Думаете, как защитить бизнес от киберугроз?
Свяжитесь с экспертами «Инфо-Трейдинг», чтобы выстроить защиту под задачи
вашего бизнеса.
вашего бизнеса.
Оставьте заявку, чтобы не пропустить анонс
Отправим уведомление с выгодными
условиями для ранних клиентов.
Обещаем — никакого спама.
условиями для ранних клиентов.
Обещаем — никакого спама.
Оставить заявку
/ Учебный центр
Приказ ФСТЭК № 117: требования, изменения и подготовка к 2026 году
Разбираем ключевые нововведения, риски несоответствия и пошаговый план внедрения для государственных и коммерческих систем.
Введение
С 1 марта 2026 года вступает в силу приказ ФСТЭК № 117, который заменяет действующий более 10 лет приказ № 17.
На практике это означает не обновление требований, а переход к новой модели защиты информации: с фиксированными сроками, измеримыми показателями и регулярным контролем.
Теперь недостаточно «формально соответствовать» —система либо проходит проверку, либо не может эксплуатироваться.
Особенно это касается организаций, которые работают с государственными информационными системами или получают данные из них. Даже если вы коммерческая компания, требования могут распространяться и на вас.
На практике это означает не обновление требований, а переход к новой модели защиты информации: с фиксированными сроками, измеримыми показателями и регулярным контролем.
Теперь недостаточно «формально соответствовать» —система либо проходит проверку, либо не может эксплуатироваться.
Особенно это касается организаций, которые работают с государственными информационными системами или получают данные из них. Даже если вы коммерческая компания, требования могут распространяться и на вас.
Почему это важно уже сейчас
Новый приказ вводит три принципиальных изменения:
Фиксированные сроки реагирования
Критические уязвимости должны устраняться в течение 24 часов.
Критические уязвимости должны устраняться в течение 24 часов.
Появление метрик
Показатели защищенности (Кзи) и зрелости (Пзи) нужно рассчитывать и передавать в ФСТЭК.
Показатели защищенности (Кзи) и зрелости (Пзи) нужно рассчитывать и передавать в ФСТЭК.
Требования к команде
Не менее 30% сотрудников ИБ должны иметь профильное образование.
Не менее 30% сотрудников ИБ должны иметь профильное образование.
Если вы думаете: «У нас ещё достаточно времени, успеем» — вы рискуете ровно до того момента, как ФСТЭК начнёт принимать первые отчёты по новой форме.
Что изменится с введением приказа ФСТЭК № 117
Новый приказ ФСТЭК № 117 закрепляет переход к более управляемой и проверяемой модели информационной безопасности.
Среди ключевых изменений:
— устанавливаются регламентированные сроки обработки уязвимостей (в том числе для критических)
— вводятся показатели защищенности (Кзи) и зрелости процессов (Пзи)
— уточняются требования к квалификации сотрудников, обеспечивающих защиту информации
— усиливаются требования к управлению доступом и разграничению ролей
— формализуются требования к работе с подрядчиками
— вводятся дополнительные условия при использовании технологий ИИ
— уточняются требования к защите инфраструктуры, включая противодействие DDoS
В совокупности это означает переход от декларативных требований к системной проверке устойчивости процессов.
Среди ключевых изменений:
— устанавливаются регламентированные сроки обработки уязвимостей (в том числе для критических)
— вводятся показатели защищенности (Кзи) и зрелости процессов (Пзи)
— уточняются требования к квалификации сотрудников, обеспечивающих защиту информации
— усиливаются требования к управлению доступом и разграничению ролей
— формализуются требования к работе с подрядчиками
— вводятся дополнительные условия при использовании технологий ИИ
— уточняются требования к защите инфраструктуры, включая противодействие DDoS
В совокупности это означает переход от декларативных требований к системной проверке устойчивости процессов.
Кого касается приказ ФСТЭК №117
Обязательное применение
Приказ распространяется на:
— государственные информационные системы (ГИС)
— информационные системы органов власти
— государственные учреждения и унитарные предприятия
— муниципальные системы
Приказ распространяется на:
— государственные информационные системы (ГИС)
— информационные системы органов власти
— государственные учреждения и унитарные предприятия
— муниципальные системы
Государственных информационных систем (ГИС) — любых, где обрабатывается информация органов власти.
Информационных систем госорганов — министерств, ведомств, администраций.
Государственных унитарных предприятий (ГУП) и государственных учреждений (даже если вы оказываете платные услуги, но учредитель — государство).
Муниципальных информационных систем — если в вашем регионе не приняли иных правил.
Если ваша компания получает данные из госсистемы (например, через СМЭВ, Госуслуги, любые межведомственные запросы) — ваша система автоматически должна соответствовать тем же требованиям, что и госорганы.
Когда требования затрагивают коммерческие компании
В ряде случаев требования приказа ФСТЭК № 117 распространяются и на коммерческие организации.
Это возможно, если компания:
— взаимодействует с государственными информационными системами
— получает или обрабатывает данные, предоставленные государственными органами
— интегрирована с государственными сервисам и (например, через API или межведомственные системы)
— выполняет работы или оказывает услуги для государственных заказчиков
В таких ситуациях требования к защите информации могут устанавливаться обладателем данных и должны соблюдаться на стороне получателя.
Это возможно, если компания:
— взаимодействует с государственными информационными системами
— получает или обрабатывает данные, предоставленные государственными органами
— интегрирована с государственными сервисам и (например, через API или межведомственные системы)
— выполняет работы или оказывает услуги для государственных заказчиков
В таких ситуациях требования к защите информации могут устанавливаться обладателем данных и должны соблюдаться на стороне получателя.
Кто в зоне риска
Фин тех и банки
- Получаете данные из ФНС, Росфинмониторинга, ЦБ?
- Используете сведения из ЕГРЮЛ/ЕГРИП для идентификации клиентов?
- Ваша система считается «информационной системой, взаимодействующей с ГИС»?
Маркетплейсы и интернет-магазины
- Интегрированы с Госуслугами для упрощённой авторизации?
- Проверяете паспортные данные через официальные сервисы МВД?
- Получаете сведения о самозанятых через ФНС?
Медицинские клиники (даже частные)
- Работаете с полисами ОМС или ДМС, которые обмениваются данными с госфондами?
- Передаёте данные в Росздравнадзор?
- Интегрированы с ЕГИСЗ?
Любые компании, которые:
- Получают выписки из госреестров
- Проверяют контрагентов через официальные сервисы
- Используют данные ЗАГС, Росреестра, ФССП
- Работают с госзаказчиками и получают от них данные
Что это означает на практике
Если организация обрабатывает информацию, полученную из государственных систем, ей необходимо:
— обеспечить защиту этой информации в соответствии с установленными требованиями
— учитывать класс защищенности, определенный владельцем данных
— внедрить процессы управления уязвимостями и обновлениями
— обеспечить контроль доступа и действий пользователей
— быть готовой подтвердить соответствие при проверках
При этом правовой статус организации (государственная или коммерческая) не является определяющим — ключевым фактором является характер обрабатываемых данных.
Пример из практики
Коммерческая компания (финтех-сервис) использовала интеграцию с государственными системами для проверки статуса клиентов через API.
Организация не относила себя к субъектам, подпадающим под требования ФСТЭК, и выстраивала защиту по внутренним стандартам, без учета специфики обрабатываемых данных.
В ходе проверки было установлено, что компания получает и хранит информацию, поступающую из государственной информационной системы, но не обеспечивает ее защиту в соответствии с установленными требованиями.
В результате:
— выдано предписание об устранении нарушений
— ограничена эксплуатация отдельных компонентов системы до устранения несоответствий
— потребовалось срочное внедрение дополнительных мер защиты и пересмотр архитектуры
Основная проблема заключалась не в отсутствии защиты как таковой, а в неверной оценке применимости требований.
— обеспечить защиту этой информации в соответствии с установленными требованиями
— учитывать класс защищенности, определенный владельцем данных
— внедрить процессы управления уязвимостями и обновлениями
— обеспечить контроль доступа и действий пользователей
— быть готовой подтвердить соответствие при проверках
При этом правовой статус организации (государственная или коммерческая) не является определяющим — ключевым фактором является характер обрабатываемых данных.
Пример из практики
Коммерческая компания (финтех-сервис) использовала интеграцию с государственными системами для проверки статуса клиентов через API.
Организация не относила себя к субъектам, подпадающим под требования ФСТЭК, и выстраивала защиту по внутренним стандартам, без учета специфики обрабатываемых данных.
В ходе проверки было установлено, что компания получает и хранит информацию, поступающую из государственной информационной системы, но не обеспечивает ее защиту в соответствии с установленными требованиями.
В результате:
— выдано предписание об устранении нарушений
— ограничена эксплуатация отдельных компонентов системы до устранения несоответствий
— потребовалось срочное внедрение дополнительных мер защиты и пересмотр архитектуры
Основная проблема заключалась не в отсутствии защиты как таковой, а в неверной оценке применимости требований.
Ключевые требования
приказа ФСТЭК №117
приказа ФСТЭК №117
01
Управление уязвимостями
- Вводятся регламентированные сроки устранения уязвимостей в зависимости от их уровня критичности.
- Для критических уязвимостей устанавливаются минимальные сроки реагирования (в отдельных случаях — до 24 часов).
- При невозможности устранения в срок должны применяться компенсирующие меры с соответствующим обоснованием.
02
Показатели Кзи и Пзи
Организация должна:
— рассчитывать показатель защищенности (Кзи)
— оценивать зрелость процессов защиты (Пзи)
— фиксировать результаты и учитывать их при управлении безопасностью
Указанные показатели используются для оценки состояния защиты и могут быть предоставлены при проверках или по запросу уполномоченных органов.
Организация должна:
— рассчитывать показатель защищенности (Кзи)
— оценивать зрелость процессов защиты (Пзи)
— фиксировать результаты и учитывать их при управлении безопасностью
Указанные показатели используются для оценки состояния защиты и могут быть предоставлены при проверках или по запросу уполномоченных органов.
03
Требования к персоналу
Устанавливаются требования к квалификации сотрудников, обеспечивающих защиту информации.
В том числе — к наличию профильного образования или дополнительной профессиональной подготовки у части специалистов.
Устанавливаются требования к квалификации сотрудников, обеспечивающих защиту информации.
В том числе — к наличию профильного образования или дополнительной профессиональной подготовки у части специалистов.
04
Управление доступом
Требуется:
— ограничение использования встроенных учетных записей
— разграничение ролей и полномочий
— применение усиленной аутентификации для привилегированных пользователей
— контроль действий пользователей
Требуется:
— ограничение использования встроенных учетных записей
— разграничение ролей и полномочий
— применение усиленной аутентификации для привилегированных пользователей
— контроль действий пользователей
05
Работа с подрядчиками
Деятельность подрядчиков должна быть регламентирована:
— использование изолированных сред разработки и тестирования
— ограничение доступа к рабочим системам
— закрепление требований информационной безопасности в договорах
Деятельность подрядчиков должна быть регламентирована:
— использование изолированных сред разработки и тестирования
— ограничение доступа к рабочим системам
— закрепление требований информационной безопасности в договорах
06
Использование технологий ИИ
При использовании систем на базе ИИ необходимо:
— контролировать обработку информации
— исключать передачу защищенных данных в процессы обучения без оснований
— учитывать риски недостоверных результатов
При использовании систем на базе ИИ необходимо:
— контролировать обработку информации
— исключать передачу защищенных данных в процессы обучения без оснований
— учитывать риски недостоверных результатов
07
Инфраструктурные требования
Уточняются требования к размещению и использованию средств защиты, включая:
— противодействие DDoS-атакам
— взаимодействие с государственными системами мониторинга и реагирования
Уточняются требования к размещению и использованию средств защиты, включая:
— противодействие DDoS-атакам
— взаимодействие с государственными системами мониторинга и реагирования
Риски несоответствия требованиям приказа ФСТЭК №117
Основной риск — не административные санкции, а ограничения на эксплуатацию системы.
Ситуация
Последствие
Система не соответствует требованиям
Не получите аттестат соответствия
Нет аттестата
Систему нельзя вводить в эксплуатацию
Система работает без аттестата
Нарушение закона, предписание об остановке
Утечка данных из-за устаревшей защиты
Уголовная ответственность для ответственных лиц
Для организаций, связанных с государственными процессами, это может означать срыв контрактов и операционные потери.
Как подготовиться к приказу
ФСТЭК №117
ФСТЭК №117
01
Первичный аудит
— определить источники данных
— выявить взаимодействие с государственными системами
— зафиксировать текущую архитектуру
— определить источники данных
— выявить взаимодействие с государственными системами
— зафиксировать текущую архитектуру
02
Классификация и оценка
— определить класс защищенности
— сопоставить текущие меры с требованиями
— выявить разрывы
— определить класс защищенности
— сопоставить текущие меры с требованиями
— выявить разрывы
03
Организация процессов
— разработать или актуализировать политику ИБ
— внедрить управление уязвимостями
— настроить процессы контроля доступа
— разработать или актуализировать политику ИБ
— внедрить управление уязвимостями
— настроить процессы контроля доступа
04
Техническая реализация
— внедрить необходимые средства защиты
— настроить мониторинг и учет событий
— обеспечить соответствие инфраструктуры
— внедрить необходимые средства защиты
— настроить мониторинг и учет событий
— обеспечить соответствие инфраструктуры
05
Контроль и подготовка к проверке
— рассчитать Кзш и Пзн
— провести внутреннюю проверку
— подготовить подтверждающие материалы
— рассчитать Кзш и Пзн
— провести внутреннюю проверку
— подготовить подтверждающие материалы
Частые вопросы
Когда вступает в силу приказ ФСТЭК №117?
С 1 марта 2026 года
С 1 марта 2026 года
Обязан ли бизнес соответствовать приказу?
В ряде случаев — да, если компания взаимодействует с государственными системами или обрабатывает данные, полученные от них.
В ряде случаев — да, если компания взаимодействует с государственными системами или обрабатывает данные, полученные от них.
Нужно ли проводить аудит?
Да. Аудит — базовый этап, позволяющий определить применимость требований и объем необходимых изменений.
Да. Аудит — базовый этап, позволяющий определить применимость требований и объем необходимых изменений.
Что будет при несоответствии?
Возможны ограничения эксплуатации системы, предписания об устранении нарушений и необходимость срочных доработок.
Возможны ограничения эксплуатации системы, предписания об устранении нарушений и необходимость срочных доработок.
Что можно сделать уже сейчас
Рациональный первый шаг — понять, распространяются ли требования приказа № 117 на вашу систему и в каком объёме.
Для этого достаточно:
— проанализировать источники данных
— оценить взаимодействие с государственными системами
— зафиксировать текущий уровень защиты
На этом этапе уже становится понятен масштаб работ и возможные риски.
Если вам нужна экспертная оценка — можно начать с первичного аудита.
Это позволяет определить реальные требования, избежать лишних затрат и выстроить план подготовки без аврального внедрения.
Для этого достаточно:
— проанализировать источники данных
— оценить взаимодействие с государственными системами
— зафиксировать текущий уровень защиты
На этом этапе уже становится понятен масштаб работ и возможные риски.
Если вам нужна экспертная оценка — можно начать с первичного аудита.
Это позволяет определить реальные требования, избежать лишних затрат и выстроить план подготовки без аврального внедрения.
Заключение
Приказ ФСТЭК № 117 закрепляет переход к модели, в которой информационная безопасность оценивается не по наличию документов, а по реальному состоянию процессов и системы защиты.
Подготовка требует времени: необходимо провести аудит, выстроить процессы и внедрить технические меры.
Организации, которые начнут работу заранее, смогут распределить нагрузку и бюджет.
Те, кто отложит подготовку, с высокой вероятностью столкнутся с необходимостью срочных и более затратных изменений.
Подготовка требует времени: необходимо провести аудит, выстроить процессы и внедрить технические меры.
Организации, которые начнут работу заранее, смогут распределить нагрузку и бюджет.
Те, кто отложит подготовку, с высокой вероятностью столкнутся с необходимостью срочных и более затратных изменений.
Вам может быть интересно
Приказ ФСТЭК № 117 — пошаговый план действий
Рассказываем, кто попадает под требования, какие штрафы и риски, сколько стоит аудит, аттестация
и внедрение. Пошаговый план действий и чек-лист для руководителя.
204
