Приказ ФСТЭК №117: новые требования безопасности IT-инфраструктуры — 2026
📋 Кратко
С 1 марта 2026 года вступил в силу Приказ ФСТЭК №117, заменивший Приказ №17. Документ вводит непрерывное управление уязвимостями, обязательную SIEM-систему, двухфакторную аутентификацию для ГИС, интеграцию с ГосСОПКА и требование к SBOM. Разбираем ключевые изменения и даём пошаговый план перехода на новые стандарты.
⏱ 9 минут чтения
С 1 марта 2026 года в России вступил в силу Приказ ФСТЭК №117 от 11 апреля 2025 года, который коренным образом изменил требования к защите информации в государственных информационных системах (ГИС) и иных информационных системах органов государственной власти. Документ полностью заменил действовавший ранее Приказ ФСТЭК №17 и ввёл принципиально новые подходы к управлению уязвимостями, мониторингу событий безопасности и аттестации IT-инфраструктуры.
Для организаций, работающих с государственными информационными системами или обслуживающих государственные учреждения, наступил период серьёзной перестройки процессов информационной безопасности. Новый нормативный акт требует не просто формального выполнения контрольных точек, а внедрения современных практик — от непрерывного управления уязвимостями до автоматизированного мониторинга инцидентов. В этой статье мы детально разберём, что изменилось, какие требования предъявляются к IT-инфраструктуре и как подготовиться к аттестации по новым правилам.
Что такое Приказ ФСТЭК №117 и почему он важен
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах и иных информационных системах органов государственной власти» был подписан 11 апреля 2025 года и официально опубликован в середине мая того же года. Документ прошёл обязательную регистрацию в Министерстве юстиции РФ и вступил в законную силу 1 марта 2026 года, заменив ранее действовавший Приказ ФСТЭК №17 от 11 февраля 2013 года.
Значение этого документа сложно переоценить. Приказ №117 стал первым за 12 лет масштабным обновлением требований к защите государственных информационных систем. За это время ландшафт киберугроз изменился кардинально: появились атаки с использованием искусственного интеллекта, supply chain-атаки на цепочки поставок программного обеспечения, ransomware нового поколения и сложные многоэтапные атаки на критическую инфраструктуру.
По данным ФСТЭК России, в 2025 году количество инцидентов информационной безопасности в государственных информационных системах выросло на 47% по сравнению с 2023 годом. При этом 68% успешных атак были связаны с эксплуатацией известных уязвимостей, для которых существовали патчи, но которые не были своевременно установлены. Именно на решение этой проблемы направлены ключевые нововведения Приказа №117.
Ключевые изменения по сравнению с Приказом №17
Новый документ не просто обновляет — он переосмысливает подход к защите информации. Если Приказ №17 во многом был ориентирован на «бумажную» безопасность (формальное выполнение требований, периодические проверки, статичные документы), то Приказ №117 требует непрерывного, автоматизированного и доказательного управления защитой.
Непрерывное управление уязвимостями
Одно из самых значимых нововведений — отказ от периодического сканирования уязвимостей в пользу непрерывного мониторинга. Ранее организации могли проводить анализ защищённости раз в квартал или даже реже. Новые требования обязывают:
- Проводить автоматическое сканирование уязвимостей не реже одного раза в 30 дней для ГИС 1-го и 2-го классов защищённости
- Внедрить систему управления уязвимостями (Vulnerability Management), которая отслеживает жизненный цикл каждой уязвимости от обнаружения до устранения
- Устанавливать критические патчи в срок до 72 часов, высокорисковые — до 7 дней
- Создать реестр активов с привязкой к уязвимостям, установленным патчам и статусу обработки
Усиление мониторинга событий безопасности
Приказ №117 вводит обязательные требования к централизованному сбору, хранению и анализу событий безопасности. Ключевые положения:
- Обязательное внедрение SIEM-систем (или их сертифицированных аналогов) для ГИС 1-го и 2-го классов
- Хранение журналов событий не менее 1 года для ГИС 1-го класса и не менее 6 месяцев для ГИС 2-го и 3-го классов
- Автоматическое оповещение об инцидентах в течение 15 минут с момента фиксации события
- Интеграция с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) — обязательное условие для всех ГИС 1-го и 2-го классов
Управление уязвимостями: раз в квартал (№17) → непрерывный мониторинг, патчи за 72 часа (№117)
SIEM/мониторинг: не обязателен (№17) → обязателен для ГИС 1-2 классов с интеграцией в ГосСОПКА (№117)
Аттестация: раз в 3 года (№17) → раз в 2 года + внеплановая при изменениях (№117)
Импортозамещение: не регламентировано (№17) → приоритет сертифицированных российских СЗИ (№117)
Управление конфигурациями: базовые требования (№17) → детальный перечень настроек безопасности (№117)
Основные требования к IT-инфраструктуре
Приказ №117 детально регламентирует требования к различным компонентам IT-инфраструктуры государственных информационных систем. Рассмотрим ключевые из них.
Требования к сетевой инфраструктуре
Организациям предписывается использовать архитектуру с сегментацией сети и разграничением доступа на уровне межсетевых экранов. Документ вводит обязательное применение микросегментации для критических сегментов ГИС. Все сетевые соединения должны быть задокументированы, а неиспользуемые порты и протоколы — заблокированы. Обязательным становится шифрование трафика между сегментами сети с использованием сертифицированных средств криптографической защиты информации (СКЗИ).
Требования к системам аутентификации и управления доступом
Приказ №117 существенно ужесточает требования к аутентификации. Для доступа к ГИС 1-го и 2-го классов обязательно применение двухфакторной аутентификации (MFA) с использованием сертифицированных средств. Парольная политика должна соответствовать методическим документам ФСТЭК: длина пароля не менее 8 символов, обязательная смена каждые 90 дней, блокировка после 5 неудачных попыток входа. Вводится требование к управлению привилегированными учётными записями (PAM — Privileged Access Management) с обязательным аудитом всех действий привилегированных пользователей.
Требования к защите программного обеспечения
Особое внимание уделяется безопасной разработке и контролю цепочки поставок ПО. Нормы включают:
- Обязательное формирование SBOM (Software Bill of Materials) — спецификации состава ПО для всех используемых программных продуктов
- Контроль целостности на этапах поставки и обновления ПО
- Использование только сертифицированных средств защиты от разработчиков из реестра ФСТЭК
- Внедрение процессов DevSecOps для собственной разработки — статический и динамический анализ кода, проверка зависимостей на известные уязвимости
Как подготовиться к аттестации по новым требованиям — пошаговый план
Переход на новые требования — процесс, который может занять от 3 до 12 месяцев в зависимости от текущего уровня зрелости системы защиты информации. Рекомендуем следующий пошаговый план.
Шаг 1: Gap-анализ текущего состояния
Первый и самый важный этап — оценка расхождений между текущим состоянием защиты и новыми требованиями Приказа №117. Необходимо провести аудит всей IT-инфраструктуры с привязкой к каждому пункту документа. Особое внимание — на отсутствующие компоненты: SIEM-систему, систему управления уязвимостями, средства MFA, PAM-решение. Используйте методические документы ФСТЭК и чек-листы от аккредитованных аудиторов.
Шаг 2: План перехода и бюджетирование
На основе Gap-анализа составьте дорожную карту с конкретными сроками, ответственными и бюджетом. Учтите, что закупка и внедрение сертифицированных СЗИ может занять 2-4 месяца. На 2026 год в реестре ФСТЭК представлено более 30 сертифицированных SIEM-систем и 50+ межсетевых экранов, но очередь на поставку может достигать 3-6 месяцев.
Шаг 3: Внедрение средств защиты
Согласно Приказу №117, приоритет отдаётся сертифицированным российским средствам защиты информации. Убедитесь, что выбранные продукты имеют действующие сертификаты ФСТЭК. Ключевые классы СЗИ для внедрения:
- Средства антивирусной защиты (САВЗ) — сертифицированные версии
- Межсетевые экраны нового поколения (NGFW) с поддержкой Deep Packet Inspection
- Системы обнаружения и предотвращения вторжений (IDS/IPS)
- SIEM-системы для централизованного сбора и корреляции событий
- Средства доверенной загрузки и контроля целостности
Шаг 4: Настройка процессов
Самый сложный этап — внедрение регламентов непрерывного управления уязвимостями, мониторинга событий и реагирования на инциденты. Создайте регламенты: управления уязвимостями (сроки закрытия, эскалация, ответственность), мониторинга событий (корреляционные правила, пороги срабатывания, сценарии реагирования), управления инцидентами (классификация, эскалация, post-mortem).
Шаг 5: Проведение аттестации
Аттестацию должны проводить аккредитованные ФСТЭК организации. В отличие от Приказа №17, новый документ требует повторной аттестации каждые 2 года, а также внеплановой аттестации при существенных изменениях конфигурации инфраструктуры (смена аппаратной платформы, миграция в облако, обновление ключевых СЗИ).
Типичные ошибки и как их избежать
Опыт внедрения требований Приказа №117 в первой половине 2026 года выявил несколько типичных ошибок, которые повторяют организации.
- Формальный подход к аттестации — составление «бумажной» документации без реального внедрения процессов. Приказ №117 явно требует доказательного подтверждения выполнения требований: логи SIEM, отчёты сканирования уязвимостей, журналы управления доступом. Пустые документы не пройдут проверку.
- Игнорирование требования к SBOM — многие организации не учли необходимость составления спецификации состава ПО. Между тем это требование — одно из ключевых для контроля цепочки поставок. Без SBOM аттестация невозможна.
- Недооценка сроков поставки СЗИ — очереди на сертифицированное оборудование и ПО могут достигать 6 месяцев. Планирование закупок необходимо начинать на стадии Gap-анализа.
- Слабая интеграция с ГосСОПКА — для ГИС 1-го и 2-го классов интеграция с ГосСОПКА обязательна, а не рекомендательна. Техническая реализация через сертифицированные средства обнаружения атак требует отдельных работ.
- Попытка использовать иностранные СЗИ — несмотря на доступность некоторых зарубежных решений, Приказ №117 и сопутствующие методические документы чётко ориентируют на российские сертифицированные средства.
Практические рекомендации для организаций
На основе анализа требований Приказа №117 и практики внедрения в 2026 году предлагаем следующий набор конкретных рекомендаций.
- Начните с инвентаризации активов. Создайте единый реестр всех компонентов IT-инфраструктуры: серверы, рабочие станции, сетевое оборудование, программное обеспечение, базы данных. Для каждого актива укажите класс защищённости, версию ПО, установленные патчи и ответственного. Без этого реестра невозможно выполнить требования по управлению уязвимостями.
- Внедрите Vulnerability Management Platform. Выберите платформу, которая автоматизирует сканирование, классификацию уязвимостей, отслеживание статуса устранения. Интегрируйте её с SIEM и системой тикетов для автоматического создания заявок на установку патчей.
- Разверните SIEM-систему с приоритетом на корреляцию событий. Настройте хотя бы 10 базовых правил корреляции: множественные неудачные попытки входа, сканирование портов, подозрительный исходящий трафик, изменение конфигураций. Обеспечьте хранение логов в соответствии с требованиями.
- Автоматизируйте управление конфигурациями. Используйте системы Configuration Management (Ansible, SaltStack или их сертифицированные российские аналоги) для поддержания эталонных конфигураций и автоматического устранения отклонений.
- Обучите персонал. Проведите обучение администраторов по работе с новыми СЗИ, SIEM-системой, процессами управления уязвимостями. Без человеческой компетенции самая совершенная система защиты останется формальной.
- Создайте план непрерывности. Приказ №117 также требует разработки планов восстановления после инцидентов и резервного копирования. Протестируйте эти планы не реже одного раза в год.
- Привлекайте аккредитованных аудиторов. На этапе подготовки к аттестации воспользуйтесь услугами компаний из реестра аккредитованных ФСТЭК организаций. Предварительный аудит позволит выявить проблемы до официальной проверки.
Главное изменение, которое принёс Приказ №117, — смещение фокуса с разовых мероприятий на непрерывный процесс. Безопасность информационных систем государственных органов больше не может быть «кампанией» — она становится постоянным, регламентированным, доказуемым и автоматизированным процессом. Организации, которые осознают это сейчас, пройдут переход с минимальными потерями времени и ресурсов.
📚 Читайте также
- EDR/XDR 2026: эволюция detection and response — от сигнатур к поведенческому AI
- Zero Trust: модель нулевого доверия — что это и зачем нужно в 2026
- Мошенники пугают блокировкой СБП: схема с кодами из СМС набирает обороты
- Первая полностью автономная атака ИИ: разведка, кража и шифрование без человека
- DeepSeek создал вымогательское ПО: как AI заражает Android за 5 минут
📖 Термины
Devsecops · SBOM · Supply Chain Attack · Zero Trust · Микросегментация
🔗 Источники
- Softline: Приказ ФСТЭК №117 — как выполнить новые требования
- Комментарий к Требованиям о защите информации (Приказ №117) — ГАРАНТ
- Методические документы ФСТЭК России по защите информации в ГИС
- Приказ ФСТЭК России от 11 апреля 2025 г. №117 — официальный текст на портале ФСТЭК
- Хабр: Как бизнесу оценить готовность к аттестации по новому Приказу ФСТЭК №117