СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
ОБИТ
20 марта
#ИБ

Новые требования к защите ГИС: акцент смещается на управление киберрисками

Новые требования к защите ГИС: акцент смещается на управление киберрисками

Изображение: recraft

С 1 марта 2026 года вступил в силу приказ ФСТЭК России №117, пришедший на смену действовавшему с 2013 года приказу №17. По оценке экспертов «ОБИТ», ключевое изменение связано с расширением объекта защиты.

Если ранее внимание уделялось отдельным ГИС как изолированным системам, то теперь регулятор фокусируется на инфраструктуре в целом, включая взаимодействие между системами и общими сервисами, которые могут стать источником киберрисков.

Существенно меняется и подход к выбору мер защиты. Новый приказ предполагает их адаптивное применение на основе модели угроз и оценки рисков, а не фиксированного перечня, как это было ранее. Одновременно вводится требование к непрерывному мониторингу защищенности, что фактически заменяет прежнюю практику разовой аттестации перед вводом системы в эксплуатацию. Приоритет смещается с формального соответствия требованиям на эффективность процессов обеспечения информационной безопасности и достижение заданного уровня защищенности в операционной деятельности.

Отдельное внимание уделено управлению уязвимостями. Приказ устанавливает конкретные сроки их устранения: критические должны закрываться в течение 24 часов, уязвимости высокого уровня — в течение семи дней, а сроки для остальных категорий оператор определяет самостоятельно во внутренней документации. При этом, если выявленная уязвимость отсутствует в банке данных угроз ФСТЭК России, оператор обязан направить информацию о ней регулятору в течение пяти рабочих дней.

В «ОБИТ» отмечают, что новые требования потребуют от организаций пересмотра существующих подходов к защите информации. В первую очередь речь идет о комплексном аудите инфраструктуры, уточнении зон ответственности, пересмотре работы с подрядчиками и оценке необходимости модернизации средств защиты. По оценке компании, внедрение новых требований будет сопровождаться ростом спроса на решения в области мониторинга, управления уязвимостями и консалтинга по выстраиванию процессов информационной безопасности.

Руководитель ИТ-департамента «ОБИТ» Кирилл Тимофеев подчеркивает: «Приказ №117 переводит регулирование защиты информации в госсекторе от модели формального выполнения набора мер к риск-ориентированному управлению безопасностью. Документ усиливает требования к процессам ИБ, мониторингу защищенности и управлению уязвимостями, фактически приближая практики защиты государственных информационных систем к модели системы управления информационной безопасностью».

ОБИТ
Автор: ОБИТ
ОБИТ — оператор ИТ‑решений с глубокой экспертизой в обеспечении технологической устойчивости бизнеса любого масштаба. Основанный как провайдер связи в 2002 году, ОБИТ трансформировался в центр компетенций, которые охватывают широкий спектр задач: от классических телеком-услуг до разработки и реализации ИТ-проектов под ключ. ОБИТ предоставляет комплексные ИТ- и телеком-решения в 90 городах России и ближнего зарубежья. Портфель компании насчитывает более 12 000 корпоративных клиентов из ключевых кластеров страны: ритейла, промышленности, логистики, финансового сектора, фармацевтики, электронной коммерции.
Комментарии: