Март 2026: новые требования ФСТЭК № 117 — как изменятся подходы к информационной безопасности

Ключевые изменения в приказе ФСТЭК № 117

От разовой аттестации к непрерывному управлению

Главное изменение — переход от разовой аттестации к постоянному мониторингу и оценке защищённости. Теперь вводится коэффициент защищённости информации (КЗИ), который позволяет количественно оценить уровень защиты по шкале от 0 до 1. КЗИ пересчитывается каждые 6 месяцев, независимо от изменений в системе. Это означает, что безопасность теперь — не разовое состояние, а процесс, требующий постоянного контроля.

Расширение периметра требований

Если раньше требования касались только государственных информационных систем (ГИС), то теперь они распространяются на все информационные системы госорганов, учреждений, а также подрядчиков, которые получают или обрабатывают данные из ГИС. Это существенно расширяет круг организаций, обязанных соответствовать новым стандартам.

Новая структура требований

Вместо ~150 разрозненных мер вводится система из 16 критериев, сгруппированных в четыре блока:

• организационные меры;
• технические меры;
• контроль;
• реагирование.

Это упрощает формальную структуру, но усиливает требования к регулярному выполнению и контролю.

Конкретные сроки реагирования на уязвимости

Устанавливаются чёткие сроки:

• критические уязвимости — до 24 часов;
• высокого уровня — до 7 календарных дней;
• остальные — в рамках внутренних регламентов.

Безопасная разработка и технологические ограничения

Безопасность должна учитываться на всех этапах жизненного цикла ПО — от проектирования до вывода из эксплуатации. Запрещено использование иностранного ПО и публичных облачных сервисов для обработки критически важной информации, а средства защиты должны быть сертифицированы.

Усиление требований к персоналу

• Не менее 30% сотрудников ИБ-подразделения должны иметь профильное образование или переподготовку.
• Оценка знаний проводится не реже одного раза в 3 года.
• После инцидентов требуется внеочередное обучение.
• Обязательное обучение, информирование об угрозах, оценка знаний и регулярные тренировки для всех сотрудников.

Взаимодействие с ГосСОПКА

Обязательное взаимодействие с системой обнаружения и предупреждения компьютерных атак (ГосСОПКА) требует непрерывного мониторинга инцидентов и их интеграции в процессы безопасности.

Почему формальное обучение больше не работает?

Приказ закрепляет: обучение по ИБ должно включать не только передачу знаний, но и регулярные тренировки. Формальные курсы больше не закрывают задачу — важно менять поведение сотрудников, чтобы они принимали правильные решения даже в стрессовых ситуациях. Это подтверждается исследованиями: знание правил не снижает риск, если не меняется реальное поведение.

Вывод: что на самом деле меняет приказ ФСТЭК № 117

Приказ ФСТЭК № 117 меняет не только требования, но и сам подход к безопасности. Теперь недостаточно внедрить меры и подтвердить соответствие. Важно, как система выдерживает реальные атаки. Безопасность становится непрерывным процессом, в котором учитываются технологии, процессы и поведение сотрудников.

Как наша компания поможет вам соответствовать новым требованиям

Наша команда предлагает комплексные решения для подготовки к требованиям ФСТЭК № 117:

• аудит текущей защищённости и расчёт КЗИ;
• внедрение непрерывного мониторинга и взаимодействия с ГосСОПКА;
• помощь в переходе на доверенное ПО и сертифицированные средства защиты;
• сопровождение при прохождении проверок и регулярной оценки защищённости.

Мы поможем не просто закрыть требования, а выстроить управляемую и эффективную систему информационной безопасности, которая реально снижает риски для вашего бизнеса.

ПРИКАЗ ФСТЭК № 117 (ПОЛНАЯ РЕДАКЦИЯ)