Обзор ключевых изменений в требованиях к защите информации согласно Приказу ФСТЭК России № 117
1 сентября 2025
В целях адаптации требований к защите информации в государственных информационных системах к современным технологиям и угрозам 11.04.2025 был утвержден Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее – Приказ 117), который:
Далее в статье мы ответим на вопросы:
С подробным анализом изменений Приказа 117 и их сравнением с Приказом 17 можно ознакомиться в обзоре аналитиков Центра кибербезопасности УЦСБ.
В целях адаптации требований к защите информации в государственных информационных системах к современным технологиям и угрозам 11.04.2025 был утвержден Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее – Приказ 117), который:
- вступает в силу с 01.03.2026;
- заменяет (отменяет) Приказ 17;
- вводит процессный подход к деятельности по защите информации;
- дополняет и детализирует перечень мероприятий по защите информации, ранее содержащийся в Приказе 17.
Далее в статье мы ответим на вопросы:
- Каких организаций коснутся изменения?
- Какие новые требования вступят в силу?
- И как подготовиться к изменениям?
С подробным анализом изменений Приказа 117 и их сравнением с Приказом 17 можно ознакомиться в обзоре аналитиков Центра кибербезопасности УЦСБ.
1. Каких организаций коснутся изменения?
В отличие от Приказа 17, Приказ 117 расширяет сферу применения требований по защите информации, охватывая теперь не только государственные информационные системы (ГИС), но и иные информационные системы (ИС):
Кроме того, Приказ 117 устанавливает обязательные требования к обработке информации в ГИС, действующих на территории РФ, а также в муниципальных ИС.
Далее рассмотрим основные требования, которые необходимо соблюдать в таких системах.
- государственных органов;
- государственных унитарных предприятий и учреждений;
- муниципальные ИС.
Кроме того, Приказ 117 устанавливает обязательные требования к обработке информации в ГИС, действующих на территории РФ, а также в муниципальных ИС.
Далее рассмотрим основные требования, которые необходимо соблюдать в таких системах.
2. Какие новые требования вступят в силу?
Процессный подход
Приказ 117 для управления деятельностью по защите информации вводит элементы цикла Деминга-Шухарта (Plan–Do–Check–Act), обеспечивая структурированный подход к непрерывному совершенствованию процессов защиты информации, а именно:
Нововведения, представленные в Приказе 117, конкретизируют и дополняют требования, установленные ранее Приказом 17. Операторам ИС необходимо будет актуализировать состав уже имеющейся организационно-распорядительной документации (ОРД), а также разработать недостающие ОРД при необходимости. В частности, это касается:
Отметим, что Приказ 117 регламентирует содержание ОРД. Так, операторы ИС обязаны определить:
o типовым конфигурациям и настройкам программных, программно-аппаратных средств;
o защите конечных и мобильных устройств;
o непрерывности функционирования и резервному копированию;
o сбору, регистрации и анализу событий безопасности;
o управления уязвимостями и обновлениями;
o разработки безопасного программного обеспечения;
o мониторинга и восстановления штатного функционирования ИС;
o обращения с информацией ограниченного доступа, повышения информированности пользователей и контроля уровня защищенности информации.
В Приказе 117 отмечается, что при взаимодействии оператора ИС с подрядными организациями необходимо установить требования по обеспечению защиты информации, к которой получен доступ, исключить несанкционированный доступ (НСД) к ИС и установить запрет на проведение работ по разработке, развитию и/или тестированию программного обеспечения (ПО) в эксплуатируемых ИС оператора.
Приказ 117 также уточняет срок направления отчетности в адрес ФСТЭК России до 5 рабочих дней по результатам:
Мероприятия по защите информации
Подход Приказа 117 к мероприятиям по защите информации значительно дополняется в результате нововведений, теперь перечень мероприятий выглядит так:
Текущая версия Приказа 117 не содержит составы мер защиты информации и их базовые наборы для соответствующего класса защищенности ИС, однако ФСТЭК России планируется их включение. При этом, уже сейчас к качественно новым мероприятиям по защите информации можно отнести:
Для выполнения указанных выше мероприятий Приказ 117 регламентирует применение ГОСТ Р 56939‑2024 «Защита информации. Разработка безопасного ПО» при самостоятельной разработке безопасного ПО и в случае привлечения подрядной организации.
Для реализации мероприятий по обеспечению ИБ и масштабирования покрываемой зоны Приказ 117 предлагает внедрить системы классов:
Приказ 117 для управления деятельностью по защите информации вводит элементы цикла Деминга-Шухарта (Plan–Do–Check–Act), обеспечивая структурированный подход к непрерывному совершенствованию процессов защиты информации, а именно:
- разработку и планирование мероприятий и мер по защите информации;
- проведение мероприятий и принятие мер по защите информации;
- проведение оценки состояния защиты информации;
- совершенствование мероприятий и мер по защите информации.
Нововведения, представленные в Приказе 117, конкретизируют и дополняют требования, установленные ранее Приказом 17. Операторам ИС необходимо будет актуализировать состав уже имеющейся организационно-распорядительной документации (ОРД), а также разработать недостающие ОРД при необходимости. В частности, это касается:
- политики защиты информации;
- внутренних стандартов и регламентов по защите информации.
Отметим, что Приказ 117 регламентирует содержание ОРД. Так, операторы ИС обязаны определить:
- область действия документов;
- объекты защиты и категории участников;
- требования к:
o типовым конфигурациям и настройкам программных, программно-аппаратных средств;
o защите конечных и мобильных устройств;
o непрерывности функционирования и резервному копированию;
o сбору, регистрации и анализу событий безопасности;
- порядок:
o управления уязвимостями и обновлениями;
o разработки безопасного программного обеспечения;
o мониторинга и восстановления штатного функционирования ИС;
o обращения с информацией ограниченного доступа, повышения информированности пользователей и контроля уровня защищенности информации.
- и другое.
В Приказе 117 отмечается, что при взаимодействии оператора ИС с подрядными организациями необходимо установить требования по обеспечению защиты информации, к которой получен доступ, исключить несанкционированный доступ (НСД) к ИС и установить запрет на проведение работ по разработке, развитию и/или тестированию программного обеспечения (ПО) в эксплуатируемых ИС оператора.
Приказ 117 также уточняет срок направления отчетности в адрес ФСТЭК России до 5 рабочих дней по результатам:
- расчета и оценки показателей защищенности (КЗИ) и уровня зрелости (ПЗИ);
- выявления уязвимостей ИС, сведения о которых отсутствуют в банке данных угроз ФСТЭК России;
- проведения контроля уровня защищенности информации.
Мероприятия по защите информации
Подход Приказа 117 к мероприятиям по защите информации значительно дополняется в результате нововведений, теперь перечень мероприятий выглядит так:
- выявление и оценка угроз безопасности информации (УБИ);
- контроль конфигураций ИС;
- управление уязвимостями;
- управление обновлениями;
- обеспечение защиты информации ограниченного доступа (ИОД);
- обеспечение защиты информации при применении конечных и мобильных устройств;
- обеспечение защиты информации при удаленном и беспроводных доступах пользователей к ИС;
- обеспечение защиты информации при предоставлении пользователям привилегированного доступа к ИС;
- мониторинг ИБ;
- обеспечение разработки безопасного ПО;
- обеспечение физической защиты ИС;
- обеспечение непрерывности функционирования ИС при возникновении нештатных ситуаций;
- повышение уровня знаний и информированности пользователей по вопросам защиты информации;
- обеспечение защиты информации при взаимодействии с подрядными организациями;
- обеспечение защиты от распределенных атак типа «отказ в обслуживании» (DDoS-атака);
- обеспечение защиты информации при использовании искусственного интеллекта (ИИ).
Текущая версия Приказа 117 не содержит составы мер защиты информации и их базовые наборы для соответствующего класса защищенности ИС, однако ФСТЭК России планируется их включение. При этом, уже сейчас к качественно новым мероприятиям по защите информации можно отнести:
- защиту информации при применении конечных устройств;
- защиты информации при предоставлении пользователям привилегированного доступа к ИС;
- разработку безопасного ПО;
- защиту информации при взаимодействии с подрядными организациями;
- защиту информации при использовании ИИ.
Для выполнения указанных выше мероприятий Приказ 117 регламентирует применение ГОСТ Р 56939‑2024 «Защита информации. Разработка безопасного ПО» при самостоятельной разработке безопасного ПО и в случае привлечения подрядной организации.
Для реализации мероприятий по обеспечению ИБ и масштабирования покрываемой зоны Приказ 117 предлагает внедрить системы классов:
- еndpoint detection and response (EDR-системы) для повышения контроля над конечными устройствами;
- privileged access management (PAM-системы), что позволит снизить риски НСД к данным, доступным привилегированным пользователям.
3. Как подготовиться к изменениям?
В целях соответствия требованиям Приказа 117 операторам ИС, в срок до 01.03.2026 необходимо:
7. Не позднее 5 дней с момента проведения работ направлять в ФСТЭК России сведения о:
- Назначить ответственное лицо по организации деятельности по защите информации, а также определить его обязанности и полномочия.
- Организовать прохождение профессиональной переподготовки по ИБ сотрудников структурного подразделения по ИБ (при необходимости).
- Актуализировать ОРД с учетом требований, предъявляемых Приказом 117.
- Определить и включить в договоры с подрядными организациями требования по защите информации, а также обеспечить защиту данных с использованием организационных и технических мер.
- Выстроить и обеспечить контроль процессов по:
- проведению мероприятий по оценке состояния защиты информации;
- управлению уязвимостями;
- проведению проверок и тренировок возможности восстановления выполнения значимых функций ИС с использованием резервных копий;
- повышению уровня знаний пользователей по вопросам защиты информации с проведением периодической оценки.
7. Не позднее 5 дней с момента проведения работ направлять в ФСТЭК России сведения о:
- полученных оценках по показателям КЗИ и ПЗИ;
- выявлении уязвимостей ИС, сведения о которых отсутствуют в Банке данных угроз ФСТЭК России;
- результатах контроля уровня защищенности информации.
Чтобы глубже разобраться во всех изменениях в части мониторинга информационной безопасности, приглашаем вас на вебинар 18 сентября. Наши эксперты подробно разберут требования Приказа № 117 ФСТЭК России к мониторингу ИБ и расскажут, как ГОСТ Р 59547-2021 помогает организовать эффективный мониторинг и реагирование на инциденты.
Зарегистрироваться для участия можно на странице мероприятия.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных