С 1 марта 2026 года вступает в силу приказ ФСТЭК России № 117. Документ меняет требования к защите информации содержащееся в государственных информационных системах и иных ИС. Мы разобрали документ и подготовили краткую выжимку. Только те изменения, которые реально повлияют на вашу работу. Ниже по пунктам: что нового, на что обратить внимание, что нужно сделать.
1. Общие положения
• Вступает в силу с 1 марта 2026 года.
• Распространяется на любые ИС госорганов, ГУП и госучреждений, а также муниципальные ИС.
• Цели — недопущение (снижение возможности) наступления негативных последствий (событий) от реализации угроз ИБ. Список негативных последствий берется из БДУ ФСТЭК.
• Таблицы с мерами защиты как в 17 приказе нет. Есть текстовый перечень базовых мер.
• Реализация мер по защите:
— Реализация базовых мер защиты информации;
— Адаптация базовых мер защиты информации;
— Верификация адаптированного базовых мер.
2. Организация деятельности по защите информации
• Требуется большое число внутренних документов:
— политика ИБ;
— стандартов – 13 штук;
— регламентов – 17 штук.
• Не менее 30% работников подразделения ИБ должны иметь профессиональное образование или пройти профессиональную переподготовку по ИБ.
• Поиск уязвимостей теперь не только в ПО и ПАК, добавился контроль конфигураций и настроек ПО и ПАК. Контроль конфигураций ИС должны исключать несанкционированное изменение настроек и конфигураций ПО и ПАК.
• Отдел ИБ уже ДОЛЖЕН предоставлять руководству обоснованные предложения по требуемым на защиту от негативных последствий ресурсам, а также о перечне негативных последствий (событий), наступление которых прогнозируется в случае отсутствия ресурсов.
• Модель угроз обязательна для ГИС (по 676-ПП). Иные ИС на усмотрение оператора.
• Аттестация обязательна только для ГИС. Иные ИС аттестуются на усмотрение оператора.
3. Мероприятия и меры по защите информации
• 21 мероприятие для защиты от негативных последствий:
1) выявление и оценка угроз безопасности информации;
2) контроль конфигураций ИС;
3) управление уязвимостями;
4) управление обновлениями;
5) обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа;
6) обеспечение защиты информации при применении конечных устройств;
7) обеспечение защиты информации при применении мобильных устройств;
8) обеспечение защиты информации при удаленном доступе пользователей к ИС;
9) обеспечение защиты информации при беспроводном доступе пользователей к ИС;
10) обеспечение защиты информации при привилегированном доступе;
11) обеспечение мониторинга ИБ;
12) обеспечение разработки безопасного ПО;
13) обеспечение физической защиты ИС;
14) обеспечение непрерывности функционирования ИС при возникновении нештатных ситуаций;
15) повышение уровня знаний и информированности пользователей по вопросам защиты информации;
16) обеспечение защиты информации при взаимодействии с подрядными организациями;
17) обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании;
18) обеспечение защиты информации при использовании ИИ;
19) реализация в ИС мер по их защите и защите содержащейся в них информации;
20) проведение контроля уровня защищенности информации, содержащейся в ИС;
21) обеспечение непрерывного взаимодействия с ГосСОПКА.
• Критические уязвимости должны устраняться за 24 часа, высокого уровня опасности — не более 7 дней.
• Бесконтрольная установка обновлений не допускается.
• Привилегированный доступ:
— Строгая аутентификация, если невозможно, то MFA.
— Учетки админов создающие других админов – закрепляются за определенным человеком.
— Встроенные админские учетки отключаются или переименовываются.
• Мониторинг ИБ должен быть во всех ИС, исключая локальные и изолированные ИС, в которых должен обеспечиваться контроль журналов регистрации событий безопасности.
• Флешки используются только выданные на работе.
• Резервное копирование не только БД, но и ПО, ПАК и их конфигураций.
• Обучение пользователей – обязательная мера.
• Для защиты от DDoS-атак необходима, взаимодействовать с ГосСОПКА и ЦМУ ССОП.
• Раздел по защите ИИ.
• Восстановление функционирования ИС (сегментов ИС):
— для ИС класса К1 – 24 часа;
— для ИС класса К2 – 7 дней;
— для ИС класса К3 – 4 недели.
4. Защита информации при работе с подрядчиками
• Для подрядчиков может быть разработана отдельная политика ИБ.
• Выдается доступ только на нужные ресурсы.
• Подрядчики должны выполнять в меры по ИБ, которые изолированы.
• Разработка и тестирование только в отдельном сегменте, не на рабочих мощностях.
5. Отчетности во ФСТЭК России
• Годовой отчет (или последний за год отчет) о результатах мониторинга.
• Оценка показателя защищенности (Кзи) не реже одного раза в 6 месяцев.
• Оценка показатель уровня зрелости (Пзи) не реже раза в год.
• Контроль защищенности не реже 1 раза в 3 года.
• Если обнаружены уязвимости, которых нет в БДУ ФСТЭК
Мы знаем, как привести системы в соответствие с новым приказом быстро и без лишних затрат. Есть опыт, методики и прямые руки. Мы можем взять на себя всю работу: от оценки текущего состояния до сдачи документов.
Приказ вступает в силу 1 марта 2026 и соответствие новому приказу важно, напишите, обсудим, что нужно сделать именно вам.