С 1 марта 2026 года вступает в силу Приказ ФСТЭК России № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Именно поэтому запросы из серии «новый приказ ФСТЭК России 117 что изменилось» уже входят в топ самых популярных.
В начале февраля ФСТЭК России опубликовала проект методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах». Он раскрывает практический порядок реализации положений Приказа 117 и соответствия требованиям к защите информации.
«На текущий момент это именно проект — до 19 февраля продолжается общественное обсуждение. Финальная версия документа может отличаться от опубликованной редакции, однако уже сейчас можно оценить предлагаемые изменения и начать подготовку к выполнению требований», — уточняет Александр Метальников, архитектор дивизиона консалтинга Infosecurity.
Сравнение с методикой 2014 года
Проект приходит на смену методическому документу «Меры защиты информации в государственных информационных системах», утверждённому в 2014 году. Уже сейчас видно, что обновляется не просто перечень мер. Требования к защите информации теперь — с акцентом на процессный подход и современную архитектуру информационных систем.
Расширение области применения
Методический документ разрабатывается с прицелом на дальнейшее применение не только к государственным информационным системам (ГИС), но и для обеспечения безопасности:
Таким образом, положения документа могут использоваться значительно шире классических ГИС.
- значимых объектов критической информационной инфраструктуры (КИИ);
- информационных систем персональных данных;
- информационных систем управления производством предприятий оборонно-промышленного комплекса;
- автоматизированных систем управления технологическими процессами на критически важных и потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей среды.
Таким образом, положения документа могут использоваться значительно шире классических ГИС.
Новая структура: мероприятия и меры защиты информации
Одним из ключевых отличий является структурное разделение документа на две крупные части:
1. Мероприятия, реализуемые в организации для достижения целей защиты информации.
2. Меры защиты информации, подлежащие внедрению.
При этом мероприятия обязательны вне зависимости от того, какой установлен класс защищенности информационной системы. В то же время перечень и состав мер защиты формируются с учетом установленного класса защищенности конкретной информационной системы и актуальных угроз безопасности информации.
Таким образом связь между классами защищенности информационных систем и набором технических мер становится более формализованной.
1. Мероприятия, реализуемые в организации для достижения целей защиты информации.
2. Меры защиты информации, подлежащие внедрению.
При этом мероприятия обязательны вне зависимости от того, какой установлен класс защищенности информационной системы. В то же время перечень и состав мер защиты формируются с учетом установленного класса защищенности конкретной информационной системы и актуальных угроз безопасности информации.
Таким образом связь между классами защищенности информационных систем и набором технических мер становится более формализованной.
Усиления: особенности применения
Как для мероприятий, так и для мер предусмотрены усиления. Применение усилений для мероприятий остаётся на усмотрение оператора информационной системы. В то же время для мер защиты информации применение усилений в текущей редакции проекта является обязательным.
Акцент на отечественные решения
Отдельного внимания заслуживает активный акцент на необходимость применения не только отечественных средств защиты информации (СЗИ), но и отечественных информационных технологий в целом. При реализации требований к СЗИ организациям потребуется учитывать этот фактор при выборе решений.
Процессный подход и современные технологии
Как и сам Приказ ФСТЭК России по 117, методический документ развивает процессный подход к обеспечению безопасности. Документ учитывает применение современных технологий, включая:
Таким образом, модель технической защиты информации адаптируется к архитектурам современных информационных систем.
- искусственный интеллект,
- контейнеризацию,
- облачные технологии,
- IoT.
Таким образом, модель технической защиты информации адаптируется к архитектурам современных информационных систем.
Что нужно сделать уже сейчас
Несмотря на статус проекта, начинать подготовку к реализации положений Приказа целесообразно уже сейчас. Рекомендуемые шаги:
1. Изучить методические рекомендации к Приказу ФСТЭК 117 (проект)
Особое внимание — разделу 3, описывающему 18 процессов, и сопоставлению его положений с действующими процессами информационной безопасности в организации.
2. Оценить архитектуру информационных систем.
Проанализировать действующие и проектируемые ИС на соответствие принципам безопасного проектирования с учётом будущего класса защищенности информационной системы.
3. Пересмотреть состав используемых средств защиты информации.
Оценить их способность реализовывать не только базовые меры, но и предусмотренные усиления для целевых классов защищенности информационных систем.
4. Начать формирование внутренних регламентов.
Особенно в части управления уязвимостями, конфигурациями, обновлениями и мониторинга информационной безопасности в рамках нового процессного подхода.
1. Изучить методические рекомендации к Приказу ФСТЭК 117 (проект)
Особое внимание — разделу 3, описывающему 18 процессов, и сопоставлению его положений с действующими процессами информационной безопасности в организации.
2. Оценить архитектуру информационных систем.
Проанализировать действующие и проектируемые ИС на соответствие принципам безопасного проектирования с учётом будущего класса защищенности информационной системы.
3. Пересмотреть состав используемых средств защиты информации.
Оценить их способность реализовывать не только базовые меры, но и предусмотренные усиления для целевых классов защищенности информационных систем.
4. Начать формирование внутренних регламентов.
Особенно в части управления уязвимостями, конфигурациями, обновлениями и мониторинга информационной безопасности в рамках нового процессного подхода.
«Приказ ФСТЭК 117 — это не просто обновление нормативной базы. Это переход к более зрелой модели управления защитой информации, где ключевую роль играет процессная дисциплина, архитектурные решения и способность системы масштабироваться под реальные угрозы. Игнорировать этот этап подготовки — это создавать технологический долг, который позже придется закрывать в сжатые сроки», — комментирует Александр Метальников.
Поддержка Infosecurity в реализации требований
Наши специалисты оказывают поддержку по:
✔ выполнению требований приказа ФСТЭК 117;
✔ интерпретации методических положений;
✔ определению класса защищенности информационной системы;
✔ проектированию и внедрению системы защиты информации;
✔ реализации отдельных этапов работ или всего комплекса «под ключ».
✔ выполнению требований приказа ФСТЭК 117;
✔ интерпретации методических положений;
✔ определению класса защищенности информационной системы;
✔ проектированию и внедрению системы защиты информации;
✔ реализации отдельных этапов работ или всего комплекса «под ключ».
Если вам нужна консультация эксперта – оставьте заявку >>>
