Приказ ФСТЭК №117: новые требования безопасности IT-инфраструктуры — 2026

📋 Кратко

С 1 марта 2026 года вступил в силу Приказ ФСТЭК №117, заменивший Приказ №17. Документ вводит непрерывное управление уязвимостями, обязательную SIEM-систему, двухфакторную аутентификацию для ГИС, интеграцию с ГосСОПКА и требование к SBOM. Разбираем ключевые изменения и даём пошаговый план перехода на новые стандарты.

⏱ 9 минут чтения

С 1 марта 2026 года в России вступил в силу Приказ ФСТЭК №117 от 11 апреля 2025 года, который коренным образом изменил требования к защите информации в государственных информационных системах (ГИС) и иных информационных системах органов государственной власти. Документ полностью заменил действовавший ранее Приказ ФСТЭК №17 и ввёл принципиально новые подходы к управлению уязвимостями, мониторингу событий безопасности и аттестации IT-инфраструктуры.

Для организаций, работающих с государственными информационными системами или обслуживающих государственные учреждения, наступил период серьёзной перестройки процессов информационной безопасности. Новый нормативный акт требует не просто формального выполнения контрольных точек, а внедрения современных практик — от непрерывного управления уязвимостями до автоматизированного мониторинга инцидентов. В этой статье мы детально разберём, что изменилось, какие требования предъявляются к IT-инфраструктуре и как подготовиться к аттестации по новым правилам.

⚠ Ключевые факты: Приказ ФСТЭК №117 вступил в силу 1 марта 2026 года. Он заменил Приказ №17 и устанавливает новые требования к защите информации в ГИС и информационных системах госорганов. Документ обязывает организации внедрить непрерывное управление уязвимостями, усилить мониторинг событий безопасности, использовать сертифицированные средства защиты информации (СЗИ) и проходить обязательную аттестацию. За нарушение требований предусмотрены штрафы до 500 тыс. рублей для должностных лиц и до 10 млн рублей для юридических лиц (КоАП РФ).
Новая эра регулирования кибербезопасности государственных систем России
Новая эра регулирования кибербезопасности государственных систем России

Что такое Приказ ФСТЭК №117 и почему он важен

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах и иных информационных системах органов государственной власти» был подписан 11 апреля 2025 года и официально опубликован в середине мая того же года. Документ прошёл обязательную регистрацию в Министерстве юстиции РФ и вступил в законную силу 1 марта 2026 года, заменив ранее действовавший Приказ ФСТЭК №17 от 11 февраля 2013 года.

47% рост инцидентов заставил пересмотреть подход к защите ГИС
47% рост инцидентов заставил пересмотреть подход к защите ГИС

Значение этого документа сложно переоценить. Приказ №117 стал первым за 12 лет масштабным обновлением требований к защите государственных информационных систем. За это время ландшафт киберугроз изменился кардинально: появились атаки с использованием искусственного интеллекта, supply chain-атаки на цепочки поставок программного обеспечения, ransomware нового поколения и сложные многоэтапные атаки на критическую инфраструктуру.

По данным ФСТЭК России, в 2025 году количество инцидентов информационной безопасности в государственных информационных системах выросло на 47% по сравнению с 2023 годом. При этом 68% успешных атак были связаны с эксплуатацией известных уязвимостей, для которых существовали патчи, но которые не были своевременно установлены. Именно на решение этой проблемы направлены ключевые нововведения Приказа №117.

Ключевые изменения по сравнению с Приказом №17

Новый документ не просто обновляет — он переосмысливает подход к защите информации. Если Приказ №17 во многом был ориентирован на «бумажную» безопасность (формальное выполнение требований, периодические проверки, статичные документы), то Приказ №117 требует непрерывного, автоматизированного и доказательного управления защитой.

От бумажной безопасности к непрерывному мониторингу и автоматизации
От бумажной безопасности к непрерывному мониторингу и автоматизации

Непрерывное управление уязвимостями

Одно из самых значимых нововведений — отказ от периодического сканирования уязвимостей в пользу непрерывного мониторинга. Ранее организации могли проводить анализ защищённости раз в квартал или даже реже. Новые требования обязывают:

  • Проводить автоматическое сканирование уязвимостей не реже одного раза в 30 дней для ГИС 1-го и 2-го классов защищённости
  • Внедрить систему управления уязвимостями (Vulnerability Management), которая отслеживает жизненный цикл каждой уязвимости от обнаружения до устранения
  • Устанавливать критические патчи в срок до 72 часов, высокорисковые — до 7 дней
  • Создать реестр активов с привязкой к уязвимостям, установленным патчам и статусу обработки

Усиление мониторинга событий безопасности

Приказ №117 вводит обязательные требования к централизованному сбору, хранению и анализу событий безопасности. Ключевые положения:

  • Обязательное внедрение SIEM-систем (или их сертифицированных аналогов) для ГИС 1-го и 2-го классов
  • Хранение журналов событий не менее 1 года для ГИС 1-го класса и не менее 6 месяцев для ГИС 2-го и 3-го классов
  • Автоматическое оповещение об инцидентах в течение 15 минут с момента фиксации события
  • Интеграция с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) — обязательное условие для всех ГИС 1-го и 2-го классов
📊 Сравнение: Приказ №17 vs Приказ №117
Управление уязвимостями: раз в квартал (№17) → непрерывный мониторинг, патчи за 72 часа (№117)
SIEM/мониторинг: не обязателен (№17) → обязателен для ГИС 1-2 классов с интеграцией в ГосСОПКА (№117)
Аттестация: раз в 3 года (№17) → раз в 2 года + внеплановая при изменениях (№117)
Импортозамещение: не регламентировано (№17) → приоритет сертифицированных российских СЗИ (№117)
Управление конфигурациями: базовые требования (№17) → детальный перечень настроек безопасности (№117)

Основные требования к IT-инфраструктуре

Приказ №117 детально регламентирует требования к различным компонентам IT-инфраструктуры государственных информационных систем. Рассмотрим ключевые из них.

Микросегментация сети, двухфакторная аутентификация и контроль цепочки поставок ПО
Микросегментация сети, двухфакторная аутентификация и контроль цепочки поставок ПО

Требования к сетевой инфраструктуре

Организациям предписывается использовать архитектуру с сегментацией сети и разграничением доступа на уровне межсетевых экранов. Документ вводит обязательное применение микросегментации для критических сегментов ГИС. Все сетевые соединения должны быть задокументированы, а неиспользуемые порты и протоколы — заблокированы. Обязательным становится шифрование трафика между сегментами сети с использованием сертифицированных средств криптографической защиты информации (СКЗИ).

Требования к системам аутентификации и управления доступом

Приказ №117 существенно ужесточает требования к аутентификации. Для доступа к ГИС 1-го и 2-го классов обязательно применение двухфакторной аутентификации (MFA) с использованием сертифицированных средств. Парольная политика должна соответствовать методическим документам ФСТЭК: длина пароля не менее 8 символов, обязательная смена каждые 90 дней, блокировка после 5 неудачных попыток входа. Вводится требование к управлению привилегированными учётными записями (PAM — Privileged Access Management) с обязательным аудитом всех действий привилегированных пользователей.

Требования к защите программного обеспечения

Особое внимание уделяется безопасной разработке и контролю цепочки поставок ПО. Нормы включают:

  • Обязательное формирование SBOM (Software Bill of Materials) — спецификации состава ПО для всех используемых программных продуктов
  • Контроль целостности на этапах поставки и обновления ПО
  • Использование только сертифицированных средств защиты от разработчиков из реестра ФСТЭК
  • Внедрение процессов DevSecOps для собственной разработки — статический и динамический анализ кода, проверка зависимостей на известные уязвимости

Как подготовиться к аттестации по новым требованиям — пошаговый план

Переход на новые требования — процесс, который может занять от 3 до 12 месяцев в зависимости от текущего уровня зрелости системы защиты информации. Рекомендуем следующий пошаговый план.

Дорожная карта перехода: четыре этапа за три-двенадцать месяцев
Дорожная карта перехода: четыре этапа за три-двенадцать месяцев

Шаг 1: Gap-анализ текущего состояния

Первый и самый важный этап — оценка расхождений между текущим состоянием защиты и новыми требованиями Приказа №117. Необходимо провести аудит всей IT-инфраструктуры с привязкой к каждому пункту документа. Особое внимание — на отсутствующие компоненты: SIEM-систему, систему управления уязвимостями, средства MFA, PAM-решение. Используйте методические документы ФСТЭК и чек-листы от аккредитованных аудиторов.

Шаг 2: План перехода и бюджетирование

На основе Gap-анализа составьте дорожную карту с конкретными сроками, ответственными и бюджетом. Учтите, что закупка и внедрение сертифицированных СЗИ может занять 2-4 месяца. На 2026 год в реестре ФСТЭК представлено более 30 сертифицированных SIEM-систем и 50+ межсетевых экранов, но очередь на поставку может достигать 3-6 месяцев.

Шаг 3: Внедрение средств защиты

Согласно Приказу №117, приоритет отдаётся сертифицированным российским средствам защиты информации. Убедитесь, что выбранные продукты имеют действующие сертификаты ФСТЭК. Ключевые классы СЗИ для внедрения:

  • Средства антивирусной защиты (САВЗ) — сертифицированные версии
  • Межсетевые экраны нового поколения (NGFW) с поддержкой Deep Packet Inspection
  • Системы обнаружения и предотвращения вторжений (IDS/IPS)
  • SIEM-системы для централизованного сбора и корреляции событий
  • Средства доверенной загрузки и контроля целостности

Шаг 4: Настройка процессов

Самый сложный этап — внедрение регламентов непрерывного управления уязвимостями, мониторинга событий и реагирования на инциденты. Создайте регламенты: управления уязвимостями (сроки закрытия, эскалация, ответственность), мониторинга событий (корреляционные правила, пороги срабатывания, сценарии реагирования), управления инцидентами (классификация, эскалация, post-mortem).

Шаг 5: Проведение аттестации

Аттестацию должны проводить аккредитованные ФСТЭК организации. В отличие от Приказа №17, новый документ требует повторной аттестации каждые 2 года, а также внеплановой аттестации при существенных изменениях конфигурации инфраструктуры (смена аппаратной платформы, миграция в облако, обновление ключевых СЗИ).

💡 Ключевой совет: не откладывайте Gap-анализ. По данным Центра компетенций по импортозамещению в сфере ИКТ, среднее время полного перехода на требования Приказа №117 для организаций со зрелым уровнем ИБ составляет 5-7 месяцев. Для организаций, начинающих «с нуля» — от 12 до 18 месяцев. При этом штрафы за несоответствие требованиям применяются с 1 сентября 2026 года.

Типичные ошибки и как их избежать

Опыт внедрения требований Приказа №117 в первой половине 2026 года выявил несколько типичных ошибок, которые повторяют организации.

Формальный подход и игнорирование SBOM — главные ошибки организаций
Формальный подход и игнорирование SBOM — главные ошибки организаций
  • Формальный подход к аттестации — составление «бумажной» документации без реального внедрения процессов. Приказ №117 явно требует доказательного подтверждения выполнения требований: логи SIEM, отчёты сканирования уязвимостей, журналы управления доступом. Пустые документы не пройдут проверку.
  • Игнорирование требования к SBOM — многие организации не учли необходимость составления спецификации состава ПО. Между тем это требование — одно из ключевых для контроля цепочки поставок. Без SBOM аттестация невозможна.
  • Недооценка сроков поставки СЗИ — очереди на сертифицированное оборудование и ПО могут достигать 6 месяцев. Планирование закупок необходимо начинать на стадии Gap-анализа.
  • Слабая интеграция с ГосСОПКА — для ГИС 1-го и 2-го классов интеграция с ГосСОПКА обязательна, а не рекомендательна. Техническая реализация через сертифицированные средства обнаружения атак требует отдельных работ.
  • Попытка использовать иностранные СЗИ — несмотря на доступность некоторых зарубежных решений, Приказ №117 и сопутствующие методические документы чётко ориентируют на российские сертифицированные средства.

Практические рекомендации для организаций

На основе анализа требований Приказа №117 и практики внедрения в 2026 году предлагаем следующий набор конкретных рекомендаций.

Инвентаризация активов и автоматизация — фундамент соответствия новым требованиям
Инвентаризация активов и автоматизация — фундамент соответствия новым требованиям
  1. Начните с инвентаризации активов. Создайте единый реестр всех компонентов IT-инфраструктуры: серверы, рабочие станции, сетевое оборудование, программное обеспечение, базы данных. Для каждого актива укажите класс защищённости, версию ПО, установленные патчи и ответственного. Без этого реестра невозможно выполнить требования по управлению уязвимостями.
  2. Внедрите Vulnerability Management Platform. Выберите платформу, которая автоматизирует сканирование, классификацию уязвимостей, отслеживание статуса устранения. Интегрируйте её с SIEM и системой тикетов для автоматического создания заявок на установку патчей.
  3. Разверните SIEM-систему с приоритетом на корреляцию событий. Настройте хотя бы 10 базовых правил корреляции: множественные неудачные попытки входа, сканирование портов, подозрительный исходящий трафик, изменение конфигураций. Обеспечьте хранение логов в соответствии с требованиями.
  4. Автоматизируйте управление конфигурациями. Используйте системы Configuration Management (Ansible, SaltStack или их сертифицированные российские аналоги) для поддержания эталонных конфигураций и автоматического устранения отклонений.
  5. Обучите персонал. Проведите обучение администраторов по работе с новыми СЗИ, SIEM-системой, процессами управления уязвимостями. Без человеческой компетенции самая совершенная система защиты останется формальной.
  6. Создайте план непрерывности. Приказ №117 также требует разработки планов восстановления после инцидентов и резервного копирования. Протестируйте эти планы не реже одного раза в год.
  7. Привлекайте аккредитованных аудиторов. На этапе подготовки к аттестации воспользуйтесь услугами компаний из реестра аккредитованных ФСТЭК организаций. Предварительный аудит позволит выявить проблемы до официальной проверки.

Главное изменение, которое принёс Приказ №117, — смещение фокуса с разовых мероприятий на непрерывный процесс. Безопасность информационных систем государственных органов больше не может быть «кампанией» — она становится постоянным, регламентированным, доказуемым и автоматизированным процессом. Организации, которые осознают это сейчас, пройдут переход с минимальными потерями времени и ресурсов.

📚 Читайте также

📖 Термины

Devsecops · SBOM · Supply Chain Attack · Zero Trust · Микросегментация

🔗 Источники