Приказ ФСТЭК России № 117: новые требования о защите информации в государственных информационных системах

С 1 марта 2026 года защита информации в государственных информационных системах живёт по новым правилам. Приказ ФСТЭК России от 11.04.2025 № 117 заменил приказ № 17, который действовал тринадцать лет, и поменял не столько состав мер, сколько саму логику надзора. К разовой аттестации по требованиям безопасности информации добавилась регулярная оценка с числовыми показателями и отчётностью перед регулятором, а охват требований вырос с ГИС до информационных систем госорганов, государственных унитарных предприятий, учреждений и муниципалитетов.

В этом материале разбираем документ по первоисточникам, тексту приказа и Требований, методическим документам ФСТЭК России и официальным разъяснениям. Кого касаются новые правила и чем они отличаются от прежних, как считается показатель Кзи и какие сроки нельзя пропустить, что делать с действующими аттестатами и с чего начинать переход. Статья будет полезна руководителям и специалистам по защите информации госорганизаций, ИТ-директорам, а также подрядчикам, работающим с государственными системами.

Содержание

1. Что такое приказ ФСТЭК 117
2. На кого распространяется приказ ФСТЭК России № 117
3. Чем приказ ФСТЭК России № 117 отличается от приказа № 17
4. Организация защиты. Люди, ответственность, ресурсы
5. Мероприятия по защите информации. 21 обязательный процесс
6. Базовые меры защиты и сертифицированные СЗИ
7. Показатели Кзи и Пзи. Как теперь измеряется защищённость
8. Документы по приказу ФСТЭК России № 117. Политика, стандарты, регламенты
9. Управление уязвимостями. Жёсткие сроки впервые
10. Классы защищённости. Что изменилось в классификации
11. Методические документы к приказу ФСТЭК России № 117
12. Требования к системам с искусственным интеллектом
13. Переход с приказа ФСТЭК России № 17. Аттестаты, договоры, план
14. Ответственность за невыполнение требований
15. План перехода. С чего начать
16. Частые вопросы
17. Что в итоге меняется

Что такое приказ ФСТЭК 117

Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» подписан директором службы Владимиром Селиным, зарегистрирован Минюстом России 16 июня 2025 г. за номером 82619 и вступил в силу 1 марта 2026 г. Документ издан на основании части 5 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Положения о ФСТЭК России, утверждённого Указом Президента РФ от 16.08.2004 № 1085.

Сам приказ умещается в четыре пункта, вся содержательная часть сосредоточена в утверждаемых им Требованиях о защите информации (далее — Требования). Пунктом 1 они утверждаются, пунктом 2 признаётся утратившим силу приказ ФСТЭК России от 11.02.2013 № 17 вместе со всеми приказами, которые его меняли. Пункт 3 решает судьбу ранее выданных аттестатов, и его стоит процитировать дословно, поскольку вокруг этой нормы накопилось много вольных пересказов. «Аттестаты соответствия на государственные информационные системы и иные информационные системы, выданные до дня вступления в силу настоящего приказа, считаются действительными». Пункт 4 устанавливает дату вступления в силу, 1 марта 2026 г.

Требования занимают 73 пункта в трёх разделах. Первый раздел очерчивает область действия документа, второй описывает организацию деятельности по защите информации и управление ею, третий, самый объёмный, посвящён конкретным мероприятиям и мерам. Завершает документ приложение о классификации информационных систем. Полный текст опубликован на официальном сайте ФСТЭК России в разделе специальных нормативных документов, там же доступны файлы для скачивания.

На кого распространяется приказ ФСТЭК России № 117

Пункт 1 Требований определяет охват через перечень систем. Это государственные информационные системы, иные информационные системы государственных органов, а также информационные системы государственных унитарных предприятий и государственных учреждений, функционирующие на территории Российской Федерации. Формулировка «иные информационные системы» здесь ключевая. Под действие документа попали не только ГИС [государственные информационные системы], как было при приказе ФСТЭК России от 11.02.2013 № 17, но и остальные системы государственных структур. Отдельного определения «иных» систем документ не даёт, на практике эта формулировка охватывает любые системы организации без статуса ГИС, вплоть до бухгалтерских и кадровых. Речь о защите некриптографическими методами, шифрование остаётся в ведении ФСБ России.

Муниципальным информационным системам посвящён пункт 3. В них защита информации обеспечивается в соответствии с Требованиями, «если иное не установлено законодательством Российской Федерации». Государственные унитарные предприятия и учреждения названы в самом заголовке приказа, так что государственная школа, областная больница или ГУП с собственной информационной системой теперь работают по тем же правилам, что и федеральные ведомства.

Требования работают не в одиночку, а в связке со смежным регулированием, и пункты 4-7 прямо описывают эти стыки. Для систем с гостайной применяются отдельные требования по технической защите такой информации. При обработке персональных данных Требования действуют вместе с требованиями к защите ПДн, утверждёнными постановлением Правительства РФ от 01.11.2012 № 1119. Если система признана значимым объектом КИИ [критической информационной инфраструктуры], добавляются акты по статье 6 Федерального закона от 26.07.2017 № 187-ФЗ, прежде всего приказ ФСТЭК России от 25.12.2017 № 239. Подробно о том, кто относится к субъектам КИИ и как устроено это регулирование, читайте в статье «Критическая информационная инфраструктура (КИИ) и 187-ФЗ». А при использовании шифровальных средств применяются требования о защите информации, установленные ФСБ России. Путаницу добавляет то, что у ФСБ России есть собственный приказ с тем же номером 117, он касается шифровальных средств и регулирует совсем другие вопросы. Наконец, сам жизненный цикл государственных систем, от создания до вывода из эксплуатации, идёт по постановлению Правительства РФ от 06.07.2015 № 676, к которому Требования отсылают в пункте 73.

На кого Требования не распространяются

Исключения перечислены в пункте 12 закрытым списком. Требования не распространяются на информационные системы следующих структур.

• Администрации Президента Российской Федерации;
• Аппарата Совета Безопасности Российской Федерации;
• Федерального Собрания Российской Федерации;
• Аппарата Правительства Российской Федерации;
• Конституционного Суда Российской Федерации и Верховного Суда Российской Федерации;
• Государственных органов, осуществляющих разведывательную и контрразведывательную деятельность;
• Систем, обеспечивающих управление вооружением, военной и специальной техникой.

Всем остальным государственным структурам рассчитывать на послабления не приходится, перечень исключений расширительному толкованию не подлежит.

Чем приказ ФСТЭК России № 117 отличается от приказа № 17

Приказ ФСТЭК России от 11.02.2013 № 17 прослужил тринадцать лет и за это время оброс четырьмя пакетами правок, последний из которых вносился приказом ФСТЭК России от 28.08.2024 № 159. Вместе с самим приказом ФСТЭК России № 17 с 1 марта 2026 г. утратили силу и все изменявшие его документы, приказы ФСТЭК России от 15.02.2017 № 27, от 28.05.2019 № 106, от 27.04.2020 № 61 и пункт 1 изменений, утверждённых приказом от 28.08.2024 № 159. Любопытно, что оба документа, и уходящий, и приходящий, подписаны одним человеком, директором ФСТЭК России Владимиром Селиным.

Главное изменение лежит не в составе мер, а в самой логике контроля. Приказ ФСТЭК России № 17 строился вокруг аттестации, разовой процедуры подтверждения соответствия, а периодичность дальнейшего контроля защищённости оператор устанавливал сам в организационно-распорядительных документах. Приказ № 117 добавляет к аттестации постоянный цикл. Оценка показателей Кзи и Пзи с обязательной отправкой результатов в ФСТЭК России превращает защиту информации из события в процесс, который регулятор наблюдает в динамике.

Критерий	Приказ ФСТЭК России № 17 (2013)	Приказ ФСТЭК России № 117 (2025)
Охват	Государственные информационные системы	ГИС, иные системы госорганов, системы ГУП и госучреждений, муниципальные системы (если иное не установлено законодательством)
Логика контроля	Аттестация, периодичность контроля защищённости определял оператор в своих документах	Аттестация плюс постоянная оценка. Кзи не реже раза в шесть месяцев, Пзи не реже раза в два года, результаты в ФСТЭК России
Классы защищённости	Три класса, К1-К3, по уровню значимости информации и масштабу системы	Три класса сохранены, та же логика определения. Сегментам системы допускается присваивать разные классы
Сроки устранения уязвимостей	Нормативно не установлены	Критические не более 24 часов, высокого уровня опасности не более 7 календарных дней
Требования к кадрам ИБ	Квалификационных нормативов не содержал	Не менее 30% работников подразделения защиты информации с профильным образованием или переподготовкой
Документы оператора	Организационно-распорядительные документы без заданной структуры	Трёхуровневая система. Политика защиты информации, внутренние стандарты, внутренние регламенты
Системы с ИИ	Не упоминались	Отдельные требования к системам, взаимодействующим с технологиями искусственного интеллекта
Личные мобильные устройства	Не регулировались, меры касались только мобильных техсредств как класса	Применение личных устройств для доступа к системам допускается при выполнении установленных условий
Подрядные организации	Отдельных требований не было	Требования по защите информации закрепляются в документах о доступе подрядчиков, включая договоры
Сроки восстановления систем	Не установлены	По классам. 1 класс не более 24 часов, 2 класс не более 7 календарных дней, 3 класс не более 4 недель

При этом преемственность между двумя документами тоже хорошо заметна. Сохранилась трёхклассовая модель, остался принцип выбора и адаптации базовых мер, никуда не делась аттестация по приказу ФСТЭК России от 29.04.2021 № 77. Организациям, которые добросовестно выстроили защиту по приказу ФСТЭК России № 17, не придётся начинать с нуля, им предстоит достроить процессы, прежде всего регулярную оценку показателей и управление уязвимостями с жёсткими сроками.

Организация защиты. Люди, ответственность, ресурсы

Раздел II Требований выстраивает вертикаль ответственности. По пункту 17 защиту информации организует руководитель оператора или, по его решению, ответственное лицо, причём пункт 18 требует включить обязанности и полномочия такого лица в его должностные обязанности. Дальше пункт 19 требует создать структурное подразделение по защите информации или назначить отдельных специалистов. Если в организации уже есть подразделение, отвечающее за информационную безопасность, защиту информации допускается возложить на него.

Кадровый норматив пункта 20 в приказе ФСТЭК России № 17 аналогов не имел. Не менее 30 процентов работников подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности либо пройти обучение по программе профессиональной переподготовки в этой области. Для небольших учреждений с одним специалистом на все задачи это требование может оказаться самым дорогим в исполнении, поскольку придётся либо учить людей, либо нанимать профильных.

Подрядчики выполняют политику заказчика

Подрядчикам посвящены пункты 16 и 26. Организации, которым предоставляется доступ к системам для работ по обработке информации, созданию и эксплуатации систем или защите информации, должны быть ознакомлены с политикой защиты информации в части, их касающейся, а их обязанность выполнять политику, внутренние стандарты и регламенты закрепляется в документах, на основании которых передаётся информация или предоставляется доступ. На практике это означает ревизию договоров. Типовые контракты на сопровождение систем такие положения содержат редко, а в методике расчёта Кзи требования к подрядчикам с привилегированным доступом выделены отдельным частным показателем.

Пункт 24 разрешает привлекать к мероприятиям специализированные организации с лицензией на деятельность по технической защите конфиденциальной информации. Состав работ при этом определяет сам оператор, а его специалисты по защите информации обязаны участвовать в приёмке результатов. Переложить задачу на лицензиата целиком и устраниться не получится.

Деньги на защиту теперь просят по правилам

Отдельного внимания заслуживает пункт 27, где впервые на уровне требований описан механизм обоснования бюджета. Подразделение по защите информации разрабатывает и представляет руководителю предложения по ресурсам с указанием целей защиты, на достижение которых эти ресурсы нужны, и перечня негативных последствий, которые прогнозируются при их отсутствии. Руководитель на основе предложений и в пределах имеющихся средств предусматривает выделение ресурсов на всех этапах жизненного цикла систем. Аргумент «нет денег» из устной плоскости переходит в документальную, у службы ИБ появляется формальное основание фиксировать риски недофинансирования.

Управление деятельностью по защите информации пункт 28 описывает как цикл из четырёх элементов. Разработка и планирование мероприятий, их проведение, оценка состояния защиты, совершенствование. При планировании по пункту 29 определяются события, наступление которых нарушит цели защиты, выявляются и оцениваются угрозы, определяются состав и сроки мероприятий с оценкой ресурсов. Негативные последствия при этом определяются на основе банка данных угроз ФСТЭК России, а сами угрозы на практике оценивают по методике оценки угроз ФСТЭК России 2021 года. Как строится этот процесс, мы подробно разбирали в статье «Модель угроз безопасности информации: методика ФСТЭК России».

Мероприятия по защите информации. 21 обязательный процесс

Пункт 34 Требований перечисляет мероприятия, которые оператор обязан проводить для достижения целей защиты. В перечне ровно 21 позиция, от подпункта «а» до подпункта «х». В обзорах встречаются и другие цифры, 16 или 18, но они относятся к иным перечням документа, к частным показателям методики расчёта Кзи и к базовым мерам из пункта 63, о которых дальше. Сами мероприятия удобно разбить на несколько смысловых блоков.

Четыре смысловых блока перечня

Первый блок работает с угрозами и слабостями. Сюда входят выявление и оценка угроз безопасности информации, контроль конфигураций систем, управление уязвимостями и управление обновлениями. Второй блок закрывает сценарии доступа к системам и информации. Это защита при работе с информацией ограниченного доступа, при применении конечных устройств и мобильных устройств, при удалённом, беспроводном и привилегированном доступе. Третий блок собирает эксплуатационные процессы, от мониторинга информационной безопасности и безопасной разработки программного обеспечения до физической защиты и непрерывности функционирования при нештатных ситуациях.

Четвёртый блок выходит за пределы инфраструктуры. Повышение уровня знаний пользователей, защита при взаимодействии с подрядными организациями, защита от компьютерных атак на отказ в обслуживании, защита при использовании искусственного интеллекта. Замыкают перечень реализация базовых мер в самих системах, контроль уровня защищённости и непрерывное взаимодействие с ГосСОПКА [государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации]. Как подключиться к этой системе и что означает взаимодействие с НКЦКИ [Национальным координационным центром по компьютерным инцидентам], читайте в статье «ГосСОПКА: что это, как подключиться и взаимодействовать с НКЦКИ».

Оговорки, которые легко пропустить

Несколько мероприятий из перечня заслуживают отдельных оговорок. Безопасная разработка по пункту 50 обязательна только при самостоятельной разработке программного обеспечения, и тогда оператор реализует меры разделов 4 и 5 ГОСТ Р 56939-2024. Личные мобильные устройства по пункту 43 применять для доступа к системам можно, но лишь при соответствии устройств Требованиям и наличии у оператора возможности контролировать их использование. Обучение пользователей по пунктам 56-57 перестало быть формальностью. В перечень мероприятий пункта 56 вошли в том числе имитационные рассылки электронных писем на служебные адреса, то есть учебный фишинг, а оценка уровня знаний по пункту 57 проводится не реже одного раза в три года или после компьютерного инцидента у оператора. Способы обучения, периодичность и формы оценки закрепляются во внутренних регламентах.

Базовые меры защиты и сертифицированные СЗИ

Состав базовых мер, которые должны быть реализованы в информационных системах, задаёт пункт 63 Требований, и все 17 позиций перечня стоит назвать поимённо. Идентификация и аутентификация, управление доступом, регистрация событий безопасности, защита виртуализации и облачных вычислений, защита технологий контейнерных сред и их оркестрации, защита сервисов электронной почты, веб-технологий и программных интерфейсов взаимодействия приложений, защита конечных и мобильных устройств, технологий интернета вещей и точек беспроводного доступа, антивирусная защита, обнаружение и предотвращение вторжений на сетевом уровне, сегментация и межсетевое экранирование, защита от компьютерных атак на отказ в обслуживании, более известных как DDoS, а также защита каналов передачи данных и сетевого взаимодействия. По сравнению с приказом ФСТЭК России № 17 набор заметно осовременен, отдельными позициями впервые выделены, например, контейнерные среды с их оркестрацией, технологии интернета вещей и программные интерфейсы приложений.

Модель нарушителя и уровни реализации

Глубина реализации мер привязана к классу защищённости через модель нарушителя. По пункту 64 системы 3 класса защищаются от нарушителей с базовым уровнем возможностей, 2 класса от нарушителей с повышенным уровнем, 1 класса от нарушителей с высоким уровнем возможностей. Оператор вправе принять решение защищаться и от более сильного нарушителя. Технические меры по пункту 70 принимаются на аппаратном, системном и прикладном уровнях, а также в инфраструктуре, сочетая встроенные и наложенные средства защиты.

Сертифицированные СЗИ и президентские запреты

К средствам защиты информации подход остался строгим. По пункту 71 применяются сертифицированные СЗИ, обеспеченные поддержкой безопасности на территории Российской Федерации, включая выпуск обновлений для устранения уязвимостей. Отдельно действует запрет пункта 6 Указа Президента РФ от 01.05.2022 № 250 на использование средств защиты из недружественных государств. Соответствие классов защиты и уровней доверия классам систем задано пунктом 72.

Класс защищённости системы	Класс защиты и уровень доверия СЗИ
1 класс	Не ниже 4 класса защиты и уровня доверия
2 класс	Не ниже 5 класса защиты и уровня доверия
3 класс	6 класс защиты и уровень доверия

Если отдельное мероприятие или меру реализовать невозможно, пункт 69 разрешает компенсирующие меры. Их применение обосновывается на этапе создания системы, а при аттестации подтверждается эффективность для блокирования актуальных угроз. Подход знаком по приказу ФСТЭК России № 17, так что наработанная практика обоснований пригодится и здесь.

Показатели Кзи и Пзи. Как теперь измеряется защищённость

Самое обсуждаемое новшество приказа ФСТЭК России от 11.04.2025 № 117 скрывается в пунктах 31-33 Требований. Оценка состояния защиты информации теперь строится на двух числовых показателях, которые оператор обязан регулярно рассчитывать и направлять регулятору. Прежний подход, при котором система один раз проходила аттестацию и дальше жила до существенных изменений, уходит в прошлое.

Пункт 31 Требований определяет оба показателя. Для Кзи документ использует термин «показатель защищенности», он характеризует «текущее состояние защиты информации от базового уровня угроз безопасности информации». Для Пзи закреплён термин «показатель уровня зрелости», этот показатель «определяет достаточность и эффективность проведения мероприятий по защите информации». В публикациях встречаются и другие расшифровки, например «коэффициент защищённости информации», однако в самих Требованиях таких формулировок нет. При подготовке внутренних документов корректнее опираться на терминологию первоисточника.

Периодичность расчёта и отчётность перед ФСТЭК России

Пункт 32 задаёт жёсткие требования к периодичности. Кзи рассчитывается и оценивается не реже одного раза в шесть месяцев, Пзи не реже одного раза в два года. Дальше включаются два срока, которые легко перепутать, потому что один считается в календарных днях, а другой в рабочих.

Действие	Срок	Кому	Условие
Информировать о значениях Кзи и Пзи	3 календарных дня со дня завершения оценки	Руководителю оператора (обладателя информации)	Только если значения не соответствуют нормированным
Направить результаты оценки Кзи и Пзи	Не позднее 5 рабочих дней после дня расчёта	В ФСТЭК России	Всегда, независимо от результата

Разница условий в этой таблице принципиальна для построения процесса. Руководителя информируют только при несоответствии нормированным значениям, а в ФСТЭК России результаты уходят в любом случае. Регулятор прямо пишет, что собирает их «в целях мониторинга текущего состояния технической защиты информации и оценки эффективности деятельности по технической защите информации». Иными словами, у ФСТЭК России появляется постоянный поток данных о реальном уровне защиты в каждой организации, на которую распространяются Требования.

Показателями Кзи и Пзи обязательная отчётность перед регулятором не исчерпывается. Пункт 49 Требований добавляет ещё один канал. Подразделение по защите информации регулярно готовит для руководителя отчёт о результатах мониторинга информационной безопасности с обнаруженными типами событий безопасности и связанными с ними компьютерными инцидентами, периодичность таких отчётов организация определяет внутренним регламентом. А вот последний в текущем году отчёт о результатах мониторинга, либо итоговый отчёт за год, если организация его разрабатывает, после представления руководителю направляется в ФСТЭК России. Сам мониторинг при этом ведётся по разделам 4 и 5 ГОСТ Р 59547-2021 в отношении всех систем, кроме локальных и изолированных, где достаточно контроля журналов регистрации событий безопасности.

По какой методике считается Кзи

Формул и конкретных критериев в самих Требованиях нет. Пункт 31 отсылает к методическим документам ФСТЭК России, и такой документ уже действует. Это Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждённая ФСТЭК России 11 ноября 2025 г. С её утверждением прежняя методика от 2 мая 2024 г. больше не применяется. Сама методика задумана как универсальная для разных типов систем. В качестве минимально необходимого уровня защиты она опирается не только на требования приказа ФСТЭК России № 117, но и на приказы того же регулятора от 25.12.2017 № 239 для значимых объектов КИИ, от 14.03.2014 № 31 для АСУ ТП, от 28.02.2017 № 31 для систем предприятий ОПК и от 18.02.2013 № 21 для ИСПДн [информационных систем персональных данных].

Оговоримся, что обязанность регулярно рассчитывать показатели и направлять результаты регулятору сегодня установлена именно Требованиями приказа ФСТЭК России № 117, для значимых объектов КИИ аналогичная норма заложена в проект изменений приказа ФСТЭК России № 239 и заработает после его принятия. О действующих требованиях к таким объектам мы подробно писали в статье «Безопасность значимых объектов КИИ: требования приказа ФСТЭК №239».

Оценка раскладывается на 16 частных показателей безопасности в четырёх группах. У каждой группы свой весовой коэффициент, у каждого показателя своё максимальное значение, а сама шкала устроена бинарно. Мера либо реализована, и показатель получает значение из таблицы методики, либо не реализована или реализована не в полном объёме, и тогда показатель равен нулю, никаких промежуточных оценок документ не предусматривает.

Группа показателей	Вес группы	Показателей	Что проверяется
Организация и управление	0,10	3	Назначен заместитель руководителя, ответственный за ИБ; определены функции подразделения; требования по защите включены в договоры с подрядчиками, имеющими привилегированный доступ
Защита пользователей	0,25	4	Парольная политика соблюдается; многофакторная аутентификация охватывает не менее 50% привилегированных пользователей; нет сервисных учётных записей и учёток разработчиков с паролями по умолчанию; нет активных учётных записей уволенных работников и бывших подрядчиков
Защита информационных систем	0,35	6	Межсетевые экраны L3/L4 на всех интернет-интерфейсах; критические уязвимости устраняются (30 дней для периметра, 90 дней для парка устройств); проверка почтовых вложений; централизованная антивирусная защита; защита от DDoS-атак
Мониторинг информационной безопасности и реагирование	0,30	3	Централизованный сбор событий безопасности; контроль устройств с выходом в интернет; утверждён порядок реагирования на компьютерные инциденты

Итоговое значение складывается как взвешенная сумма групп, а нормированным значением Кзи методика устанавливает единицу. Причём единица здесь не отличная оценка, а минимально допустимый уровень, при котором обеспечивается защита от типовых актуальных угроз, реализуемых нарушителями с базовыми возможностями. Любое значение ниже единицы уже сигнал о проблемах. Если Кзи больше 0,75, но меньше единицы, уровень состояния защищённости характеризуется в методике как низкий, «оранжевый», а при Кзи не выше 0,75 как критический, «красный». В обоих случаях организация обязана разработать план мероприятий, причём срок их выполнения не должен превышать срок до следующей плановой оценки.

В пункте 31 методики скрыт нюанс, который при чтении по диагонали легко упустить. Если в инфраструктуре работает несколько информационных систем и по одной и той же группе показателей они получили разные значения, в расчёт идёт минимальное. Подтянуть общий результат за счёт одной образцовой системы не получится.

Два правила обнуления, о которых молчат обзоры

Два механизма методики превращают расчёт из формальности в реальный инструмент давления на запущенные проблемы. Первый описан в пункте 35 и срабатывает при хроническом игнорировании одной и той же меры. Если при очередном расчёте фиксируется повторное в течение 12 месяцев невыполнение той же меры и частному показателю снова присвоен ноль, обнуляется весовой коэффициент всей группы. Один хронический пробел, например невнедрённая многофакторная аутентификация, через год обесценит все остальные достижения группы «Защита пользователей» разом.

Второй механизм жёстче и в публичных разборах приказа практически не упоминается. Если в ходе тестирования на проникновение, учений или тренировок атакующие получили первоначальный доступ к системе через учётные записи пользователей, весовой коэффициент группы «Защита пользователей» приравнивается к нулю. Если доступ получен через уязвимости программного обеспечения, обнуляется группа «Защита информационных систем». А если по результатам таких мероприятий подтверждена возможность реализации недопустимых событий, обнуляются обе группы сразу. С учётом весов 0,25 и 0,35 это автоматически опускает Кзи в «красную» зону. Успешный пентест теперь бьёт не только по самолюбию службы ИБ, но и по отчётному показателю перед регулятором.

Ещё одно основание для нуля прописано в пункте 17 методики. Если ФСТЭК России запросила материалы, подтверждающие расчёт, а организация в течение 30 дней их не представила, показателю Кзи или соответствующим частным показателям присваивается ноль. Внеочередная оценка проводится при значимом инциденте, изменении архитектуры систем, по запросу руководителя или регулятора.

Что с методикой для Пзи

Утверждённая 11 ноября 2025 г. методика описывает только расчёт Кзи. Для показателя уровня зрелости Пзи нужен отдельный методический документ, и на момент подготовки этого материала в разделе специальных нормативных документов на сайте ФСТЭК России он не опубликован. Пока организациям остаётся ориентироваться на формулировку пункта 31 Требований о достаточности и эффективности мероприятий и следить за публикациями регулятора. Запас по времени есть, расчёт Пзи проводится не реже одного раза в два года, но процессы под него разумно закладывать уже при разработке внутренних регламентов.

Документы по приказу ФСТЭК России № 117. Политика, стандарты, регламенты

Документацию оператора пункт 14 Требований выстраивает в три уровня, и для каждого задан обязательный минимум содержания. Верхний уровень занимает политика защиты информации. В неё входят область действия с перечнем защищаемых систем, цели, задачи и принципы защиты, перечни объектов защиты, категории участвующих лиц с обязанностями и полномочиями, состав организационной системы управления со схемой взаимодействия её элементов, а также ответственность работников за нарушения. По пункту 15 политика охватывает все информационные системы оператора, утверждается руководителем или ответственным лицом и обязательна для всех подразделений.

Средний уровень в этой иерархии занимают внутренние стандарты. Это требования к первичной идентификации пользователей, моделям доступа, перечни разрешённого и запрещённого программного обеспечения, типовые конфигурации и настройки средств, отдельные требования для доступа в интернет и удалённой работы, ограничения для пользователей, требования к защите конечных и мобильных устройств, к непрерывности функционирования, резервному копированию, сбору и анализу событий безопасности, к защите при подключении других систем.

Нижний уровень, внутренние регламенты, описывает порядок конкретных процессов. В перечне пункта 14 их семнадцать, от управления учётными записями, включая привилегированные, и аутентификационной информацией до управления уязвимостями и обновлениями, физической защиты, безопасной разработки, мониторинга информационной безопасности, восстановления систем с тестированием таких процессов и контроля уровня защищённости. Отдельные регламенты касаются доступа подрядных организаций и работников других госорганов, а также вывода в промышленную эксплуатацию сервисов, доступных из интернета.

С чего начинать, регулятор подсказал сам. В информационном сообщении от 12.03.2026 № 240/22/1492 ФСТЭК России указала, что «в первоочередном порядке необходимо разработать и утвердить политику защиты информации, внутренние стандарты по защите информации, а также внутренние регламенты по защите информации». Стандарты и регламенты утверждаются руководителем или ответственным лицом и доводятся до пользователей и подрядных организаций в части, их касающейся.

Управление уязвимостями. Жёсткие сроки впервые

Пункт 38 Требований описывает управление уязвимостями как полный цикл, выявление, оценка критичности, определение методов и приоритетов устранения, контроль за устранением. Действительно новым стало совсем не это. Впервые для государственных систем нормативно зафиксированы предельные сроки работы с уязвимостями. Уязвимости критического уровня опасности устраняются или закрываются компенсирующими мерами в срок не более 24 часов, уязвимости высокого уровня опасности не более 7 календарных дней. Для среднего и низкого уровней сроки и порядок определяет сам оператор во внутреннем регламенте исходя из особенностей систем.

Уровень опасности уязвимости	Срок устранения или применения компенсирующих мер
Критический	Не более 24 часов
Высокий	Не более 7 календарных дней
Средний и низкий	Определяет оператор во внутреннем регламенте
Уязвимость, отсутствующая в БДУ ФСТЭК России	Направить информацию в ФСТЭК России в срок не более 5 рабочих дней с даты выявления

Откуда берётся уровень опасности

Уровень опасности определяется по методическому документу ФСТЭК России от 30.06.2025 «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств», на него Требования ссылаются прямой сноской. Опорной базой служит БДУ [банк данных угроз безопасности информации] ФСТЭК России. Причём поток сведений теперь движется в обе стороны. Если оператор выявил уязвимость, которой в банке данных нет, он обязан в срок не более 5 рабочих дней направить информацию о ней в ФСТЭК России для оценки необходимости включения в БДУ.

Суток на критическую уязвимость очень мало, если процесс не автоматизирован. К моменту, когда администратор вручную узнает о проблеме, согласует патч и применит его, окно почти наверняка закроется. Невыполнение сроков прямо отражается на показателе Кзи, в методике расчёта есть отдельные частные показатели по уязвимостям на интернет-периметре и в парке устройств. Так что сканер уязвимостей и выстроенный процесс управления обновлениями из желательных инструментов превращаются в условие прохождения регулярной оценки.

Контроль уровня защищённости раз в три года

С управлением уязвимостями соседствует ещё одно мероприятие с нормативной периодичностью, контроль уровня защищённости по пунктам 66-67 Требований. Он проводится не реже одного раза в три года или после компьютерного инцидента, произошедшего у оператора, и включает оценку возможностей нарушения безопасности информации внешними и внутренними нарушителями. Документ допускает четыре метода, по отдельности или в сочетании.

• автоматизированное или ручное выявление уязвимостей с экспертной оценкой возможности их использования нарушителем;
• выявление несанкционированных подключений устройств к информационным системам;
• тестирование систем путём моделирования реализации актуальных угроз, по сути, тестирование на проникновение;
• тренировки по отработке работниками действий в условиях реализации актуальных угроз.

По результатам контроля готовится отчёт, который в течение 3 рабочих дней с даты завершения представляется руководителю, а в течение 5 рабочих дней направляется в ФСТЭК России. Ещё один регулярный поток отчётности в адрес регулятора, который стоит сразу заложить в процессы. Напомним, что успешное тестирование с получением первоначального доступа обнуляет целые группы показателей при расчёте Кзи, так что результаты пентеста теперь имеют прямую регуляторную цену.

Классы защищённости. Что изменилось в классификации

Классификация описана в приложении к Требованиям и сохранила привычную конструкцию. Три класса защищённости, от третьего, самого низкого, до первого, самого высокого. Класс определяется по сочетанию уровня значимости информации и масштаба системы. Уровень значимости, УЗ 1, УЗ 2 или УЗ 3, выводится из степени возможного ущерба от нарушения конфиденциальности, целостности или доступности, причём негативные последствия определяются в том числе на основе перечня из БДУ ФСТЭК России. Масштаб бывает федеральным, региональным или объектовым.

Уровень значимости	Федеральный масштаб	Региональный масштаб	Объектовый масштаб
УЗ 1	К1	К1	К1
УЗ 2	К1	К2	К2
УЗ 3	К2	К3	К3

ДСП, сегменты и пересмотр класса

Несколько правил приложения имеют далеко идущие последствия. Для информации ограниченного распространения с пометкой «для служебного пользования» всегда устанавливается УЗ 1, а значит, такая система автоматически получает первый класс защищённости. При обработке нескольких видов информации итоговый уровень значимости берётся по наивысшим значениям ущерба. Класс системы, работающей на базе информационно-телекоммуникационной инфраструктуры, не может быть выше класса самой инфраструктуры.

Полезная новация для крупных систем закреплена в пункте 9 приложения. Отдельным сегментам системы допускается присваивать разные классы защищённости, и меры защиты тогда принимаются по классу каждого сегмента. Это позволяет не подтягивать всю инфраструктуру под требования самого критичного компонента. Результаты классификации оформляются актом с наименованием системы и сегментов, уровнями значимости, масштабом и присвоенными классами, причём допускается единый акт на несколько сегментов. Класс пересматривается при изменении масштаба или значимости информации.

Методические документы к приказу ФСТЭК России № 117

Требования по пункту 68 реализуются с использованием методических документов ФСТЭК России, и вокруг приказа уже сложилась целая экосистема таких документов. Знать её состав практически важнее, чем сам приказ, потому что именно методички отвечают на вопрос «как именно делать».

Методический документ ФСТЭК России	Дата утверждения	Что определяет
Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств	30.06.2025	Как определять уровень опасности уязвимостей, от которого зависят сроки устранения
Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов КИИ	11.11.2025	Расчёт показателя Кзи, 16 частных показателей, веса групп, пороги и правила обнуления
Методика анализа защищённости информационных систем	25.11.2025	Порядок анализа защищённости
Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах	12.04.2026	Детализация всех мероприятий и мер приказа № 117, документ на 184 страницы

Полтора месяца методического вакуума

С главным методическим документом, «Состав и содержание мероприятий и мер по защите информации», связан примечательный сюжет. Приказ вступил в силу 1 марта 2026 г., а этот документ был утверждён только 12 апреля 2026 г. Полтора месяца организации работали в условиях методического вакуума, и ФСТЭК России в информационном сообщении № 240/22/1492 прямо предписала на переходный период руководствоваться методическим документом «Меры защиты информации в государственных информационных системах» 2014 года, выпущенным ещё под приказ ФСТЭК России № 17. Теперь ориентир один, документ от 12.04.2026 на 184 страницы, который детально раскрывает состав и содержание каждого из 21 мероприятия и 17 базовых мер.

Отдельной методики для показателя уровня зрелости Пзи, как уже говорилось, на сайте регулятора пока нет. Перечень методических документов продолжает пополняться, поэтому раздел специальных нормативных документов на сайте ФСТЭК России стоит проверять регулярно.

Требования к системам с искусственным интеллектом

Пункты 60-61 Требований стали первой в нормативных требованиях ФСТЭК России попыткой системно описать защиту систем, взаимодействующих с искусственным интеллектом. Логика пункта 60 строится вокруг защиты компонентов ИИ от воздействия. Исключается несанкционированный доступ и воздействие на наборы данных, применяемые модели и их параметры, процессы и сервисы по обработке данных. Отдельной строкой закреплён запрет, который касается всех, кто работает с внешними моделями. Не допускается передача лицу, разработавшему модель искусственного интеллекта, информации ограниченного доступа, в том числе для улучшения функционирования модели.

Пункт 61 регулирует взаимодействие пользователей с ИИ-сервисами в формате запрос-ответ и различает два режима. При работе по строго заданным шаблонам оператор определяет шаблоны запросов и ответов и контролирует соответствие им. При свободной текстовой форме определяются допустимые тематики запросов и форматы ответов с контролем соответствия. В обоих случаях требуется разработать статистические критерии выявления недостоверных ответов, собирать и анализировать такие ответы, а также ограничивать область решений, принимаемых на их основе. Исключается нерегламентированное влияние ИИ на параметры собственной модели и на функционирование систем. В состав систем включаются только доверенные технологии искусственного интеллекта или их компоненты.

Для госорганизаций, которые присматриваются к генеративным моделям в документообороте или клиентских сервисах, эти пункты задают рамку уже сейчас. Бесконтрольная отправка служебных данных во внешние нейросети с вступлением приказа в силу стала прямым нарушением требований.

Переход с приказа ФСТЭК России № 17. Аттестаты, договоры, план

Самый частый практический вопрос звучит просто. Что делать с системой, аттестованной по приказу ФСТЭК России № 17? Ответ начинается с пункта 3 приказа ФСТЭК России № 117. Аттестаты, выданные до 1 марта 2026 г., считаются действительными. Никакой массовой переаттестации к конкретной дате документ не требует. Дальше работают разъяснения из информационного сообщения ФСТЭК России от 12.03.2026 № 240/22/1492, которые описывают пять типовых ситуаций.

Ситуация	Что делать
Создание новой системы после 01.03.2026	Руководствоваться Требованиями приказа ФСТЭК России № 117
Действующая система с аттестатом по приказу № 17	Аттестат действителен. Требования применяются к системе с 01.03.2026, для поэтапного перехода рекомендован план
Модернизация (развитие) аттестованной системы	Привести в соответствие Требованиям, провести дополнительные аттестационные испытания по приказу ФСТЭК России от 29.04.2021 № 77, переоформить аттестат
Договор на создание или развитие системы заключён до 01.03.2026	Допускается выполнение работ по требованиям приказа № 17
Первоочередные документы	Разработать и утвердить политику защиты информации, внутренние стандарты и регламенты (п. 14 Требований)

«Рекомендует», а не «обязывает»

Обратите внимание на модальность формулировок первоисточника. План перехода с описанием мероприятий и сроков ФСТЭК России именно «рекомендует разработать», в тексте информационного сообщения это слово стоит буквально. В некоторых обзорах рекомендация превратилась в обязанность, что искажает правовую природу документа. Другое дело, что без плана выполнить остальные предписания затруднительно, так что рекомендацией разумно воспользоваться.

Кому аттестация осталась обязательной

Сама аттестация по пункту 65 Требований обязательна для государственных информационных систем до начала обработки и хранения информации, проводится она по порядку, утверждённому приказом ФСТЭК России от 29.04.2021 № 77. Для иных информационных систем госорганов, ГУП и учреждений решение о необходимости аттестации принимает руководитель оператора или ответственное лицо. Для систем, впервые попавших под регулирование, такое решение выглядит заметным смягчением, обязательная аттестация осталась только у ГИС. Подробнее о самой процедуре читайте в статье «Когда нужна аттестация».

Ответственность за невыполнение требований

Базовой нормой для нарушений в этой сфере служит статья 13.12 КоАП РФ «Нарушение правил защиты информации». По части 6 нарушение требований о защите информации, не составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами, к которым относится и приказ ФСТЭК России № 117, влечёт штраф для граждан от 5 до 10 тысяч рублей, для должностных лиц от 10 до 50 тысяч, для юридических лиц от 50 до 100 тысяч рублей. Использование несертифицированных средств защиты информации, подлежащих обязательной сертификации, наказывается по части 2 той же статьи 13.12 КоАП РФ в сопоставимых размерах, причём с возможной конфискацией таких средств.

Размеры штрафов стоит воспринимать в динамике. Действующие суммы установлены Федеральным законом от 23.05.2025 № 104-ФЗ, который заметно поднял санкции по сравнению с прежними. Для должностных лиц верхняя планка выросла до 50 тысяч рублей, и регулярные проверки в сочетании с потоком отчётности по Кзи делают выявление нарушений куда более вероятным, чем раньше. К административным штрафам добавляются репутационные и карьерные последствия для руководителей, ведь оценка эффективности деятельности ответственных за ИБ заместителей по Указу Президента РФ от 01.05.2022 № 250 прямо увязана с состоянием защиты, а методика расчёта Кзи называет себя одним из инструментов такой оценки.

Если нарушение требований привело к инциденту с утечкой персональных данных, дополнительно работают составы статьи 13.11 КоАП РФ с многомиллионными и оборотными штрафами, а при инцидентах на значимых объектах КИИ статьи 13.12.1 и 13.12.2 КоАП РФ. О том, как устроена ответственность за инциденты и кого нужно уведомлять, читайте в статье «Инцидент ИБ: что это, как реагировать и кого уведомлять по закону».

План перехода. С чего начать

Последовательность первых шагов складывается из самих Требований и разъяснений регулятора. Очерёдность ниже опирается на пункт 14 Требований и информационное сообщение ФСТЭК России № 240/22/1492, дальше каждая организация адаптирует её под себя.

1. Провести инвентаризацию. Составить перечень информационных систем, включая «иные» системы для обеспечения деятельности, определить, какие из них подпадают под Требования, проверить актуальность актов классификации.
2. Выстроить вертикаль ответственности. Назначить ответственное лицо, определить или создать подразделение по защите информации, проверить долю специалистов с профильным образованием против норматива в 30%.
3. Разработать первоочередные документы. Политику защиты информации, внутренние стандарты и внутренние регламенты по перечню пункта 14 Требований. Таково прямое указание регулятора из информационного сообщения.
4. Актуализировать модель угроз и оценку угроз безопасности информации по методике ФСТЭК России, без этого не выстроить ни выбор мер, ни планирование мероприятий.
5. Запустить управление уязвимостями с оглядкой на сроки. Сканирование, оценка критичности по методике от 30.06.2025, процессы устранения за 24 часа и 7 дней, канал передачи сведений о новых уязвимостях в ФСТЭК России.
6. Провести первый расчёт Кзи по методике от 11.11.2025. Даже черновой расчёт покажет провальные частные показатели и подскажет приоритеты, от паролей и МФА до договоров с подрядчиками.
7. Ревизовать договоры с подрядными организациями, закрепить в них обязанность выполнять политику, стандарты и регламенты оператора.
8. Оформить план перехода с мероприятиями и сроками, как рекомендует ФСТЭК России, и согласовать ресурсы по механизму пункта 27 Требований.

Размер шага зависит от стартовой позиции. Организациям с защитой, выстроенной по приказу ФСТЭК России № 17, большая часть списка знакома, и реальная новизна сосредоточится в пунктах про показатели, сроки устранения уязвимостей и документы. Тем, кто только попал под регулирование вместе с «иными» системами, разумно начинать с инвентаризации и не пытаться закрыть всё сразу.

Частые вопросы

Когда вступил в силу приказ ФСТЭК 117?

Приказ подписан 11 апреля 2025 г., зарегистрирован Минюстом России 16 июня 2025 г. и вступил в силу 1 марта 2026 г. С этой же даты утратил силу приказ ФСТЭК России от 11.02.2013 № 17 со всеми изменениями.

Действует ли аттестат, выданный по приказу ФСТЭК России № 17?

Да, такой аттестат продолжает действовать и после 1 марта 2026 г. По пункту 3 приказа ФСТЭК России № 117 аттестаты соответствия, выданные до дня вступления приказа в силу, считаются действительными. При модернизации системы потребуется привести её в соответствие новым Требованиям, провести дополнительные аттестационные испытания и переоформить аттестат.

Распространяется ли приказ ФСТЭК России № 117 на коммерческие организации?

Напрямую частного бизнеса приказ не касается. Требования адресованы операторам ГИС, иных систем госорганов, государственных унитарных предприятий и учреждений. Коммерческой организации они касаются, если она оператор или подрядчик с доступом к таким системам, тогда обязанность соблюдать политику и регламенты заказчика закрепляется в договоре. Кроме того, по пункту 2 Требований система, в которую передаётся информация ограниченного доступа из ГИС, должна соответствовать требованиям о защите информации.

Что такое Кзи и как часто его считать?

Кзи, показатель защищённости, характеризует текущее состояние защиты информации от базового уровня угроз. Рассчитывается по методике ФСТЭК России от 11.11.2025 на основе 16 частных показателей в четырёх группах, не реже одного раза в шесть месяцев. Нормированное значение равно единице, результаты направляются в ФСТЭК России не позднее 5 рабочих дней после расчёта.

Какие сроки устранения уязвимостей устанавливает приказ?

Для уязвимостей критического уровня опасности не более 24 часов, высокого уровня не более 7 календарных дней, для среднего и низкого сроки определяет оператор во внутреннем регламенте. Сведения об уязвимости, отсутствующей в БДУ ФСТЭК России, направляются регулятору в срок не более 5 рабочих дней с даты выявления.

Где найти методические документы к приказу ФСТЭК России № 117?

На официальном сайте ФСТЭК России в разделе документов по технической защите информации. К ключевым относятся методика оценки критичности уязвимостей от 30.06.2025, методика оценки показателя защищённости от 11.11.2025, методика анализа защищённости от 25.11.2025 и «Состав и содержание мероприятий и мер по защите информации» от 12.04.2026.

Что в итоге меняется

Приказ ФСТЭК 117 переводит защиту информации в государственном и муниципальном секторах из режима разовых проверок в режим постоянного процесса с измеримым результатом. Охват расширился до «иных» систем госорганов, ГУП, учреждений и муниципальных систем. Появились числовые показатели Кзи и Пзи с регулярной отчётностью перед регулятором, нормативные сроки устранения уязвимостей и восстановления систем, кадровый норматив, трёхуровневая система документов, требования к подрядчикам и к системам с искусственным интеллектом.

При этом документ сохранил преемственность с приказом ФСТЭК России № 17 в классификации и логике выбора мер, а ранее выданные аттестаты остались действительными. Регулятор сопровождает переход разъяснениями и методическими документами, главный из которых, «Состав и содержание мероприятий и мер», вышел 12 апреля 2026 г. Организациям, которые ещё не начали перестройку, стоит стартовать с инвентаризации систем, первоочередных документов и чернового расчёта Кзи. Спрашивать о состоянии защиты теперь будут регулярно, числом и в срок.