С 1 марта 2026 года вступил в силу Приказ ФСТЭК № 117: новый этап в защите ГИС и муниципальных систем

С 1 марта 2026 года вступил в законную силу Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении требований о защите информации...». Документ пришел на смену устаревшему Приказу № 17 и кардинально меняет подход к обеспечению безопасности государственных (ГИС), муниципальных информационных систем, а также систем государственных учреждений и унитарных предприятий.

Главное изменение: От «бумажной» аттестации к непрерывному контролю

Если раньше безопасность оценивалась формально (наличие аттестата), то теперь регулятор вводит процессный подход и числовые метрики. Это означает переход от разовых проверок к постоянному мониторингу защищенности.

Ключевые нововведения Приказа № 117:

1. Новые показатели эффективности:

   - Кзи (Коэффициент защищенности информации): Числовой показатель от 0 до 1, который необходимо рассчитывать не реже 1 раза в 6 месяцев и направлять в ФСТЭК.

   -  Пзи (Показатель зрелости процессов): Оценивает, насколько системно в организации выстроены процессы ИБ. Рассчитывается не реже 1 раза в 2 года.

2. Расширение зоны ответственности: Требования теперь распространяются не только на сами ГИС, но и на подрядные организации, имеющие доступ к таким системам. Обязанности по ИБ для подрядчиков должны быть закреплены в договорах.

3. Жесткие сроки устранения уязвимостей: Установлены конкретные нормативы устранения недостатков: критические уязвимости необходимо закрыть в течение 24 часов, высокого риска - в течение 7 дней.

4. Требования к кадрам: Не менее 30% сотрудников подразделения информационной безопасности должны иметь профильное образование или пройти профессиональную переподготовку.

Что это значит для владельцев аттестатов?

Хорошая новость - ранее выданные аттестаты соответствия продолжают действовать до окончания срока, указанного в них. Однако ФСТЭК настоятельно рекомендует уже сейчас разработать план перехода на новые требования, так как любая модернизация системы или плановая переаттестация будет проводиться уже по правилам Приказа № 117.

Наша помощь

Переход на новые стандарты требует не только обновления документации, но и пересмотра подходов к выбору средств защиты, управлению уязвимостями и расчету показателей Кзи/Пзи.

Специалисты нашей организации готовы оказать полный спектр услуг по приведению вашей информационной системы в соответствие с Приказом № 117, включая:

• Актуализацию модели угроз и системы защиты;

• Помощь в расчете показателей защищенности;

• Аттестацию объектов информатизации по новым требованиям.

Для получения детальной консультации обращайтесь к нам любым удобным способом.