Андрей Макаренко
Руководитель направления облачных услуг К2 Кибербезопасность
Переход от формального соответствия к реальному контролю — так эксперты характеризуют новые правила в регулировании информационной безопасности государственного сектора.
С 1 марта 2026 года вступает в силу документ, определяющий требования по информационной безопасности для государственных и смежных структур. Этот документ заменяет собой Приказ № 17 от 2013 года и вводит новую логику. Теперь требования будут применимы ко всем информационным системам государственных органов, ГУПов и учреждений, а не только к ГИС. В этой статье разберем ключевые изменения, как к ним подготовиться и что это означает для бизнеса.
Навигация по статье
- Суть изменений в Приказе № 117
- Сравнительный анализ Приказов ФСТЭК № 17 и № 117
- Как реализуется процедура аттестации
- Практические шаги для адаптации
- Итоги: безопасность как управляемый процесс
Суть изменений в Приказе № 117
Основное отличие нового Приказа — смена подхода к реализации мер информационной безопасности. Если раньше реализация технических и организационных мер сводилась к точечному подходу, то теперь регулятор оценивает обоснованность и эффективность выбранных мер защиты в контексте всей инфраструктуры и бизнес-процессов организации. Это переход к риск-ориентированному подходу.
Аттестаты соответствия, выданные до 1 марта 2026 года, остаются действительными, что дает организациям переходный период для планомерной адаптации.
Мнение эксперта К2 Кибербезопасность
Основная сложность не в закупке технологий и даже не в написании документов. Сейчас регуляторы требуют не просто «галочку», а доказательство реальной практической защищенности и рабочих процессов в организации. Раньше можно было формально отчитаться, что процесс управления уязвимостями существует. Теперь нужно подтверждать, что уязвимости действительно мониторятся, устраняются и есть отлаженный процесс взаимодействия между ИТ и ИБ командами. Самая большая боль — переход от формального соответствия к работающим, измеримым процессам.
Сравнительный анализ Приказов ФСТЭК № 17 и № 117
Ключевое отличие нового документа — переход от защиты отдельных информационных систем к защите всей инфраструктуры организации в целом.
| Приказ № 17 | Приказ № 117 |
|---|---|
| Область применения: | |
| Распространялся исключительно на государственные информационные системы (ГИС). По решению заказчика можно было применять Приказ и для других систем, но прямой обязанности не было. Если организация не хотела аттестовывать свою систему, Приказ № 17 на нее фактически не действовал. | Обязателен для всех без исключения государственных органов, ГУП и госучреждений. Требует реализовывать полный комплекс мер защиты сертифицированными средствами на всей инфраструктуре, независимо от того, является ли конкретная система ГИС. |
| Организационно–распорядительная документация: | |
| Отсутствовали четкие требования к ведению документации. Многие заказчики ограничивались созданием отдельных регламентов. | Вводит строгую иерархию: разработка верхнеуровневой политики, внутренних стандартов и детальных регламентов. Это делает систему защиты более структурированной, но требует полной переработки существующей документации. |
| Требования к квалификации персонала | |
| Формальные требования к образованию сотрудников отсутствовали. | Вводит обязательное требование: не менее 30% работников, отвечающих за защиту информации, должны иметь профильное высшее образование или пройти профессиональную переподготовку в области информационной безопасности. Прогнозируется рост спроса на привлечение подрядчиков в области ИБ. |
| Процедуры оценки и контроля: | |
| Четко прописанных процедур регулярной оценки эффективности защиты не было. |
Вводит новые требования:
|
| Особые условия (информация ДСП): | |
| Четкой привязки класса защищенности системы к наличию информации «Для служебного пользования» (ДСП) не было. | Вводит принципиально важную норму: если в системе обрабатывается информация с пометкой ДСП, такой системе автоматически присваивается первый (наивысший) класс защищенности, вне зависимости от ее масштаба. |
Кроме того, введены правила защиты информации при использовании искусственного интеллекта (ИИ). Расширен перечень базовых мер защиты и контроля достоверности ответов, запрет на передачу данных ограниченного доступа для обучения сторонних моделей и требование применять «доверенные технологии ИИ».
Мнение эксперта К2 Кибербезопасность
Приказ формализует и подчеркивает прямую ответственность руководства. Руководитель должен лично участвовать в определении целей в области информационной безопасности, контролировать выполнение мер и регулярно анализировать отчеты для принятия решений. От руководителя не требуется углубленных технических знаний, но понимание базовых принципов ИБ и актуальных угроз становится необходимым для эффективного управления.
Павел Лучников
Ведущий технический менеджер К2 Кибербезопасность
Как реализуется процедура аттестации: связь с Приказом № 77
Приказ № 117 и Приказ № 77 регулируют разные, но взаимосвязанные этапы обеспечения информационной безопасности.
- 117 Приказ устанавливает требования к самой системе защиты информации — что именно нужно сделать, какие меры реализовать.
- 77 Приказ определяет порядок аттестации — процедуру, по которой проводится оценка соответствия системы защиты установленным требованиям и выдается аттестат.
Если информационная система подпадает под действие 117 Приказа, то для официального подтверждения корректности реализации всех необходимых мер требуется проведение аттестации. Эта процедура выполняется строго в соответствии с правилами, установленными 77 Приказом. Таким образом, 117 Приказ создает потребность в аттестации, а 77 — описывает механизм ее проведения.
В обновленной практике применения 77 Приказа (и в контексте требований 117) важным изменением становится обязательность проведения тестирования на проникновение. Если раньше эта процедура была нечетко регламентирована, то теперь в рамках аттестации необходимо проводить пентесты по утвержденной ФСТЭК методике, чтобы доказать эффективность выстроенной защиты.
Практические шаги для адаптации
Переход на требования Приказа № 117 логично выстраивать как последовательный проект.
- Обследование. Комплексная оценка текущего состояния ИС, данных, документов и процессов. Сопоставление с новыми требованиями для выявления «разрывов». На этом этапе полезна услуга аудита ИБ на соответствие регуляторным требованиям.
- Проектирование системы. Актуализация или разработка с нуля каркаса СУИБ (политика, стандарты, регламенты) и проведение классификации информационных систем. Мы помогаем клиентам на основе типовых, адаптируемых под отрасль, моделей документов.
- Реализация и интеграция. Подбор и внедрение сертифицированных средств защиты информации (СЗИ), соответствующих классу ИС и потребностям владельцев этих ИС. Обучение персонала, формирование и внедрение регламентных процессов (например, процесс управления уязвимостями).
- Эксплуатация и мониторинг. Запуск непрерывного цикла управления безопасностью. Для соответствия жестким SLA по реагированию многие организации рассматривают возможность использования услуг круглосуточного Центра мониторинга и реагирования (SOC), который обеспечивает обнаружение инцидентов и управление ими.
Мнение эксперта К2 Кибербезопасность
Для адаптации к новым правилам рекомендуется комплексный проектный подход, а не фокусировка на одном направлении (документах, процессах или технологиях). Начальным этапом должно стать обследование для выявления текущих несоответствий требованиям Приказа. На основе его результатов можно выстроить план работ, который будет включать актуализацию документов, оптимизацию процессов, внедрение необходимых технологий и развитие компетенций сотрудников. Попытки решить задачи выборочно или последовательно могут привести к затягиванию сроков и невыполнению требований.
Павел Лучников
Ведущий технический менеджер К2 Кибербезопасность
Итоги: безопасность как управляемый процесс
Приказ ФСТЭК № 117 знаменует переход российской регуляторной практики в сфере ИБ на качественно новый уровень. Фокус смещается на инвестиции в выстроенные процессы, управление рисками и развитие экспертизы.
Своевременная и планомерная подготовка позволит не только выполнить формальные требования регулятора, но и существенно повысит устойчивость организации к современным киберугрозам. Для многих организаций наиболее эффективным путем становится партнерство со специализированным интегратором, обладающим соответствующим опытом и портфелем услуг.
Построение отказоустойчивой и соответствующей требованиям системы безопасности — комплексная задача. Опыт нашей команды сертифицированных специалистов и собственный центр мониторинга позволяет сопровождать клиентов на всех этапах этого пути.