Требования 117 приказа ФСТЭК

Приказ ФСТЭК 117 пришел на замену приказа ФСТЭК 17.

Изначально он должен был вступить в силу 1 сентября 2025 года, но этот срок сдвинули. В итоге он окончательно вступает в силу 1 марта 2026 года и предъявляет требования к защите информации, содержащейся в:

  • государственных информационных системах;
  • иных информационных системах государственных органов;
  • иных информационных системах государственных унитарных предприятий;
  • иных информационных системах государственных учреждений.

Указанные требования применяются для:

  • защиты информации;
  • предотвращения несанкционированного доступа к информации;
  • специальных воздействий на информацию в целях ее добывания, уничтожения, искажения, блокирования доступа к информации.

Приказ ФСТЭК 117 распространяется только на государственные информационные системы, иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений, расположенных на территории Российской Федерации.

 

Суть 117 приказа ФСТЭК

Приказ ФСТЭК 117 — предназначен для защиты систем государственных органов, а также систем, подключаемых к данным системам.

В частности, подрядчики, осуществляющие разработку, обслуживание и техническую поддержку систем государственных органов — обязаны обеспечивать защиту своих информационных систем, подключаемых к государственным — по тем же Требованиям (см. п. 2, 16, 58 приказа ФСТЭК 117).
Указанный приказ — вводит общие требования, а также описывает полный цикл защиты и аттестации государственных информационных систем.

А в частности:

  • Организация деятельности по защите информации и управление данной деятельностью.
  • Проведение мероприятий и принятие мер по защите информации.
  • Требования к определению класса защищенности информационной системы.

Т.е. указанный приказ, не только описывает меры и мероприятия по защите информации в государственных системах, но и регламентирует порядок определения класса защищенности для государственных систем.

Сразу озвучим взаимозависимость 117 приказа ФСТЭК:

  • В случае обработки в информационной системе государственного органа персональных данных — необходимо также применять постановление Правительства № 1119.
  • В случае отнесения информационной системы государственного органа к значимому объекту критической информационной инфраструктуры — необходимо также применять нормативную документацию по вектору КИИ (постановление Правительства № 127, приказы ФСТЭК 235 и 239 и др.).

 

Отличия приказа ФСТЭК 117

В двух словах тут не отделаешься. Поехали:
Во-первых: 17 приказ ФСТЭК в обязательном порядке распространялся только на государственные информационные системы (ГИС), а 117 приказ ФСТЭК распространяется не только на ГИС, но и на иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений.

Во-вторых: все информационные системы (ИС) интегрированные с ГИС – должны быть также защищены (по указанию владельца ГИС — иметь аттестат по такому же классу, иначе как это подтвердить).
Т.е. гос. органы должны выставлять всем своим контрагентам требование о соответствии их ИС определенным классам, что может быть подтверждено в рамках процедуры аттестации.

А подрядчики, в свою очередь — должны ознакамливаться с политикой оператора ГИС. Правильно будет это оформлять документально. Например, официальным письмом об ознакомлении в адрес оператора, чтобы зафиксировать данный факт.

В-третьих: в 117 приказе ФСТЭК теперь очень четко определен перечень внутренней организационно-распорядительной документации (организационные документы, внутренние стандарты, внутренние регламенты, инструкции по мероприятиям), необходимой для соответствия приказу. И, можем сказать точно — список ОРД стал существенно шире, чем в 17 приказе ФСТЭК.

Особенно хотим отметить детализацию описания содержания политики информационной безопасности — теперь минимальный состав разделов четко определен.

В-четвертых: теперь для сотрудников отдела по защите информации (ЗИ) оператора ГИС — четко прописана обязанность иметь компетенции, необходимые для выполнения возложенных на них обязанностей (функции) по защите информации в соответствии с 117 приказом ФСТЭК.

И что не менее 30% работников отдела по ЗИ должны иметь профессиональное образование по специальности или направлению подготовки в области защиты информации или пройти обучение по программе профессиональной переподготовки в области защиты информации.

В-пятых: состав средств защиты в 117 приказе ФСТЭК сильно расширился, а в частности:

  • защита технологий контейнерных сред и их оркестрации;
  • защита веб-технологий;
  • защита программных интерфейсов взаимодействия приложений;
  • защита технологий интернета вещей;
  • мониторинг ИБ;
  • контроль настроек;
  • автоматизация аналитики.

В-шестых: появилась некая оценка состояния защиты информации, предусматривающая расчет показателя защищенности «Кзи» и показателя уровня зрелости «Пзи».
Расчет и оценка показателя защищенности «Кзи» должны проводиться оператором ГИС не реже одного раза в 6 месяцев. Расчет и оценка показателя уровня зрелости «Пзи» должны проводиться оператором ГИС не реже одного раза в 2 года.

О результатах расчета уведомляется руководитель оператора ГИС и ФСТЭК России. Первого для принятия решения по повышению уровня защищенности, а второго для мониторинга текущего состояния и оценки эффективности деятельности по защите информации.

В-седьмых: помимо мер защиты, которые были в 17 приказе ФСТЭК, теперь появились некие «мероприятия» по защите информации. Которых в итоге достаточно много — более 20 шт. и, что не может не радовать, они очень детально описаны. Среди которых достаточно много инноваций, чего не было в 17 приказе ФСТЭК.

Достаточность и эффективность проводимых мероприятий оцениваются оператором ГИС по результатам определения показателя уровня зрелости «Пзи».

В-восьмых: ужасно, но это факт, в пункте 36 говориться, что решение о необходимости разработки модели угроз (МУ) защиты информации в ходе создания негосударственных ИС — принимается руководителем оператора ИС.

Т.е. речь про негосударственные ИС, мол для них МУ можно и не разрабатывать. Но при этом весь 117 приказ ФСТЭК просто кричит, что все завязано и зависит от актуальных угроз, что они должны определяться и вся защита должна быть нацелена на нейтрализацию актуальных угроз.

В общем этот пункт под большим вопросом. Вроде как должен позволить операторам негосударственных ИС сэкономить (не вкладываться в разработку МУ), но если в них, например обрабатывают ПДн, что сплошь и рядом, то эта ИС подпадает под вектор защиты ПДн, по которому МУ разрабатывать обязательно. Посмотрим, что будет дальше, т.е. на разъяснения ФСТЭК.

В-девятых: отдельно сделаем акценты по следующим мероприятиям:

  • Мероприятия по мониторингу защиты информации: в 117 приказе ФСТЭК имеется ссылка на ГОСТ Р 59547-2021, указывающая на необходимость осуществления данных мероприятий в соответствии с разделами 4 и 5 указанного ГОСТ. А также приведено требование по направлению сводного (итогового) отчета за год во ФСТЭК России для мониторинга текущего уровня защищенности.
  • Мероприятия по разработке безопасного ПО: в 117 приказе ФСТЭК приведено, что в случае самостоятельной разработки оператором ГИС (или с привлечением подрядчика) программного обеспечения, предназначенного для использования в ИС — должны быть реализованы меры, предусмотренные разделами 4 и 5 ГОСТ Р 56939-2024 (это ГОСТ по безопасной разработке ПО).
  • Мероприятия по защите при взаимодействии с подрядчиками: во-первых, теперь четко прописано, что для всех подрядчиков должны быть выдвинуты требования по защите информации к которой получен доступ. В том числе не допускается копирование информации, если это запрещено документами оператора ГИС. Во-вторых, запрещается вести разработку и тестирование софта в боевых контурах, а тестовые стенды должны быть изолированы от продуктивных.
  • Оператором ГИС должно быть обеспечено взаимодействие с ГосСопка, а также взаимодействие в автоматизированном режиме с ЦМУ ССОП. А сервисы защиты от DDOS должны располагаться на территории РФ.

В-десятых: состав мер защиты сильно прогрессировал! Их стало больше и они стали покрывать существенный объем технологий, что очень актуально на сегодняшний день. Например, хотели бы отдельно отметить: защита технологий контейнерных сред и их оркестрации; защита веб-технологий; защита технологий интернета вещей.

В-одиннадцатых: контроль защищенности теперь в обязательном порядке проводится не реже одного раза в три года или после компьютерного инцидента. Это получается справедливо для иных ИС, не являющихся ГИС. Т.е. регулятор разрешил проводить контроль для не аттестованных систем немного реже, чем для ГИС. Для аттестованных ГИС, само собой, имеется периодический контроль, который обязывает направлять протоколы контроля во ФСТЭК не реже 1 раза в 2 года (см. приказ ФСТЭК № 77).

В-двенадцатых: в 117 приказе ФСТЭК отсутствует описание порядка защиты ИС на всех стадиях жизненного цикла ИС, как это было в 17 приказе ФСТЭК. Теперь же есть разделение, что для ГИС необходимо применять порядок защиты на стадиях жизненного цикла в соответствии с постановлением Правительства № 676, а для иных ИС в соответствии с разделом 5 национального стандарта ГОСТ Р 51583-2014.

Смотреть весь список
Свернуть

 

Сравнения 17 и 117 приказа ФСТЭК

Прямо сравнить приказы ФСТЭК 117 и 17 — точно не получится, так как это не новый релиз (версия) приказа ФСТЭК 17, а совершенно новые требования, так сказать новая эпоха защиты государственных информационных систем.

Это обновление готовили много лет после выхода в свет приказа ФСТЭК 17, поэтому в режиме «сравнения» (как в word) эти документы не сравнить.

Выше мы расписали явные отличия между данными приказами, а теперь приведем сводное сравнение между ключевыми моментами данных приказов:

17 приказ ФСТЭК 117 приказ ФСТЭК
Классификация ГИС установлена в самом приказе. Состав классов – 1, 2, 3 Аналогично
Обязательная аттестация только для ГИС Аналогично
Должны применяться только сертифицированные СЗИ и ПО с функциями защиты Аналогично
Контроль защищенности:

для ИС 1 класса – не реже 1 раза в год

для ИС 2-3 класса – не реже 1 раза в 2 года

 Не реже одного раза в 3 года (для не аттестованных, а для аттестованных согласно 77 приказа ФСТЭК – протоколы не реже 1 раза в 2 года)
Порядок защиты ГИС на всех стадиях жизненного цикла ГИС — отражен в самом приказе В самом приказе отсутствует описание порядка защиты ГИС на всех стадиях жизненного ГИС, но даны ссылки на внешние документы, в которых порядок описан
В случае обработки персональных данных необходимо применять ПП 1119 Аналогично
Требования не распространяются на системы Администрации Президента Российской Федерации, аппарата Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Аппарата Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации Аналогично
Должна быть разработана политика защиты информации Аналогично, но с детализацией по составу разделов, чего не было в 17 приказе ФСТЭК
Требования к внутренним ОРД были в самом приказе Аналогично, но перечень ОРД (регламентов и стандартов) существенно расширился
Для подготовки и аттестации ГИС могут привлекаться лицензиаты ФСТЭК Аналогично
ГИС может располагаться и аттестоваться на базе внешнего ЦОД Аналогично
При защите и аттестации ГИС должен защищаться и аттестоваться прикладной уровень (использоваться сертифицированное ПО с многопользовательским режимом работы = с функциями защиты) Аналогично
Должна разрабатываться модель угроз Аналогично
Взаимодействие с ГосСопка

Взаимодействие в автоматизированном режиме с ЦМУ ССОП

 Аналогично
Сервисы защиты от DDOS должны быть расположены на территории Российской Федерации Аналогично
Порядок выбора базового набора мер защиты, его адаптацию, уточнение и дополнение Аналогично
Состав мер защиты Сильно расширен
Возможность применять компенсирующие меры Аналогично
В ИС 1 класса применяются СЗИ 4 класса

В ИС 2 класса применяются СЗИ 5 класса

В ИС 3 класса применяются СЗИ 6 класса

 Аналогично
Анализ уязвимостей должен проводиться на этапе внедрения СЗИ, а также на этапе аттестационных испытаний Явного указания, что анализ уязвимостей должен проводиться на этапе внедрения и аттестации – нет, но при аттестации ГИС в 77 приказе ФСТЭК указано, что должны проверяться имеющиеся протоколы (если они есть), а также проводиться анализ уязвимостей на аттестации
Есть четкое указание о необходимости разработки проектной документации и предварительных испытаний, опытной эксплуатации и приемочным испытаниям СЗИ Четких указаний в самом приказе нет, но есть ссылка на ПП 676 в котором об этом указано
Такое указание отсутствует В случае если ИС является ЗОКИИ – необходимо применять НПА по вектору защиты КИИ (187-ФЗ)
Такое не предъявлялось Требования к мероприятиям по защите информации при использовании ИИ
Такое указание отсутствует В случае использования шифровальных средств – необходимо использовать НПА по линии ФСБ
Требования к подрядчикам не предъявлялись По всему приказу явно прописаны требования к подрядчикам
Требования к компетенции и образованию сотрудников, обеспечивающих защиту ГИС явно не предъявлялись В п. 20 явно прописаны требования к компетенции и образованию сотрудников, обеспечивающих защиту ГИС
Такое не предъявлялось Должна проводиться оценка состояния защиты информации (расчет показателя защищенности и показателя уровня зрелости) и направляться во ФСТЭК
Такое не предъявлялось Во ФСТЭК должен отправляться ежегодный сводный отчет по мониторингу защищенности ИС
Такое не предъявлялось. Были только «меры защиты» Должен выполняться набор мероприятий по защите информации. Расчет показателей защищенности и уровня зрелости осуществляется именно по мероприятиям. А мероприятия в свою очередь ссылаются на необходимость реализации мер защиты.
Такое не предъявлялось При разработке ПО должен применяться ГОСТ по безопасной разработке ПО
Такое явно предъявлялось только для систем 1 класса (ОДТ.1 и ОДТ.2) Для значимых компонентов ИС должна использоваться только отказоустойчивая конфигурация (кластер)
Такое не предъявлялось Разработка и тестирование ПО не допускается в продуктивных контурах. А тестовые стенды должны быть изолированы.
Смотреть весь список
Свернуть

 

Точную стоимость защиты и/или аттестации вашей ИС вы можете узнать по телефону:
8(800)600-60-41 или 8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК

 

Чек лист 117 приказ ФСТЭК

Чек-лист 117 приказа ФСТЭК можно представить в трех вариантах:

  • Для тех, кто первый раз защищается по требованиям к государственным информационным системам, т.е. им нужно все сделать, как говориться «с нуля».
  • Для тех, кто уже защищался по 17 приказу ФСТЭК и им нужно перейти на 117 приказ ФСТЭК, при условии, что у них система претерпела модернизацию, а равно необходимость переаттестации.
  • Для тех, кто уже защищался по 17 приказу ФСТЭК и им нужно перейти на 117 приказ ФСТЭК, но система не модернизировалась.

Давайте сначала разберем первый вариант и распишем порядок «от и до»:

  1. Обследование и формирование требований по защите (см. п. 29 приказа ФСТЭК 117), по результатам которого обычно разрабатываются отчетные документы:
    — Отчет об обследовании.
    — Акт классификации.
    — Модель угроз и нарушителя информационной безопасности.
    — Частное техническое задание на создание системы защиты информации.
  2. Проектирование системы защиты информации, что прямо не указано в самом 117 приказе ФСТЭК, но указано в постановлении Правительства № 676, на который идет ссылка из 73 пункта указанного приказа. На выходе, как правило, следующие отчетные документы:
    — Пояснительная записка (ПЗ).
    — Ведомость технического проекта (ВД).
    — Спецификация средств защиты.
    — Структурная схема.
    — Описание комплекса средств.
    * — все документы могут объединяться, кроме ПЗ и ВД.
  3. Реализация системы защиты: закупка, внедрение и пусконаладка сертифицированных средств защиты информации, обучение кадров, а также разработка внутренних организационно-распорядительных документов по защите информации (внутренние стандарты и внутренние регламенты).
  4. Испытания, состоящие из трех этапов:
    — Предварительные испытания с оформлением программы и методики предварительных испытаний.
    — Опытная эксплуатация с оформлением программы и методики опытной эксплуатации и акта о ее завершении.
    — Приёмочные испытания с оформлением программы и методики приемочных испытаний и акта о приемки в постоянную эксплуатацию.
    * — практика показывает, что допускается оформлять единую программу и методику испытаний для всех трех этапов, а вот акты только отдельные.
  5. Аттестационные испытания, включающие разработку отчетной документации:
    — Программа и методики аттестационных испытаний.
    — Протоколы аттестационных испытаний.
    — Заключение по результатам аттестационных испытаний.
    — Аттестат соответствия.
  6. Дополнительно не забыть:
    — В случае привлечения подрядчиков — прописать в политике и ознакомить их с требованиями по подключению к ГИС.
    — Оценить состояние защиты информации (расчет показателя защищенности и показателя уровня зрелости) по методическим документам ФСТЭК и направить расчеты во ФСТЭК.
    — Отправить во ФСТЭК последний в году отчет по мониторингу защищенности ГИС.
    — Выставить подрядным разработчикам ПО требование по применению ГОСТ безопасная разработка ПО (БРПО), запрет на тестирование ПО на «продакшн» и изолировать тестовые стенды от продуктивных.
    — Организовать взаимодействие с ГосСопка, а также ЦМУ ССОП.
    — Организовать периодический контроль, не реже 1 раза в 3 года (для не аттестованных, а для аттестованных получается 1 раз в 2 года, согласно 77 приказа ФСТЭК) и отправлять отчеты во ФСТЭК России.

А теперь разберем второй и третий вариант и распишем порядок «от и до».
Если у оператора ГИС работы по 17 приказу ФСТЭК уже были проведены, но система претерпела модернизацию, а равно повторная аттестация, то по сути ему нужно доработать до 117 приказа ФСТЭК следующее:

  • Необходимо пройти всю эпопею, озвученную выше «от и до».
  • Само собой затраты на систему защиты будут уже меньше, но ввиду модернизации системы — необходимо актуализировать всю имеющуюся документацию.

Если у оператора ГИС работы по 17 приказу ФСТЭК уже были проведены, но у оператора ГИС модернизация системы не проводилась:

  • Реализация системы защиты: убедиться в выполнении требований по обучению кадров, а также разработать внутренние организационно-распорядительные документы по защите информации (внутренние стандарты и внутренние регламенты).
  • Оценить состояние защиты информации (расчет показателя защищенности и показателя уровня зрелости) по методическим документам ФСТЭК и направить расчеты во ФСТЭК.
  • Отправить во ФСТЭК последний в году отчет по мониторингу защищенности ГИС.
  • Выставить подрядным разработчикам ПО требование по применению ГОСТ безопасная разработка ПО (БРПО), запрет на тестирование ПО на «продакшн» и изолировать тестовые стенды от продуктивных.
  • И, если не было сделано ранее:
    — Организовать взаимодействие с ГосСопка, а также ЦМУ ССОП.
    — Организовать периодический контроль, не реже 1 раза в 3 года (для не аттестованных, а для аттестованных получается 1 раз в 2 года согласно приказа ФСТЭК 77) и отправлять отчеты во ФСТЭК России.
Смотреть весь список
Свернуть

 

Обзор 117 приказа ФСТЭК

Обзор 117 приказа ФСТЭК, можно привести в следующем ключе:

  • Состав разделов.
  • Ключевые моменты для каждого раздела.
  • Ключевые различия относительно предыдущего 17 приказа ФСТЭК.

Давайте так и сделаем!

Состав разделов не сильно отличается от 17 приказа ФСТЭК:

  • Общие положения.
  • Организация деятельности по защите информации и управление данной деятельностью.
  • Проведение мероприятий и принятие мер по защите информации.
  • Требования к определению класса защищенности информационной системы.

Ключевые моменты для каждого раздела:

  1. Общие положения:
    Приказ 117 ФСТЭК распространяется не только на ГИС, но и на иные системы гос. органов.
    — В случае передачи конфиденциальных данных из ГИС во вне, та система куда передаются данные — также должна соответствовать требованиям приказа.
    — При обработке в ГИС персональных данных — данная ГИС также должна защищаться по ПП 1119.
    — В случае если ГИС является еще и ЗОКИИ, то данная ГИС должна еще защищаться по нормативной документации вектора КИИ.
    — В случае необходимости применения СКЗИ — смотрите нормативные документы ФСБ России.
    — Допускается функционирование ГИС на базе внешнего ЦОД / оператора облачных услуг (ООУ), в случае если данный ЦОД / ООУ — также соответствует 117 приказу ФСТЭК.
    — Оператор ГИС должен обеспечивать защиту информации на всех стадиях жизненного цикла ГИС.
    — Требования приказа не распространяются на ИС аппарата президента, правительства, высших органов власти и тд.
  2. Организация деятельности по защите информации и управление данной деятельностью:
    — Все начинается с разработки политики по защите информации. В приказе приведен перечень обязательных разделов политики.
    — Необходимо определить лиц, ответственных за защиту информации.
    — Необходимо применять программные и программно-аппаратные средства защиты.
    — Необходимо утвердить внутренние стандарты и регламенты защиты информации.
    — Подрядчики должны быть ознакомлены с политикой по защите информации.
    — Сотрудники отдела по защите информации — должны иметь компетенции для выполнения обязанностей 117 приказа ФСТЭК, а также иметь образование или пройти обучение в области ИБ.
    — Могут привлекаться лицензиаты для выполнения всех работ по защите и аттестации ГИС.
    — Должно быть проведено обследование информационной системы на предмет того, что мы защищаем, выявлены угрозы, определен состав и сроки реализации мер и мероприятий по ЗИ.
    — Должен быть проведен расчет показателя защищенности и показателя уровня зрелости. Результат отправляется во ФСТЭК.
  3. Проведение мероприятий и принятие мер по защите информации:
    — Определен перечень мероприятий, среди которых есть указание на необходимость реализации мер защиты информации.
    — Достаточность и эффективность проводимых мероприятий — оценивается по результатам определения показателя уровня зрелости.
    — Выявление и оценка угроз, а также разработка модели угроз осуществляется в случаях, установленных ПП 676. А в указанном документе явно указано, что это нужно делать.
    — Должен осуществляться мониторинг информационной безопасности ГИС и отчеты отправляться во ФСТЭК.
    — Подрядчики по разработке ПО должны применять ГОСТ Р 56939-2024 (безопасная разработка ПО).
    — Подрядчикам должно быть установлено требование по разработке ПО только на тестовых стендах, которые должны быть изолированы от продуктивных серверов.
    — Должно быть организовано взаимодействие с ГосСопка и ЦМУ ССОП.
    — Мероприятия по реализации в ГИС мер защиты информации должны включать: реализацию базовых мер, их адаптацию, дополнение и/или усиление.
    — До начала обработки конфиденциальной информации в ГИС — должна быть проведена ее аттестация в соответствии с порядком, установленным 77 приказом ФСТЭК.
    — Контроль защищенности должен проводиться не реже 1 раза в 3 года или после компьютерного инцидента. Отчет отправляется во ФСТЭК.
    — В случае невозможности реализации отдельных мер и/или мероприятий — возможно применять компенсирующие меры.
    — Должны применяться только сертифицированные средства защиты.
    — Защита должна реализовываться не только на инфраструктурном уровне (аппаратный, системный), но и на прикладном.
    — Защита ГИС должна осуществляться на всех стадиях жизненного цикла, в соответствии с ПП 676.
  4. Требования к определению класса защищенности информационной системы:
    — Тут все также как в 17 приказе ФСТЭК.
    — Класс защиты зависит от уровня значимости обрабатываемой информации и масштаба ИС.
    — Класс защищенности информационной системы определяется в соответствии с таблицей 2 приложения 1 приказа 117 ФСТЭК.
    — Результаты классификации оформляется актом.
Смотреть весь список
Свернуть

 

Методические рекомендации к приказу ФСТЭК 117

К сожалению, на сегодняшний день, методические рекомендации к приказу ФСТЭК 117 еще не утверждены.

В наличии имеются только методические документы к приказу ФСТЭК 17.

Они все также приведены на сайте ФСТЭК в разделе:

Главная / Документы / Все документы / Специальные нормативные документы / Методический документ от 11 февраля 2014 г.

 

Документы 117 приказа ФСТЭК

Документы 117 приказа ФСТЭК условно можно разделить на следующие категории:

  1. Документы, необходимые для организации деятельности по защите информации и управление данной деятельностью.
  2. Внутренние стандарты по защите информации.
  3. Внутренние регламенты по защите информации.
  4. Регламенты (инструкции) по всем мероприятиям или разделы в едином регламенте.
  5. Документы, разрабатываемые при реализации жизненного цикла ГИС, приведенные в 676 ПП.

Чтобы посмотреть подробнее перечень документов — вы можете скачать подготовленный PDF файл.

 

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

 

План мероприятий 117 приказ ФСТЭК

План мероприятий 117 приказа ФСТЭК можно представить следующим списком:

а) выявление и оценка угроз безопасности информации (п 36);

б) контроль конфигураций информационных систем (п 37);

в) управление уязвимостями (п 38);

г) управление обновлениями (п 39);

д) обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа (п 40);

е) обеспечение защиты информации при применении конечных устройств (п 41);

ж) обеспечение защиты информации при применении мобильных устройств (п 42, п 43, п 44, п 45);

з) обеспечение защиты информации при удаленном доступе пользователей к информационным системам (п 46);

и) обеспечение защиты информации при беспроводном доступе пользователей к информационным системам (п 47);

к) обеспечение защиты информации при предоставлении пользователям доступа к информационным системам, предусматривающего чтение, выполнение, изменение, запись, удаление программ и (или) данных в информационных системах (далее — привилегированный доступ) (п 48);

л) обеспечение мониторинга информационной безопасности (п 49);

м) обеспечение разработки безопасного программного обеспечения (п 50);

н) обеспечение физической защиты информационных систем (п 51);

о) обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций (п 52, п 53, п 54, п 55);

п) повышение уровня знаний и информированности пользователей по вопросам защиты информации (п 56, п 57);

р) обеспечение защиты информации при взаимодействии с подрядными организациями (п 58);

с) обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании (п 59);

т) обеспечение защиты информации при использовании искусственного интеллекта (п 60, п 61);

у) реализация в информационных системах мер по их защите и защите содержащейся в них информации (п 62, п 63, п 64, п 65, п 68, п 69, п 70, п 71, п 72, п 73);

ф) проведение контроля уровня защищенности информации, содержащейся в информационных системах (п 66, п 67);

х) обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Смотреть весь список
Свернуть

 

Меры по 117 приказу ФСТЭК

Меры по 117 приказу ФСТЭК определены в самом приказе в следующем составе:

а) идентификация и аутентификация;

б) управление доступом;

в) регистрация событий безопасности;

г) защита виртуализации и облачных вычислений;

д) защита технологий контейнерных сред и их оркестрации;

е) защита сервисов электронной почты;

ж) защита веб-технологий;

з) защита программных интерфейсов взаимодействия приложений;

и) защита конечных устройств;

к) защита мобильных устройств;

л) защита технологий интернета вещей

м) защита точек беспроводного доступа;

н) антивирусная защита;

о) обнаружение и предотвращение вторжений на сетевом уровне;

п) сегментация и межсетевое экранирование;

р) защита от компьютерных атак, направленных на отказ в обслуживании;

с) защита каналов передачи данных и сетевого взаимодействия.

Смотреть весь список
Свернуть

 

Кратко 117 приказ ФСТЭК

Кратко 117 приказ ФСТЭК можно описать так:

  1. Это существенное изменение нормативной документации в области защиты государственных информационных систем.
  2. В 17 приказе ФСТЭК был приведен порядок подготовки и аттестации ГИС на всех стадиях жизненного цикла, а в 117 приказе ФСТЭК такого нет! В нем приведены общие положения, меры и мероприятия защиты, а также порядок классификации. А указание на защиту ГИС на всех стадиях жизненного цикла — дано в пунктах 9 и 73 приказа, со ссылкой на внешние нормативно-правовые акты (676 ПП и ГОСТ Р 51583-2014), описывающие порядок этапов и состав отчетной документации.
  3. Порядок классификации ГИС остался прежним.

 

117 приказ ФСТЭК КИИ

В случае, если ГИС является значимым объектом критической информационной инфраструктуры (ЗОКИИ) РФ, то данная ГИС должна защищаться в соответствии с нормативно-правовыми актами по вектору КИИ, а в частности:

Это указано в самом приказе ФСТЭК 117 в пункте 6.

Само собой, если ЗОКИИ является ГИС, то она точно подпадает под необходимость аттестации согласно порядка, установленного приказом ФСТЭК 77.

 

ОРД 117 приказ ФСТЭК

ОРД 117 приказа ФСТЭК определены в самом 117 приказе ФСТЭК, причем достаточно детально.

По сути, все ОРД разбиты на следующие категории:

  • Документы, необходимые для организация деятельности по защите информации и управление данной деятельностью.
  • Внутренние стандарты по защите информации.
  • Внутренние регламенты по защите информации.
  • Регламенты (инструкции) по всем мероприятиям или разделы в едином регламенте.

Чтобы вам было проще разобраться — мы подготовили выдержки из 117 приказа ФСТЭК для каждой категории документов:

 

Точную стоимость защиты и/или аттестации вашей ИС вы можете узнать по телефону:
8(800)600-60-41 или 8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК

 

117 приказ ФСТЭК разъяснения

На сегодняшний день мы, как и весь рынок ИБ — ждем разъяснения по множеству моментов приказа ФСТЭК 117.
Скорей всего, ответы на наиболее часто встречающиеся вопросы, мы услышим на ТБ Форум безопасности, что проводится в феврале каждого года.

Однако, уже сейчас у операторов ИС и лицензиатов имеются вопросы, связанные с переходным периодом:

  1. Возможна ли выдача аттестата соответствия (в случае положительного заключения) после 01.03.2026 по контрактам на аттестацию информационных систем на соответствие требованиям приказа ФСТЭК № 17 от 11.02.2013 – заключенным до 01.03.2026?
  2. Возможно ли после 01.03.2026 проведение работ по периодическому контролю аттестационных информационных систем на соответствие требованиям приказа ФСТЭК № 17 от 11.02.2013?
  3. Возможно ли после 01.03.2026 проведение доп. аттестационных испытаний ранее аттестованных информационных систем на соответствие требованиям приказа ФСТЭК № 17 от 11.02.2013?

Запрос был отправлен во ФСТЭК России и мы ожидаем ответ в установленный срок.

Как поступят какие-либо разъяснения — оставьте заявку и мы дадим знать.

 

117 приказ ФСТЭК показатель зрелости

Указание о необходимости расчета показателя зрелости 117 приказа ФСТЭК — установлен пунктом 31 самого приказа.

Показатель уровня зрелости — это показатель, который определяет достаточность и эффективность проведения мероприятий по защите информации.
А также, что для определения значений и расчета показателя уровня зрелости — необходимо применять методические документы ФСТЭК России.

О полученных по результатах оценки значениях показателя уровня зрелости уведомляются:

  • Руководитель оператора — в течение 3 дней после завершения оценки.
  • ФСТЭК России — в течение 5 дней после дня их расчета.

Руководитель оператора уведомляется в случае несоответствия показателя нормативным значениям, также должен быть утвержден план мероприятий по совершенствованию защиты информации, нацеленный на достижение нормативного значения.

 

Методический документ 117 приказа ФСТЭК

Внимание! Важная новость в части выпуска ФСТЭК России методического документа «МЕРОПРИЯТИЯ И МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ».

В пятницу 5 февраля 2026 года ФСТЭК России выпустила и разместила на своем официальном сайте проект указанного методического документа.

Все заинтересованные организации вправе с ним ознакомиться и дать обратную связь до 19.02.2026.

Напоминаем, что 117 приказ ФСТЭК полностью вступает в силу с 01.03.2026, поэтому ФСТЭК России важно утвердить методический документ в срок.

Вы также можете скачать проект указанного методического документа с нашего сайта по ссылке.

 

На кого распространяется 117 приказ ФСТЭК

Тут уверенно можно сказать, что 117 приказ ФСТЭК распространяется только на:

  • государственные информационные системы;
  • иные информационные системы государственных органов;
  • государственных унитарных предприятий;
  • государственных учреждений;
  • расположенных на территории Российской Федерации.

Это указано в самом 117 приказе (см. пункт 1).

 

Приказ ФСТЭК 117 что изменилось

Приказ ФСТЭК 117 — это не обновление 17 приказа ФСТЭК, а полная его замена.

Это существенное обновление нормативно-методической документации ФСТЭК по вектору защиты государственных информационных систем (ГИС) за последние 12 лет.

Поэтому смело можно сказать, что обновилось очень многое.

Вот лишь небольшой перечень того, что появилось нового:

  • Контроль защищенности не реже 1 раза в 3 года.
  • Жизненный цикл для ГИС и иных систем теперь разный (разные НПА).
  • Появилась детализация разделов политики ИБ.
  • Состав мер защиты сильно расширен.
  • Пропало указания о проведении анализа уязвимостей на этапе внедрения СЗИ.
  • В случае если ИС является ЗОКИИ – необходимо применять НМД по вектору 187-ФЗ.
  • Требования к мероприятиям по защите информации при использовании ИИ.
  • В случае использования СКЗИ – необходимо применять НМД по ФСБ.
  • Появились четкие требования к подрядчикам.
  • Появились четкие требования к компетенции и образованию сотрудников.
  • Должны проводиться расчеты показателя защищенности и показателя уровня зрелости и направляться во ФСТЭК.
  • Ежегодно во ФСТЭК направляется отчет по мониторингу ИБ.
  • Появилась «сущность» мероприятия по ЗИ.
  • Подрядчики при разработке ПО должны применять ГОСТ БРПО.
  • Разработка и тестирование ПО не должны осуществляться на боевых стендах, а тестовые стенды должны быть строго изолированы.

Смотреть весь список
Свернуть

Приказ ФСТЭК 117 методические указания

Ссылки на некоторые методические указания ФСТЭК России имеются в пунктах приказа ФСТЭК 117:

  • Пункт 31 по оценке состояния защиты информации.
  • Пункт 32 по расчету и оценке показателя защищенности.
  • Пункт 33 по вопросу утверждения плана достижения значений показателя защищенности и показателя уровня зрелости.
  • Пункт 68 по мероприятиям и мерам по защите информации.

К сожалению на сегодняшний день — указанные методические указания еще не утверждены в свет ФСТЭК России.

 

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

 

Приказ ФСТЭК 117 расчет показателя защищенности

Вот основные моменты в части расчета показателя защищенности согласно 117 приказа ФСТЭК:

  • Указание о необходимости расчета показателя защищенности (Кзи) — установлено пунктами 31 и 32 приказа ФСТЭК 117.
  • А также, что для расчета Пзи необходимо применять методические документы, утвержденные ФСТЭК России.
  • Пункт 32 указанного приказа говорит, что расчет Кзи должен осуществляться не реже 1 раза в 6 месяцев.
  • Руководитель оператора уведомляется не позднее 3 дней с момента выявления несоответствия рассчитанного показателя.
  • Результаты оценки показателя защищенности не позднее 5 дней направляются во ФСТЭК России.
  • В случае несоответствия показателя нормативному — должен утверждаться план достижения нормативного показателя.

 

Приказ ФСТЭК 117 методика внедрения

На рынке информационной безопасности устоялась давно отлаженная методика внедрения — это методика, описанная в 17 приказе ФСТЭК.

Дело в том, что в 17 приказе ФСТЭК были приведены этапы подготовки и защиты ГИС для всех этапов жизненного цикла.

А в 117 приказе ФСТЭК этого прямо не сделано, но в п. 73 имеется указание, что в части жизненного цикла необходимо руководствоваться 676 ПП и ГОСТ Р 51583-2014.

Это означает, что порядок создания ГИС, в том числе подсистемы защиты информации — такой же как в 17 приказе ФСТЭК.

Вы спросите, так какой же порядок? Это следующие много лет «отглаженные рельсы»:

  • Обследование
  • Проектирование
  • Реализация СЗИ
  • Аттестация

Более подробно по порядку подготовки и аттестации ГИС смотрите по ссылке.

 

Приказ ФСТЭК 117 перечень угроз

В 29 пункте приказа ФСТЭК 117 указано, что «при разработке и планировании мероприятий и мер по защите информации должны быть выявлены и оценены угрозы безопасности информации, реализация (возникновение) которых может привести к нарушению целей защиты информации, установленных в политике защиты информации«.

Это означает, что несмотря на противоречивый пункт 36 приказа (о том, что МУ якобы может и не разрабатываться), все равно требуется разработка модели угроз.

А также имеется отсылка на банк данных угроз безопасности информации ФСТЭК России: bdu.fstec.ru

 

Приказ ФСТЭК 117 скачать

Скачать 117 приказ ФСТЭК можно на сайте ФСТЭК по ссылке: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-utverzhdeny-prikazom-fstek-rossii-ot-11-aprelya-2025-g-n-117

А также у нас на сайте по ссылке: скачать PDF

 

Точную стоимость защиты и/или аттестации вашей ИС вы можете узнать по телефону:
8(800)600-60-41 или 8(800)-550-44-71
ЗАКАЗАТЬ ЗВОНОК

 

Аттестация 117 приказ ФСТЭК

Согласно 117 приказа ФСТЭК обязательной аттестации подлежат только государственные информационные системы.
Решение о необходимости аттестации иных информационных систем государственных органов — принимает сам оператор системы (обладатель информации).

Сама аттестация же проводится в соответствии с порядком, установленным приказом ФСТЭК 77.

В частности в рамках аттестации осуществляется:

а) оценку соответствия внутренних ОРД требованиям безопасности;

б) проверку наличия и согласования с ФСТЭК России модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем);

в) обследование объекта информатизации;

г) проверку наличия документов, содержащих результаты анализа уязвимостей;

д) проверку наличия сведений о средствах защиты информации, установленных на объекте информатизации, в реестре сертифицированных средств защиты информации;

е) проверку наличия у владельца объекта информатизации работников, ответственных за обеспечение защиты информации;

ж) оценку уровня знаний и умений работников;

з) оценку соответствия принятых на объекте информатизации организационных мер;

и) оценку соответствия принятых на объекте информатизации технических мер.

Смотреть весь список
Свернуть

 

Стоимость аттестации 117 приказ ФСТЭК

Если вы хотите узнать сколько же стоит подготовка и аттестация по 117 приказу ФСТЭК, то во-первых нужно понять, что до этого было уже сделано в части защиты информации (например, подготовка по 17 приказу ФСТЭК), а затем следующие важнейшие моменты:

1. Масштаб системы

2. «Распределенность»

3. Адреса (влияет на командировки)

4. Класс клиента (крупный, средний, малый бизнес)

5. Сроки (типовые или ускоренные)

 

Если совсем грубо, то на пальцах можно прикинуть так:

1. Подготовка и аттестация (полный цикл работ) для сегмента сети (АРМ или сервер): от 300 тыс. руб.

2. Подготовка и аттестация (полный цикл работ) небольшого ИТ-проекта в облаке: от 1000 тыс. руб.

3. Подготовка и аттестация (полный цикл работ) большого ИТ-проекта в облаке или масштаб всего предприятия: от 2000 тыс. руб.


Чтобы узнать стоимость подготовки и аттестации именно вашей информационной системы — оставьте заявку в форме или позвоните по телефону: 8(800)600-60-41 или 8(800)-550-44-71

 

Аттестат 117 приказ ФСТЭК

А как же выглядит аттестат по 117 приказу ФСТЭК?

Вот так:

117 приказ фстэк