С 1 марта 2026 года для всех государственных информационных систем вступает в силу новый приказ ФСТЭК №117. Документ актуализирует подходы к обеспечению безопасности, с учетом современной реальности: распространение облачных сервисов, мобильных устройств, IoT и удаленного доступа.
Область действия приказа включает все информационные системы государственных органов, унитарных предприятий и учреждений, а также решения созданные и сопровождаемые по их поручению. Под исключения попали системы обрабатывающие государственную тайну, военные и специальные документы.
Среди основных направлений, включенных в приказ №117:
▪️Управление уязвимостями и обновлениями. Требуется регулярно анализировать уязвимости, документировать результаты и устанавливать обновления с учетом классов защищенности.
▪️Управление привилегированным доступом. Необходимо разделять роли и функции, фиксировать действия администраторов, установить многофакторную аутентификацию.
▪️Обеспечение безопасности беспроводных каналов. Установлены меры по защите точек доступа и изоляции беспроводных сетей от внешних.
▪️Непрерывность функционирования и мониторинг. Установлены новые требования к резервному копированию, восстановлению, мониторингу состояния ИБ и управлению инцидентами.
Новые требования к отчетности, подрядчикам и кадрам
1. КЗИ (коэффициент защищенности информации) и ПЗИ (показатель уровня зрелости ИБ)
В приказе №117 введены новые показатели, которые должны рассчитываться организациями эксплуатирующими или использующими государственные системы. КЗИ должны направляться во ФСТЭК каждые 6 месяцев, а ПЗИ раз в два года.
Внеочередная проверка показателей проводится в определенных случаях:
▪️возникновение значимого инцидента, который повлек за собой негативные последствия для компании;
▪️изменение архитектуры информационных систем;
▪️запрос руководителя органа о текущем значении показателей;
▪️запрос ФСТЭК.
2. Подготовка специалистов по ИБ
Отдельный пункт приказа определяет работу специалистов — в штате компании, обеспечивающей защиту информации, должно находиться не менее 30% сотрудников подразделения ИБ с профильным образованием или переподготовкой.
3. Ответственность подрядчиков
Даже если компания не является оператором ГИС, но взаимодействует с ней — например, через интеграцию, сервисное обслуживание или хранение данных, — она должна соблюдать установленные меры.
4. Расширение технических мер безопасности
Новый приказ расширил перечень технических мер защиты. Теперь в перечне 17 пунктов, туда добавили современные методы, которые раньше отсутствовали или обозначались лишь косвенно. Среди них:
▪️защита веб-технологий;
▪️защита мобильных устройств;
▪️защита технологий интернета вещей;
▪️защита облачных вычислений
Как подготовиться к изменениям?
Чтобы плавно перейти на новые правила, следует начать подготовку сейчас и сформировать фундамент.
Что нужно сделать до конца 2025 года?
▪️Провести аудит действующих информационных систем и определить негативные последствия;
▪️Пересмотреть архитектуру с учетом возможной сегментации;
▪️Составить перечень подрядчиков, имеющих доступ к ИС;
▪️Разработать план мероприятий и дорожную карту по доработке информационной безопасности;
Основной этап работ на 2026 год
▪️Разработать политику, стандарты и регламенты;
▪️Закупить и внедрить необходимые СИЗ;
▪️Внедрить процессы управления ИБ, включая процессы непрерывности деятельности и безопасности разработки ПО;
▪️Повысить осведомленность сотрудников в области ИБ;
▪️Пересмотреть договоры и SLA на сопровождение с учетом новых обязательств;
▪️Проверить, что меры по защите информации соответствуют требованиям, с помощью аттестации или оценки уровня информационной безопасности;
▪️Подготовить отчетность по показателям КЗИ и ПЗИ.