Об авторе: Дмитрий Вощуков, «СёрчИнформ», GR-специалист
В июне вышел приказ ФСТЭК №117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», он вступит в силу 1 марта 2026 года на смену приказу № 17.
Кого затронет приказ
Первое и важнейшее отличие нового приказа ФСТЭК – расширенный круг субъектов, подпадающих под его регулирование.
Приказ ФСТЭК №117 и установленные им новые требования будут применяться к защите данных во всех информационных системах (ИС), которые принадлежат государственным органам, учреждениям, унитарным предприятиям и не относятся к объектам КИИ. Если под действие приказа № 7 подпадали только операторы ГИС (органы власти и некоторые крупные госучреждения), то новые требования нужно будет выполнять любым организациям госсектора федерального, регионального и муниципального уровней, использующим какие-либо информационные системы. В структуре каждой такой организации должны появиться ответственные за информационную безопасность штатные ИБ-подразделения или ИБ-специалисты.
Приведём пример. Региональное ГКУ в сфере занятости оперирует двумя системами, не являющимися ГИС: системой «Катарсис» для автоматизации основной деятельности и системой «1С Бухгалтерия». Или, например, государственный театр продаёт билеты через собственную автоматизированную систему. Ранее на них требования 17-го приказа не распространялись. С 1 марта 2026 года защита информации в этих системах должна отвечать предписаниям 117-го приказа, а в учреждении должен быть выделен штатный ИБ-специалист.
Ещё одно изменение – распространение требований приказа на подрядные организации. Выполнение ИБ-требований станет одним из условий договоров с подрядчиками.
Что изменится в обязательной документации
Документов, которые необходимо утвердить в организации, станет меньше. Если приказ №17 делал основной акцент на организационно-методическое обеспечение ИБ, то приоритет приказа № 117 – техническая защита.
Основными документами по ИБ будут внутренние политика, стандарты и регламенты защиты информации в организации. Политика защиты информации должна распространяться на все ИС организации и определять цели защиты информации, защищаемые объекты, состав организационных ИБ-мер, участвующих в ИБ-мероприятиях сотрудников, ответственность персонала за нарушения ИБ.
В стандартах организации должны отразить требования к мерам безопасности различных объектов ИС (модели доступа, разрешённого и запрещённого ПО, требования к защите конечных и других устройств). А в регламентах должны быть отражены алгоритмы реализации этих мер (порядок работы с учётными записями, с информацией ограниченного доступа, мониторинг ИБ).
Содержание этих внутренних документов частично отражено уже в самом приказе. Так, например, утверждены обязательные цели защиты информации: недопущение нарушения конфиденциальности информации и нарушения функционирования информсистем. Приоритетным направлением защиты новый приказ делает внутреннюю информационную безопасность. В частности, регламенты организации должны включать мониторинг ИБ в системах, подключённых к Интернету, согласно требованиям ГОСТ Р 59547-2021. В этот ГОСТ включено требование о мониторинге и выявлении нарушений ИБ, допущенных сотрудниками.
Приказ также учитывает проблему нехватки средств и мощностей для внедрения средств защиты информации (СЗИ). ИБ-служба должна будет сообщить руководству о необходимых технических, материальных и иных ресурсах для выполнения поставленных целей ИБ и проинформировать о рисках, которые возникнут, если уровень ИБ будет недостаточным. Руководителям предписано предусмотреть выделение средств и мощностей для решения задач защиты информации, исходя из предложений ИБ-службы.
Практическая реализация требований приказа
К 2026 году организации должны будут перестроить или сформировать заново систему ИБ. В отличие от 17-го приказа, приказ № 117 не устанавливает различий по составу ИБ-мероприятий для ИС разных уровней защищённости.
Выполнение этих мер на практике должно минимизировать риски ИБ-инцидентов. Задачи по предотвращению конкретных угроз отражены в пункте 30 новых требований. Эти задачи обязательны для всех субъектов регулирования нового приказа. Среди задач:
- исключение утечки конфиденциальной информации;
- предотвращение неправомерного доступа, модификации, подмены информации;
- исключение использования информации и ИС не по назначению;
- обеспечение восстановления информации, пострадавшей в результате инцидентов.
Упор должен быть сделан на техническую, а не на «бумажную» безопасность. Пункт 34 новых требований отражает двадцать одно мероприятие для достижения целей защиты информации, из них 18 технических, например:
- обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа;
- обеспечение защиты информации при применении конечных устройств;
- обеспечение защиты информации при удалённом и беспроводном доступе пользователей к информационным системам;
- непрерывное взаимодействие с системой ГосСОПКА (ранее – только для субъектов КИИ).
По каждому из этих мероприятий даются указания, на борьбу с какими угрозами они направлены и какие действия должны быть приняты в ходе выполнения мероприятий. Например, обеспечение защиты при работе с информацией ограниченного доступа (п. 40 требований) подразумевает:
- исключение неправомерного распространения такой информации и несанкционированного доступа к ней;
- определение информации ограниченного доступа и ресурсов для её хранения;
- регистрацию всех фактов доступа к ресурсам, хранящим эту информацию;
- контроль обработки, хранения и передачи этой информации;
- немедленное уведомление ИБ-службы о неправомерном распространении этой информации или неправомерном доступе к ней.
Самое полное, всеохватывающее из этих мероприятий – реализация в ИС мер их защиты и защиты содержащейся в них информации (пп. «у» п. 34, п. 62, 63 требований). Это включает в себя технические задачи, установленные другими пунктами нового акта. При выполнении этой задачи организации обязаны реализовать ряд «базовых мер». Среди них:
- идентификация и аутентификация;
- управление доступом, в т.ч. привилегированным;
- защита конечных точек;
- регистрация событий безопасности;
- защита каналов связи и сетевого взаимодействия;
- антивирусная защита и другие.
В целом новый приказ определяет необходимые для реализации технические меры более чётко и практично. А ИБ-мероприятия и базовые меры – это конкретные описания функций СЗИ различных классов, увязанные с целями защиты информации. Пример – изложенные в приказе меры по защите информации с ограниченным доступом и защите конечных точек – описание функций клиент-серверных систем для аудита, управления доступом и защиты данных (DCAP/DAG) и для предотвращения утечек.
Ещё один пример – задачи ИБ-мониторинга, взаимодействие с ГосСОПКА и базовые меры по регистрации событий безопасности. Они предусматривают сбор данных о событиях безопасности, их обработку и анализ, выявление признаков ИБ-инцидентов или нарушений внутренних стандартов и регламентов защиты информации. Организации должны будут ежегодно отчитываться об этом во ФСТЭК России. Фактически это задачи систем управления событиями информационной безопасности (SIEM).
Конкретные и чёткие формулировки технических ИБ-мероприятий – ещё одно отличие приказа №117. Если раньше организации сами решали, какими средствами выполнять меры из «таблицы» к 17-му приказу, то новый акт дает понятные ИБ-службе указания для выбора ИБ-решений.
Как подготовиться
Выполнение новых задач для формирования ИБ-службы и технической защиты может стать вызовом для госорганов и учреждений, не имеющих достаточного финансирования или сталкивающихся с кадровым дефицитом. По данным некоторых исследований, в 2024 году 65% государственных организаций не увеличили бюджет на ИБ, а 80% столкнулись с нехваткой ИБ-специалистов.
В приказе №117 эта проблема учтена. Новые требования устанавливают, что выделение организационных, материальных и технических ресурсов для обеспечения защиты информации – обязательная часть организационных ИБ-мероприятий.
Согласно п. 27 новых требований, обязательной задачей ИБ-службы является подготовка для руководства предложений по необходимым организационным, материальным, техническим и иным ресурсам. В них должны быть отражены цели защиты информации, достижение которых требует этих ресурсов (обязательные цели также установлены приказом № 117) и негативные последствия, которые наступят, если ресурсы не будут выделены.
Руководство организации на основе этих предложений и в пределах имеющихся средств должно предусмотреть выделение или привлечение дополнительных ресурсов для реализации ИБ-мероприятий. Таким образом, с вступлением в силу нового приказа на руководство возлагается ответственность за ресурсное обеспечение ИБ в организации.
Отложенное вступление в силу нового приказа позволяет организациям выполнить задачу с ресурсным обеспечением ИБ заранее и заложить затраты на ИБ в объёмы бюджетного финансирования организации на будущий год. Для этого ИБ-службе необходимо:
- определить информационные активы, требующие защиты;
- определить угрозы ИБ, актуальные для этих активов;
- определить классы СЗИ или конкретные решения, необходимые для их защиты;
- на основе этой информации подготовить для руководства предложения по объёмам ресурсного обеспечения ИБ на будущий год, аргументировав их положениями п. 27 новых требований; в условиях ограниченных ресурсов можно обойтись небольшим набором ИБ-решений, решающих сразу несколько базовых задач, проблема дефицита специалистов и аппаратных мощностей для эксплуатации этих решений отчасти снимается применением «коробочных» решений, нетребовательных к «железу» и квалификации операторов;
- определить нежелательные последствия, связанные с недостаточным ресурсным обеспечением ИБ (например, срыв планов цифровой трансформации, сбои в процессах текущей деятельности организации, нарушение прав граждан, внеплановые проверки организации).
С учётом изложенного успешное выполнение требований нового приказа ФСТЭК к моменту его вступления в силу возможно, если начать подготовку и выделение ресурсов уже сейчас.
