Что важно знать о Приказе ФСТЭК №117: Новые требования к ИБ, сроки и отличия от Приказа №17

Федеральная служба по техническому и экспортному контролю (ФСТЭК) совершила знаковый шаг, утвердив Приказ № 117 от 11.04.2025 г., который кардинально обновляет подходы к защите информации в государственных системах. Этот документ, вступающий в силу 1 марта 2026 года, заменяет действовавший более десяти лет Приказ № 17 от 11.02.2013 г. Новые требования не просто корректируют старые нормы - они создают новый стандарт кибербезопасности для госсектора в условиях роста цифровых угроз, особенно участившимися случаями компрометации конфиденциальных данных при участии третьих лиц.

Содержание

Субъекты применения новых требований
Сравнение Приказа № 117 и Приказа № 17
Детализация ключевых нововведений
Переходный период и сохранение преемственности
Заключение

Субъекты применения новых требований

Положения Приказа ФСТЭК России от 11.04.2025 № 117 распространяются на следующий перечень субъектов:

Государственные информационные системы (ГИС) - как и ранее.
Иные информационные системы федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, иных государственных органов, государственных унитарных предприятий (ФГУП) и государственных учреждений - ключевое нововведение.
Информационные системы муниципальных органов (п. 3 Приказа № 117).
Организации, привлекаемые на основании гражданско-правовых договоров для выполнения работ (оказания услуг), связанных с созданием, эксплуатацией, модернизацией и защитой указанных информационных систем (подрядчики) - впервые вводятся обязательные политики ИБ для сторонних исполнителей(п. 16 Приказа № 117).

Базовые меры защиты, которые необходимо реализовать в ИС: идентификация и аутентификация; управление доступом; регистрация событий безопасности; защита виртуализации и облачных вычислений; защита технологий контейнерных сред и их оркестрации; защита сервисов электронной почты; защита веб-технологий; защита программных интерфейсов взаимодействия приложений; защита конечных устройств; защита мобильных устройств; защита технологий интернета вещей; защита точек беспроводного доступа; антивирусная защита; обнаружение и предотвращение вторжений на сетевом уровне; сегментация и межсетевое экранирование; защита от компьютерных атак, направленных на отказ в обслуживании; защита каналов передачи данных и сетевого взаимодействия.

Сравнение Приказа № 117 и Приказа № 17

Критерий	Приказ № 17 (2013)	Приказ № 117 (2025)
Сфера действия	Только ГИС	ГИС + ИС государственных и муниципальных органов, ФГУП
Кадровые требования	Не регламентированы	≥30% сотрудников ИБ-подразделений - профильное образование/переподготовка
Работа с подрядчиками	Общие указания	Обязательная разработка политик ИБ + контроль исполнения
Оценка защищенности	Аттестация при вводе в эксплуатацию	Регулярная оценка: показателей защищенности (не реже 1 раза в 6 мес.), зрелость процессов ИБ (не реже 1 раза в год)
Реакция на уязвимости	Сроки не установлены	Критические - 24 часа, высокой опасности - 7 дней
Технологии	Сертифицированные СЗИ по классам	Мониторинг ИБ, контроль защиты конечных устройств и усиленная многофакторная аутентификация для привилегированных доступов
ИИ-системы	Не рассматривались	Защита от атак на модели машинного обучения, запрет на автономное принятие решений

Детализация ключевых нововведений

Требования к кадровому обеспечению безопасности информации

Пунктом 20 Приказа ФСТЭК России № 117 от 11.04.2025 установлены количественные критерии квалификации персонала, ответственного за защиту информации. В штате подразделений, обеспечивающих безопасность информации, не менее 30% сотрудников обязаны иметь:

высшее образование по специальностям в области информационной безопасности;
либо дополнительное профессиональное образование (профессиональная переподготовка) в указанной сфере.

Данная норма направлена на системное повышение профессионального уровня специалистов, осуществляющих эксплуатацию и администрирование средств защиты.

В отношении подрядных организаций (п. 16, 26 Приказа № 117) введена обязанность заказчика:

доводить до исполнителей актуальные версии внутренних документов, регламентирующих вопросы защиты информации;
осуществлять контроль соблюдения установленных политик безопасности при выполнении работ (оказании услуг).

Указанные меры призваны обеспечить единые стандарты защиты на всех этапах жизненного цикла информационных систем, включая работы сторонних исполнителей.

Система периодической оценки защищенности и зрелости процессов обеспечения безопасности информации

Приказом ФСТЭК России № 117 (п. 32) установлена обязательная цикличность процедур анализа состояния защищенности информационных систем, подпадающих под его действие. Организации обязаны осуществлять комплексную оценку уровня защищенности обрабатываемой информации не реже одного раза в течение шести месяцев с фиксацией результатов в установленном порядке. Параллельно с этим, не реже одного раза в год должна проводиться оценка уровня зрелости процессов обеспечения информационной безопасности, выполняемая в соответствии с методиками, утвержденными ФСТЭК России (в соответствии с абзацем вторым пункта 5 и подпунктом 4 пункта 8 Положения о ФСТЭК России). Результаты оценки в срок не позднее пяти рабочих дней направляются во ФСТЭК России. Для формализации процедур мониторинга введено требование об обязательном применении национального стандарта ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие положения», предусматривающего единые методологические подходы к сбору и анализу данных о состоянии защищенности. Результаты указанных оценок подлежат обязательному документированию и ежегодному представлению в уполномоченные контролирующие органы. Принципиальным отличием от прежнего подхода (Приказ № 17) является фокус на идентификации систем, сбой или нарушение безопасности которых способны повлечь критические последствия, включая возникновение угроз жизнедеятельности и безопасности населения, масштабное распространение информации ограниченного доступа, существенное нарушение конституционных прав граждан, либо причинение значительного ущерба экономическим или оборонным интересам Российской Федерации. Данный подход реализует концепцию риск-ориентированного распределения ресурсов защиты, концентрируя усилия на наиболее значимых объектах.

Обязательные технологические меры обеспечения безопасности: мониторинг и анализ процессов и событий конечных устройств, контроль привилегированных доступов и регулирование искусственного интеллекта

В соответствии с Приказом ФСТЭК России № 117 от 11.04.2025 установлен комплекс обязательных технических требований, охватывающих три ключевых направления защиты информации:

По направлению контроля защиты конечных устройств (п. 41) организации обязаны обеспечить:

реализацию мер по защите от НСД;
мониторинг и анализ процессов для выявления актуальных угроз;
оперативное оповещение о событиях безопасности.

Контроль использования устройств осуществляется согласно внутренним стандартам и регламентам ИБ.

Николай Лазарев

Руководитель направления по кибербезопасности

В связи с поправками от 16.06.2025 г. в Федеральное законодательство, внесенными на основании 117 Приказа ФСТЭК от 11.04.2025 изменен перечень требований к защите информации, содержащейся в ГИС и иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений.

В частности, разберем требования п. 41 данного Приказа, который гласит:
Мероприятия по обеспечению защиты информации при применении конечных устройств информационных систем должны исключать возможность несанкционированного доступа к информационным системам и конечным устройствам или воздействия на них через интерфейсы и порты, непосредственно взаимодействующие с сетью "Интернет" и (или) доступные из сети "Интернет".

Защита конечных устройств информационных систем должна включать реализацию в них в соответствии с Требованиями мер по защите информации от несанкционированного доступа и проведении на них мониторинга и анализа процессов и событий с целью выявления актуальных угроз, а также предупреждении о произошедших событиях безопасности. Контроль использования конечных устройств должен осуществляться в соответствии с внутренними стандартами и регламентами по защите информации.
Таким образом, мы можем выделить несколько основных требований, а именно:
1) Исключить возможность несанкционированного доступа к ИС и конечным устройствам.
2) Исключить возможность воздействия на ИС и конечные устройства через интерфейсы и порты Интернет.
3) Должен осуществляться мониторинг и анализ процессов и событий, с выводом и/или отправкой предупреждений.
Зачастую на рынке для обеспечения соответствия данным требованиям предлагается решение EDR, которое включает в себя следующие возможности:
1) Мониторинг активности.
2) Обнаружение угроз.
3) Анализ поведения.
4) Реагирование на инциденты.
5) Исследование инцидентов.
6) Управление уязвимостями.
7) Интеграция с другими средствами безопасности.
8) Отчетность и аналитика.

Однако, стоит обращать внимание на то, что зачастую не весь функционал доступен «из коробки», а в некоторых случаях требуется внедрение «рядом стоящих» СЗИ, например:
1) Настройки по умолчанию могут охватывать не все сценарии.
2) Некоторые функции могут требовать дополнительной настройки или интеграции.
3) Расширенные возможности, такие как машинное обучение или аналитика, могут быть доступны только в «расширенных» версиях.
4) Пользователям необходимо настраивать параметры под специфические нужды своей организации.

Таким образом, мы получаем продукт, который безусловно отвечает всем требованиям текущего пункта Приказа, однако несложно заметить и несколько недостатков, таких как:
1) При описанном функционале не сложно понять, что стоимость решения будет очень существенной.
2) Некоторый функционал (например, исследование инцидентов и управление уязвимостями) является избыточным для выполнения требований Приказа.
3) Требуются дополнительные настройки под свои нужды (средний срок внедрения составляет от 2 до 6 месяцев и более), что влияет на общую стоимость владения продуктом.
4) Для корректной и централизованной работы функционала зачастую требуются сопутствующие продукты (например, у одного известного вендора функционал полноценной автоматизации и централизации будет доступен только при внедрении MDM (Managed Detection and Response) и ATA (Anti Targeted Attack), не говоря уже о SIEM, для сбора и анализа событий).

На основании изложенного, я думаю, становится понятным, что данный класс СЗИ рекомендуется использовать только при условиях, что Ваша компания является довольно крупной, может себе позволить приобретение и владение данным продуктом, уровень зрелости ИБ находится на высоком уровне из чего следует, что компания понимает для чего она будет использовать данное решение, потому как заложенный функционал покрывает куда больше аспектов, часть из которых не требуется для обеспечения простого соответствия законодательству.

Так как же поступить если потребность/необходимость есть?

Ответ прост, рассмотреть решения альтернативных классов СЗИ, таких как системы классовой защиты (на Российском рынке есть несколько решений, название которых заканчивается на «NET» (полное название не называю, так как не преследую цели рекламы).

Сейчас Вы, логично, задаетесь вопросом, а какой же функционал я получу при их приобретении? Отвечу:
1) Шифрование данных для защиты от несанкционированного доступа (в т.ч. проводится дополнительная проверка при авторизации на АРМ или сервере).
2) Управление доступом к информации, чтобы только авторизованные пользователи могли просматривать или изменять данные (защита от НСД).
3) Мониторинг и аудит действий для выявления потенциальных угроз.
4) Защита информации в режиме реального времени от взлома и утечек (в т.ч. функционал фаервола и IDS/IPS).
5) Поддержка различных протоколов и стандартов безопасности.
6) Интеграция с существующими системами и программным обеспечением для обеспечения комплексной защиты (в т.ч. с SIEM и иными).
7) Отчетность и аналитика.

Помимо прочего, «из коробки» мы получаем полностью рабочий, автоматизированный продукт, с централизованным управлением, который потребует настройки лишь при первичном внедрении. Также, данный класс СЗИ очень гибок в вопросе лицензирования (не нужные модули можно не приобретать) и средний срок внедрения составляет всего от 1 до 3 месяцев.

Основные плюсы данного решения - это надежность, стоимость и его простота (соотношение цена/качество на очень высоком уровне), которые, исходя из Ваших задач, точно нивелируют недостаток функционала.
НО! Обращаю внимание, что в вопросе потенциала для дальнейшего развития данный класс СЗИ будет существенно уступать EDR.

Краткий вывод:
EDR – круто, классно, но дорого, много нюансов и подходит только, мое личное убеждение, для крупного бизнеса или компаний со зрелым ИБ.
Системы классовой защиты – обеспечивают соответствия требования закона, дешевы и просты в интеграции. Подойдут для малого и среднего бизнеса и компаний, которые только развивают ИБ.

В части контроля привилегированных доступов (п. 48) предписано обязательное применение средств многофакторной аутентификации (MFA) при осуществлении административных операций, дополненное реализацией механизмов детального протоколирования действий привилегированных пользователей, регулярным анализом корректности выполняемых операций и минимизацией числа лиц, обладающих правами администратора.

Регулирование систем искусственного интеллекта (п. 60, 61) предусматривает:

Внедрение средств, предотвращающих целенаправленное искажение обучающих данных («отравление» моделей), блокирующих несанкционированную модификацию параметров алгоритмов и обеспечивающих контроль целостности моделей машинного обучения (п. 61);
Реализацию мер по недопущению несанкционированного раскрытия сведений ограниченного доступа через генеративные ИИ-системы и утечек конфиденциальных данных при обработке ИИ-алгоритмами (п. 60);
Для проведения мониторинга информационной безопасности допускается использование доверенных технологий искусственного интеллекта (п. 49).

Нормативная база реализации включает: соответствие требований ГОСТ Р 59547-2021 в части мониторинга безопасности информации; применение ГОСТ Р 71476-2024 (ИСО/МЭК 22989:2022) для унификации терминологии; выполнение требований к ИИ-системам в соответствии с методическими рекомендациями ФСТЭК России, подлежащими разработке в период 2025–2026 годов.

Удаленная работа и BYOD (Bring Your Own Device)

Новые правила для удаленной работы и личных гаджетов: строгие условия доступа. Одно из самых заметных новшеств Приказа № 117 - детальное регулирование использования личных устройств сотрудников (BYOD) и удаленной работы для доступа к защищаемым информационным системам. В отличие от Приказа № 17, который обходил эту тему, новый документ прямо разрешает такие сценарии, но лишь при соблюдении целого комплекса обязательных мер безопасности. Ключевое требование – вся работа с системами должна осуществляться исключительно с территории Российской Федерации; доступ из-за рубежа блокируется. На каждом личном устройстве, используемом для служебных задач, обязательно должны быть установлены и актуально функционировать средства антивирусной защиты, специализированные средства защиты информации (СЗИ), одобренные ФСТЭК, а также средства криптографической защиты (СКЗИ) для обеспечения конфиденциальности и целостности данных. Аутентификация пользователя при таком доступе также должна выполняться с применением криптографических методов, что значительно повышает стойкость к компрометации учетных записей по сравнению с простыми паролями. Таким образом, ФСТЭК, признавая реальность современной мобильной работы, устанавливает жесткие технические «правила игры» для минимизации связанных с ней рисков утечек и несанкционированного доступа (ссылаясь на конкретные пункты Приказа №117, п. 42, 43, 46, 47).

Переходный период и сохранение преемственности

Действующие аттестаты соответствия, выданные до 1 марта 2026 года, остаются валидными.
Приказ № 17 официально утратит силу с началом действия новых норм .
Текущий период (до марта 2026 г.) отведен на адаптацию инфраструктуры, обучение сотрудников и внедрение EDR.

Заключение

Приказ № 117 - не просто замена устаревших норм. Это ответ на вызовы нового десятилетия:

Рост атак через подрядчиков;
Риски злоупотребления ИИ;
Необходимость скоростного реагирования на 0-day уязвимости.

Для госструктур это означает перезагрузку парадигмы ИБ: от формального соответствия - к управлению последствиями. Для рынка безопасности - импульс к развитию решений в области мониторинга ИБ, многофакторной аутентификации и защиты ИИ-экосистем. Уже сейчас очевидно: март 2026 года станет рубежом, после которого «старая» модель защиты ГИС останется в истории.