Приказ ФСТЭК № 117: как выполнить новые требования к защите ГИС
С 1 марта 2026 года вступает в силу Приказ ФСТЭК России №117, который заменяет действовавший ранее Приказ №17 и существенно меняет подход к защите информации в государственных и муниципальных информационных системах - от разовых мер к непрерывному контролю.
Если раньше требования в большей степени описывали перечень мер защиты, которые необходимо реализовать, то новый документ переводит информационную безопасность в режим постоянного управляемого процесса. Защита информации должна стать измеримой, контролируемой и встроенной в жизненный цикл информационных систем.
Изменения связаны с развитием ИТ-инфраструктуры: организации активно используют облачные технологии, удалённый доступ, мобильные рабочие места, контейнерные среды, API и микросервисные архитектуры. Все эти факторы увеличивают поверхность атаки и требуют нового подхода к обеспечению безопасности.
Приказ №117 вводит более строгие требования к технической защите, управлению уязвимостями, мониторингу безопасности и взаимодействию с подрядчиками. Для многих организаций это означает необходимость пересмотреть архитектуру ИТ-инфраструктуры и систему информационной безопасности.
Разберёмся, кого касается новый приказ и какие изменения он приносит.
Содержание:
Если раньше требования в большей степени описывали перечень мер защиты, которые необходимо реализовать, то новый документ переводит информационную безопасность в режим постоянного управляемого процесса. Защита информации должна стать измеримой, контролируемой и встроенной в жизненный цикл информационных систем.
Изменения связаны с развитием ИТ-инфраструктуры: организации активно используют облачные технологии, удалённый доступ, мобильные рабочие места, контейнерные среды, API и микросервисные архитектуры. Все эти факторы увеличивают поверхность атаки и требуют нового подхода к обеспечению безопасности.
Приказ №117 вводит более строгие требования к технической защите, управлению уязвимостями, мониторингу безопасности и взаимодействию с подрядчиками. Для многих организаций это означает необходимость пересмотреть архитектуру ИТ-инфраструктуры и систему информационной безопасности.
Разберёмся, кого касается новый приказ и какие изменения он приносит.
Содержание:
Команда редакторов "Гладиаторы ИБ"
Дата публикации: 28.03.2026
Время прочтения 8 минут
Время прочтения 8 минут
О чем и для кого приказ ФСТЭК № 117
Приказ ФСТЭК №117 устанавливает требования к защите информации в государственных и муниципальных информационных системах, а также в информационных системах организаций, которые работают с данными государственных систем.
Ранее требования распространялись в основном на операторов официально зарегистрированных государственных информационных систем (ГИС). Новый приказ существенно расширяет область регулирования.
Теперь требования распространяются на:
Фактически под действие приказа попадает большая часть ИТ-инфраструктуры государственного сектора, а также системы подрядчиков и партнеров, которые работают с государственными данными.
Исключение составляют системы специальных служб, высших органов власти и отдельные системы оборонного назначения.
Таким образом, новый приказ формирует единый стандарт защиты информации для всей цифровой инфраструктуры государственного сектора. Это позволяет унифицировать подходы к информационной безопасности и снизить риски утечек данных.
Для бизнеса это означает, что компании, работающие с государственными заказчиками, также должны учитывать требования приказа при разработке и эксплуатации информационных систем.
Ранее требования распространялись в основном на операторов официально зарегистрированных государственных информационных систем (ГИС). Новый приказ существенно расширяет область регулирования.
Теперь требования распространяются на:
- государственные органы
- муниципальные органы власти
- государственные учреждения
- унитарные предприятия
- организации, которые получают данные из государственных информационных систем
Фактически под действие приказа попадает большая часть ИТ-инфраструктуры государственного сектора, а также системы подрядчиков и партнеров, которые работают с государственными данными.
Исключение составляют системы специальных служб, высших органов власти и отдельные системы оборонного назначения.
Таким образом, новый приказ формирует единый стандарт защиты информации для всей цифровой инфраструктуры государственного сектора. Это позволяет унифицировать подходы к информационной безопасности и снизить риски утечек данных.
Для бизнеса это означает, что компании, работающие с государственными заказчиками, также должны учитывать требования приказа при разработке и эксплуатации информационных систем.
Изменения ФСТЭК №117: новые требования к защите ИТ-инфраструктуры в 2026 году
Приказ №117 вводит ряд принципиально новых требований, которые затрагивают как техническую архитектуру систем, так и процессы управления информационной безопасностью.
Одним из ключевых изменений является расширение зоны ответственности организаций. Теперь требования распространяются не только на официальные государственные информационные системы, но и на любые информационные системы, которые используются государственными организациями или взаимодействуют с ними.
Одним из ключевых изменений является расширение зоны ответственности организаций. Теперь требования распространяются не только на официальные государственные информационные системы, но и на любые информационные системы, которые используются государственными организациями или взаимодействуют с ними.
Расширение области регулирования
Как мы уже упоминали выше, одним из заметных изменений стало расширение сферы применения требований.
Если раньше требования распространялись в основном на государственные информационные системы (ГИС), то теперь под регулирование попадают и другие системы, используемые государственными структурами.
В частности, требования распространяются на:
Последний пункт особенно важен - это означает, что даже инфраструктура подрядчиков или интеграторов, работающих с государственными данными, может попадать под действие приказа.
Фактически формируется единый контур безопасности для всей цифровой инфраструктуры государственного сектора.
Если раньше требования распространялись в основном на государственные информационные системы (ГИС), то теперь под регулирование попадают и другие системы, используемые государственными структурами.
В частности, требования распространяются на:
- информационные системы государственных органов
- системы государственных учреждений
- системы государственных унитарных предприятий
- муниципальные информационные системы
- и даже системы, взаимодействующие с государственными информационными системами
Последний пункт особенно важен - это означает, что даже инфраструктура подрядчиков или интеграторов, работающих с государственными данными, может попадать под действие приказа.
Фактически формируется единый контур безопасности для всей цифровой инфраструктуры государственного сектора.
Переход к процессному управлению безопасностью
Одним из ключевых нововведений приказа №117 является внедрение процессного подхода к защите информации.
Ранее безопасность часто воспринималась как набор мероприятий: установка средств защиты, разработка документов и проведение аттестации системы. Новый приказ требует выстраивания непрерывного цикла управления безопасностью.
Теперь система защиты должна включать:
Этот подход соответствует международным стандартам управления информационной безопасностью (например, ISO 27001) и предполагает постоянный анализ угроз и корректировку мер защиты.
Таким образом, информационная безопасность перестает быть формальным требованием и становится частью управленческих процессов организации.
Ранее безопасность часто воспринималась как набор мероприятий: установка средств защиты, разработка документов и проведение аттестации системы. Новый приказ требует выстраивания непрерывного цикла управления безопасностью.
Теперь система защиты должна включать:
- планирование мер безопасности
- внедрение мер защиты
- регулярную оценку состояния безопасности
- постоянное совершенствование системы защиты
Этот подход соответствует международным стандартам управления информационной безопасностью (например, ISO 27001) и предполагает постоянный анализ угроз и корректировку мер защиты.
Таким образом, информационная безопасность перестает быть формальным требованием и становится частью управленческих процессов организации.
Новые требования к архитектуре ИТ-инфраструктуры
Приказ №117 впервые учитывает современные архитектурные модели информационных систем.
Ранее многие нормативные документы ориентировались на традиционные корпоративные инфраструктуры. Однако сегодня организации активно используют:
В новом приказе появляются требования к защите таких технологических сред. Например, должны быть реализованы механизмы защиты контейнерных платформ, веб-сервисов и интерфейсов программного взаимодействия.
Это означает, что безопасность должна внедряться не только на уровне инфраструктуры, но и на уровне архитектуры приложений и сервисов.
Ранее многие нормативные документы ориентировались на традиционные корпоративные инфраструктуры. Однако сегодня организации активно используют:
- облачные технологии
- контейнерные среды
- микросервисную архитектуру
- API-интеграции
- мобильные приложения
- системы искусственного интеллекта
В новом приказе появляются требования к защите таких технологических сред. Например, должны быть реализованы механизмы защиты контейнерных платформ, веб-сервисов и интерфейсов программного взаимодействия.
Это означает, что безопасность должна внедряться не только на уровне инфраструктуры, но и на уровне архитектуры приложений и сервисов.
Усиление требований к мониторингу и реагированию на инциденты
В новой редакции требований особое внимание уделяется операционному управлению безопасностью.
Организации обязаны внедрять системы мониторинга информационной безопасности, позволяющие отслеживать события безопасности и выявлять инциденты.
Также вводятся конкретные требования к управлению уязвимостями. Например, устанавливаются сроки устранения уязвимостей в зависимости от уровня риска.
Для критических уязвимостей срок устранения может составлять до 24 часов, а для уязвимостей высокого уровня — до нескольких дней.
Это означает, что организации должны иметь:
Фактически информационная безопасность переходит в режим постоянной операционной готовности.
Организации обязаны внедрять системы мониторинга информационной безопасности, позволяющие отслеживать события безопасности и выявлять инциденты.
Также вводятся конкретные требования к управлению уязвимостями. Например, устанавливаются сроки устранения уязвимостей в зависимости от уровня риска.
Для критических уязвимостей срок устранения может составлять до 24 часов, а для уязвимостей высокого уровня — до нескольких дней.
Это означает, что организации должны иметь:
- процессы управления уязвимостями
- системы мониторинга событий безопасности
- процедуры реагирования на инциденты
Фактически информационная безопасность переходит в режим постоянной операционной готовности.
Появление измеримых показателей безопасности
Новый приказ вводит механизм оценки эффективности системы защиты информации.
Теперь организации должны регулярно проводить оценку состояния защиты информации и рассчитывать специальные показатели.
Основные из них:
Расчет показателя защищенности должен проводиться не реже одного раза в полгода, а оценка зрелости процессов — с определенной периодичностью.
Такая модель позволяет регулятору оценивать не только наличие мер защиты, но и их реальную эффективность.
Теперь организации должны регулярно проводить оценку состояния защиты информации и рассчитывать специальные показатели.
Основные из них:
- показатель защищенности системы
- показатель зрелости процессов безопасности
Расчет показателя защищенности должен проводиться не реже одного раза в полгода, а оценка зрелости процессов — с определенной периодичностью.
Такая модель позволяет регулятору оценивать не только наличие мер защиты, но и их реальную эффективность.
Требования к персоналу и организационной структуре
Приказ №117 усиливает требования к кадровому обеспечению информационной безопасности.
Организации должны обеспечить наличие специалистов, отвечающих за защиту информации, и закрепить их обязанности в должностных инструкциях или трудовых договорах.
Кроме того, повышаются требования к квалификации сотрудников, участвующих в обеспечении безопасности информационных систем.
Информационная безопасность становится отдельной функцией управления, а не дополнительной задачей ИТ-подразделения.
Организации должны обеспечить наличие специалистов, отвечающих за защиту информации, и закрепить их обязанности в должностных инструкциях или трудовых договорах.
Кроме того, повышаются требования к квалификации сотрудников, участвующих в обеспечении безопасности информационных систем.
Информационная безопасность становится отдельной функцией управления, а не дополнительной задачей ИТ-подразделения.
Контроль работы подрядчиков
Еще одно важное изменение связано с работой подрядчиков.
Если внешние организации участвуют в разработке, эксплуатации или сопровождении информационных систем, требования информационной безопасности должны распространяться и на них.
Это означает, что:
Несмотря на привлечение внешних специалистов, ответственность за защиту информации по-прежнему несет оператор информационной системы.
Если внешние организации участвуют в разработке, эксплуатации или сопровождении информационных систем, требования информационной безопасности должны распространяться и на них.
Это означает, что:
- требования безопасности должны быть закреплены в договорах
- подрядчики должны соблюдать политики информационной безопасности заказчика
- доступ подрядчиков к системам должен контролироваться
Несмотря на привлечение внешних специалистов, ответственность за защиту информации по-прежнему несет оператор информационной системы.
Усиление требований к средствам защиты информаци
Приказ №117 сохраняет обязательность использования сертифицированных средств защиты информации, однако усиливает требования к их применению.
Средства защиты должны соответствовать уровню защищенности информационной системы и обеспечивать защиту от актуальных угроз.
В инфраструктуре могут использоваться:
Кроме того, возрастает роль централизованных систем мониторинга и анализа событий безопасности.
Средства защиты должны соответствовать уровню защищенности информационной системы и обеспечивать защиту от актуальных угроз.
В инфраструктуре могут использоваться:
- межсетевые экраны
- системы обнаружения вторжений
- системы мониторинга безопасности
- средства криптографической защиты
- средства защиты рабочих станций
Кроме того, возрастает роль централизованных систем мониторинга и анализа событий безопасности.
Что необходимо сделать для выполнения новых требований ФСТЭК
Вступление в силу приказа №117 требует от организаций комплексной подготовки. Для соответствия новым требованиям необходимо провести анализ существующей инфраструктуры и процессов безопасности.
Первым шагом обычно становится аудит информационных систем. Организации необходимо определить, какие системы подпадают под действие приказа, какие данные они обрабатывают и какие меры защиты уже реализованы.
На основе результатов аудита проводится классификация информационных систем и определяется уровень защищенности. Это позволяет определить набор технических и организационных мер безопасности, которые необходимо внедрить.
Следующим этапом является разработка или актуализация модели угроз безопасности информации. Этот документ описывает возможные сценарии атак, уязвимости системы и меры, которые должны предотвращать такие угрозы.
После этого необходимо реализовать комплекс мер технической защиты. В инфраструктуре должны быть внедрены средства защиты информации, соответствующие требованиям ФСТЭК. В зависимости от архитектуры системы это могут быть межсетевые экраны, системы обнаружения вторжений, системы мониторинга безопасности и средства криптографической защиты.
Особое внимание следует уделить процессам мониторинга и реагирования на инциденты. Организация должна иметь возможность оперативно выявлять инциденты информационной безопасности, расследовать их и принимать меры по предотвращению повторения.
Не менее важным направлением является управление уязвимостями. Системы должны регулярно проверяться на наличие уязвимостей, а выявленные проблемы должны устраняться в установленные сроки.
Новые требования также затрагивают процессы разработки программного обеспечения. Безопасность должна учитываться на всех этапах жизненного цикла системы — от проектирования и разработки до эксплуатации и модернизации.
Отдельное внимание уделяется взаимодействию с подрядчиками. Если подрядчики получают доступ к информационным системам или данным организации, требования информационной безопасности должны быть закреплены в договорах и регламентах работы.
Важно понимать, что ответственность за безопасность информации остаётся за оператором системы, даже если часть работ выполняется внешними подрядчиками.
Первым шагом обычно становится аудит информационных систем. Организации необходимо определить, какие системы подпадают под действие приказа, какие данные они обрабатывают и какие меры защиты уже реализованы.
На основе результатов аудита проводится классификация информационных систем и определяется уровень защищенности. Это позволяет определить набор технических и организационных мер безопасности, которые необходимо внедрить.
Следующим этапом является разработка или актуализация модели угроз безопасности информации. Этот документ описывает возможные сценарии атак, уязвимости системы и меры, которые должны предотвращать такие угрозы.
После этого необходимо реализовать комплекс мер технической защиты. В инфраструктуре должны быть внедрены средства защиты информации, соответствующие требованиям ФСТЭК. В зависимости от архитектуры системы это могут быть межсетевые экраны, системы обнаружения вторжений, системы мониторинга безопасности и средства криптографической защиты.
Особое внимание следует уделить процессам мониторинга и реагирования на инциденты. Организация должна иметь возможность оперативно выявлять инциденты информационной безопасности, расследовать их и принимать меры по предотвращению повторения.
Не менее важным направлением является управление уязвимостями. Системы должны регулярно проверяться на наличие уязвимостей, а выявленные проблемы должны устраняться в установленные сроки.
Новые требования также затрагивают процессы разработки программного обеспечения. Безопасность должна учитываться на всех этапах жизненного цикла системы — от проектирования и разработки до эксплуатации и модернизации.
Отдельное внимание уделяется взаимодействию с подрядчиками. Если подрядчики получают доступ к информационным системам или данным организации, требования информационной безопасности должны быть закреплены в договорах и регламентах работы.
Важно понимать, что ответственность за безопасность информации остаётся за оператором системы, даже если часть работ выполняется внешними подрядчиками.
Заключение
Приказ ФСТЭК №117 существенно меняет подход к защите государственных информационных систем. Информационная безопасность становится непрерывным управляемым процессом, который должен охватывать всю ИТ-инфраструктуру организации.
Для многих компаний выполнение новых требований означает необходимость пересмотреть архитектуру систем, внедрить новые средства защиты и выстроить процессы управления безопасностью.
Эксперты Гладиаторов Информационной Безопасности помогают организациям подготовиться к выполнению требований ФСТЭК №117. Мы проводим аудит информационных систем, помогаем определить уровень защищенности, разрабатываем модели угроз и проекты систем защиты информации.
Кроме того, специалисты компании помогают подобрать и внедрить сертифицированные средства защиты, а также выстроить процессы мониторинга и реагирования на инциденты.
Такой подход позволяет привести инфраструктуру в соответствие требованиям регуляторов и обеспечить надежную защиту данных.
Для многих компаний выполнение новых требований означает необходимость пересмотреть архитектуру систем, внедрить новые средства защиты и выстроить процессы управления безопасностью.
Эксперты Гладиаторов Информационной Безопасности помогают организациям подготовиться к выполнению требований ФСТЭК №117. Мы проводим аудит информационных систем, помогаем определить уровень защищенности, разрабатываем модели угроз и проекты систем защиты информации.
Кроме того, специалисты компании помогают подобрать и внедрить сертифицированные средства защиты, а также выстроить процессы мониторинга и реагирования на инциденты.
Такой подход позволяет привести инфраструктуру в соответствие требованиям регуляторов и обеспечить надежную защиту данных.
Хочу составить стратегию безопасности для компании!
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности