Приказ №117: гид по новым требованиям для руководителей и безопасников
С 1 марта 2026 официально вступает в силу приказ ФСТЭК России № 117, пришедший на замену приказу № 17 от 11.02.2013. Среди основных нововведений можно выделить следующее:
1. Расширение сферы действияТеперь действие приказа распространяется не только на государственные информационные системы (далее – ГИС), но и на другие информационные системы (далее - ИС), а именно:
- ИС любых государственных органов;
- ИС государственных унитарных предприятий;
- ИС государственных учреждений;
- Муниципальные ИС.
Указанные в приказе требования также распространяются и на ИС, которые получают информацию ограниченного доступа из ГИС, и могут не являться ИС из вышеописанного перечня.
2. Организация деятельности по защите информации
В качестве первоначальных мероприятий по защите информации выступают организационные мероприятия, а именно:
- Разработка и утверждение политики защиты информации с описанными в ней целями и задачами защиты информации, принципами защиты информации, перечнями объектов защиты и т. д.
- Определение ответственных лиц за защиту информации.
- Применение программных и программно-аппаратных средств защиты информации.
- Разработка и утверждение внутренних регламентов и стандартов по защите информации.
3. Управление деятельностью по защите информации
Наиболее значительным изменением в новом приказе стало введение более системного подхода по защите информации. В обязательные меры по выполнению данного требования входят:
- Разработка, планирование, проведение и дальнейшее совершенствование мероприятий и мер по защите информации. Список мероприятий и мер также претерпел изменения. Их стало больше, и они стали более предметными. В качестве новых мероприятий по защите информации выделяются:
- обеспечение разработки безопасного программного обеспечения;
- обеспечение защиты информации при использовании искусственного интеллекта;
- непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА);
- устранение уязвимостей в конкретные сроки в зависимости от уровня опасности:
- критического – не более 24 часов;
- высокого – не более 7 календарных дней;
- среднего и низкого – определяются во внутреннем регламенте по защите информации.
- При выявлении уязвимостей, которые не внесены в банк данных угроз безопасности информации ФСТЭК России (далее – БДУ), обладатель информации должен направить во ФСТЭК России информацию о данных уязвимостях в срок не более 5 рабочих дней со дня выявления
- обеспечение защиты информации при взаимодействии с подрядными организациям. Приказ вводит новые требования по безопасности информации при работе с внешними организациями, которым предоставляется доступ к информационным системам обладателя информации:
- закрепление во внутренних документах обладателя информации обязательств подрядных организаций по выполнению положений политики защиты информации. Данные документы также в обязательном порядке доводятся до подрядных организаций в части, их касающейся
- подрядные организации также обязаны выполнять требования настоящего приказа по защите информации
- В качестве новых мер по защите информации выделяются:
- защита виртуализации и облачных вычислений;
- защита технологий контейнерных сред и их оркестрации;
- защита веб-технологий;
- защита технологий интернета вещей.
- обеспечение защиты информации при взаимодействии с подрядными организациям. Приказ вводит новые требования по безопасности информации при работе с внешними организациями, которым предоставляется доступ к информационным системам обладателя информации:
- Проведение оценки состояния защиты информации
- Автоматизированное и (или) ручное выявление уязвимостей ИС с последующим экспертным анализом.
- Отчетность во ФСТЭК по результатам оценки значений показателей защиты информации:
- показатель защищенности Кзи – не реже 1 раза в 6 месяцев;
- показатель уровня зрелости Пзи – не реже 1 раза в 2 года.
ПК «Ассистент» соответствует требованиям нового приказа ФСТЭК России, в частности, для обеспечения защиты информации при удаленном доступе пользователей в части исключения возможности несанкционированного доступа к ИС (ст. 46), а также в части применения для удаленного доступа сертифицированных средств обеспечения безопасной дистанционной работы (ст. 71) и применения сертифицированных средств (для защиты информационных систем 1 класса защищенности) не ниже 4 уровня доверия (ст. 72) (Сертификат ФСТЭК России № 4162 от 26.08.2019)
Полный текст приказа № 117 от 11.04.2025 доступен на сайте регулятора.
