Думаете, как защитить бизнес от киберугроз?
Свяжитесь с экспертами «Инфо-Трейдинг», чтобы выстроить защиту под задачи
вашего бизнеса.
вашего бизнеса.
Оставьте заявку, чтобы не пропустить анонс
Отправим уведомление с выгодными
условиями для ранних клиентов.
Обещаем — никакого спама.
условиями для ранних клиентов.
Обещаем — никакого спама.
Оставить заявку
/ Учебный центр
Приказ ФСТЭК № 117: требования, изменения и подготовка к 2026 году
Разбираем ключевые нововведения, риски несоответствия и пошаговый план внедрения для государственных и коммерческих систем.
Введение
С 1 марта 2026 года вступает в силу приказ ФСТЭК № 117, который заменяет действующий более 10 лет приказ № 17.
На практике это означает не обновление требований, а переход к новой модели защиты информации: с фиксированными сроками, измеримыми показателями и регулярным контролем.
Теперь недостаточно «формально соответствовать» —система либо проходит проверку, либо не может эксплуатироваться.
Особенно это касается организаций, которые работают с государственными информационными системами или получают данные из них. Даже если вы коммерческая компания, требования могут распространяться и на вас.
На практике это означает не обновление требований, а переход к новой модели защиты информации: с фиксированными сроками, измеримыми показателями и регулярным контролем.
Теперь недостаточно «формально соответствовать» —система либо проходит проверку, либо не может эксплуатироваться.
Особенно это касается организаций, которые работают с государственными информационными системами или получают данные из них. Даже если вы коммерческая компания, требования могут распространяться и на вас.
Почему это важно уже сейчас
Новый приказ вводит три принципиальных изменения:
Фиксированные сроки реагирования
Критические уязвимости должны устраняться в течение 24 часов.
Критические уязвимости должны устраняться в течение 24 часов.
Появление метрик
Показатели защищенности (Кзи) и зрелости (Пзи) нужно рассчитывать и передавать в ФСТЭК.
Показатели защищенности (Кзи) и зрелости (Пзи) нужно рассчитывать и передавать в ФСТЭК.
Требования к команде
Не менее 30% сотрудников ИБ должны иметь профильное образование.
Не менее 30% сотрудников ИБ должны иметь профильное образование.
Если вы думаете: «У нас ещё достаточно времени, успеем» — вы рискуете ровно до того момента, как ФСТЭК начнёт принимать первые отчёты по новой форме.
Что изменится с введением приказа ФСТЭК № 117
Новый приказ ФСТЭК № 117 закрепляет переход к более управляемой и проверяемой модели информационной безопасности.
Среди ключевых изменений:
— устанавливаются регламентированные сроки обработки уязвимостей (в том числе для критических)
— вводятся показатели защищенности (Кзи) и зрелости процессов (Пзи)
— уточняются требования к квалификации сотрудников, обеспечивающих защиту информации
— усиливаются требования к управлению доступом и разграничению ролей
— формализуются требования к работе с подрядчиками
— вводятся дополнительные условия при использовании технологий ИИ
— уточняются требования к защите инфраструктуры, включая противодействие DDoS
В совокупности это означает переход от декларативных требований к системной проверке устойчивости процессов.
Среди ключевых изменений:
— устанавливаются регламентированные сроки обработки уязвимостей (в том числе для критических)
— вводятся показатели защищенности (Кзи) и зрелости процессов (Пзи)
— уточняются требования к квалификации сотрудников, обеспечивающих защиту информации
— усиливаются требования к управлению доступом и разграничению ролей
— формализуются требования к работе с подрядчиками
— вводятся дополнительные условия при использовании технологий ИИ
— уточняются требования к защите инфраструктуры, включая противодействие DDoS
В совокупности это означает переход от декларативных требований к системной проверке устойчивости процессов.
Кого касается приказ ФСТЭК №117
Обязательное применение
Приказ распространяется на:
— государственные информационные системы (ГИС)
— информационные системы органов власти
— государственные учреждения и унитарные предприятия
— муниципальные системы
Приказ распространяется на:
— государственные информационные системы (ГИС)
— информационные системы органов власти
— государственные учреждения и унитарные предприятия
— муниципальные системы
Государственных информационных систем (ГИС) — любых, где обрабатывается информация органов власти.
Информационных систем госорганов — министерств, ведомств, администраций.
Государственных унитарных предприятий (ГУП) и государственных учреждений (даже если вы оказываете платные услуги, но учредитель — государство).
Муниципальных информационных систем — если в вашем регионе не приняли иных правил.
Если ваша компания получает данные из госсистемы (например, через СМЭВ, Госуслуги, любые межведомственные запросы) — ваша система автоматически должна соответствовать тем же требованиям, что и госорганы.
Что это означает на практике
Если организация обрабатывает информацию, полученную из государственных систем, ей необходимо:
— обеспечить защиту этой информации в соответствии с установленными требованиями
— учитывать класс защищенности, определенный владельцем данных
— внедрить процессы управления уязвимостями и обновлениями
— обеспечить контроль доступа и действий пользователей
— быть готовой подтвердить соответствие при проверках
При этом правовой статус организации (государственная или коммерческая) не является определяющим — ключевым фактором является характер обрабатываемых данных.
Пример из практики
Коммерческая компания (финтех-сервис) использовала интеграцию с государственными системами для проверки статуса клиентов через API.
Организация не относила себя к субъектам, подпадающим под требования ФСТЭК, и выстраивала защиту по внутренним стандартам, без учета специфики обрабатываемых данных.
В ходе проверки было установлено, что компания получает и хранит информацию, поступающую из государственной информационной системы, но не обеспечивает ее защиту в соответствии с установленными требованиями.
В результате:
— выдано предписание об устранении нарушений
— ограничена эксплуатация отдельных компонентов системы до устранения несоответствий
— потребовалось срочное внедрение дополнительных мер защиты и пересмотр архитектуры
Основная проблема заключалась не в отсутствии защиты как таковой, а в неверной оценке применимости требований.
— обеспечить защиту этой информации в соответствии с установленными требованиями
— учитывать класс защищенности, определенный владельцем данных
— внедрить процессы управления уязвимостями и обновлениями
— обеспечить контроль доступа и действий пользователей
— быть готовой подтвердить соответствие при проверках
При этом правовой статус организации (государственная или коммерческая) не является определяющим — ключевым фактором является характер обрабатываемых данных.
Пример из практики
Коммерческая компания (финтех-сервис) использовала интеграцию с государственными системами для проверки статуса клиентов через API.
Организация не относила себя к субъектам, подпадающим под требования ФСТЭК, и выстраивала защиту по внутренним стандартам, без учета специфики обрабатываемых данных.
В ходе проверки было установлено, что компания получает и хранит информацию, поступающую из государственной информационной системы, но не обеспечивает ее защиту в соответствии с установленными требованиями.
В результате:
— выдано предписание об устранении нарушений
— ограничена эксплуатация отдельных компонентов системы до устранения несоответствий
— потребовалось срочное внедрение дополнительных мер защиты и пересмотр архитектуры
Основная проблема заключалась не в отсутствии защиты как таковой, а в неверной оценке применимости требований.