Введение: Новый этап в регулировании информационной безопасности
Апрель 2025 года стал поворотным моментом для российской системы обеспечения информационной безопасности. Федеральная служба по техническому и экспортному контролю утвердила приказ №117, который устанавливает обновленные требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий и государственных учреждений. Документ вступает в силу 1 марта 2026 года и официально заменяет приказ ФСТЭК России от 11 февраля 2013 года №17. Для специалистов, руководителей организаций, сотрудников подразделений информационной безопасности и внешних подрядчиков это не просто формальное обновление нормативной базы. Это фундаментальная перестройка всей архитектуры защиты информации, переход от статической сертификационной модели к динамической системе управления рисками, непрерывного мониторинга и измеримой эффективности.
На протяжении более десяти лет приказ №17 служил базовым документом, регламентирующим защиту информации в государственных и смежных системах. За это время цифровая инфраструктура России претерпела колоссальные изменения: появились облачные платформы, контейнерные среды, системы искусственного интеллекта, расширился удаленный доступ, усложнились цепочки поставок программного обеспечения, возросла частота и изощренность компьютерных атак. Старый документ, разработанный в условиях иной технологической и угрозной реальности, уже не мог в полной мере отражать современные вызовы. Приказ №117 создан как ответ на эти вызовы. Он сохраняет преемственность в части базовых принципов защиты, но радикально меняет подходы к классификации систем, организационному управлению, контролю конфигураций, работе с уязвимостями, взаимодействию с третьими лицами, а также вводит новые технологические разделы, которых ранее не существовало в нормативном регулировании.
В этой статье я последовательно разберу каждый аспект нового документа, сравню его с предыдущей версией, покажу, как требования трансформируются в реальные бизнес-процессы, и предоставлю детальные практические инструменты для приведения инфраструктуры в соответствие к 1 марта 2026 года. Материал ориентирован на широкую аудиторию: от технических специалистов и администраторов до руководителей, юристов и специалистов по комплаенсу. Все выводы базируются строго на тексте приказа №117, актуальных методических позициях регулятора и проверенных практиках внедрения. Я исключил любые предположения, не подтвержденные документом, и сосредоточился на том, что действительно важно для практической работы в 2026 году.
Глава 1. Архитектурный сдвиг: от приказа №17 к приказу №117
Переход от приказа №17 к приказу №117 нельзя назвать эволюционным. Это структурная революция в подходах к регулированию. Если старый документ фокусировался преимущественно на технических средствах защиты и классах защищенности, привязанных к категориям обрабатываемой информации, то новый документ выстраивает целостную систему управления защитой информации на всех этапах жизненного цикла информационных систем.
Ключевые различия можно сгруппировать по нескольким направлениям. Во-первых, изменился объект регулирования. Приказ №117 явно распространяется не только на государственные информационные системы, но и на иные информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений. Это закрывает прежние пробелы в толковании и исключает ситуацию, когда отдельные государственные структуры пытались обосновать неприменимость требований к своим внутренним системам. Во-вторых, документ четко разделяет защиту некриптографическими методами и криптографическими средствами, прямо указывая, что шифровальные средства регулируются отдельными требованиями ФСБ России, а приказ №117 охватывает именно организационные и технические меры некритпографической защиты. В-третьих, введена обязательность применения требований на всех стадиях: создание, развитие, модернизация, эксплуатация и вывод из эксплуатации. Ранее многие организации ограничивались защитой только на этапе ввода в эксплуатацию, игнорируя процессы сопровождения и модернизации.
Еще одним фундаментальным отличием является переход от пассивного соответствия к активному управлению. Приказ №17 подразумевал создание системы защиты и ее аттестацию, после чего многие организации считали задачу выполненной до следующей проверки. Приказ №117 требует непрерывного управления: регулярного расчета показателей защищенности, оценки уровня зрелости, мониторинга событий безопасности, своевременного устранения уязвимостей, обновления политик и регламентов, проведения тренировок и имитационных рассылок. Безопасность перестает быть проектом и становится процессом.
Субъектный состав требований также расширен. В документе четко прописаны роли руководителя оператора, ответственного лица, структурного подразделения или специалистов по защите информации, подразделений, использующих информационные системы, и подразделений, обеспечивающих эксплуатацию. Каждый из этих элементов несет конкретные обязанности, которые должны быть закреплены в должностных инструкциях, положениях о подразделениях и внутренних документах. Особое внимание уделено требованиям к квалификации персонала: не менее тридцати процентов работников структурного подразделения по защите информации должны иметь профильное образование в области информационной безопасности или пройти профессиональную переподготовку. Это прямое указание на то, что защита информации перестает быть задачей смежников и требует профильных компетенций.
Документ также четко определяет взаимодействие с подрядными организациями. Ранее многие организации передавали функции по разработке, сопровождению и администрированию систем внешним исполнителям без достаточного контроля. Приказ №117 устанавливает жесткие рамки: подрядчики должны быть ознакомлены с политикой защиты информации, их обязанности по соблюдению стандартов и регламентов должны быть закреплены в договорах, копирование информации запрещено, если иное не предусмотрено документами оператора, разработка и тестирование программного обеспечения непосредственно в эксплуатируемых системах не допускается, должны использоваться изолированные стенды. Эти требования формируют новую культуру взаимодействия в цепочке поставок услуг информационной безопасности.
Технологическое обновление документа также существенно. Введены разделы, касающиеся искусственного интеллекта, облачных вычислений, виртуализации, контейнерных сред и их оркестрации, технологий интернета вещей, защиты точек беспроводного доступа, удаленного доступа, привилегированных учетных записей, защиты сервисов электронной почты, веб-технологий, программных интерфейсов. Каждый из этих разделов содержит конкретные требования, а не общие формулировки. Например, при использовании искусственного интеллекта запрещена передача информации ограниченного доступа лицу, разработавшему модель, для улучшения ее функционирования. При взаимодействии с сервисами на основе искусственного интеллекта требуются шаблоны запросов и ответов, контроль соответствия тематикам, статистические критерии для выявления недостоверных ответов, реагирование на них. Это показывает, что регулятор не просто добавляет новые термины, а формирует работающие механизмы контроля для современных технологий.
Таким образом, архитектурный сдвиг заключается в переходе от списка требований к системе управления, от статической аттестации к непрерывному мониторингу, от технических средств к организационным процессам, от разрозненных мер к интегрированной защите на всех уровнях. Понимание этого сдвига является первым шагом к успешному переходу на новые требования.
Глава 2. Новая система классификации: К1, К2, К3, УЗ и масштаб
Одним из самых заметных изменений в приказе №117 является полностью переработанная система классификации защищенности информационных систем. Приказ №17 использовал четыре класса защищенности, которые определялись в зависимости от вида обрабатываемой информации и ее категории. Новая система вводит три класса: К1, К2, К3, где К1 является самым высоким, а К3 — самым низким. Класс защищенности определяется на основе двух параметров: уровня значимости информации и масштаба информационной системы.
Уровень значимости информации определяется в зависимости от степени возможных негативных последствий или ущерба для обладателя информации и оператора от нарушения конфиденциальности, целостности или доступности информации. Негативные последствия определяются в том числе на основе перечня, включенного в банк данных угроз безопасности информации ФСТЭК России. Степень ущерба классифицируется как высокая, средняя или низкая. Высокая степень означает возможные существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности, либо невозможность выполнения возложенных функций. Средняя степень означает умеренные негативные последствия или невозможность выполнения хотя бы одной из функций. Низкая степень означает незначительные последствия, выполнение функций с недостаточной эффективностью или необходимость привлечения дополнительных сил и средств.
На основе этих степеней определяется уровень значимости. УЗ1 устанавливается, если хотя бы для одного из свойств безопасности информации определена высокая степень ущерба. УЗ2 устанавливается, если хотя бы для одного свойства определена средняя степень ущерба и нет ни одного свойства с высокой степенью. УЗ3 устанавливается, если для всех свойств определены низкие степени ущерба. Для информации, отнесенной к информации ограниченного распространения с пометкой для служебного пользования, должен устанавливаться УЗ1. При обработке двух и более видов информации уровень значимости определяется отдельно для каждого вида, а итоговый устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности каждого вида.
Масштаб информационной системы определяется по территориальному признаку. Федеральный масштаб присваивается, если система предназначена для решения задач на всей территории Российской Федерации или в пределах двух и более субъектов. Региональный масштаб — в пределах одного субъекта. Объектовый масштаб — в пределах объекта одного государственного органа, муниципального образования или организации.
Класс защищенности определяется по таблице, связывающей уровень значимости и масштаб. УЗ1 при любом масштабе дает К1. УЗ2 при федеральном масштабе дает К1, при региональном и объектовом — К2. УЗ3 при федеральном масштабе дает К2, при региональном и объектовом — К3. Классы защищенности информационных систем, функционирующих на базе информационно-телекоммуникационной инфраструктуры, не должны быть выше класса защищенности этой инфраструктуры. Допускается присвоение отдельным сегментам информационной системы разных классов защищенности, при этом меры по защите принимаются в соответствии с присвоенными классами. Результаты классификации оформляются актом, который утверждается оператором. Класс защищенности подлежит пересмотру при изменении масштаба или значимости информации.
Практическое применение новой системы требует от организаций проведения детального анализа всех информационных систем. Необходимо выявить все обрабатываемые данные, оценить потенциальный ущерб от нарушения их конфиденциальности, целостности и доступности, определить масштаб системы, установить уровень значимости, присвоить класс защищенности, зафиксировать результаты в акте. Для систем, обрабатывающих различные виды данных, требуется поэлементный анализ и выбор наивысшего уровня значимости. Для систем, состоящих из сегментов, возможна дифференцированная классификация, что позволяет оптимизировать затраты на защиту, применяя строгие меры только к наиболее критичным сегментам.
Переход от старой системы к новой требует сопоставления прежних классов защищенности с новыми. Хотя прямой автоматической конвертации не предусмотрено, логика такова, что системы, ранее относимые к высшим классам защищенности, с высокой вероятностью попадут в К1, системы средней критичности — в К2, системы с низким уровнем критичности — в К3. Организациям следует провести аудит всех действующих систем, пересчитать классы по новым правилам, выявить расхождения, скорректировать модели угроз, обновить технические задания на средства защиты и перепланировать бюджет на реализацию мер.
Глава 3. Организационное управление: политики, стандарты, регламенты
Приказ №117 уделяет огромное внимание организационной составляющей защиты информации. Документ требует от оператора разработки и утверждения политики защиты информации, внутренних стандартов и внутренних регламентов. Эти три уровня документов формируют каркас системы управления безопасностью.
Политика защиты информации должна содержать область действия, включая перечень защищаемой информации, информационных систем, компонентов информационно-телекоммуникационной инфраструктуры, цели и задачи защиты, принципы защиты, перечни объектов защиты, категории лиц, участвующих в защите, их обязанности и полномочия, состав организационной системы управления и схему взаимодействия, ответственность работников за нарушение требований. Политика утверждается руководителем оператора или уполномоченным лицом и обязательна для исполнения всеми подразделениями и работниками в части, их касающейся. Подрядные организации должны быть ознакомлены с политикой в части, их касающейся, и обязанность по ее выполнению должна быть закреплена в документах, на основании которых предоставляется доступ или передается информация.
Внутренние стандарты по защите информации устанавливают требования к реализации мер защиты применительно к особенностям деятельности оператора и функционирования систем. Они должны содержать требования к первичной идентификации пользователей, модели доступа, перечень разрешенного и запрещенного программного обеспечения, типовые конфигурации и настройки средств защиты, конфигурации для доступа в сеть Интернет, требования к удаленному доступу и безопасной дистанционной работе, ограничения и запреты для пользователей, требования к защите конечных и мобильных устройств, требования к непрерывности функционирования, резервному копированию, сбору и анализу событий безопасности, защите при подключении иных систем. Стандарты утверждаются руководителем или ответственным лицом.
Внутренние регламенты по защите информации содержат порядок проведения мероприятий или описание реализуемых процессов. Они включают порядок создания, учета, изменения, блокирования, контроля и удаления учетных записей, привилегированных учетных записей, аутентификационной информации, порядок предоставления удаленного доступа, порядок и условия предоставления доступа подрядным организациям и работникам иных органов, порядок предоставления доступа в сеть Интернет, порядок повышения уровня знаний пользователей, порядок управления уязвимостями и обновлениями, порядок обработки информации ограниченного доступа, порядок физической защиты, порядок безопасной разработки программного обеспечения, порядок вывода сервисов в промышленную эксплуатацию, порядок мониторинга информационной безопасности, порядок восстановления штатного функционирования и тестирования процессов восстановления, порядок контроля уровня защищенности.
Организационная структура управления защитой информации должна быть четко определена. Руководитель оператора или ответственное лицо организует деятельность и управляет ею. Должны быть созданы или определены структурное подразделение или назначены специалисты по защите информации. Их функции и полномочия должны быть достаточными для организации деятельности и контроля. Подразделения, использующие информационные системы, и подразделения, обеспечивающие эксплуатацию, должны участвовать в проведении мероприятий в объеме, установленном в стандартах и регламентах. Структурное подразделение должно применять программные и программно-аппаратные средства для выявления угроз, обнаружения вторжений, контроля защищенности, мониторинга, выявления уязвимостей, контроля конфигураций, а также средства автоматизации и аналитической поддержки. Состав средств определяется во внутренних стандартах.
Управление деятельностью включает разработку и планирование мероприятий, их проведение, оценку состояния защиты и совершенствование мер. При планировании должны быть определены события, которые могут привести к нарушению целей защиты, информационные системы и средства, доступ к которым может нарушить цели, выявлены и оценены угрозы, определены состав и сроки мероприятий, оценены ресурсы. Мероприятия должны быть направлены на блокирование актуальных угроз в соответствии с целями защиты. Цели включают исключение утечки информации, предотвращение несанкционированного доступа, модификации, подмены, удаления, исключение отказа в обслуживании, недопущение использования систем не по назначению, исключение нарушения функционирования, недопущение распространения противоправной информации, обеспечение восстановления доступа и информации.
Оценка состояния защиты проводится на основе показателя защищенности Кзи и показателя уровня зрелости Пзи. Расчет и оценка Кзи проводятся не реже одного раза в шесть месяцев, Пзи — не реже одного раза в два года. При несоответствии нормированным значениям руководитель информируется в течение трех календарных дней для принятия решения о совершенствовании защиты. Результаты направляются в ФСТЭК России в срок не позднее пяти рабочих дней после расчета. По решению руководителя разрабатывается план мероприятий по совершенствованию защиты, указывающий наименования мероприятий, сроки, ответственных подразделений и работников. План утверждается и доводится до исполнителей. Результатом реализации должно быть достижение значений Кзи и Пзи не ниже нормированных.
Практическая реализация этих требований требует от организаций создания полноценной системы нормативных документов, распределения ролей, обеспечения доступа средств мониторинга и аналитики, внедрения процессов регулярной оценки и отчетности. Необходимо исключить формальный подход: документы должны быть рабочими, процессы — выполняемыми, метрики — измеряемыми, отчетность — своевременной.
Глава 4. Метрики эффективности: Кзи и Пзи как инструменты контроля
Введение показателей защищенности Кзи и уровня зрелости Пзи является одним из самых значимых нововведений приказа №117. Эти метрики переводят оценку состояния защиты информации из качественной плоскости в количественную, позволяя регулярно измерять эффективность принимаемых мер, выявлять отклонения и оперативно реагировать на них.
Показатель защищенности Кзи характеризует текущее состояние защиты информации от базового уровня угроз безопасности информации. Он отражает, насколько реализованные меры соответствуют требованиям, насколько система устойчива к известным угрозам, насколько закрыты уязвимости, насколько корректно настроены средства защиты. Расчет и оценка Кзи проводятся не реже одного раза в шесть месяцев. Это означает, что организация должна дважды в год проводить комплексную проверку состояния защиты, сопоставлять фактические показатели с нормативными, фиксировать расхождения.
Показатель уровня зрелости Пзи определяет достаточность и эффективность проведения мероприятий по защите информации. Он отражает, насколько процессы управления защитой выстроены, насколько они стабильны, насколько регулярно проводятся оценки, обновления, тренировки, мониторинг, насколько персонал обучен, насколько регламенты соблюдаются. Расчет и оценка Пзи проводятся не реже одного раза в два года. Это более редкая, но более глубокая оценка, направленная на анализ процессов, а не только технических средств.
Для определения значений и расчета Кзи и Пзи должны применяться методические документы ФСТЭК России. Это означает, что регулятор предоставляет единые методики, исключающие субъективность в расчетах. Организации должны использовать именно эти документы, а не разрабатывать собственные формулы. При несоответствии полученных значений нормированным значениям, указанным в методических документах, в течение трех календарных дней со дня завершения оценки информируется руководитель оператора или ответственное лицо для принятия решения о проведении мероприятий по совершенствованию защиты и принятии мер по повышению уровня защищенности. Результаты оценки направляются в ФСТЭК России в срок не позднее пяти рабочих дней после дня их расчета.
Такая система отчетности формирует прозрачную среду регулирования. Регулятор получает актуальные данные о состоянии защиты в отраслях и организациях, может выявлять системные проблемы, направлять методическую поддержку, формировать планы проверок. Для организаций это возможность своевременно выявлять слабые места, обосновывать бюджет на модернизацию, демонстрировать руководству эффективность инвестиций в безопасность, снижать риски компьютерных инцидентов.
Практическая работа с метриками требует создания процессов сбора данных, их обработки, расчета показателей, формирования отчетов, доведения информации до руководства, разработки планов корректирующих действий, контроля их выполнения. Необходимо автоматизировать сбор данных с систем мониторинга, средств защиты, журналов событий, систем управления уязвимостями, систем управления конфигурациями. Расчет показателей должен быть документирован, методы расчета — соответствовать методическим документам ФСТЭК. Отчетность должна быть своевременной, точной, проверяемой.
Важно понимать, что Кзи и Пзи не являются самоцелью. Их цель — повышение реальной защищенности. Если организация фокусируется только на достижении нормативных значений, игнорируя реальные угрозы и инциденты, система становится формальной. Если же метрики используются как инструмент управления рисками, они становятся мощным рычагом повышения безопасности.
Глава 5. Управление уязвимостями и обновлениями: жесткие сроки
Приказ №117 устанавливает четкие требования к управлению уязвимостями и обновлениями программных и программно-аппаратных средств. Эти требования направлены на минимизацию окна уязвимости, в течение которого система остается открытой для атак.
Мероприятия по управлению уязвимостями включают выявление уязвимостей, оценку их критичности, определение методов и приоритетов устранения, контроль за устранением. Устранение уязвимостей, которые могут быть использованы нарушителями, или исключение возможности их использования за счет применения компенсирующих мер должно проводиться в строгие сроки. В отношении уязвимостей критического уровня опасности — в срок не более двадцати четырех часов. В отношении уязвимостей высокого уровня опасности — в срок не более семи календарных дней. В отношении уязвимостей среднего и низкого уровней опасности сроки и порядок устранения определяются во внутреннем регламенте исходя из особенностей функционирования систем.
При выявлении уязвимостей, сведения о которых отсутствуют в банке данных угроз безопасности информации ФСТЭК России, оператор в срок не более пяти рабочих дней с даты выявления должен направить информацию об уязвимости в ФСТЭК для оценки необходимости включения ее в банк данных. Это требование формирует механизм обратной связи между организациями и регулятором, позволяя оперативно реагировать на новые угрозы.
Мероприятия по управлению обновлениями включают проверку подлинности и целостности обновлений, тестирование обновлений до их применения в контурах промышленной эксплуатации, выдачу разрешения подразделениям или работникам на применение обновлений с использованием безопасных настроек и конфигураций, установленных во внутренних стандартах. Бесконтрольная установка обновлений не допускается. Сроки применения обновлений, предназначенных для устранения уязвимостей, устанавливаются во внутреннем регламенте в зависимости от сроков устранения уязвимостей соответствующих уровней опасности и рисков, связанных с применением обновлений.
Практическая реализация этих требований требует от организаций создания процессов непрерывного мониторинга уязвимостей, автоматизированного сканирования систем, интеграции с базами данных уязвимостей, классификации уязвимостей по уровням опасности, планирования исправлений, тестирования обновлений в изолированных средах, согласования и утверждения разрешений на установку, контроля применения, документирования всех действий. Необходимо исключить ситуацию, когда обновления устанавливаются без проверки целостности, без тестирования, без согласования, что может привести к сбоям в промышленной эксплуатации.
Для уязвимостей критического уровня срок в двадцать четыре часа означает, что организация должна иметь готовые компенсирующие меры, такие как изоляция сегментов, блокировка портов, временное отключение сервисов, применение правил межсетевого экранирования, чтобы исключить возможность эксплуатации уязвимости до установки обновления. Это требует наличия автоматизированных систем реагирования, четких ролей и ответственности, тренировочных процедур.
Для уязвимостей высокого уровня срок в семь календарных дней позволяет провести более тщательное тестирование, подготовить план установки, согласовать изменения с бизнес-подразделениями, выполнить резервное копирование, но требует дисциплины и контроля сроков.
Управление обновлениями также требует контроля рисков, связанных с применением обновлений. Обновления могут содержать ошибки, могут быть несовместимы с существующим программным обеспечением, могут изменять конфигурации. Поэтому тестирование в изолированных средах является обязательным этапом. Выдача разрешения на применение должна быть документирована. Бесконтрольная установка запрещена.
Эти требования формируют зрелый процесс управления жизненным циклом программного обеспечения, минимизирующий риски, связанные с уязвимостями и нестабильными обновлениями.
Глава 6. Современные технологии: ИИ, облака, контейнеры, IoT
Приказ №117 впервые в истории нормативного регулирования в области защиты информации вводит прямые требования к современным технологиям, которые ранее регулировались только общими формулировками или отсутствовали в документах.
Искусственный интеллект регулируется в нескольких аспектах. Посредством мероприятий по обеспечению защиты информации при использовании искусственного интеллекта должна быть обеспечена возможность исключения несанкционированного доступа к информации или воздействия на системы, несанкционированного распространения и модификации информации, а также использования систем не по назначению за счет воздействия на наборы данных, применяемые модели искусственного интеллекта и их параметры, процессы и сервисы по обработке данных и поиску решений. Не допускается передача лицу, разработавшему модель искусственного интеллекта, информации ограниченного доступа, содержащейся в системах, в том числе для улучшения функционирования модели. Это требование защищает организации от утечки чувствительных данных в процессе обучения или дообучения моделей.
При взаимодействии пользователей с сервисами на основе искусственного интеллекта посредством направления запроса и получения ответа должны быть реализованы конкретные меры. При взаимодействии в формате строго заданных шаблонов запросов и ответов должны быть определены шаблоны запросов пользователей, направляемых в искусственный интеллект, и обеспечен контроль соответствия запросов установленным шаблонам; должны быть определены шаблоны ответов искусственного интеллекта и обеспечен контроль соответствия ответов установленным шаблонам. При взаимодействии в формате свободной текстовой формы должны быть определены допустимые тематики запросов и обеспечен контроль соответствия запросов допустимым тематикам; должны быть определены форматы ответов в соответствии с допустимыми тематиками и обеспечен контроль соответствия ответов установленным форматам и тематикам; должны быть разработаны статистические критерии для выявления недостоверных ответов для последующего сбора и анализа; должно быть обеспечено реагирование на недостоверные ответы посредством ограничения области принимаемых решений или реализации функций системы на основе недостоверных ответов. При использовании искусственного интеллекта или сервисов на его основе должно быть исключено нерегламентированное влияние искусственного интеллекта на параметры модели и на функционирование систем. Непосредственно в состав систем должны включаться доверенные технологии искусственного интеллекта или их компоненты.
Защита виртуализации и облачных вычислений, защита технологий контейнерных сред и их оркестрации включены в перечень базовых мер защиты. Это означает, что организации должны реализовывать меры по изоляции виртуальных машин, контролю доступа к гипервизорам, защите образов контейнеров, контролю оркестраторов, защите реестров образов, обеспечению безопасности сетевых политик контейнеров, защите управления кластерами. Конкретные требования раскрываются во внутренних стандартах и регламентах, а также в методических документах ФСТЭК.
Защита технологий интернета вещей включена в перечень базовых мер. Это требует от организаций реализации мер по защите устройств интернета вещей, контролю их подключения, защите каналов передачи данных, обеспечению аутентификации устройств, контролю обновлений прошивок, изоляции сетей интернета вещей от корпоративных сетей, мониторингу трафика устройств.
Эти требования показывают, что регулятор не игнорирует современные технологии, а формирует четкие рамки для их безопасного использования. Организациям необходимо оценить, какие из этих технологий используются в их инфраструктуре, определить классы защищенности соответствующих систем, разработать меры защиты, внедрить их, обеспечить мониторинг и контроль.
Глава 7. Доступы и сетевая безопасность: удаленный, беспроводной, привилегированный
Приказ №117 детально регулирует различные типы доступа к информационным системам, устанавливая требования к удаленному, беспроводному и привилегированному доступу.
Удаленный доступ пользователей должен обеспечиваться с исключением возможности несанкционированного доступа или воздействия к системам и программно-аппаратным средствам пользователей через каналы передачи данных, интерфейсы и порты. При удаленном доступе в целях выполнения обязанностей должны приниматься меры по защите систем, обеспечиваться защита каналов передачи данных и программно-аппаратных средств, с использованием которых осуществляется доступ, исключаться несанкционированный доступ к удаленно подключаемому средству пользователя. Удаленный доступ должен осуществляться с использованием программно-аппаратных средств, выделенных оператором и соответствующих требованиям. По согласованию со структурным подразделением по защите информации допускается предоставление удаленного доступа с использованием личных программно-аппаратных средств пользователя при условии применения сертифицированных средств обеспечения безопасной дистанционной работы, средств антивирусной защиты и иных средств защиты, исключающих угрозы, связанные с удаленным доступом. Удаленный доступ должен осуществляться с использованием сетей связи, расположенных на территории Российской Федерации, посредством применения средств защиты канала передачи данных и строгой аутентификации пользователей.
Беспроводной доступ должен обеспечиваться с исключением возможности несанкционированного доступа за счет несанкционированного подключения к точкам беспроводного доступа и доступа к беспроводным каналам передачи данных, подмены взаимодействующих средств или доступа к ним. При беспроводном доступе в целях выполнения обязанностей должны приниматься меры по защите систем, обеспечиваться защита беспроводных каналов и средств, с использованием которых осуществляется доступ. Посредством формирования конфигурации и настроек, уровней сигналов точек беспроводного доступа должна быть исключена возможность подключения к ним лиц, не имеющих прав доступа. Точки должны быть однозначно идентифицированы в системах, а также определены места их размещения. Точки и построенные на их основе беспроводные сети должны быть изолированы от беспроводных сетей, предназначенных для доступа в сеть Интернет и общедоступной информации оператора.
Привилегированный доступ должен обеспечиваться с исключением возможности получения доступа лицами, для которых такой доступ должен быть исключен, а также использования повышенных прав с нарушением внутренних стандартов и регламентов. Для получения привилегированного доступа должны быть созданы привилегированные учетные записи. Они должны иметь права доступа, минимально необходимые для выполнения обязанностей, в соответствии с принятыми моделями доступа. Привилегированные учетные записи, имеющие права по созданию других привилегированных учетных записей, должны быть персонифицированными. Привилегированный доступ должен осуществляться с применением строгой аутентификации, а в случае технической невозможности — с использованием усиленной многофакторной аутентификации. Не допускается объединение в рамках одной привилегированной учетной записи или одной группы ролей по системному администрированию, ролей по разработке и тестированию, ролей администраторов безопасности. Неиспользуемые привилегированные учетные записи должны быть заблокированы и удалены. Встроенные привилегированные учетные записи должны быть отключены или переименованы после завершения настройки. Аутентификационная информация встроенных записей должна быть изменена. Все действия по доступу с использованием привилегированных учетных записей подлежат регистрации.
Эти требования формируют строгую архитектуру контроля доступов. Удаленный доступ требует использования выделенных средств, защиты каналов, строгой аутентификации, ограничения географии сетей. Беспроводной доступ требует изоляции, идентификации точек, контроля сигналов. Привилегированный доступ требует минимальных прав, персонификации, строгой аутентификации, разделения ролей, блокировки неиспользуемых записей, отключения встроенных записей, регистрации действий. Организациям необходимо пересмотреть текущие политики доступов, внедрить многофакторную аутентификацию, разделить роли, настроить изоляцию сетей, обеспечить мониторинг привилегированных сессий, документировать все процедуры.
Глава 8. Работа с подрядчиками и цепочка поставок
Приказ №117 устанавливает жесткие требования к взаимодействию с подрядными организациями, которые получают доступ к информационным системам или содержащейся в них информации для оказания услуг, проведения работ по обработке, хранению информации, созданию, развитию, обеспечению эксплуатации систем, а также для выполнения работ по защите информации.
Организации, которым предоставляется доступ, должны быть ознакомлены с политикой защиты информации в части, их касающейся. Обязанность подрядной организации по выполнению политики должна быть определена в документах оператора, на основании которых передается информация или предоставляется доступ. Внутренние стандарты и регламенты по защите информации доводятся до подрядных организаций в части, их касающейся. Обязанность подрядной организации по выполнению стандартов и регламентов должна быть определена в документах оператора.
Посредством проведения мероприятий по защите информации при взаимодействии с подрядными организациями должна быть исключена возможность несанкционированного доступа или воздействий на системы и информацию через взаимодействующие средства подрядных организаций или каналы передачи данных и интерфейсы, используемые для доступа. Оператором должны быть установлены требования по обеспечению защиты информации, к которой получен доступ. Не допускается копирование подрядными организациями информации, к которой им предоставлен доступ, если такое копирование не предусмотрено в документах оператора. В информационных системах, отдельных средствах подрядных организаций, в которых осуществляются обработка и хранение полученной информации, должны быть приняты меры по защите информации. Состав информации, цели ее защиты и классы защищенности, в соответствии с которыми подрядными организациями должны быть приняты меры, устанавливаются оператором на основании требований во внутренних стандартах и регламентах.
Разработка и тестирование программного обеспечения подрядными организациями непосредственно в эксплуатируемых информационных системах оператора не допускается. Для проведения работ по разработке и тестированию работникам подрядных организаций должен быть предоставлен доступ к выделенным для проведения таких работ стендам разработки и тестирования, которые должны быть изолированы от эксплуатируемых систем. Контроль доступа подрядных организаций к стендам должен осуществляться в соответствии с внутренними регламентами.
Эти требования формируют культуру безопасного взаимодействия. Подрядчики не могут действовать бесконтрольно, не могут копировать информацию без разрешения, не могут разрабатывать и тестировать программное обеспечение в промышленных системах. Оператор обязан установить требования, закрепить их в договорах, обеспечить изоляцию стендов, контролировать доступ. Практическая реализация требует от организаций создания процессов управления доступом подрядчиков, контроля использования информации, аудита стендов, проверки соответствия мер защиты, документирования всех взаимодействий.
Глава 9. Непрерывность бизнеса и резервирование
Приказ №117 устанавливает конкретные требования к обеспечению непрерывности функционирования информационных систем при возникновении нештатных ситуаций.
Посредством проведения мероприятий должна быть обеспечена возможность восстановления выполнения значимых функций информационных систем в пределах интервалов времени восстановления, установленных внутренними стандартами и регламентами. Интервалы времени восстановления устанавливаются в зависимости от значимости функций, классов защищенности систем и должны составлять: для систем 1 класса защищенности — не более двадцати четырех часов с момента обнаружения нарушения функционирования; для систем 2 класса — не более семи календарных дней; для систем 3 класса — не более четырех недель.
Программные и программно-аппаратные средства, позволяющие обеспечить выполнение значимых функций, должны быть развернуты в отказоустойчивой конфигурации, обеспечивающей восстановление выполнения значимых функций в установленный интервал времени восстановления. Оператором должно быть обеспечено создание достаточного количества резервных копий программных, программно-аппаратных средств и их конфигураций, необходимых для восстановления, и периодическое тестирование таких средств на работоспособность; создание достаточного количества резервных копий информации, необходимой для обеспечения выполнения значимых функций, а также их хранение на разных типах машинных носителей информации в местах, обеспечивающих исключение несанкционированного доступа к резервным копиям. Периодичность резервного копирования, количество, типы носителей, места хранения и уровень критичности резервируемой информации определяются во внутренних стандартах и регламентах.
Оператор должен проводить периодические, но не реже одного раза в два года, проверки, в том числе в форме тренировок, возможности восстановления выполнения значимых функций с использованием резервных копий, с привлечением работников, задействованных в проведении работ по восстановлению. В случае проведения мероприятий по восстановлению функционирования с превышением интервалов времени восстановления должна обеспечиваться возможность выполнения пользователями значимых функций, в том числе в неавтоматизированном режиме, в соответствии с внутренними регламентами.
Эти требования формируют зрелый подход к обеспечению непрерывности бизнеса. Организации должны определить значимые функции, установить интервалы восстановления в зависимости от класса защищенности, развернуть отказоустойчивые конфигурации, создать резервные копии программного обеспечения, конфигураций и информации, хранить их на разных типах носителей в защищенных местах, проводить тестирование и тренировки не реже одного раза в два года, обеспечить возможность выполнения функций в неавтоматизированном режиме при превышении интервалов восстановления. Практическая реализация требует от организаций создания планов восстановления, настройки отказоустойчивых кластеров, организации безопасного хранения резервных копий, проведения регулярных тренировок, документирования всех процедур.
Глава 10. Мониторинг, аттестация и взаимодействие с ФСТЭК
Приказ №117 устанавливает требования к мониторингу информационной безопасности, аттестации систем и взаимодействию с регулятором.
Мероприятия по осуществлению мониторинга информационной безопасности должны предусматривать сбор данных о событиях безопасности, их обработку и анализ, выявление признаков реализации угроз безопасности информации и нарушений требований внутренних стандартов и регламентов. Мониторинг должен проводиться в отношении всех систем, за исключением локальных и изолированных систем, в которых должен обеспечиваться контроль журналов регистрации событий безопасности. Мониторинг должен осуществляться в соответствии с разделами 4 и 5 ГОСТ Р 59547-2021. В ходе мониторинга для анализа событий и выявления признаков реализации актуальных угроз допускается использование доверенных технологий искусственного интеллекта. Структурное подразделение или специалисты по защите информации должны с периодичностью и в сроки, установленные внутренним регламентом, разработать и представить руководителю или ответственному лицу отчет о результатах мониторинга, содержащий типы событий безопасности, обнаруженные по результатам мониторинга, связанные с ними компьютерные инциденты, рекомендации по анализу и устранению. Последний в текущем году отчет или итоговый отчет после представления руководителю направляется оператором в ФСТЭК России в целях мониторинга текущего состояния технической защиты информации.
С целью подтверждения достаточности принятых мер защиты до начала обработки и хранения информации в государственных информационных системах должна быть проведена их аттестация на соответствие требованиям в соответствии с порядком, утвержденным приказом ФСТЭК России от 29 апреля 2021 года №77. Решение о необходимости аттестации иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений принимается руководителем оператора или ответственным лицом.
Мероприятия по контролю уровня защищенности информации должны обеспечивать включение проведения оценки возможностей нарушения безопасности информации и нарушения функционирования систем внешними и внутренними нарушителями. Контроль должен проводиться одним или совокупностью методов: автоматизированное и ручное выявление уязвимостей с последующей экспертной оценкой; выявление несанкционированных подключений устройств; тестирование систем путем моделирования реализации актуальных угроз; проведение тренировок по отработке действий в условиях реализации угроз. Контроль должен проводиться не реже одного раза в три года или после компьютерного инцидента. По результатам контроля разрабатывается отчет, который подписывается лицами, проводившими контроль. Отчет должен быть представлен в течение трех рабочих дней с даты завершения руководителю для принятия решения о выделении ресурсов. Отчет направляется оператором в ФСТЭК России в течение пяти рабочих дней с даты завершения контроля.
При отсутствии возможности реализации отдельных мероприятий или принятия мер по защите информации в соответствии с требованиями оператором должны быть разработаны и внедрены компенсирующие меры, позволяющие обеспечить блокирование актуальных угроз. При этом должно быть обосновано применение компенсирующих мер на этапе создания систем, а при аттестации — подтверждена их эффективность.
Технические меры по защите информации должны приниматься на аппаратном, системном, прикладном уровнях, а также в информационно-телекоммуникационной инфраструктуре при ее наличии. Для защиты информации должны применяться сертифицированные средства защиты информации в соответствии с инструкциями по их эксплуатации. Применяемые средства должны быть обеспечены со стороны разработчиков поддержкой безопасности на территории Российской Федерации, включая выпуск и применение обновлений программного обеспечения, обеспечивающих устранение выявленных уязвимостей, дефектов и недостатков. Средства должны применяться с соблюдением запретов, установленных пунктом 6 Указа Президента Российской Федерации от 1 мая 2022 года №250. Применяемые сертифицированные средства защиты информации должны соответствовать: для систем 1 класса — не ниже чем 4 классу защиты и уровню доверия; для систем 2 класса — не ниже чем 5 классу защиты и уровню доверия; для систем 3 класса — 6 классу защиты и уровню доверия.
На стадиях жизненного цикла государственных информационных систем меры по защите информации должны приниматься в соответствии с требованиями, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 года №676, на стадиях жизненного цикла иных информационных систем — в соответствии с разделом 5 национального стандарта ГОСТ Р 51583-2014.
Эти требования формируют прозрачную систему контроля и отчетности. Организации должны проводить мониторинг в соответствии с ГОСТ, использовать доверенный искусственный интеллект для анализа, формировать отчеты, направлять их в ФСТЭК, проводить аттестацию государственных систем, контролировать уровень защищенности методами выявления уязвимостей, моделирования угроз, тренировок, направлять отчеты в ФСТЭК, применять сертифицированные средства соответствующих классов защиты и уровней доверия, обеспечивать поддержку безопасности разработчиками, соблюдать запреты Указа Президента, применять меры на всех уровнях. Практическая реализация требует от организаций настройки систем мониторинга, интеграции с журналами событий, анализа угроз, подготовки отчетов, проведения аттестации, организации контрольных мероприятий, выбора сертифицированных средств, документирования всех процедур.
Глава 11. Практический чек-лист перехода на приказ №117
Переход на новые требования требует системного подхода. Ниже представлен детальный чек-лист, разделенный на этапы, который поможет организациям спланировать и реализовать мероприятия по приведению инфраструктуры в соответствие с приказом №117 к 1 марта 2026 года.
Этап 1. Организационная подготовка и классификация (октябрь-ноябрь 2025)
Назначить ответственное лицо за организацию деятельности по защите информации, включить его обязанности и полномочия в должностные инструкции.
Создать или определить структурное подразделение или назначить специалистов по защите информации, обеспечить не менее тридцати процентов работников с профильным образованием или прошедших профессиональную переподготовку.
Разработать и утвердить политику защиты информации, включающую область действия, цели, задачи, принципы, перечни объектов защиты, категории лиц, обязанности, схему управления, ответственность.
Разработать и утвердить внутренние стандарты по защите информации, включающие требования к идентификации, моделям доступа, перечню программного обеспечения, конфигурациям, удаленному доступу, мобильным и конечным устройствам, непрерывности функционирования, резервному копированию, сбору событий, защите при подключении иных систем.
Разработать и утвердить внутренние регламенты по защите информации, включающие порядок работы с учетными записями, привилегированными записями, аутентификационной информацией, удаленным доступом, подрядчиками, доступом в сеть Интернет, обучением, управлением уязвимостями и обновлениями, физической защитой, безопасной разработкой, мониторингом, восстановлением, контролем защищенности.
Провести аудит всех информационных систем, выявить обрабатываемые данные, оценить степень возможного ущерба от нарушения конфиденциальности, целостности, доступности, определить масштаб системы, установить уровень значимости, присвоить класс защищенности, оформить акт классификации, утвердить его руководителем.
Довести политику, стандарты и регламенты до пользователей и подрядных организаций в части, их касающейся, закрепить обязанности подрядчиков в договорах.
Этап 2. Техническая подготовка и настройка (ноябрь-декабрь 2025)
Проверить соответствие применяемых сертифицированных средств защиты информации требованиям к классам защиты и уровням доверия: для систем 1 класса — не ниже 4 класса и уровня доверия; для 2 класса — не ниже 5 класса и уровня доверия; для 3 класса — 6 класса и уровня доверия.
Обеспечить поддержку безопасности средств защиты информации со стороны разработчиков на территории Российской Федерации, включая выпуск обновлений.
Проверить соблюдение запретов, установленных пунктом 6 Указа Президента Российской Федерации от 1 мая 2022 года №250, при применении средств защиты информации.
Настроить контроль конфигураций информационных систем на основе анализа результатов учета ИТ-активов и сведений из систем инвентаризации, обеспечить доступ структурному подразделению по защите информации к этим сведениям.
Настроить процессы управления уязвимостями: выявление, оценка критичности, определение методов и приоритетов устранения, контроль устранения, установление сроков: критический уровень — не более двадцати четырех часов, высокий — не более семи календарных дней, средний и низкий — во внутреннем регламенте.
Настроить процессы управления обновлениями: проверка подлинности и целостности, тестирование до применения в промышленной эксплуатации, выдача разрешения, использование безопасных настроек и конфигураций, исключение бесконтрольной установки.
Настроить защиту конечных устройств, мобильных устройств, удаленного доступа, беспроводного доступа, привилегированного доступа в соответствии с требованиями приказа.
Настроить защиту виртуализации, облачных вычислений, контейнерных сред, интернета вещей, точек беспроводного доступа, сервисов электронной почты, веб-технологий, программных интерфейсов.
Настроить защиту от компьютерных атак, направленных на отказ в обслуживании, обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Центром мониторинга и управления сетью связи общего пользования.
Настроить защиту информации при использовании искусственного интеллекта, исключить передачу информации ограниченного доступа разработчикам моделей, настроить шаблоны запросов и ответов, контроль тематик, статистические критерии, реагирование на недостоверные ответы, исключить нерегламентированное влияние искусственного интеллекта, включить доверенные технологии искусственного интеллекта в состав систем.
Настроить мероприятия по обеспечению защиты информации при взаимодействии с подрядными организациями: исключить несанкционированный доступ, запретить копирование без разрешения, обеспечить меры защиты в системах подрядчиков, запретить разработку и тестирование в промышленных системах, обеспечить изолированные стенды, контролировать доступ.
Настроить обеспечение непрерывности функционирования: установить интервалы восстановления в зависимости от класса защищенности, развернуть отказоустойчивые конфигурации, создать резервные копии программного обеспечения, конфигураций и информации, обеспечить хранение на разных типах носителей в защищенных местах.
Настроить мониторинг информационной безопасности в соответствии с разделами 4 и 5 ГОСТ Р 59547-2021, настроить сбор, обработку и анализ событий безопасности, исключить локальные и изолированные системы из мониторинга, но обеспечить контроль журналов, настроить использование доверенных технологий искусственного интеллекта для анализа.
Этап 3. Оценка, тестирование и отчетность (январь-февраль 2026)
Рассчитать и оценить показатель защищенности Кзи, сравнить с нормированными значениями методических документов ФСТЭК России.
Рассчитать и оценить показатель уровня зрелости Пзи, сравнить с нормированными значениями методических документов ФСТЭК России.
При несоответствии нормированным значениям информировать руководителя или ответственное лицо в течение трех календарных дней, разработать план мероприятий по совершенствованию защиты, утвердить его, довести до исполнителей.
Направить результаты оценки Кзи и Пзи в ФСТЭК России в срок не позднее пяти рабочих дней после расчета.
Провести контроль уровня защищенности информации методами выявления уязвимостей, моделирования угроз, тренировок, сформировать отчет, подписать его, представить руководителю в течение трех рабочих дней, направить в ФСТЭК России в течение пяти рабочих дней.
Провести проверку возможности восстановления выполнения значимых функций с использованием резервных копий, в форме тренировок, с привлечением работников, задействованных в восстановлении.
Провести оценку уровня знаний пользователей по вопросам защиты информации, организовать повторное обучение для пользователей с отсутствующими знаниями.
Подготовить государственные информационные системы к аттестации в соответствии с приказом ФСТЭК России от 29 апреля 2021 года №77, провести аттестацию до начала обработки и хранения информации.
Принять решение о необходимости аттестации иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений, утвердить руководителем или ответственным лицом.
Направить последний в текущем году отчет о результатах мониторинга или итоговый отчет в ФСТЭК России после представления руководителю.
Обеспечить наличие компенсирующих мер для мероприятий, которые невозможно реализовать в соответствии с требованиями, обосновать их применение на этапе создания систем, подтвердить эффективность при аттестации.
Этап 4. Запуск и поддержка (март 2026 и далее)
Ввести в действие все мероприятия и меры по защите информации в соответствии с приказом №117 с 1 марта 2026 года.
Обеспечить непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Обеспечить проведение расчета и оценки Кзи не реже одного раза в шесть месяцев, Пзи — не реже одного раза в два года.
Обеспечить проведение контроля уровня защищенности информации не реже одного раза в три года или после компьютерного инцидента.
Обеспечить проведение проверок возможности восстановления выполнения значимых функций не реже одного раза в два года.
Обеспечить проведение оценки уровня знаний пользователей не реже одного раза в три года или после компьютерного инцидента.
Обеспечить пересмотр класса защищенности информационной системы при изменении масштаба или значимости информации.
Обеспечить непрерывное совершенствование мероприятий и мер по защите информации на основе результатов оценок, мониторинга, инцидентов, изменений в угрозах.
Обеспечить актуализацию политики защиты информации, внутренних стандартов и регламентов при изменениях в инфраструктуре, технологиях, угрозах, требованиях регулятора.
Обеспечить регулярное обучение персонала, проведение имитационных рассылок, тренировок по отработке мероприятий по защите информации.
Обеспечить контроль выполнения требований подрядными организациями, аудит их систем, обновление договоров при изменениях в требованиях.
Обеспечить документирование всех мероприятий, отчетов, решений, изменений, действий по защите информации.
Обеспечить взаимодействие с ФСТЭК России в рамках мониторинга текущего состояния технической защиты информации, предоставления отчетов, реагирования на запросы регулятора.
Этот чек-лист покрывает все ключевые требования приказа №117 и может быть адаптирован под конкретную организацию с учетом масштаба, класса защищенности систем, используемых технологий, структуры подрядных отношений. Главное — не откладывать работу на последний момент, начать с организационных мер, поэтапно внедрять технические решения, регулярно оценивать эффективность, корректировать планы, документировать все действия.
Заключение: Стратегия выживания и развития в новых условиях
Приказ ФСТЭК России №117 от 11 апреля 2025 года, заменяющий приказ №17, знаменует переход к новому этапу регулирования информационной безопасности в России. Документ не просто обновляет технические требования, а формирует целостную систему управления защитой информации, основанную на измеримых показателях, непрерывном мониторинге, жестких сроках реагирования, строгом контроле доступов, работе с современными технологиями, взаимодействии с подрядчиками, обеспечении непрерывности бизнеса и прозрачной отчетности перед регулятором.
Для организаций это означает необходимость пересмотра подходов к информационной безопасности. Безопасность перестает быть разовой задачей и становится непрерывным процессом. Необходимо выстраивать организационные структуры, назначать ответственных, обеспечивать квалификацию персонала, разрабатывать политики, стандарты, регламенты, внедрять метрики эффективности, настраивать процессы управления уязвимостями и обновлениями, защищать современные технологии, контролировать доступы, работать с подрядчиками, обеспечивать непрерывность бизнеса, проводить мониторинг, аттестацию, направлять отчеты в ФСТЭК.
Переходный период до 1 марта 2026 года дает организациям время для подготовки, но требует дисциплины и системного подхода. Рекомендуется начать с аудита инфраструктуры, классификации систем, разработки нормативных документов, назначения ответственных, оценки текущих средств защиты, планирования мероприятий, расчета метрик, настройки процессов, проведения тестов и тренировок, формирования отчетности.
Успешное внедрение требований приказа №117 позволит организациям не только соответствовать регуляторным требованиям, но и повысить реальную защищенность информационных систем, снизить риски компьютерных инцидентов, обеспечить непрерывность бизнеса, улучшить взаимодействие с подрядчиками, внедрить современные технологии безопасным образом, выстроить зрелую систему управления информационной безопасностью.
В условиях быстро меняющейся угрозной реальности и усложнения информационных систем только организации, которые воспринимают информационную безопасность как стратегический приоритет, а не как формальное требование, смогут обеспечить устойчивое развитие и защиту своих активов. Приказ №117 задает четкие правила игры, и те, кто готов играть по ним, получат преимущество в виде надежной, управляемой и эффективной системы защиты информации.
Добавить комментарий