Приказ ФСТЭК №117: От статической сертификации к динамическому управлению рисками — практическое руководство для всех секторов

Новый этап регулирования: Стратегический сдвиг от статической защиты к динамическому управлению рисками

Апрель 2025 года стал поворотным моментом для российской системы обеспечения информационной безопасности. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) утвердила приказ от 11 апреля 2025 г. №117 «О требованиях о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий и государственных учреждений» . Этот документ официально заменяет приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» . Новый приказ вступает в силу с 1 марта 2026 года, что задает четкий ориентир для организаций на подготовку к переходу . На протяжении более десяти лет Приказ №17 служил базовым нормативным документом, регламентирующим защиту информации в государственных и смежных системах. Однако за этот период цифровая инфраструктура России претерпела колоссальные изменения, а картина гроз стала значительно сложнее. Появились облачные платформы, массовое внедрение технологий искусственного интеллекта, интернета вещей и контейнеризации, расширился периметр удаленного доступа, усложнились цепочки поставок программного обеспечения, а частота и изощренность компьютерных атак возросла многократно. Старый документ, разработанный в условиях иной технологической и угрозной реальности, уже не мог в полной мере отражать современные вызовы. Приказ №117 создан как ответ на эти вызовы и знаменует собой не просто эволюционное обновление, а фундаментальную перестройку всей архитектуры защиты информации.

Переход от Приказа №17 к Приказу №117 представляет собой архитектурный сдвиг, который невозможно переоценить. Если предыдущий документ был преимущественно сфокусирован на технических средствах защиты и статической модели, основанной на аттестации объектов, то новый приказ выстраивает целостную систему управления защитой информации на всех этапах жизненного цикла информационных систем. Это переход от пассивного соответствия декларируемым конфигурациям к активному, непрерывному управлению рисками. Основной принцип, лежащий в основе нового подхода, заключается в том, что безопасность перестает быть разовой проектной задачей и становится постоянным операционным процессом. Эта идея проходит красной нитью через все разделы документа, меняя саму парадигму восприятия информационной безопасности.

Один из ключевых аспектов этого сдвига — изменение самого объекта регулирования. Приказ №117 явно и расширенно определяет круг субъектов, которым он обязателен. Хотя основной целью является защита информации в государственных информационных системах, сфера применения документа намного шире. Она распространяется на «иными информационными системами государственных органов, государственных унитарных предприятий и государственных учреждений» . Такое формулирование закрывает прежние пробелы в толковании и исключает ситуацию, когда отдельные государственные структуры пытались обосновать неприменимость требований к своим внутренним, не являющимся ГИС, системам. Это создает единое правовое поле для всей государственной и смежной с ней сферы. Кроме того, документ четко разделяет меры некриптографической защиты, которые регулируются приказом №117, и криптографические средства, которые находятся в ведении ФСБ России. Это уточняет зоны ответственности и предотвращает двусмысленности.

Другим фундаментальным отличием является отказ от пассивного соответствия в пользу активного управления. Приказ №17 подразумевал, что после проведения аттестации системы и принятия мер защиты, многие организации считали свою задачу выполненной до следующей проверки или очередной аттестации. Приказ №117 же требует непрерывного цикла: регулярного расчета показателей защищенности, оценки уровня зрелости, непрерывного мониторинга событий безопасности, своевременного устранения уязвимостей, обновления политик и регламентов, проведения тренировок и имитационных рассылок. Безопасность перестает быть проектом, который выполняется один раз, и становится непрерывным процессом, интегрированным в операционную деятельность. Для этого в документе вводится обязательность применения требований на всех стадиях жизненного цикла системы: от создания и развития до модернизации, эксплуатации и вывода из эксплуатации .

Субъектный состав требований также был значительно расширен и детализирован. В документе теперь четко прописаны роли и обязанности каждого участника процесса защиты информации. Руководитель оператора информационной системы, ответственное лицо, структурное подразделение или специалисты по защите информации, подразделения, использующие информационные системы, и подразделения, обеспечивающие их эксплуатацию — каждый элемент несет конкретные, документально закрепленные обязанности . Особенно важно внимание, уделенное требованиям к квалификации персонала. Приказ №117 прямо указывает, что не менее тридцати процентов работников структурного подразделения по защите информации должны иметь профильное образование в области информационной безопасности или пройти профессиональную переподготовку . Это является прямым указанием на то, что защита информации перестает быть задачей смежников и требует формальных профильных компетенций.

Особое внимание в новом документе уделено взаимодействию с подрядными организациями. Ранее многие организации передавали функции по разработке, сопровождению и администрированию систем внешним исполнителям без достаточного контроля за их действиями. Приказ №117 устанавливает жесткие рамки такого взаимодействия. Подрядчики должны быть ознакомлены с политикой защиты информации, их обязанности по соблюдению стандартов и регламентов должны быть закреплены в договорах, копирование информации запрещено, если иное не предусмотрено документами оператора, а разработка и тестирование программного обеспечения непосредственно в эксплуатируемых системах не допускается . Эти требования формируют новую культуру взаимодействия в цепочке поставок услуг информационной безопасности, где оператор сохраняет контроль даже за действиями третьих лиц.

Технологическое обновление документа также имеет огромное значение. Впервые в истории нормативного регулирования в России Приказ №117 содержит прямые требования к таким современным технологиям, как искусственный интеллект, облачные вычисления, виртуализация, контейнерные среды и технологии интернета вещей . Каждый из этих разделов содержит конкретные, а не общие формулировки. Например, при использовании искусственного интеллекта запрещена передача информации ограниченного доступа лицу, разработавшему модель, для улучшения ее функционирования . При взаимодействии с сервисами на основе ИИ требуются шаблоны запросов и ответов, контроль соответствия тематикам, статистические критерии для выявления недостоверных ответов, а также механизмы реагирования на них . Это свидетельствует о том, что регулятор не просто добавляет новые термины, а формирует работающие механизмы контроля для современных технологий, понимая потенциальные угрозы.

Таким образом, архитектурный сдвиг заключается в переходе от списка требований к полноценной системе управления, от статической аттестации к непрерывному мониторингу, от фокуса на технических средствах к акценту на организационных процессах, от разрозненных мер к интегрированной защите на всех уровнях. Понимание этого сдвига является первым и самым важным шагом для любой организации на пути к успешному переходу на новые требования. Это не просто замена одних пунктов на другие, а необходимость глубокой трансформации всей культуры и подходов к обеспечению информационной безопасности.

Архитектура безопасности: Новая система классификации (К1-К3) и ее практическое применение

Одним из самых заметных и стратегически важных изменений в Приказе ФСТЭК №117 является полностью переработанная система классификации защищенности информационных систем. Вместо четырех классов защищенности, которые определялись в Приказе №17 в зависимости от вида и категории обрабатываемой информации, новый документ вводит трехуровневую систему: К1, К2, К3, где К1 является самым высоким, а К3 — самым низким . Ключевая особенность новой системы заключается в том, что класс защищенности определяется уже не абстрактно, а на основе двух конкретных, измеримых параметров: уровня значимости информации и масштаба функционирования самой информационной системы . Этот подход делает систему более логичной, объективной и привязанной к реальному потенциальному ущербу.

Уровень значимости информации (УЗ) определяется на основе степени возможных негативных последствий или ущерба для обладателя информации и оператора информационной системы в случае нарушения конфиденциальности, целостности или доступности информации. Негативные последствия могут включать социальные, политические, международные, экономические, финансовые и иные негативные последствия. Степень ущерба классифицируется как высокая, средняя или низкая. Высокая степень означает возможные существенные негативные последствия в различных областях деятельности или невозможность выполнения возложенных функций. Средняя степень — умеренные последствия или невозможность выполнения хотя бы одной из функций. Низкая степень — незначительные последствия, выполнение функций с недостаточной эффективностью или необходимость привлечения дополнительных сил и средств .

На основе этих степеней устанавливается уровень значимости:

• УЗ1 (Высокая значимость): Присваивается, если хотя бы для одного из свойств безопасности информации (конфиденциальность, целостность, доступность) определена высокая степень возможного ущерба. Также УЗ1 автоматически устанавливается для информации, отнесенной к «информации ограниченного распространения» с пометкой «для служебного пользования».
• УЗ2 (Средняя значимость): Присваивается, если хотя бы для одного свойства определена средняя степень ущерба, и ни для одного свойства не определена высокая степень.
• УЗ3 (Низкая значимость): Присваивается, если для всех свойств определены низкие степени ущерба.

Второй параметр — масштаб информационной системы — определяется по территориальному признаку :

• Федеральный масштаб: Система предназначена для решения задач на всей территории Российской Федерации или в пределах двух и более субъектов РФ.
• Региональный масштаб: Система предназначена для решения задач в пределах одного субъекта РФ.
• Объектовый масштаб: Система предназначена для решения задач в пределах одного объекта одного государственного органа, муниципального образования или организации .

Класс защищенности (К1, К2 или К3) устанавливается путем пересечения уровня значимости и масштаба в специальной таблице, которая является частью методических документов ФСТЭК России . Логика этой таблицы такова:

• УЗ1 при любом масштабе (федеральном, региональном, объектовом) всегда дает К1. Это отражает тот факт, что наличие в системе информации с потенциально высоким ущербом делает всю систему критически важной, независимо от ее географического охвата.
• УЗ2 при федеральном масштабе дает К1, а при региональном и объектовом — К2. Это означает, что информация со средним уровнем ущерба, охватывающая всю страну, также должна классифицироваться как высокозащищенная.
• УЗ3 при федеральном масштабе дает К2, а при региональном и объектовом — К3. Информация с низким ущербом, ограниченная по масштабу, требует меньшего уровня защиты .

Уровень значимости	Федеральный масштаб	Региональный масштаб	Объектовый масштаб
УЗ1 (Высокая)	К1	К1	К1
УЗ2 (Средняя)	К1	К2	К2
УЗ3 (Низкая)	К2	К3	К3

Примечание: Таблица составлена на основе анализа текста Приказа ФСТЭК №117 .

Результаты классификации оформляются актом, который должен быть утвержден руководителем оператора информационной системы . Важно отметить, что класс защищенности подлежит пересмотру при любых изменениях масштаба или значимости информации . Кроме того, допускается присвоение отдельным сегментам одной информационной системы разных классов защищенности, при этом меры защиты принимаются в соответствии с присвоенными классами . Это позволяет оптимизировать затраты, применяя наиболее строгие и дорогие меры только к самым критичным частям системы.

Практическое применение новой системы требует от каждой организации проведения детального анализа всех своих информационных систем. Необходимо последовательно выполнить следующие шаги:

1. Аудит и инвентаризация: Составить полный список всех информационных систем, в которых обрабатывается и хранится информация ограниченного доступа.
2. Анализ данных: Для каждой системы выявить все виды обрабатываемых данных и оценить потенциальный ущерб от нарушения их конфиденциальности, целостности и доступности. Этот анализ должен быть документирован.
3. Определение масштаба: Четко определить территориальный охват системы — федеральный, региональный или объектовый.
4. Установление УЗ и К: На основе вышеописанной логики установить уровень значимости и присвоить класс защищенности каждой системе или ее сегментам.
5. Документирование: Зафиксировать все результаты в акте классификации, который затем утверждается руководством.

Переход от старой системы к новой требует сопоставления прежних классов защищенности с новыми. Хотя прямой автоматической конвертации не предусмотрено, можно сделать логические выводы: системы, ранее относимые к высшим классам защищенности, с высокой вероятностью попадут в К1; системы средней критичности — в К2; а системы с низким уровнем критичности — в К3. Организациям следует провести аудит всех действующих систем, пересчитать классы по новым правилам, выявить расхождения и скорректировать свои модели угроз, обновить технические задания на средства защиты и перепланировать бюджет на реализацию мер.

Для разных типов организаций этот процесс будет иметь свою специфику.

Государственный сектор с высокой долей вероятности столкнется с присвоением большинству своих систем класса К1. Это связано с критической природой выполняемых государством функций, что автоматически приводит к определению высокой степени ущерба (УЗ1) для многих видов обрабатываемой информации. Например, системы Министерства иностранных дел, Министерства обороны, правоохранительных органов, систем здравоохранения и образования будут иметь УЗ1 из-за потенциальных социальных и политических последствий. Это потребует от них внедрения самых строгих мер защиты, соответствующих 4-му классу средств защиты и высокому уровню доверия, что является одним из требований Приказа №117 .

Коммерческий бизнес имеет больше пространства для маневра. Многие компании, особенно в сфере услуг или производства товаров для широкого потребления, могут оказаться в категории УЗ3, особенно если их деятельность не затрагивает национальную безопасность, экономику в целом или общественный порядок. Например, система учета заказов в небольшой торговой компании или база данных клиентов в сфере услуг могут быть классифицированы как УЗ3. При объектовом или региональном масштабе это приведет к присвоению класса К3. Это позволит оптимизировать затраты на защиту, но требует тщательного и честного анализа для исключения ошибок, которые могут привести к недооценке рисков. Более крупные корпорации, обрабатывающие данные миллионов пользователей или влияющие на рынок, скорее всего, будут классифицированы как К2 или даже К1.

Малый бизнес находится в наиболее сложной ситуации. Вероятнее всего, их системы будут классифицированы как К3 (объектовый масштаб, УЗ3). Однако здесь возникает ключевой вызов: требования к разработке внутренних стандартов и регламентов, к расчету метрик эффективности и к квалификации персонала остаются одинаковыми для всех категорий организаций, независимо от класса защищенности. Малому бизнесу придется находить способы адаптации этих сложных требований к своим ограниченным ресурсам. Это может быть достигнуто через использование готовых IT-решений «под ключ», выбор облачных провайдеров, уже подтвердивших соответствие требованиям, и привлечение внешних консультантов по информационной безопасности.

Таким образом, новая система классификации является мощным инструментом, позволяющим более точно и справедливо распределять усилия и ресурсы на защиту информации. Она переводит фокус с формального соответствия категориям информации на реальный анализ потенциального ущерба и масштаба систем.

Организационное управление и метрики эффективности: Политики, стандарты, Кзи и Пзи

Приказ ФСТЭК №117 уделяет огромное внимание организационной составляющей защиты информации, рассматривая ее как основу для построения эффективной системы безопасности. Документ требует от оператора разработки и утверждения трехуровневой системы нормативных документов: политики защиты информации, внутренних стандартов и внутренних регламентов . Эти документы формируют каркас системы управления безопасностью, который должен быть рабочим, а не формальным.

Политика защиты информации является высшим по своему рангу документом. Она утверждается руководителем оператора и обязательна для исполнения всеми работниками и подразделениями . Ее содержание должно быть всесторонним и включать в себя:

• Область действия: Перечень защищаемой информации, информационных систем, компонентов ИТ-инфраструктуры.
• Цели и задачи защиты: Ясное описание того, чего необходимо достичь (например, исключение утечки информации, предотвращение несанкционированного доступа).
• Принципы защиты: Общие подходы и подходы к обеспечению безопасности.
• Перечни объектов защиты: Конкретный перечень активов, требующих защиты.
• Категории лиц: Перечень групп сотрудников, участвующих в защите, с указанием их обязанностей и полномочий.
• Состав системы управления: Описание организационной структуры, ответственных лиц и схемы взаимодействия.
• Ответственность: Четкое определение ответственности работников за нарушение требований .

Особое внимание уделяется взаимодействию с подрядными организациями. Они должны быть ознакомлены с политикой в части, их касающейся, а обязанность по ее выполнению должна быть закреплена в договорах или иных документах, регулирующих предоставление доступа или передачу информации .

Внутренние стандарты по защите информации устанавливают конкретные требования к реализации мер защиты, адаптированные под особенности деятельности оператора . Они должны содержать:

• Требования к первичной идентификации пользователей и модели доступа.
• Перечни разрешенного и запрещенного программного обеспечения.
• Типовые конфигурации и настройки средств защиты.
• Конфигурации для безопасного доступа в сеть Интернет.
• Требования к удаленному доступу и работе вне офиса.
• Ограничения и запреты для обычных пользователей.
• Требования к защите конечных и мобильных устройств.
• Требования к обеспечению непрерывности функционирования и резервному копированию.
• Процедуры сбора и анализа событий безопасности.
• Меры защиты при подключении иных систем к эксплуатируемой ИТ-инфраструктуре .

Внутренние регламенты по защите информации описывают порядок проведения конкретных мероприятий или реализуемых процессов. Они являются наиболее детализированным уровнем и включают порядки:

• Создания, учета, изменения, блокирования и удаления учетных записей и привилегированных учетных записей.
• Управления аутентификационной информацией.
• Предоставления удаленного доступа.
• Предоставления доступа подрядным организациям и работникам иных органов.
• Предоставления доступа в сеть Интернет.
• Повышения уровня знаний пользователей.
• Управления уязвимостями и обновлениями.
• Обработки информации ограниченного доступа.
• Физической защиты помещений и оборудования.
• Безопасной разработки программного обеспечения.
• Вывода сервисов в промышленную эксплуатацию.
• Мониторинга информационной безопасности.
• Восстановления штатного функционирования и тестирования процессов восстановления.
• Контроля уровня защищенности .

Практическая реализация этих требований требует от организаций создания полноценной системы нормативных документов, четкого распределения ролей и ответственности, обеспечения доступа к средствам мониторинга и аналитики, а также внедрения процессов регулярной оценки и отчетности.

Центральным нововведением Приказа №117, которое переводит оценку состояния защиты из качественной плоскости в количественную, являются метрики эффективности: показатель защищенности (Кзи) и показатель уровня зрелости (Пзи) . Их введение является ключевым инструментом контроля и самооценки.

Показатель защищенности (Кзи) характеризует текущее состояние защиты информации от базового уровня угроз безопасности информации. Он отражает, насколько реализованные меры соответствуют требованиям, насколько система устойчива к известным угрозам, насколько закрыты уязвимости и насколько корректно настроены средства защиты. Расчет и оценка Кзи проводятся не реже одного раза в шесть месяцев . Это означает, что организация должна дважды в год проводить комплексную проверку состояния защиты, сопоставлять фактические показатели с нормативными значениями, установленными методическими документами ФСТЭК, и фиксировать любые расхождения.

Показатель уровня зрелости (Пзи) определяет достаточность и эффективность проведения мероприятий по защите информации. Он отражает, насколько процессы управления защитой выстроены, насколько они стабильны, насколько регулярно проводятся оценки, обновления, тренировки, насколько персонал обучен и насколько регламенты соблюдаются. Расчет и оценка Пзи проводятся не реже одного раза в два года . Это более редкая, но более глубокая оценка, направленная на анализ самих процессов управления, а не только технических средств.

Для определения значений и расчета Кзи и Пзи организации должны использовать методические документы, которые утверждает ФСТЭК России. Это исключает субъективность в расчетах и обеспечивает единый подход во всей стране . При несоответствии полученных значений нормированным, в течение трех календарных дней со дня завершения оценки информируется руководитель оператора для принятия решения о проведении мероприятий по совершенствованию защиты . Результаты оценки направляются в ФСТЭК России в срок не позднее пяти рабочих дней после их расчета .

Такая система отчетности формирует прозрачную среду регулирования. Регулятор получает актуальные данные о состоянии защиты в отраслях и организациях, что позволяет ему выявлять системные проблемы, направлять методическую поддержку и формировать планы проверок. Для организаций это возможность своевременно выявлять слабые места, обосновывать бюджет на модернизацию, демонстрировать руководству эффективность инвестиций в безопасность и снижать риски компьютерных инцидентов.

Практическая работа с метриками требует от организаций создания процессов сбора данных, их обработки, расчета показателей, формирования отчетов, доведения информации до руководства, разработки планов корректирующих действий и контроля их выполнения. Необходимо автоматизировать сбор данных с систем мониторинга, средств защиты, журналов событий, систем управления уязвимостями. Расчет показателей должен быть документирован, а методы расчета — соответствовать методическим документам ФСТЭК. Отчетность должна быть своевременной, точной и проверяемой.

Важно понимать, что Кзи и Пзи не являются самоцелью. Их цель — повышение реальной защищенности. Если организация фокусируется только на достижении нормативных значений, игнорируя реальные угрозы и инциденты, система становится формальной. Если же метрики используются как инструмент управления рисками, они становятся мощным рычагом повышения безопасности.

Технологическая актуализация: Регулирование ИИ, облаков, IoT и других современных сред

Приказ ФСТЭК №117 впервые в истории нормативного регулирования в области защиты информации в России вводит прямые и детальные требования к современным технологиям, которые ранее регулировались только общими формулировками или отсутствовали в документах. Это свидетельствует о том, что регулятор признает, что технологии являются неотъемлемой частью современной ИБ и требуют специального, целенаправленного регулирования для минимизации связанных с ними рисков. Документ напрямую затрагивает такие направления, как искусственный интеллект, облачные вычисления, виртуализация, контейнерные среды, интернет вещей, а также ряд других технологий, таких как точки беспроводного доступа, сервисы электронной почты, веб-технологии и программные интерфейсы .

Искусственный интеллект (ИИ) регулируется в нескольких ключевых аспектах. Целью является обеспечение возможности исключения несанкционированного доступа к информации или воздействия на системы, несанкционированного распространения и модификации информации, а также использования систем не по назначению за счет воздействия на наборы данных, применяемые модели ИИ и их параметры, процессы и сервисы по обработке данных . Одним из самых строгих требований является запрет на передачу лицу, разработавшему модель искусственного интеллекта, информации ограниченного доступа, содержащейся в системах, в том числе для улучшения функционирования модели . Это прямая мера по защите организаций от утечки чувствительных данных в процессе обучения или дообучения моделей, что является серьезной угрозой в мире больших языковых моделей.

При взаимодействии пользователей с сервисами на основе ИИ установлены конкретные, работающие механизмы контроля. В зависимости от формата взаимодействия (заданные шаблоны или свободная форма) должны быть реализованы следующие меры:

• Шаблонный формат: Должны быть определены шаблоны запросов и ответов, а также обеспечен контроль их соответствия .
• Свободная текстовая форма: Должны быть определены допустимые тематики запросов, обеспечен контроль соответствия запросов тематикам, определены форматы ответов, а также разработаны статистические критерии для выявления недостоверных ответов для последующего сбора и анализа . Кроме того, должно быть обеспечено реагирование на недостоверные ответы посредством ограничения области принимаемых решений или реализации функций системы на основе этих ответов .
• Общие требования: Должно быть исключено нерегламентированное влияние ИИ на параметры модели и на функционирование систем. В состав систем должны включаться доверенные технологии ИИ или их компоненты .

Защита виртуализации и облачных вычислений, а также технологий контейнерных сред и их оркестрации включены в перечень базовых мер защиты . Это означает, что организации должны реализовывать меры по изоляции виртуальных машин друг от друга, контролю доступа к гипервизорам, защите образов контейнеров, контролю работы оркестраторов (например, Kubernetes), защите реестров образов, обеспечению безопасности сетевых политик контейнеров и защите управления кластерами. Конкретные требования по реализации этих мер раскрываются во внутренних стандартах и регламентах организации, а также в методических документах ФСТЭК, которые должны быть применены для их определения .

Защита технологий интернета вещей (IoT) также включена в перечень базовых мер . Это требует от организаций реализации комплекса мер по защите устройств IoT, включая контроль их легального подключения, защиту каналов передачи данных, обеспечение надежной аутентификации устройств, контроль обновлений прошивок, изоляцию сетей IoT от корпоративных сетей и мониторинг трафика устройств для выявления аномалий.

Эти требования показывают, что регулятор не игнорирует современные технологии, а формирует четкие рамки для их безопасного использования. Организациям необходимо оценить, какие из этих технологий используются в их инфраструктуре, определить классы защищенности соответствующих систем, разработать и внедрить меры защиты, а также обеспечить их непрерывный мониторинг и контроль.

Помимо этих ключевых технологий, Приказ №117 содержит требования к защите:

• Точек беспроводного доступа: Требуется исключить возможность несанкционированного подключения к ним и доступа к беспроводным каналам. Точки должны быть однозначно идентифицированы, определены места их размещения, а построенные на их основе сети должны быть изолированы от общедоступных сетей .
• Сервисов электронной почты и веб-технологий: Должны быть приняты меры по защите от угроз, специфичных для этих сервисов.
• Программных интерфейсов прикладного программирования (API): Должны быть обеспечены меры по защите API, которые являются критически важными в современных архитектурах программного обеспечения.
• Защиты от атак, направленных на отказ в обслуживании (DoS/DDoS): Оператор должен обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и с Центром мониторинга и управления сетью связи общего пользования .

Практическая реализация этих требований для разных типов организаций будет различаться.

Государственный сектор и крупный бизнес, как правило, первыми внедряют эти технологии. Для них раздел приказа о технологиях является руководством к действию. Им необходимо немедленно начать аудит своих ИИ-проектов, облачных сред (включая гибридные и многооблачные), контейнерных кластеров и IoT-устройств, чтобы обеспечить их соответствие новым требованиям. Это может потребовать дорогостоящих модификаций инфраструктуры, внедрения новых систем мониторинга и аналитики, а также пересмотра политик доступа.

Малый бизнес также сталкивается с этими технологиями, хоть и в другой форме. Многие малые предприятия используют SaaS-сервисы (часто облачные), CRM-системы, облачные хранилища. Для них важно понимать, что требования распространяются не только на те системы, где они являются операторами, но и на те, где они являются пользователями. При выборе облачного провайдера или любого другого IT-сервиса, они должны проверять, соответствует ли его инфраструктура требованиям приказа. Это может стать ключевым фактором при выборе партнера. Для малого бизнеса использование облачных решений от крупных, надежных провайдеров, которые уже несут ответственность за безопасность своей инфраструктуры, является наиболее рациональной стратегией.

Вне зависимости от типа организации, этот раздел приказа обязывает всех к осмысленному и безопасному использованию современных технологий. Безопасность перестает быть ахиллесовой пятой в мире, где вся инфраструктура становится программно-определяемой, облачной и взаимосвязанной.

Контроль доступов и обеспечение непрерывности: От удаленного доступа до резервного копирования

Приказ ФСТЭК №117 устанавливает детальные и строгие требования к двум критически важным аспектам обеспечения информационной безопасности: контролю доступов к информационным системам и обеспечению непрерывности их функционирования. Эти разделы документа формируют архитектуру контроля и устойчивости, направленные на предотвращение несанкционированных действий и минимизацию последствий инцидентов.

Контроль доступов регулируется для трех ключевых типов: удаленного, беспроводного и привилегированного. Каждый из этих типов доступа представляет уникальные риски, и приказ предлагает специфические меры для их нейтрализации.

Удаленный доступ пользователей должен обеспечиваться с исключением возможности несанкционированного доступа или воздействия к системам и программно-аппаратным средствам пользователей через каналы передачи данных, интерфейсы и порты . Для этого должны приниматься меры по защите каналов передачи данных и программно-аппаратных средств, с которыми осуществляется доступ . Приказ требует, чтобы удаленный доступ осуществлялся с использованием программно-аппаратных средств, выделенных оператором. Разрешается предоставление доступа с использованием личных средств пользователя только по согласованию со структурным подразделением по защите информации при условии применения сертифицированных средств обеспечения безопасной дистанционной работы, средств антивирусной защиты и иных средств защиты, исключающих угрозы . Еще одно важное требование — удаленное доступ должен осуществляться с использованием сетей связи, расположенных на территории Российской Федерации, посредством применения средств защиты канала передачи данных и строгой аутентификации пользователей .

Беспроводной доступ должен обеспечиваться с исключением возможности несанкционированного подключения к точкам беспроводного доступа и доступа к беспроводным каналам передачи данных . Для этого посредством формирования конфигурации и настроек, а также уровней сигналов точек беспроводного доступа должна быть исключена возможность их подключения лицами, не имеющими прав доступа. Все точки должны быть однозначно идентифицированы в системах, а места их размещения определены. Критически важно, чтобы беспроводные сети, созданные на основе этих точек, были изолированы от беспроводных сетей, предназначенных для доступа в сеть Интернет и общедоступной информации оператора .

Привилегированный доступ — это доступ, дающий повышенные права, и к нему предъявляются самые строгие требования. Его цель — исключить возможность получения такого доступа лицами, для которых он не предназначен, а также использование повышенных прав с нарушением внутренних стандартов и регламентов . Для этого должны быть созданы привилегированные учетные записи, права которых должны быть минимально необходимыми для выполнения обязанностей в соответствии с принятыми моделями доступа. Особое внимание уделяется привилегированным записям, которые имеют права по созданию других привилегированных учетных записей — они должны быть персонифицированными. Привилегированный доступ должен осуществляться с применением строгой аутентификации, а в случае технической невозможности — с использованием усиленной многофакторной аутентификации . Приказ запрещает объединять в рамках одной привилегированной учетной записи или одной группы ролей по системному администрированию роли разработчиков и ролей администраторов безопасности . Неиспользуемые привилегированные учетные записи должны быть заблокированы и удалены. Встроенные привилегированные учетные записи должны быть отключены или переименованы после завершения настройки, а их аутентификационная информация должна быть изменена. Важнейшим требованием является регистрация всех действий, совершенных с использованием привилегированных учетных записей .

Эти требования формируют строгую архитектуру контроля доступов. Организациям необходимо пересмотреть текущие политики, внедрить многофакторную аутентификацию, разделить роли, настроить изоляцию сетей и обеспечить мониторинг привилегированных сессий.

Обеспечение непрерывности функционирования — вторая ключевая область регулирования. Приказ №117 устанавливает конкретные требования к восстановлению систем после нарушений. Посредством проведения мероприятий должна быть обеспечена возможность восстановления выполнения значимых функций информационных систем в пределах установленных интервалов времени восстановления . Эти интервалы устанавливаются оператором во внутренних стандартах и регламентах и зависят от класса защищенности системы:

• Для систем 1 класса защищенности интервал времени восстановления не должен превышать двадцать четыре часа с момента обнаружения нарушения функционирования.
• Для систем 2 класса защищенности — не более семи календарных дней.
• Для систем 3 класса защищенности — не более четырех недель .

Для обеспечения выполнения этих требований оператор должен развернуть программные и программно-аппаратные средства в отказоустойчивой конфигурации, которая гарантирует восстановление функций в установленный интервал . Кроме того, оператор должен обеспечить создание достаточного количества резервных копий программных, программно-аппаратных средств и их конфигураций, необходимых для восстановления, и периодически тестировать их на работоспособность. Аналогично, должны создаваться резервные копии информации, необходимой для обеспечения выполнения значимых функций, а также обеспечиваться их хранение на разных типах машинных носителей в местах, которые исключают несанкционированный доступ к этим копиям . Периодичность резервного копирования, количество, типы носителей и места хранения определяются во внутренних стандартах и регламентах .

Оператор также должен проводить периодические проверки, в том числе в форме тренировок, возможности восстановления функций с использованием резервных копий, с привлечением работников, задействованных в проведении работ по восстановлению. Проверки должны проводиться не реже одного раза в два года . В случае, если восстановление функционирования происходит с превышением установленных интервалов, должна обеспечиваться возможность выполнения пользователями значимых функций, в том числе в неавтоматизированном режиме, в соответствии с внутренними регламентами .

Эти требования формируют зрелый подход к обеспечению непрерывности бизнеса. Организации должны определить значимые функции, установить интервалы восстановления в зависимости от класса защищенности, развернуть отказоустойчивые конфигурации, создать резервные копии программного обеспечения, конфигураций и информации, хранить их на разных типах носителей в защищенных местах, проводить тестирование и тренировки, а также обеспечить возможность выполнения функций в неавтоматизированном режиме при превышении интервалов восстановления. Практическая реализация требует от организаций создания планов восстановления, настройки отказоустойчивых кластеров, организации безопасного хранения резервных копий, проведения регулярных тренировок и документирования всех процедур.

Адаптация для разных типов организаций: Госсектор, коммерческий бизнес и малый бизнес

Приказ ФСТЭК №117, вступающий в силу 1 марта 2026 года, устанавливает единые требования для широкого круга организаций, однако их практическая реализация будет существенно различаться для государственного сектора, крупного и среднего бизнеса, а также для малого бизнеса. Каждый из этих сегментов обладает уникальными характеристиками, ресурсами и уровнем критичности своих информационных систем, что требует дифференцированного подхода к адаптации. Ниже представлены практические шаги и рекомендации для каждого типа организаций.

Государственный сектор

Организации государственного сектора, включая государственные органы, государственные унитарные предприятия и учреждения, являются основным объектом регулирования нового приказа. Их деятельность неразрывно связана с обеспечением национальной безопасности, экономическими интересами страны и социальной стабильностью. Поэтому для них требования Приказа №117 носят наиболее строгий и бескомпромиссный характер.

Ключевые особенности и практические шаги:

1. Классификация и аттестация: Большинство систем в госсекторе, скорее всего, будут классифицированы как К1 из-за высокой значимости обрабатываемой информации (УЗ1) . Это потребует внедрения самых строгих мер защиты. Перед началом обработки и хранения информации в государственных информационных системах (ГИС) обязательно проведение их аттестации на соответствие требованиям в соответствии с порядком, утвержденным приказом ФСТЭК №77 от 29.04.2021 . Оперативным органам следует провести полную аттестацию всех своих ГИС до 1 марта 2026 года, чтобы убедиться в их полном соответствии новым требованиям.
2. Нормативная база и организационная структура: Необходимо разработать и утвердить все уровни нормативных документов: политику защиты информации, внутренние стандарты и регламенты . Крайне важно обеспечить квалификацию персонала: не менее 30% работников структурного подразделения по защите информации должны иметь профильное образование или пройти переподготовку . Создание единого центра мониторинга информационной безопасности, соответствующего требованиям ГОСТ Р 59547-2021, является приоритетом .
3. Метрики и отчетность: Регулярный расчет и оценка показателей защищенности (Кзи) каждые 6 месяцев и уровня зрелости (Пзи) каждые 2 года станут ежедневной практикой . Результаты этих оценок, а также отчеты о результатах мониторинга и контроля уровня защищенности, должны своевременно направляться в ФСТЭК России . Это формирует прозрачную систему отчетности перед регулятором.
4. Работа с подрядчиками: Взаимодействие с подрядными организациями должно быть строго регламентировано. Необходимо закрепить обязанности подрядчиков по соблюдению требований ИБ в договорах, обеспечить им доступ к стендам разработки и тестирования, изолированным от промышленных систем, и исключить несанкционированное копирование информации .
5. Управление уязвимостями: Жесткие сроки реагирования — 24 часа для уязвимостей критического уровня и 7 дней для высокого — потребуют наличия мощных автоматизированных систем мониторинга, сигнализации и быстрого реагирования .

Коммерческий бизнес (крупный и средний)

Коммерческие организации, особенно крупные компании и госкорпорации, сталкиваются с необходимостью балансировать между требованиями регулятора, операционной эффективностью и коммерческими целями. Они часто имеют сложную IT-инфраструктуру, большое количество подрядчиков и обрабатывают значительные объемы персональных и коммерческих данных.

Ключевые особенности и практические шаги:

1. Классификация и риск-менеджмент: В отличие от госсектора, у бизнеса есть больше гибкости в классификации систем. Необходимо провести внутренний аудит для корректного присвоения классов К1, К2 или К3 на основе анализа потенциального ущерба и масштаба системы . Это позволит оптимизировать затраты, сконцентрировав ресурсы на самом критичном оборудовании.
2. Интеграция ИБ в бизнес-процессы: Требования Приказа №117 должны быть не внешней нагрузкой, а интегрированы в бизнес-процессы. Необходимо разработать внутренние стандарты и регламенты, адаптированные под специфику компании, чтобы они не мешали, а способствовали эффективной работе. Внедрение программы управления жизненным циклом уязвимостей со строгим соблюдением установленных сроков (24 часа, 7 дней) становится обязательным .
3. Работа с подрядчиками: Крупный бизнес сильно зависит от цепочек поставщиков услуг. Необходимо разработать и внедрить четкую политику работы с подрядчиками, включая требования к их соблюдению стандартов ИБ. Это может быть оформлено в виде специальных условий в соглашениях об уровне обслуживания (SLA) с подрядчиками.
4. Выбор технологий: При выборе программного и аппаратного обеспечения, особенно при внедрении новых технологий (облачные вычисления, ИИ), необходимо учитывать требования Приказа №117. Это может влиять на выбор поставщиков и архитектуры систем.
5. Отчетность и взаимодействие с регулятором: Хотя отчетность в ФСТЭК не является главной задачей, она остается обязательной. Необходимо обеспечить своевременное предоставление отчетов о мониторинге, контроле уровня защищенности и оценке Кзи/Пзи .

Малый бизнес

Малый бизнес представляет собой наиболее сложный случай для адаптации. Ограниченные финансовые и человеческие ресурсы, отсутствие собственных отделов ИБ и зависимость от готовых IT-решений создают серьезные препятствия.

Ключевые особенности и практические шаги:

1. Простая классификация и адаптация: Наиболее вероятно, что системы малого бизнеса будут классифицированы как К3 (объектовый масштаб, УЗ3) . Однако требования к документации (политики, стандарты, регламенты) и к квалификации персонала остаются такими же, как для всех. Здесь ключевая задача — адаптация, а не отказ. Политики и регламенты должны быть максимально упрощены, но содержать все обязательные пункты из Приказа №117.
2. Выбор решений «под ключ»: Самый эффективный путь для малого бизнеса — это не самостоятельная разработка всех систем защиты, а покупка комплексных IT-услуг у провайдеров, которые уже подтвердили соответствие требованиям приказа. Например, можно выбрать облачного провайдера, предоставляющего услуги хостинга, почты или CRM, которые уже включают в себя необходимые меры защиты. Это позволяет делегировать часть ответственности внешнему партнеру.
3. Автоматизация и бесплатные инструменты: Необходимо максимально использовать автоматизацию и недорогие или бесплатные инструменты для базовых задач: антивирусная защита, сканирование уязвимостей, управление паролями, брандмауэры. Многие функции, ранее требовавшие дорогостоящих лицензий, сегодня доступны в бесплатных версиях или как часть подписки на облачные сервисы.
4. Привлечение внешних экспертов: Из-за требования о 30% персонала с профильным образованием , малому бизнесу может быть сложно найти таких сотрудников. Решением может стать привлечение внешних консультантов по информационной безопасности на аутсорсинг или по проектной основе для помощи в разработке политик, проведении аудита и подготовке к проверкам.
5. Обучение персонала: Несмотря на ограниченные ресурсы, необходимо проводить минимально необходимое обучение персонала по базовым вопросам ИБ: распознавание фишинговых писем, создание надежных паролей, правила работы с данными. Это самый дешевый и эффективный способ повысить общую защищенность.

Переходный период до 1 марта 2026 года дает всем организациям время для подготовки, но требует дисциплины и системного подхода. Главное — начать с аудита инфраструктуры, классификации систем, разработки нормативных документов, оценки текущих средств защиты, планирования мероприятий и формирования отчетности.