Title here
Summary here
Приказ ФСТЭК № 17 и Приказ № 117
1. Два документа — два подхода
timeline
title Эволюция подходов ФСТЭК к защите информации
2013 : Приказ № 17 : Аттестация как главный документ : Статические модели угроз : Контроль раз в 3 года
2025 : Приказ № 117 : Зрелость процессов (Пзн) : Защищённость (Kзн) : Непрерывный мониторинг
2026 : Методика от 12.04.2026 : 19 процессов защиты : Управление уязвимостями : Защита ИИ и контейнеров
ФСТЭК России сменила парадигму регулирования. Если Приказ № 17 (2013 г.) строился вокруг формальной аттестации, то Приказ № 117 (2025 г.) требует непрерывного процессного управления. При этом новый документ не отменяет классы защищённости К1–К3, а меняет подход к их обеспечению: вместо того чтобы сдать аттестат раз в пять лет и забыть, придётся каждые полгода отчитываться во ФСТЭК о состоянии защищённости.
| Критерий | Приказ № 17 (2013) | Приказ № 117 (2025) |
|---|---|---|
| Главный принцип | Аттестация — статический срез | Зрелость процессов (Пзн) + Защищённость (Kзн) |
| Управление уязвимостями | Разовая оценка | Непрерывный процесс с жёсткими сроками |
| Контроль конфигураций | Отсутствовал | Обязательная база эталонных конфигураций |
| ИИ и контейнеризация | Не рассматривались | Выделены в отдельные процессы |
| Периодичность отчётности | Раз в 3 года | Kзн — раз в полгода, Пзн — раз в два года |
2. Сфера действия новых Требований
Приказ № 117 расширяет охват. Теперь под защиту попадают не только государственные информационные системы (ГИС) из реестра, но и любые информационные системы государственных органов, ГУП, МУП и государственных учреждений — включая внутреннюю бухгалтерию на базе 1С или корпоративный портал.
graph TB
subgraph "Приказ № 17 (до 2025)"
A1["Только ГИС из реестра"]
end
subgraph "Приказ № 117 (с 2025)"
B1["ГИС"]
B2["Иные системы госорганов"]
B3["Системы ГУП и МУП"]
B4["Муниципальные ИС"]
end
A1 -->|расширение охвата| B1
A1 -->|новое| B2
A1 -->|новое| B3
A1 -->|новое| B4
style B1 fill:#1a237e,color:#fff
style B2 fill:#283593,color:#fff
style B3 fill:#283593,color:#fff
style B4 fill:#283593,color:#fff
Комментарий эксперта
Игорь Краев: «Раньше многие госучреждения пытались вывести внутренние сети из-под действия Приказа № 17, называя их “не ГИС”. Приказ № 117 закрывает эту лазейку. Все системы госорганов подлежат защите, за исключением силового блока — ФСБ, Минобороны, спецслужб (пункт 12). При этом если в системе крутится хотя бы один файл с пометкой “Для служебного пользования”, вся система автоматически получает УЗ 1 и, как правило, класс защищённости К1 — самый жёсткий».
3. Как определяется класс защищённости
graph LR
subgraph "Шаг 1: Уровень значимости (УЗ)"
C1["Степень ущерба:
Высокая / Средняя / Низкая"] end subgraph "Шаг 2: Масштаб системы" D1["Федеральный"] D2["Региональный"] D3["Объектовый"] end subgraph "Шаг 3: Класс защищённости" E1["К1"] E2["К2"] E3["К3"] end C1 -->|"УЗ 1 (Высокий)"| E1 C1 -->|"УЗ 2 (Средний)"| D1 C1 -->|"УЗ 3 (Низкий)"| D3 D1 -->|"Федеральный + УЗ2"| E1 D1 -->|"Федеральный + УЗ3"| E2 D2 -->|"Региональный + УЗ2"| E2 D2 -->|"Региональный + УЗ3"| E3 D3 -->|"Объектовый + УЗ2"| E2 D3 -->|"Объектовый + УЗ3"| E3 style E1 fill:#c62828,color:#fff style E2 fill:#e65100,color:#fff style E3 fill:#f57f17,color:#fff
Высокая / Средняя / Низкая"] end subgraph "Шаг 2: Масштаб системы" D1["Федеральный"] D2["Региональный"] D3["Объектовый"] end subgraph "Шаг 3: Класс защищённости" E1["К1"] E2["К2"] E3["К3"] end C1 -->|"УЗ 1 (Высокий)"| E1 C1 -->|"УЗ 2 (Средний)"| D1 C1 -->|"УЗ 3 (Низкий)"| D3 D1 -->|"Федеральный + УЗ2"| E1 D1 -->|"Федеральный + УЗ3"| E2 D2 -->|"Региональный + УЗ2"| E2 D2 -->|"Региональный + УЗ3"| E3 D3 -->|"Объектовый + УЗ2"| E2 D3 -->|"Объектовый + УЗ3"| E3 style E1 fill:#c62828,color:#fff style E2 fill:#e65100,color:#fff style E3 fill:#f57f17,color:#fff
4. Организационные требования
Приказ № 117 (раздел II) предъявляет новые требования к кадровому составу.
Структурное подразделение по ИБ
Обязательно создаётся либо функции возлагаются на существующий отдел. Ключевые позиции:
- Не менее 30% сотрудников должны иметь профильное образование в области ИБ (высшее или профессиональная переподготовка).
- Ответственное лицо назначается руководителем, подчиняется непосредственно ему.
- Запрещено совмещение ролей: администратор системы не может быть администратором безопасности.
Комментарий эксперта
Игорь Краев: «Это серьёзный вызов для небольших учреждений. Если раньше сисадмин по совместительству был “ответственным за ИБ”, теперь это прямое нарушение. Нужно либо обучать специалиста по программе профпереподготовки объёмом от 256 часов, либо нанимать отдельного сотрудника. Проверьте дипломы своих людей уже сейчас».
Обязанности ответственного лица
graph TB
RUK["Руководитель организации
Персональная ответственность"] RUK -->|"Назначает"| OT["Ответственное лицо
Заместитель руководителя"] RUK -->|"Контролирует"| POD["Структурное подразделение ИБ"] OT -->|"Руководит"| POD OT -->|"Организует"| POL["Разработка Политики ИБ"] OT -->|"Организует"| INC["Реагирование на инциденты"] OT -->|"Организует"| AUD["Расчёт Kзн и Пзн"] OT -->|"Обеспечивает"| FSB["Доступ ФСБ для мониторинга"] POD -->|"Выполняет"| VULN["Управление уязвимостями"] POD -->|"Выполняет"| CONF["Контроль конфигураций"] POD -->|"Выполняет"| MON["Мониторинг ИБ"] style RUK fill:#1a237e,color:#fff style OT fill:#283593,color:#fff style POD fill:#3949ab,color:#fff
Персональная ответственность"] RUK -->|"Назначает"| OT["Ответственное лицо
Заместитель руководителя"] RUK -->|"Контролирует"| POD["Структурное подразделение ИБ"] OT -->|"Руководит"| POD OT -->|"Организует"| POL["Разработка Политики ИБ"] OT -->|"Организует"| INC["Реагирование на инциденты"] OT -->|"Организует"| AUD["Расчёт Kзн и Пзн"] OT -->|"Обеспечивает"| FSB["Доступ ФСБ для мониторинга"] POD -->|"Выполняет"| VULN["Управление уязвимостями"] POD -->|"Выполняет"| CONF["Контроль конфигураций"] POD -->|"Выполняет"| MON["Мониторинг ИБ"] style RUK fill:#1a237e,color:#fff style OT fill:#283593,color:#fff style POD fill:#3949ab,color:#fff
5. Показатели Kзн и Пзн
Вместо формальной аттестации вводится система непрерывного мониторинга и оценки.
| Показатель | Суть | Периодичность расчёта |
|---|---|---|
| Kзн (Показатель защищённости) | Насколько система защищена от базовых угроз | Каждые 6 месяцев |
| Пзн (Показатель зрелости) | Насколько выстроены процессы управления ИБ | Раз в 2 года |
Если значения не соответствуют нормам — руководитель должен быть проинформирован в течение трёх дней, а в ФСТЭК отчёт направляется в течение пяти рабочих дней.
6. Управление уязвимостями
Приказ № 117 (пункт 38) устанавливает жёсткие KPI:
- Критический уровень опасности — устранение в течение 24 часов.
- Высокий уровень опасности — устранение в течение 7 календарных дней.
- Средний и низкий уровни — срок определяет организация с обоснованием.
Если обнаружена уязвимость, которой нет в Банке данных угроз ФСТЭК (BDU), организация обязана сообщить о ней во ФСТЭК в течение 5 рабочих дней.
7. Защита удалённого доступа и мобильных устройств
Пункты 42–46 Приказа № 117 вводят строгие правила:
- Удалённый доступ — только с доверенных устройств, выданных организацией.
- Личные устройства — исключительно через сертифицированные средства безопасной дистанционной работы (VDI с криптографией).
- Обязательна строгая двухфакторная аутентификация.
- Каналы связи — только через сети на территории РФ.
8. Виртуализация и искусственный интеллект
Новые разделы Приказа № 117:
- Виртуализация: защита гипервизора, контроль перемещения виртуальных машин, доверенная загрузка серверов.
- Искусственный интеллект: запрет на передачу информации ограниченного доступа для обучения моделей, контроль ответов нейросетей, использование доверенных технологий ИИ.
Разработка и тестирование ПО непосредственно в промышленной среде запрещены — только на изолированных стендах.
9. Что будет с аттестацией
Аттестация сохраняется и для ГИС, и для значимых объектов КИИ. Новый порядок — Приказ ФСТЭК № 77 от 29.04.2021.
graph LR
subgraph "До 2025"
F1["Разработка модели угроз"] --> F2["Внедрение мер"] --> F3["Аттестация"] --> F4["Аттестат (бессрочно)"]
end
subgraph "С 2025"
G1["Непрерывный мониторинг Kзн/Пзн"] --> G2["Аттестация"] --> G3["Аттестат"] --> G4["Контроль каждые 6 мес."]
end
style F4 fill:#2e7d32,color:#fff
style G3 fill:#c62828,color:#fff
Главное изменение: без реально работающего мониторинга и высокого Kзн аттестат получить будет невозможно либо его оперативно отзовут по результатам контроля.
10. Чек-лист перехода на Приказ № 117
- Актуализировать классификацию. Проверить, нет ли в системе информации с пометкой «Для служебного пользования» — ведёт к К1.
- Проверить образование сотрудников отдела ИБ (30% должны иметь профильные дипломы или свидетельства о переподготовке).
- Внедрить процесс управления уязвимостями со сроком реакции 24 часа для критических.
- Настроить сегментирование и запретить разработку в промышленной среде.
- Подготовить шаблоны отчётов для расчёта Kзн и Пзн.
Как «Стратегия Ра» помогает с переходом на Приказ № 117
Мы выполняем полный комплекс работ:
- Аудит текущего состояния. Оцениваем соответствие требованиям Приказа № 117, выявляем критические несоответствия.
- Разработка документации. Готовим или актуализируем Политику ИБ, внутренние стандарты и регламенты по 19 процессам.
- Внедрение процессов. Настраиваем управление уязвимостями с жёсткими сроками, контроль конфигураций, мониторинг ИБ.
- Подготовка к аттестации. Приводим системы в соответствие требованиям, сопровождаем процедуру аттестации.
Приглашаем к диалогу
Если вы не уверены, соответствует ли ваша организация новым требованиям Приказа № 117, — приглашаем на бесплатную первичную консультацию. Мы разберём вашу ситуацию и предложим дорожную карту. Напишите нам, и мы договоримся о встрече.
Материал подготовлен на основе лекций и практических кейсов Игоря Краева, генерального директора ООО «Стратегия Ра», апрель 2026 г.