Приказ ФСТЭК № 117: что изменилось в требованиях к защите информации
С 1 марта 2026 года вступили в силу новые требования ФСТЭК России к защите информации — Приказ № 117. Документ заменил действовавший более десяти лет Приказ № 17 и фактически задал новую модель работы с информационной безопасностью.
Для многих организаций это изменение оказалось не просто обновлением нормативной базы, а необходимостью пересмотреть подход к защите в целом, от архитектуры до процессов.
Почему прежняя модель больше не работает
Приказ № 17 создавался в условиях, когда инфраструктура была существенно проще: системы были монолитными, доступ происходил преимущественно из внутреннего контура, а облака, API и контейнеризация не играли ключевой роли.
За прошедшие годы ситуация изменилась. Инфраструктуры стали распределёнными и гибридными, пользователи работают удалённо, приложения активно интегрируются друг с другом, а сами атаки стали сложнее и точечнее. В таких условиях модель, где достаточно внедрить набор мер и формально пройти аттестацию, перестала соответствовать реальности.
Новый приказ фиксирует принципиальный сдвиг: безопасность рассматривается не как набор выполненных требований, а как управляемый процесс, который требует постоянного контроля и развития.
Переход к процессной модели безопасности
Одно из ключевых изменений — переход к непрерывной модели управления защитой информации. Теперь речь идёт не о разовой реализации мер, а о цикле, в котором организация постоянно оценивает угрозы, внедряет защиту, контролирует её состояние и корректирует подход. Это меняет саму логику работы: защита должна адаптироваться под изменения инфраструктуры и угроз, а её эффективность — регулярно подтверждаться.
Фактически ФСТЭК приводит требования к модели, близкой к международным практикам, но с жёсткой регуляторной рамкой.
Ключевые изменения Приказа ФСТЭК № 117
- Расширение области применения
Требования распространяются на все информационные системы государственных органов, государственных унитарных предприятий и учреждений. При этом обязательной аттестации подлежат только государственные информационные системы. - Усиление требований к кадровому составу
Не менее 30% сотрудников подразделения по защите информации должны иметь профильное образование в области ИБ или пройти профессиональную переподготовку. - Обязательная классификация информации ограниченного распространения
Для информации с пометкой «для служебного пользования» необходимо устанавливать уровень значимости (УЗ 1). - Формализация системы внутренней документации
Вводится чёткая трёхуровневая структура: политика защиты информации → стандарты → регламенты. - Введение новых мероприятий по защите информации
Требования дополнены направлениями, отражающими современные архитектуры и угрозы. - Детализация ранее существующих мер
Существующие меры защиты сохранены и уточнены с точки зрения реализации и контроля эффективности.
Новые требования к организации защиты
Изменения затронули не только технологии, но и подход к управлению безопасностью. Введена практика планирования перехода на новые требования. Организациям необходимо определить перечень изменений, сроки их внедрения и необходимые ресурсы. Это особенно важно для уже функционирующих систем, которые требуется адаптировать под новые правила.
Управление уязвимостями
Управление уязвимостями становится обязательной частью обеспечения защиты информации и предполагает внедрение автоматизированных систем мониторинга.
Установлены конкретные сроки устранения:
- критический уровень — не более 24 часов
- высокий уровень — не более 7 календарных дней
Сканирование всех активов должно выполняться не реже одного раза в месяц. В случае выявления уязвимостей, отсутствующих в базе ФСТЭК, оператор обязан передать информацию о них регулятору в срок не более пяти рабочих дней.
Процесс должен включать:
- проверку ложных срабатываний;
- подтверждение возможности эксплуатации;
- контроль устранения выявленных проблем.
Защита веб-приложений и предотвращение утечек
Для защиты веб-приложений необходимо использовать специализированные средства, обеспечивающие контроль и фильтрацию трафика на прикладном уровне.
Для предотвращения утечек требуется внедрение систем контроля передачи данных, обеспечивающих мониторинг как сетевых каналов, так и интерфейсов ввода-вывода на конечных устройствах.
Защита сервисов электронной почты
Почтовые системы выделены в отдельное направление базовых мер защиты.
Оператор обязан обеспечить защиту сообщений на всех этапах их жизненного цикла, включая резервное копирование, аудит учётных записей и регистрацию событий безопасности. Дополнительно необходимо реализовать контроль вложений и ссылок, защиту от вредоносного программного обеспечения, использование изолированных сред для анализа подозрительных объектов, а также механизмы противодействия фишингу и спаму. Отдельное требование касается предотвращения раскрытия служебной информации и защиты сведений о почтовых ящиках.
Антивирусная защита
Антивирусные средства должны обеспечивать проверку файлов и сетевого трафика в режиме, максимально приближенном к реальному времени.
Для обнаружения сложных угроз рекомендуется использование изолированных сред исполнения.
Безопасность становится измеряемой
Ещё одно важное изменение — появление количественных показателей, позволяющих оценивать состояние защищённости и зрелость процессов.
| Показатель | Наименование | Сущность | Периодичность расчета |
| Кзи | Показатель защищенности | Характеризует текущее состояние защиты от базового уровня угроз | Не реже 1 раза в 6 месяцев |
| Пзи | Показатель уровня зрелости | Определяет достаточность и эффективность проведения мероприятий | Не реже 1 раза в 2 года |
Для расчёта показателей применяются методические документы ФСТЭК России. Результаты оценки должны направляться регулятору не позднее пяти рабочих дней после расчёта, что требует внедрения автоматизированных средств сбора и анализа данных.
Технические требования
Существенно переработан набор технических мер — он стал шире и лучше отражает современный ландшафт ИТ-систем. В требованиях появляются отдельные направления защиты, включая контейнерные среды, мобильные устройства, API и электронную почту.
Особое внимание уделяется аутентификации и управлению доступом, которые рассматриваются как базовый уровень защиты. Одновременно усиливается контроль привилегированного доступа: требуется разделение ролей, проведение аудита действий и контроль пользовательских сессий.
Архитектура защиты
Требуется построение эшелонированной системы защиты, при которой средства безопасности внедряются на всех уровнях инфраструктуры:
- периметр;
- границы сетевых сегментов;
- конечные устройства.
Это обеспечивает многоуровневый контроль и позволяет выявлять атаки на разных стадиях.
Требования к средствам защиты информации
Все используемые средства защиты информации должны:
- иметь сертификацию ФСТЭК России;
- соответствовать установленным классам защиты;
- иметь техническую поддержку на территории РФ;
- регулярно обновляться и устранять уязвимости.
Применение зарубежных решений без локальной поддержки не допускается.
Разъяснения ФСТЭК и порядок перехода
ФСТЭК опубликовал разъяснения по применению требований и определил порядок действий в переходный период. В частности, новые информационные системы должны проектироваться с учётом положений Приказа № 117, при модернизации действующих систем требуется планирование перехода на новые требования, а для ранее заключённых договоров допускается выполнение работ в соответствии с прежними нормативами.
Что теперь делать организациям
Для большинства компаний внедрение требований Приказа № 117 означает не точечные изменения, а пересборку подхода к безопасности.
Необходимо:
- пересматривать модели угроз;
- адаптировать архитектуру;
- внедрять инструменты мониторинга;
- выстраивать процессы управления.
MULTIFACTOR в контексте новых требований
Система двухфакторной аутентификации MULTIFACTOR получила сертификат ФСТЭК России № 5039 (4 уровень доверия), что подтверждает её соответствие требованиям к средствам защиты информации.
В условиях усиления требований к аутентификации и управлению доступом это становится критически важным.
MULTIFACTOR позволяет:
- реализовать усиленную и строгую аутентификации;
- контролировать доступ и пользовательские сессии;
- централизовать вход через SSO.
Решение может использоваться как в облачной модели, так и полностью в контуре заказчика, что позволяет адаптировать его под различные требования к инфраструктуре и уровню защищённости.
MULTIFACTOR выполняет следующие требования:
| Приказ №17 | Приказ №21 | Приказ №31 | Приказ №239 |
| ИАФ.1 | ИАФ.1 | ИАФ.1 | ИАФ.1 |
| ИАФ.3 | ИАФ.3 | ИАФ.3 | ИАФ.3 |
| ИАФ.4 | ИАФ.4 | ИАФ.4 | ИАФ.4 |
| ИАФ.5 | ИАФ.5 | ИАФ.7 | ИАФ.7 |
| УПД.1 | УПД.1 | УПД.1 | УПД.1 |
| УПД.2 | УПД.2 | УПД.2 | УПД.2 |
| УПД.6 | УПД.6 | УПД.6 | УПД.6 |
| УПД.10 | УПД.10 | УПД.10 | УПД.10 |
| УПД11 | УПД11 | УПД11 | УПД11 |
| РСБ.1 | РСБ.1 | АУД.1 | АУД.1 |
| РСБ.2 | РСБ.2 | АУД.2 | АУД.2 |
| РСБ.3 | РСБ.3 | АУД.4 | АУД.4 |
| РСБ.6 | РСБ.6 | АУД.6 | АУД.6 |
Дополнительно стоит учитывать, что нормативная база продолжит развиваться. Уже опубликован проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117».
Это значит, что текущая редакция требований, вероятнее всего, не является окончательной, а сам подход к регулированию продолжит уточняться и дополняться с учётом практики применения новых требований, развития технологий и изменения актуального ландшафта угроз.
Читайте также
- 21 мая 2026
- 1 Мин
- 18 мая 2026
- 1 Мин
- 7 мая 2026
- 1 Мин
- 28 апреля 2026
- 2 Мин
- 20 апреля 2026
- 3 Мин
- 16 апреля 2026
- 2 Мин
- 9 апреля 2026
- 3 Мин
- 23 марта 2026
- 4 Мин
- 6 февраля 2026
- 5 Мин
