НОВОСТЬ 11 ноября  2025

Апрель 2025 года ознаменовался выходом нового приказа ФСТЭК России № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», который пришел на смену приказу № 17. Этот документ существенно расширяет сферу регулирования, конкретизирует и дополняет меры защиты информации, не составляющей государственную тайну, но содержащейся в государственных информационных системах (ГИС). Дата вступления документа в силу — 1 марта 2026 года, что оставляет организациям чуть более полугода на оценку готовности, планирование и реализацию необходимых мер.

В этой статье эксперты УЦСБ SOC разбирают ключевые нововведения приказа, уделяя особое внимание требованиям к мониторингу инцидентов ИБ в соответствии с ГОСТ Р 59547-2021, и рассказывают о практических шагах по их выполнению.

Новый приказ не только расширяет перечень обязательных мер, но и настраивает детальную обратную связь с регулятором. Впервые прямо указана необходимость выполнения требований пунктов 4 и 5 ГОСТ Р 59547-2021, посвященных организации системы мониторинга ИБ.

Помимо стандартных для ГИС отчетов, вводится ежегодный отчет о результатах мониторинга, который необходимо предоставлять в ФСТЭК России. Первый отчетный период наступит в конце 2026 года, а это означает, что работающую систему мониторинга необходимо развернуть и настроить уже в следующем году.

Кроме того, результаты мониторинга будут учитываться в рамках новых комплексных оценок:

• комплексная защита информации (КЗИ) — проводится раз в полгода,
• оценка уровня зрелости системы защиты информации (ПЗИ) — проводится раз в два года (методика на момент публикации еще не утверждена).

Отдельный вызов для организаций — новые требования к кадрам. Согласно документу, должно быть назначено ответственное лицо или создан отдел ИБ, при этом не менее 30% сотрудников должны иметь базовое образование или профессиональную переподготовку в области ИБ. Учитывая кадровый голод и длительность программ переподготовки, выполнение этого требования становится одной из самых сложных задач. Надо не забывать о возможности привлечения аутсорсинга или аутстаффинга для решения кадровых проблем.

• Информационные системы государственных органов (федеральных и региональных).
• ИС государственных унитарных предприятий и учреждений.
• Муниципальные информационные системы.

Ключевой нюанс: требования распространяются также на информационные системы, взаимодействующие с ГИС. Однако в этом случае речь идет не об аттестации, а о приведении собственной информационной системы (ИС) в соответствие с требованиями нового приказа. В таком случае необходимо убедиться, что информационная система, с которой вы собираетесь интегрировать ГИС, обладает определенным уровнем зрелости в вопросах ИБ и выполняет требования приказа.

Обязательный перечень мер, приведенный в приказе № 117, заставляет по-новому оценить объем предстоящих работ. В отличие от старого приказа № 17, новый документ не содержит привычной таблицы мер, привязанной к классам защищенности. Вместо этого организациям предстоит самостоятельно выстраивать систему защиты, опираясь на базовые меры и адаптируя их к своей архитектуре и актуальным угрозам.

Регулятор требует реализации мер по целому ряду новых направлений, однако с точки зрения компетенций Центра мониторинга инцидентов ИБ, ключевое практическое применение находит работа по двум крупным блокам:

1. Обнаружение и предотвращение вторжений на сетевом уровне.
2. Защита от компьютерных атак, направленных на отказ в обслуживании (DDoS).

Именно в рамках этих направлений предстоит выполнить значительный объем работ: определить точки подключения, выполнить требования к хранению информации и понять, какие сложности могут возникнуть в процессе.

Кроме того, приказ № 117 вводит новое требование: уведомлять регулятора о выявленных уязвимостях в течение 5 рабочих дней с момента их обнаружения. Способ уведомления на данный момент четко не регламентирован, и ожидаются дополнительные разъяснения от ФСТЭК России.

Все эти задачи необходимо оценить уже сейчас, чтобы заложить необходимые бюджеты и ресурсы на их реализацию — либо собственными силами, либо путем 
передачи функций сервисной организации. Если вы рассматриваете второй вариант, рекомендуем выбрать одного поставщика услуг. Это позволяет объединять данные из разных источников в системе мониторинга и выстраивать единую картину кибератак: аналитики видят взаимосвязи между различными векторами угроз и могут предотвратить инцидент еще на ранней стадии.

Именно такой подход реализован в УЦСБ SOC: помимо классического мониторинга ИБ мы интегрировали сервисы защиты от DDoS-атак и управления уязвимостями, что обеспечивает комплексное реагирование на угрозы.

Выполнение требований по мониторингу — это не просто установка программного обеспечения. Это выстраивание полноценного процесса, основанного на людях, технологиях и регламентах.
На основе своего опыта выделили ключевые компоненты успешной реализации.

1. Команда: какие роли необходимы в круглосуточном SOC

ГОСТ требует наличия обученного персонала, способного работать в дежурных сменах. На практике в центре мониторинга выделяются несколько критически важных ролей.

• Аналитики L1 (первая линия): разбирают все поступающие оповещения, отсеивают ложные срабатывания и легитимную активность.
• Аналитики L2 (вторая линия): занимаются реагированием на нетиповые инциденты, дают рекомендации по локализации угроз и восстановлению рабочих процессов.
• Аналитики L3 (третья линия): специалисты с глубокой экспертизой. Занимаются разрабаткой правил детектирования, формаированием плейбуков, обеспечивают максимальное покрытие угроз информационной безопасности.
• Сервис-менеджер: отвечает за выстраивание и оптимизацию процессов внутри SOC
• и проводит отслеживание различных метрик.
• Специалисты по расследованию инцидентов (Digital Forensics): проводят глубокий анализ
• для установления причин и масштабов инцидента.
• Специалисты по киберугрозам (Threat Intelligence/Threat Hunting): занимаются проактивным поиском следов компрометации и анализом тактик злоумышленников.
• Инженеры сопровождения: обеспечивают работоспособность и развитие средств мониторинга (SIEM, EDR и др.).

Согласно пункту 554 ГОСТ Р 59547-2021, для мониторинга ИБ подразделение должно иметь в штате обученный персонал соответствующих категорий, в том числе способных реализовывать дежурные смены. Как правило, это 12-часовые смены в ночное и дневное время. При реализации схемы работы «два через два» для группы первой линии мониторинга требуется не менее 4 сотрудников. Кроме того, необходимо обеспечить резервирование персонала на случай отпусков и больничных. А с учетом необходимости наличия инженеров сопровождения и аналитиков L2 для эскалации сложных случаев, потребность в квалифицированных кадрах существенно возрастает. Эта задача усложняется требованием о соответствующем образовании минимум у 30% сотрудников.

2. Мероприятия по мониторингу и распределение ролей

К мероприятиям по реализации мониторинга информационной безопасности относятся: анализ событий и возникающих алертов средств мониторинга, анализ защищенности, оценки функционирования и анализ изменения угрозы безопасности. Каждая из ролей в подразделении мониторинга вписывается в устанавливаемые ГОСТом задачи. Группа реагирования L2 и L1, а также специалисты по расследованию инцидентов отвечают за мероприятие анализа. Сотрудники из группы Threat Intelligence и Threat Hunting занимаются анализом изменения угроз. Инженеры сопровождения обеспечивают мониторинг состояния системы.

Мероприятия анализа защищенности требуют отдельного внимания. При наличии решений класса управления уязвимостями (VM) проблема частично решается — при верной настройке такое решение покажет найденные уязвимости. Однако для проведения полноценного анализа защищенности необходимы либо штатные специалисты, либо обращение к сторонним организациям, обладающим соответствующими компетенциями. Ведь после получения обширного перечня уязвимостей необходимо найти ресурсы для их устранения, оценить применимость предложенных мер и разработать компенсирующие меры, если есть необходимость. При этом процесс исправления постоянно усложняется из-за появления новых уязвимостей в программном обеспечении.

3. Технологии: что и как мониторить

ГОСТ определяет перечень объектов мониторинга: АРМ, серверное, сетевое и телекоммуникационное оборудование, средства защиты информации. На практике для каждого типа объектов требуются свои подходы:

• Для АРМ часто эффективнее использовать EDR-решения (лицензирование по количеству агентов), а не нагружать SIEM-систему (лицензирование по количеству событий в секунду — EPS).
• Серверы необходимо классифицировать по критичности. Например, серверы с ПДн, системы аутентификации. Затем настраивать мониторинг с учетом их профиля.

При использовании искусственного интеллекта для выстраивания рабочих процессов необходимо применять доверенные технологии. Учитывая объем мероприятий, которые необходимо проводить, включение таких технологий в рабочие процессы становится актуальным.
Например, мы в УЦСБ SOC применяем цифрового ассистента-аналитика, который создан на базе больших языковых моделей. Решение помогает аналитикам оперативно находить ответы на нетривиальные вопросы и решать рутинные операции, такие как парсинг и анализ больших объемов данных.

4. Процессы: от события до отчета

ГОСТ описывает архитектуру мониторинга через несколько уровней:

1. Источники данных: генерация событий безопасности.
2. Сбор данных: приведение данных из разных систем к единому формату.
3. Хранение и обработка данных: выявление атак по заданным правилам и сценариям.
4. Визуализация данных: предоставление информации в виде дашбордов, графиков и регламентированных отчетов.

Основная сложность заключается в том, что для нестандартного оборудования часто нет готовых правил анализа. Их разработка требует высокой экспертизы, а ошибки настройки приводят либо к лавине ложных срабатываний, либо к пропуску реальных атак.

Ключевые требования к эффективному мониторингу

• Скорость реакции. ГОСТ требует представления результатов анализа в режиме, близком к реальному времени. Важно минимизировать период от момента возникновения событий безопасности до завершения их анализа специалистом. Промедление с локализацией инцидента позволяет злоумышленнику ежесекундно наращивать свой потенциал.
• Автоматизация отчетности. Ручной сбор ежегодного отчета для ФСТЭК России практически невозможен. Необходимы заранее разработанные механизмы или шаблоны, включающие все необходимые данные: статистику, связи, графики и другие элементы уровня представления. Хотя периодичность отчетности регламентирована, отчеты могут потребоваться внезапно, и они должны быть готовы в кратчайшие сроки.

Подведем итоги

Помимо усиления требований к защите данных Приказ ФСТЭК России № 117 стимулирует создание или модернизацию систем защиты информационных систем в государственном секторе. Организациям следует заранее начать подготовку, чтобы успеть адаптироваться к изменениям до вступления приказа в силу в марте 2026 года.
Для государственных организаций эти изменения могут нести риск несоответствия новым требованиям — что в свою очередь может привести к штрафам и ограничениям со стороны регулятора. Объемы требуемых работ достаточно большие и затратные с точки зрения финансовых и временных ресурсов. Государственным организациям необходимо приоритезировать выполняемые работы, начав с тех, что могут помочь достичь максимально эффективного результата в оставшиеся сроки. Правильно выстроенный мониторинг инцидентов ИБ может помочь одновременно закрыть сразу несколько весьма значимых и трудно выполнимых требований. Это поможет не только соблюсти требования нового приказа, но и обеспечить действительно эффективную защиту от угроз информационной безопасности.
Для поставщиков решений в сфере ИБ также появится возможность совершенствовать свой опыт и помогать государственным организациям в вопросах обеспечения информационной безопасности своих информационных систем.

В заключение предлагаем оценить ваши ИС с помощью небольшого чек-листа. Если вы уверенно поставите галочку напротив каждого пункта, то, скорее всего, у вас не возникнет проблем с выполнением требований приказа № 117 в части мониторинга. Если же нет — вы всегда можете обратиться к нам за консультацией.

В вашей организации:

• развернута инфраструктура мониторинга ИБ. Например, есть SIEM, IRP, EDR, NTA; обеспечен необходимый срок хранения данных; все элементы ГИС подключены к системе мониторинга; настроены правила детектирования инцидентов;
• есть команда реагирования на инциденты ИБ. Обеспечен круглосуточный анализ подозрений на инциденты; есть специалисты для разбора новых техник атак; инженеры умеют обеспечивать бесперебойную работу системы мониторинга; выстроена система обучения, тренировок и мотивации команды; не менее 30% специалистов имеют профильное образование или прошли проф. переподготовку в области ИБ;
• выстроены процессы управления инцидентами ИБ: события ИБ собираются; существуют регламенты триажа, анализа подозрений, планы реагирования и так далее;
• налажен процесс управления уязвимостями. Уязвимости выявляются своевременно; вы направляете информацию о новых угрозах регулятору; у вас есть возможности для устранения выявленных уязвимостей;
• настроена защита от DDoS-атак.