Обзор ключевых изменений в требованиях к защите информации согласно Приказу ФСТЭК России № 117

В целях адаптации требований к защите информации в государственных информационных системах к современным технологиям и угрозам 11.04.2025 был утвержден Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее — Приказ 117), который:

• вступает в силу с 01.03.2026;
• заменяет (отменяет) Приказ 17;
• вводит процессный подход к деятельности по защите информации;
• дополняет и детализирует перечень мероприятий по защите информации, ранее содержащийся в Приказе 17.

Далее в статье мы ответим на вопросы:

1. Каких организаций коснутся изменения?
2. Какие новые требования вступят в силу?
3. И как подготовиться к изменениям?

С подробным анализом изменений Приказа 117 и их сравнением с Приказом 17 можно ознакомиться в обзоре аналитиков Центра кибербезопасности УЦСБ.

В отличие от Приказа 17, Приказ 117 расширяет сферу применения требований по защите информации, охватывая теперь не только государственные информационные системы (ГИС), но и иные информационные системы (ИС):

• государственных органов;
• государственных унитарных предприятий и учреждений;
• муниципальные ИС.

Кроме того, Приказ 117 устанавливает обязательные требования к обработке информации в ГИС, действующих на территории РФ, а также в муниципальных ИС.
Далее рассмотрим основные требования, которые необходимо соблюдать в таких системах.

Процессный подход

Приказ 117 для управления деятельностью по защите информации вводит элементы цикла Деминга-Шухарта (Plan-Do-Check-Act), обеспечивая структурированный подход к непрерывному совершенствованию процессов защиты информации, а именно:

• разработку и планирование мероприятий и мер по защите информации;
• проведение мероприятий и принятие мер по защите информации;
• проведение оценки состояния защиты информации;
• совершенствование мероприятий и мер по защите информации.

Организация защиты информации

Нововведения, представленные в Приказе 117, конкретизируют и дополняют требования, установленные ранее Приказом 17. Операторам И С необходимо будет актуализировать состав уже имеющейся организационно-распорядительной документации (ОРД), а также разработать недостающие ОРД при необходимости. В частности, это касается:

• политики защиты информации;
• внутренних стандартов и регламентов по защите информации.

Отметим, что Приказ 117 регламентирует содержание ОРД. Так, операторы ИС обязаны определить:

• область действия документов;
• объекты защиты и категории участников;
• требования к:

o идентификации и моделям доступа пользователей;
o типовым конфигурациям и настройкам программных, программно-аппаратных средств;
o защите конечных и мобильных устройств;
o непрерывности функционирования и резервному копированию;
o сбору, регистрации и анализу событий безопасности;

• порядок:

o  управления учетными записями и доступом пользователей;
o  управления уязвимостями и обновлениями;
o  разработки безопасного программного обеспечения;
o  мониторинга и восстановления штатного функционирования ИС;
o  обращения с информацией ограниченного доступа, повышения информированности пользователей и контроля уровня защищенности информации.

• и другое.

Дополнительно Приказ 117 подчеркивает важность наличия квалифицированных кадров в области информационной безопасности (ИБ) и уточняет требования к структурному подразделению и специалистам по защите информации, поэтому операторам ИС при отсутствии квалифицированных кадров необходимо обучить специалистов по программе профессиональной переподготовки или принять в штат сотрудников с профильными компетенциями.
В Приказе 117 отмечается, что при взаимодействии оператора ИС с подрядными организациями необходимо установить требования по обеспечению защиты информации, к которой получен доступ, исключить несанкционированный доступ (НСД) к ИС и установить запрет на проведение работ по разработке, развитию и/или тестированию программного обеспечения (ПО) в эксплуатируемых ИС оператора.
Приказ 117 также уточняет срок направления отчетности в адрес ФСТЭК России до 5 рабочих дней по результатам:

• расчета и оценки показателей защищенности (КЗИ) и уровня зрелости (ПЗИ);
• выявления уязвимостей ИС, сведения о которых отсутствуют в банке данных угроз ФСТЭК России;
• проведения контроля уровня защищенности информации.

Мероприятия по защите информации
Подход Приказа 117 к мероприятиям по защите информации значительно дополняется в результате нововведений, теперь перечень мероприятий выглядит так:

• выявление и оценка угроз безопасности информации (УБИ);
• контроль конфигураций ИС;
• управление уязвимостями;
• управление обновлениями;
• обеспечение защиты информации ограниченного доступа (ИОД);
• обеспечение защиты информации при применении конечных и мобильных устройств;
• обеспечение защиты информации при удаленном и беспроводных доступах пользователей к ИС;
• обеспечение защиты информации при предоставлении пользователям привилегированного доступа к ИС;
• мониторинг ИБ;
• обеспечение разработки безопасного ПО;
• обеспечение физической защиты ИС;
• обеспечение непрерывности функционирования ИС при возникновении нештатных ситуаций;
• повышение уровня знаний и информированности пользователей по вопросам защиты информации;
• обеспечение защиты информации при взаимодействии с подрядными организациями;
• обеспечение защиты от распределенных атак типа «отказ в обслуживании» (DDoS-атака);
• обеспечение защиты информации при использовании искусственного интеллекта (ИИ).

Текущая версия Приказа 117 не содержит составы мер защиты информации и их базовые наборы для соответствующего класса защищенности ИС, однако ФСТЭК России планируется их включение. При этом, уже сейчас к качественно новым мероприятиям по защите информации можно отнести:

• защиту информации при применении конечных устройств;
• защиты информации при предоставлении пользователям привилегированного доступа к ИС;
• разработку безопасного ПО;
• защиту информации при взаимодействии с подрядными организациями;
• защиту информации при использовании ИИ.

Для выполнения указанных выше мероприятий Приказ 117 регламентирует применение ГОСТ Р 56 939‑2024 «Защита информации. Разработка безопасного ПО» при самостоятельной разработке безопасного ПО и в случае привлечения подрядной организации.
Для реализации мероприятий по обеспечению ИБ и масштабирования покрываемой зоны Приказ 117 предлагает внедрить системы классов:

• еndpoint detection and response (EDR-системы) для повышения контроля над конечными устройствами;
• privileged access management (PAM-системы), что позволит снизить риски НСД к данным, доступным привилегированным пользователям.

В целях соответствия требованиям Приказа 117 операторам ИС, в срок до 01.03.2026 необходимо:

1. Назначить ответственное лицо по организации деятельности по защите информации, а также определить его обязанности и полномочия.
2. Организовать прохождение профессиональной переподготовки по ИБ сотрудников структурного подразделения по ИБ (при необходимости).
3. Актуализировать ОРД с учетом требований, предъявляемых Приказом 117.
4. Определить и включить в договоры с подрядными организациями требования по защите информации, а также обеспечить защиту данных с использованием организационных и технических мер.
5. Выстроить и обеспечить контроль процессов по:

• проведению мероприятий по оценке состояния защиты информации;
• управлению уязвимостями;
• проведению проверок и тренировок возможности восстановления выполнения значимых функций ИС с использованием резервных копий;
• повышению уровня знаний пользователей по вопросам защиты информации с проведением периодической оценки.

6. Внедрить EDR-системы и PAM-системы.
7. Не позднее 5 дней с момента проведения работ направлять в ФСТЭК России сведения о:

• полученных оценках по показателям КЗИ и ПЗИ;
• выявлении уязвимостей ИС, сведения о которых отсутствуют в Банке данных угроз ФСТЭК России;
• результатах контроля уровня защищенности информации.

Согласно п. 3 Приказа 117, аттестаты соответствия на ГИС и иные ИС, выданные до дня вступления в силу Приказа 117, считаются действительными. Проведение повторных аттестационных мероприятий по требованиям Приказа 117 не требуется.