С 1 марта 2026 года в российской системе регулирования информационной безопасности наступает поворотный момент: начинает действовать новый Приказ ФСТЭК № 117, который заменяет уже знакомый многим Приказ № 17. Несмотря на кажущуюся преемственность, документ меняет привычный ландшафт требований — причём не точечно, а комплексно. Регулятор существенно расширяет круг участников, повышает планку для процессов, квалификации сотрудников и технических мер защиты, а также поднимает уровень «обычных» информационных систем до стандартов, фактически приближенных к КИИ. Разберём по порядку, что именно меняется и какие практические выводы следует сделать уже сейчас.
Расширение сферы регулирования: кто теперь попадает под требования
Ранее нормы ФСТЭК распространялись только на государственные информационные системы. Новый документ кардинально меняет эту рамку: теперь регулирование затрагивает все ИС государственных органов, муниципалитетов, государственных учреждений и унитарных предприятий, а также любые системы, получающие данные от ГИС.
Это означает, что тысячи организаций, которые раньше формально находились вне зоны требований ФСТЭК, теперь обязаны выстроить меры обеспечения ИБ по новым стандартам. Фактически регулятор выравнивает поле: если ваша система подключена к государственным сервисам — даже косвенно — вы автоматически попадаете в зону контроля.
Новый принцип классификации: класс защищённости определяется назначением
Кардинально меняется подход к определению класса защищённости ИС. Теперь важен не уровень ведомства или территориальная принадлежность, а назначение системы и характер обрабатываемой в ней информации.
Отдельный жёсткий критерий привязан к документам «Для служебного пользования»: если ИС хоть как-то работает с такими данными, ей сразу присваивается первый класс защищённости — независимо от масштаба организации.
Этот сдвиг от территориальности к функциональности приведёт к массовой переклассификации систем и, как следствие, к заметному росту требований для тех организаций, которые раньше работали по минимальным нормам.
Требования к персоналу: впервые вводится обязательная квалификация
В новом приказе появляется то, чего долгие годы не хватало: формализованные требования к кадрам. Теперь организации обязаны:
- назначить подразделение или ответственного за ИБ;
- обеспечить, чтобы минимум 30% сотрудников, связанных с ИБ, имели профильное образование либо прошли переподготовку;
- разработать и утвердить положение об ИБ-подразделении.
Таким образом, ИБ перестаёт быть «функцией по остаточному принципу». Даже небольшим учреждениям придётся планировать подготовку специалистов, формировать компетенции и приводить штат в соответствие с нормативкой.
Аттестация: формальные правила прежние, но ситуация меняется
Требования по аттестации остаются прежними: ГИС обязаны проходить её по Приказу № 77, а всем остальным разрешено делать это добровольно. Выданные ранее аттестаты будут действовать до конца своего срока.
Однако в реальности всё будет сложнее: новые критерии защищённости и изменённые процессы могут подтолкнуть организации к повторной оценке систем — хотя бы для того, чтобы избежать претензий при проверках. Любая нестыковка между реальными процессами и нормативными требованиями теперь будет гораздо более заметной.
Средства защиты: сертификация остаётся, но спектр решений расширяется
Базовый принцип неизменен: допускаются только сертифицированные СЗИ и SCZI. Но на этом сходство со старой моделью заканчивается. Требования становятся шире: регулятор явно ориентируется на современные угрозы и инфраструктуры, включая облака, контейнеризацию, IoT и распределённые среды.
Новые меры защиты: переход к зрелой системе управления ИБ
Главный методологический разворот — отказ от привычной итоговой таблицы мер. Теперь ФСТЭК настаивает на внедрении полноценной системы управления информационной безопасностью.
В числе обязательных направлений:
- формирование политики ИБ;
- процессы конфигурационного менеджмента;
- безопасная разработка программного обеспечения;
- управление непрерывностью;
- регулярное взаимодействие с ГосСОПКА;
- меры по управлению рисками искусственного интеллекта (AI Governance).
Таким образом, приказ фактически задаёт стандарт: ИБ должна быть интегрирована в жизнь организации, а не существовать в виде формальных документов и разрозненных технических решений.
Технологические меры: акцент на современные инфраструктуры
Новый регуляторный блок формирует требования к технологиям, которые ещё несколько лет назад не попадали в нормативные документы. Среди ключевых направлений:
- защита облачной инфраструктуры (включая CSP и CASB-решения);
- безопасность контейнерных платформ (Docker, Kubernetes);
- использование WAF для веб-сервисов;
- защита IoT-сред;
- применение EDR/XDR-решений;
- использование PAM для контроля привилегированных учётных записей;
- строгая регламентация удалённого доступа.
Этот список отражает очевидный тренд: информационные системы меняются, а вместе с ними должны обновляться и меры защиты.
Отчётность: регулярная передача показателей во ФСТЭК
Одно из самых заметных нововведений — появление обязательной регулярной отчётности. Организации должны:
- каждые полгода направлять показатель защищённости;
- раз в год — показатель зрелости процессов ИБ;
- ежегодно формировать итоговый отчёт по мониторингу.
Для многих это станет серьёзным вызовом: без автоматизации процессов и внедрения SIEM-решений подготовка отчётов будет трудоёмкой и рискованной.
Итог: требования становятся ближе к КИИ, а подготовку откладывать нельзя
Приказ № 117 делает ставку на системность, зрелость и реальный уровень управляемости ИБ.
Основные вызовы, с которыми столкнутся организации:
- необходимость переклассификации ИС по новым критериям;
- повышение квалификационных требований к персоналу;
- внедрение современных процессов, которые раньше были необязательны;
- освоение новых технологий и формирование адекватной отчётности.
По сути, требования к обычным ИС теперь сопоставимы с уровнем, ранее характерным исключительно для КИИ. Чтобы не оказаться в авральном режиме весной 2026 года, готовиться стоит заранее: в идеале — в течение 2025 года провести аудит зрелости, оценить разрывы и заложить бюджет на модернизацию.
Чек-лист по подготовке к вступлению в силу Приказа ФСТЭК № 117
1. Юридико-организационный блок
- Проверить, попадает ли ваша ИС в новую сферу действия приказа (если есть взаимодействие с ГИС, вероятность почти стопроцентная).
- Провести переклассификацию ИС на основе новых критериев.
- Проверить факт обработки документов «ДСП» (это сразу означает первый класс защищённости).
- Подготовить или переработать ОРД: политику ИБ, положение об ИБ-подразделении, регламенты по управлению доступом, конфигурациями, инцидентами, резервным копированием и др.
2. Кадровая готовность
- Назначить ответственных за ИБ либо сформировать полноценное подразделение.
- Проверить уровень квалификации сотрудников и довести долю специалистов с профильным образованием до 30%.
- Запланировать переподготовку и обучение в 2025 году.
- Наладить регулярное обучение пользователей и тестирование их осведомлённости.
3. Аттестация
- Для ГИС — обязательное прохождение аттестации по Приказу № 77.
- Для остальных — оценить целесообразность добровольной аттестации.
- Проверить сроки действующих аттестатов и заложить в план возможное повторное проведение.
4. Технические меры
- Использовать исключительно сертифицированные СЗИ и СКЗИ.
- Убедиться, что базовые процессы (управление доступами, антивирусная защита, резервирование, обновления, управление уязвимостями) выполняются корректно.
- Оценить необходимость внедрения:
- CSP/CASB-решений,
- защиты контейнеров,
- WAF,
- IoT-защиты,
- EDR/XDR,
- PAM.
5. Процессы и управление
- Внедрить системный подход к управлению ИБ (фактически — аналог ISMS).
- Наладить мониторинг, реагирование и взаимодействие с ГосСОПКА.
- Ввести практики безопасной разработки (если есть собственные программные продукты).
- Установить контроль сроков устранения уязвимостей.
6. Отчётность
- Настроить сбор данных для показателей защищённости и зрелости (желательно — через SIEM).
- Подготовиться к регулярной передаче отчётов в ФСТЭК:
- каждые 6 месяцев — показатель защищённости;
- раз в год — показатель зрелости;
- итоговый годовой отчёт по мониторингу.
