Новый приказ ФСТЭК России № 117: обзор и отличия от приказа № 17

С 1 марта 2026 года вступает в законную силу приказ ФСТЭК России от 11.04.2025 №117 (зарегистрирован Минюстом России 16.06.2025 № 82619). Документ вводит обновленные требования к защите информации, обрабатываемой в государственных информационных системах (ГИС), а также в иных информационных системах, используемых государственными учреждениями.

Что именно меняется в подходах к защите данных и к чему готовиться владельцам систем? Разбираемся в нововведениях.

Новый нормативный акт замещает собой приказ ФСТЭК России от 11.02.2013 №17, действовавший более 12 лет. Необходимость пересмотра требований продиктована стремительным развитием технологий, возникновением принципиально новых классов угроз, а также стремлением к унификации подходов к обеспечению защиты. Ключевое изменение — переход от статичных мер к непрерывному и измеряемому процессу управления информационной безопасностью.

Ключевые изменения

Расширение области действия

Новый приказ ФСТЭК России № 117 существенно расширяет область действия. Если раньше основные требования касались лишь ГИС, то теперь они охватывают все без исключения системы, используемые в работе госорганов, бюджетных и унитарных предприятий. Это позволяет устранить прежнюю правовую коллизию, когда уровень защиты разных систем внутри одного ведомства мог серьезно отличаться. Важное новшество приказа № 117: обеспечить сохранность данных теперь должны и владельцы информсистем, которые лишь взаимодействуют с ГИС или получают от них информацию. Таким организациям следует внимательно разобраться в нововведениях и уже сейчас начинать планировать работы по усилению защиты собственных ресурсов.

Хорошая новость для организаций: аттестаты, полученные на ГИС и иные системы до 1 марта 2026 года, остаются действительными. Но есть важный нюанс: если вы планируете вносить изменения в состав или функционал ИС, систему защиты придется дорабатывать под новые стандарты. Поэтому к модернизациям ИС теперь нужно подходить с особой тщательностью — любые нововведения потребуют пересмотра защитных мер и переаттестации.

Процессный подход к защите информации

Приказ ФСТЭК России № 117 подразумевает переход к системной работе с непрерывным циклом защиты. Оценивать эффективность безопасности предстоит количественно — через показатель защищенности (КЗИ) и качественно — через уровень зрелости (ПЗИ), руководствуясь утвержденными ФСТЭК методиками. График отчетности становится жестче: данные о защищенности необходимо обновлять раз в полгода, а уровень зрелости пересматривать каждые два года. Отчетные документы по этим расчетам направляются во ФСТЭК в течение пяти рабочих дней. Дополнительно вводится требование ежегодно формировать отчет по результатам мониторинга состояния информационной безопасности.

Новое понятие — мероприятия

Новый приказ ФСТЭК России № 117 вводит понятие «мероприятия», которое структурирует требования по защите информации применительно к конкретным бизнес-процессам.

Так, в рамках приказа № 117 детально регламентируются требования для следующих направлений:

• реализация доступа пользователей к информационным ресурсам;
• эксплуатация мобильных устройств в рабочих процессах;
• осуществление операций по хранению, обработке и обращению с данными;
• организация беспроводного доступа к ИС;
• а также иные процессы, влияющие на состояние защищенности информации.

Требования к персоналу

Новый приказ ФСТЭК России от 11.04.2025 № 117 вводит обязательные требования к команде специалистов по защите информации. В организации должно быть создано структурное подразделение или назначено ответственное лицо, за которыми будут закреплены обязанности и полномочия по обеспечению информационной безопасности. Все функции и права сотрудников и их руководителей (в случае создания подразделения) необходимо четко прописать в должностных регламентах и положении о подразделении. Особое внимание уделено квалификации: при создании подразделения не менее трети (30%) персонала этого отдела должны иметь диплом по специальности «Информационная безопасность» или удостоверение о профпереподготовке в этой области. 

Внедрение новых норм в приказе № 117 заставит многие компании и их внешних исполнителей пересмотреть состав и квалификацию своих ИБ-специалистов.

Использование искусственного интеллекта

Впервые в практике регулятора (ФСТЭК России) введены специальные нормы, касающиеся использования искусственного интеллекта. Отсылка к Национальной стратегии развития ИИ закрепляет приоритет доверенных технологий. При интеграции технологий искусственного интеллекта в информационные системы необходимо гарантированно предотвратить риски нерегламентированного вмешательства ИИ в конфигурацию собственной модели, а также в рабочие алгоритмы и функционирование ИС в целом.

Отдельно приказ ФСТЭК России № 117 регламентирует порядок взаимодействия пользователей с ИИ-сервисами при выполнении служебных обязанностей (через механизм запроса-ответа).

Установлены следующие нормативы:

а) Для сценария со строго формализованными шаблонами:

• фиксируются утвержденные шаблоны пользовательских запросов к ИИ с обеспечением контроля их соблюдения;
• аналогично определяются шаблоны генерируемых ИИ ответов, соответствие которым контролируется оператором (владельцем информации).

б) Для сценария со свободной текстовой формой:

• устанавливается перечень допустимых тематик запросов с последующим мониторингом их соблюдения;
• закрепляются форматы ответов, привязанные к разрешенным тематикам, с обеспечением контроля их соблюдения.

в) Разрабатываются статистические метрики, позволяющие идентифицировать недостоверные ответы ИИ для их последующей аккумуляции и анализа;

г) Внедряется механизм реагирования на выявленные некорректные ответы, предполагающий сужение области принятия решений и/или блокировку реализации функций ИС, основанных на таких ответах.

Привилегированный доступ

Приказ ФСТЭК России № 117 закрепляет нормативное определение привилегированного доступа — это возможность пользователя читать, запускать, изменять, записывать или удалять программы и данные в ИС. Для такого доступа устанавливаются строгие требования: он должен быть защищен строгой аутентификацией, а если технически применить ее невозможно, то усиленной многофакторной аутентификацией.

Встроенные привилегированные учетные записи после завершения настройки системы (в соответствии с внутренними регламентами по ИБ) следует либо отключать, либо, если отключение невозможно, переименовывать. Все действия по доступу пользователей с использованием привилегированных учетных записей подлежат регистрации.

Новые требования к аутентификации

Новый приказ ФСТЭК России № 117 вводит термин «строгая аутентификация» (определение дано в ГОСТ Р 58833-2020). Строгая аутентификация — это многофакторная взаимная аутентификация с использованием криптографических протоколов аутентификации. 

Когда без строгой аутентификации теперь не обойтись:

• при работе с информацией через мобильные устройства (смартфоны, планшеты);
• при удаленном подключении к ИС (из внешних сетей);
• при использовании привилегированных учетных записей (с расширенными правами).

Разработка безопасного программного обеспечения

Если организация самостоятельно разрабатывает программное обеспечение для ГИС, она обязана руководствоваться разделами 4 и 5 ГОСТ Р 56939-2024, реализуя предусмотренные там меры защиты. Когда же разработка ведется силами подрядчика, заказчик может прописать в техническом задании необходимость следовать тому же ГОСТу для разработки безопасного ПО и обеспечения безопасности процесса разработки. 

Мониторинг информационной безопасности

Процедуры мониторинга информационной безопасности реализуются в строгом соответствии с разделами 4 и 5 национального стандарта ГОСТ Р 59547-2021. 

Комплекс мероприятий по мониторингу охватывает:

• сбор информации о событиях, связанных с безопасностью;
• обработку и анализ полученных данных;
• обнаружение признаков, свидетельствующих о реализации угроз безопасности информации либо о нарушениях внутренних политик и регламентов защиты информации. 

Отдельное требование приказа № 117 касается внешнего взаимодействия. Владелец ИС обязан обеспечить сопряжение с ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак), а также настроить автоматизированный обмен информацией с Центром мониторинга и управления сетью связи общего пользования.

Управление уязвимостями

Приказ ФСТЭК России № 117 предъявляет более строгие требования к процессу управления уязвимостями. Он должен включать:

• обнаружение уязвимостей в ИС;
• категорирование их по степени критичности;
• выбор методов нейтрализации и расстановку приоритетов;
• мониторинг и проверку факта устранения.

В приказе № 117 установлены четкие сроки реагирования:

• Критические уязвимости — не более 24 часов.
• Уязвимости высокого уровня опасности — до 7 дней.
• Уязвимости среднего и низкого уровня — в сроки, установленные внутренними документами организации.

При выполнении обновлений компонентов информационной системы должны быть обеспечены проверки подлинности и целостности обновлений. Также необходимо обеспечить проведение тестирования обновлений до их применения.

Как подготовиться к новым требованиям приказа ФСТЭК России № 117

• Инвентаризация информационных активов

Составьте перечень информационных систем, которые подпадают под новые требования. Перечень расширился, поэтому проведите ревизию не только ГИС, но и связанные с ними системы.

• Анализ кадрового потенциала

Проверьте квалификацию сотрудников по информационной безопасности на соответствие новым нормативам. Если знаний не хватает — организуйте профессиональную переподготовку действующих специалистов или доукомплектуйте штат.

• Оценка действующей системы защиты

Проверьте, соответствуют ли текущие меры защиты новым требованиям. Если есть пробелы — привлеките компанию, у которой есть лицензия ФСТЭК и необходимые компетенции для приведения системы в требуемое состояние.

• Актуализация локальной нормативной базы

Обновите внутренние документы: политики кибербезопасности, стандарты, регламенты, должностные инструкции. Руководствуйтесь перечнем процессов и требований, зафиксированных в приказе.

• Ревизия договоров с партнерами

Проверьте договоры с подрядчиками. В первую очередь с теми, у кого есть доступ к ГИС или обрабатываемой в них информации. Добавьте в условия требования по обеспечению безопасности данных и ответственность за нарушение.

• Планирование изменений с учетом методических указаний

Модернизируйте систему защиты ИС в соответствии с методическими рекомендациями ФСТЭК. Проект документа уже опубликован, но внедрение изменений следует начинать только после его утверждения. Дождитесь финальной версии.

• Проведение аттестационных испытаний

Любые изменения в составе информационной системы или ее подсистемы защиты требуют подтверждения эффективности. После изменений организуйте проверку, чтобы официально удостоверить соответствие объекта установленным требованиям.