установить и настроить СЗИ в соответствии с эксплуатационной документацией.
• Реализовать организационные меры (инструкции, журналы, приказы).
• Провести анализ уязвимостей и устранить их (соблюдая сроки 24ч/7 дней).

Шаг 4. Предварительные испытания

• Проверить работоспособность СЗИ.
• Убедиться, что меры блокируют актуальные угрозы из Модели угроз.
• Подготовить комплект документов для аттестации (Акт классификации, МУБ, Технический паспорт, Руководства администратора/пользователя, Организационно-распорядительные документы).

Шаг 5. Аттестационные испытания

Проводятся аттестационной организацией (имеющей лицензию ФСТЭК) или комиссией оператора (в случаях, предусмотренных Порядком № 77).

Нормативная база аттестации:

• Положение по аттестации объектов информатизации по требованиям безопасности информации
• Порядок проведения сертификации (Приказ ФСТЭК России от 01.12.2023 № 240)

• Методы: Экспертно-документальный, анализ уязвимостей, тестирование на проникновение.
• Результат: Протоколы испытаний, Заключение, Аттестат соответствия.

Шаг 6. Ввод в эксплуатацию

• Издать приказ о вводе ГИС в эксплуатацию.
• Начать мониторинг безопасности и регулярный контроль уровня защищенности (не реже 1 раза в 3 года или после инцидента).

6. Типичные ошибки при аттестации

1. Неверная классификация: Занижение уровня значимости информации ведет к выбору недостаточного класса защиты и отказу в аттестации.
2. Отсутствие актуализации: Модель угроз и документы не обновляются при изменении инфраструктуры системы.
3. Игнорирование ПДн: Если в ГИС есть хотя бы один интерфейс ввода ПДн, требования Приказа № 21 должны быть учтены в полном объеме.
4. Формальный подход к уязвимостям: Несоблюдение сроков устранения критических уязвимостей (24 часа по № 117) является нарушением.
5. Неполный комплект документов: Отсутствие внутренних регламентов или инструкций пользователей часто становится причиной замечаний аттестаторов.

7. Контроль после аттестации

Аттестат выдается на весь срок эксплуатации, но поддержание соответствия — обязанность оператора.

• Мониторинг: Сбор и анализ событий безопасности (п. 49 Приказа № 117). Итоговый отчет за год направляется в ФСТЭК.
• Контроль защищенности: Проводится не реже 1 раза в 3 года (п. 67 Приказа № 117). Отчет также направляется в ФСТЭК в течение 5 рабочих дней.
• Обновление: СЗИ должны поддерживаться разработчиками на территории РФ (п. 71 Приказа № 117).

Актуальные информационные сообщения ФСТЭК:

• Информационное сообщение ФСТЭК России от 14.04.2026 № 240/22/2457
• Информационное сообщение ФСТЭК России от 26.04.2024 № 240/24/1958

Заключение

Переход на требования приказа ФСТЭК России № 117 требует от операторов ГИС пересмотра существующих систем защиты. Основные акценты смещаются на оперативное управление уязвимостями, непрерывный мониторинг и защиту новых технологических стеков (веб, облака, ИИ).

Своевременная классификация, грамотное проектирование СЗИ и соблюдение регламентов обновления позволят успешно пройти аттестацию и обеспечить легитимную эксплуатацию государственной информационной системы.

---

Данная статья носит информационный характер. При реализации мер защиты рекомендуется руководствоваться полными текстами нормативных правовых актов и методических документов ФСТЭК России:

• Официальный сайт ФСТЭК России — раздел «Документы»
• Сайт Роскомнадзора
• КонсультантПлюс — Федеральное законодательство