Аттестация ГИС по Приказу ФСТЭК №117 в 2026: этапы, документы, подготовка

Аттестация государственной информационной системы (ГИС) — это процедура подтверждения соответствия системы защиты информации требованиям нормативных документов ФСТЭК России. Завершается выдачей аттестата соответствия, который разрешает обработку защищаемой информации в системе.

С 1 марта 2026 года основной нормативный акт — Приказ ФСТЭК России от 11.04.2025 № 117 (зарегистрирован Минюстом 16.06.2025), который заменяет действовавший с 2013 года Приказ ФСТЭК №17 от 11.02.2013. Новый приказ изменил подходы к классификации, ввёл показатель защищённости (КЗИ) и 16 критериев оценки, унифицировал требования к ГИС, ИСПДн и значимым объектам КИИ.

Когда аттестация обязательна

• Все государственные информационные системы — без аттестации эксплуатация запрещена
• Муниципальные информационные системы, обрабатывающие персональные данные граждан
• ИСПДн уровня УЗ-1 и УЗ-2 (по решению оператора либо по требованию регулятора)
• Значимые объекты КИИ 1 и 2 категории значимости (по Приказу ФСТЭК №239)

Когда аттестация не обязательна, но рекомендуется

• Коммерческие ИСПДн уровней УЗ-3 и УЗ-4 — достаточно оценки эффективности мер защиты (не аттестации)
• Информационные системы коммерческой тайны — аттестация добровольная, но повышает доверие контрагентов
• Системы обработки персональных данных в медицинских и финансовых организациях — формально не обязательна, но в практике часто требуется отраслевыми регуляторами

Без аттестации эксплуатация ГИС влечёт ответственность по ст. 13.12 КоАП РФ (штраф до 30 000 ₽) и приостановление работы системы до устранения нарушений. Для значимых объектов КИИ — дополнительно по ст. 274.1 УК РФ (до 6 лет лишения свободы при тяжких последствиях).

Аттестация — лицензированный вид деятельности. Её вправе проводить только органы по аттестации, аккредитованные ФСТЭК России. Это критически важный момент: ни оператор сам, ни консалтинговая компания без лицензии аттестацию провести не могут — выданный «аттестат» от нелицензированной организации юридически недействителен.

Реестр аккредитованных организаций

Актуальный список органов по аттестации публикуется на официальном сайте ФСТЭК России (fstec.ru) в разделе «Реестры». В реестре указано:

• Наименование и реквизиты лицензиата
• Регистрационный номер аттестата аккредитации
• Срок действия аккредитации
• Область аккредитации (ГИС, ИСПДн, объекты КИИ, спецсвязь и др.)

Перед заключением договора с органом по аттестации обязательно проверьте его в реестре ФСТЭК — лицензия должна быть действующей и охватывать вид системы, которую вы аттестуете.

Что делает аттестационный орган

• Анализирует проект системы защиты информации (СЗИ)
• Проводит аттестационные испытания на соответствие требованиям
• Проверяет фактическое выполнение мер защиты
• Готовит протокол испытаний и техническое заключение
• Выдаёт аттестат соответствия (или мотивированный отказ)

Что НЕ делает аттестационный орган

Аттестационный орган не разрабатывает для вас модель угроз, не проектирует СЗИ, не пишет регламенты и не настраивает технические меры защиты. Это всё — подготовительный этап, который выполняет либо сам оператор, либо привлечённый консультант (без лицензии ФСТЭК на аттестацию — но с компетенциями в области ИБ).

Кибероснова Документы — SaaS-платформа для подготовки к аттестации: модель угроз с учётом БДУ ФСТЭК, проектная документация СЗИ, полный пакет ОРД (15-20 документов) через конструктор за 1-2 дня. Платформа покрывает 6 фреймворков (152-ФЗ + Приказы ФСТЭК №21, №117, №239 + ПП №1119 + 187-ФЗ) в одной подписке — если у вас параллельно ГИС, ИСПДн и значимый объект КИИ, не нужно покупать три разных продукта. Саму аттестацию мы не проводим (это лицензированный вид деятельности ФСТЭК), но привлекаем проверенных партнёров-лицензиатов с подтверждённой экспертизой — клиент получает услугу «под ключ» с единым проектным менеджментом подготовки и аттестации.

Процедура аттестации состоит из пяти последовательных этапов. Общий срок — от 3 до 9 месяцев, в зависимости от сложности системы и готовности документации.

Этап 1. Классификация ГИС (1-2 недели)

Определение класса защищённости системы по показателю КЗИ (16 критериев Приказа ФСТЭК №117). Учитываются: масштаб обработки (федеральный/региональный/муниципальный), значимость информации, объём субъектов, инфраструктурные особенности. Результат — акт классификации, утверждённый руководителем организации.

Этап 2. Разработка модели угроз и нарушителя (2-4 недели)

Анализ угроз безопасности информации с учётом БДУ ФСТЭК (банк данных угроз). Описание потенциальных нарушителей, их возможностей, мотивации. Результат — документ «Модель угроз» по методике ФСТЭК 2021. Это самый трудоёмкий этап подготовки — типовые шаблоны редко подходят, требуется индивидуальная разработка.

Этап 3. Проектирование системы защиты информации (СЗИ) (1-3 месяца)

На основе модели угроз и класса защищённости — выбор организационных и технических мер защиты. Разработка технического задания на СЗИ. Подбор сертифицированных средств защиты (антивирус, межсетевой экран, средства разграничения доступа, СКЗИ). Результат — проектная документация СЗИ.

Этап 4. Внедрение мер защиты (1-3 месяца)

Закупка и установка сертифицированных средств защиты. Настройка СЗИ согласно проекту. Разработка эксплуатационной документации: регламенты, инструкции, приказы, журналы учёта. Обучение администраторов безопасности.

Этап 5. Аттестационные испытания (1-2 месяца)

Проводит лицензиат ФСТЭК — независимый орган по аттестации. Включает: документарную проверку (наличие всех документов СЗИ), фактическую проверку технических мер, тестирование защищённости (в том числе с использованием инструментальных средств), оценку соответствия требованиям Приказа ФСТЭК №117. По результатам выдаётся аттестат соответствия (срок действия — 5 лет) или мотивированный отказ с перечнем замечаний.

Полный цикл занимает 3-9 месяцев. Самый длительный этап для оператора — не аттестация (1-2 месяца), а подготовка (документы, модель угроз, проектирование) — от 4 до 8 месяцев. Именно здесь Кибероснова Документы помогает сократить срок в 2-3 раза за счёт автоматизации.

Полный пакет документации для аттестации ГИС по Приказу ФСТЭК №117 включает 15-20 документов в зависимости от класса защищённости. Это самый затратный по времени этап — основная часть работы оператора.

Организационно-распорядительные документы

• Приказ о создании комиссии по защите информации — состав, полномочия, ответственность
• Приказ о назначении ответственного за защиту информации — для каждой ГИС
• Положение о защите информации в ГИС — внутренний нормативный акт
• Перечень защищаемой информации — конкретный состав сведений
• Перечень помещений, где обрабатывается защищаемая информация
• Перечень лиц, допущенных к обработке — с указанием прав доступа

Документы по классификации и моделированию угроз

• Акт классификации ГИС — с расчётом показателя КЗИ по 16 критериям
• Модель угроз безопасности информации — с учётом БДУ ФСТЭК
• Модель нарушителя — описание категорий потенциальных нарушителей
• Описание архитектуры системы — состав компонентов, потоки данных

Проектная документация СЗИ

• Техническое задание на СЗИ — требования к системе защиты
• Проект системы защиты информации — состав мер, выбранные средства
• Спецификация используемых СЗИ — список с указанием сертификатов соответствия
• Схема защиты периметра — топология сети с обозначением зон безопасности

Эксплуатационная документация

• Регламент работы СЗИ — порядок эксплуатации
• Инструкция администратора безопасности — действия при инцидентах
• Инструкции пользователей — правила работы с защищаемой информацией
• Журналы учёта — событий безопасности, носителей, доступа
• Регламент реагирования на инциденты — порядок действий при ИБ-инцидентах
• Регламент резервного копирования и восстановления — для аттестации обязательно

Все эти документы можно сгенерировать в конструкторе Кибероснова Документы: вы отвечаете на вопросы о вашей системе (тип ГИС, класс защищённости, состав информации, инфраструктура), конструктор формирует персонализированный пакет за 30-60 минут. Это сокращает срок подготовки в 3-5 раз по сравнению с разработкой каждого документа вручную.

Главная ошибка операторов — обратиться к аттестационному органу до подготовки. В этом случае орган либо отказывается работать, либо выставляет огромный счёт за «помощь с документами» (которые он формально не должен делать). Правильный путь — сначала подготовка, потом аттестация.

Шаг 1. Определите класс защищённости (1-2 недели)

Изучите критерии Приказа ФСТЭК №117 (16 показателей КЗИ). Рассчитайте класс для вашей ГИС. Если класс высокий (К1, К2) — стоит привлечь консультанта. Если К3, К4 — можно справиться силами штатного администратора безопасности с готовыми шаблонами.

Шаг 2. Разработайте модель угроз (4-8 недель)

Это самый сложный документ. Учитываются: тип системы, БДУ ФСТЭК (актуальная база данных угроз), специфика инфраструктуры, потенциальные нарушители. Шаблоны из интернета почти всегда не подходят — аттестационный орган проверяет «индивидуальность» модели. Кибероснова предлагает услугу разработки модели угроз с учётом особенностей вашей ГИС.

Шаг 3. Запланируйте бюджет на сертифицированные СЗИ (1-3 месяца на закупку)

Список обязательных средств защиты зависит от класса. Минимум: антивирус (Kaspersky, Dr.Web), межсетевой экран (UserGate, ИВК «Кольчуга»), средства разграничения доступа (Secret Net Studio), СКЗИ (КриптоПро, ViPNet). Все средства должны иметь действующие сертификаты ФСТЭК на момент аттестации. Бюджет на СЗИ зависит от класса и количества рабочих мест — индивидуальный расчёт делаем по запросу.

Шаг 4. Подготовьте полный пакет документации (4-8 недель параллельно с этапом 3)

15-20 документов: приказы, положения, регламенты, инструкции, журналы. Все должны быть актуальны и взаимосвязаны (например, перечень защищаемой информации должен соответствовать модели угроз и проектной документации СЗИ). Самостоятельная разработка занимает 2-3 месяца, в конструкторе документов — 30-60 минут на полный пакет.

Шаг 5. Внедрите технические меры защиты (1-2 месяца)

Закупка и настройка сертифицированных СЗИ. Конфигурация по проекту. Тестирование. Обучение администраторов. Главное на этом этапе — фактическое выполнение всех требований проекта, а не просто покупка средств.

Шаг 6. Выберите аттестационный орган (1-2 недели)

Проверьте лицензию в реестре ФСТЭК России. Сравните стоимость и сроки у нескольких лицензиатов. Заключите договор. Передайте полный пакет документов на предварительный анализ.

Шаг 7. Пройдите аттестационные испытания (1-2 месяца)

Орган по аттестации проводит документарную и фактическую проверку. Возможны замечания — устраните их и пройдите повторную проверку. По результатам — получите аттестат соответствия сроком на 5 лет.

Полный цикл при правильной подготовке — 6-9 месяцев. С готовыми документами из конструктора и профессиональной моделью угроз — сокращается до 4-6 месяцев. Без подготовки и попытках сделать «по шаблонам из интернета» — растягивается до 1,5-2 лет с множественными переделками.

Бюджет аттестации складывается из четырёх категорий расходов. Точная стоимость зависит от множества факторов и формируется индивидуально под проект.

1. Услуги аттестационного органа

Зависит от класса защищённости, количества рабочих мест, сложности инфраструктуры. Расценки лицензиатов в Москве и Санкт-Петербурге выше региональных в 1,5-2 раза. Включает: документарную проверку, выезд на объект, аттестационные испытания, оформление документов.

2. Подготовка документации

Самая «гибкая» статья. Варианты:

• Через консультанта (юриста по ИБ): 2-3 месяца, требует найма внешнего специалиста или агентства
• Через конструктор Кибероснова Документы: 1-2 дня на полный пакет, регистрация бесплатна
• Самостоятельно (штатный администратор): 3-6 месяцев + высокий риск переделок при аттестации

3. Сертифицированные средства защиты информации

Зависит от класса ГИС и количества защищаемых рабочих мест. Стоимость лицензий пересматривается ежегодно — закладывайте 15-20% на продление. Подбор оптимального состава СЗИ под класс — часть нашего комплексного предложения.

4. Услуги по внедрению и настройке СЗИ

Если штатных компетенций нет — нужен интегратор. Стоимость зависит от количества рабочих мест и сложности конфигурации.

Сроки

Полный цикл — 6-12 месяцев при первой аттестации. Распределение времени:

• Подготовка документации: 2-3 месяца (с конструктором — 1-2 недели)
• Закупка и внедрение СЗИ: 2-3 месяца
• Аттестационные испытания: 1-2 месяца
• Устранение замечаний и повторная проверка (если нужно): 1-2 месяца

Аттестат выдаётся на 5 лет. Контрольные испытания — каждый год (упрощённая процедура). При существенных изменениях системы (смена ОС, замена СЗИ, реорганизация) — внеочередное переаттестование.

Подготовительный этап — самая длительная и затратная часть аттестации. Здесь мы закрываем 80% работы оператора: от классификации до полного пакета документов и модели угроз. Саму аттестацию проводят наши партнёры-лицензиаты ФСТЭК — единым проектом «под ключ».

Чем мы отличаемся от классического консалтинга

4 преимущества платформы для оператора ГИС

• 6 фреймворков в одной подписке. Если у вас ГИС, ИСПДн и значимый объект КИИ — не нужно покупать три разных продукта. Кибероснова покрывает 152-ФЗ, Приказы ФСТЭК №21, №117, №239, ПП РФ №1119, ФЗ №187 в одной системе. Конкуренты (b-152, 152doc) работают только по 152-ФЗ.
• Единый пакет ОРД. Большинство сервисов выдают документы по одному — оператор сам сшивает 30-40 файлов. Кибероснова формирует комплексный пакет (приказы, положения, регламенты, журналы) с правильной перекрёстной структурой — готов к подаче в аттестационный орган без доработок.
• Multi-org. Один аккаунт = много юрлиц. Полезно для холдингов, ИТ-интеграторов, групп компаний — без необходимости заводить отдельную подписку на каждую организацию. У b-152 жёсткая привязка 1 юрлица на тариф.
• Партнёры-лицензиаты ФСТЭК для аттестации. Аттестация — лицензируемая деятельность, мы её не проводим. Но привлекаем проверенных лицензиатов с подтверждённой экспертизой — клиент получает услугу «под ключ» с единым проектным менеджментом. Скрипт «подготовили документы → отправили заявку → лицензиат провёл испытания → получили аттестат» работает без перекладывания.

Что делает оператор, что — мы, что — лицензиат

На основе анализа отказов в выдаче аттестатов за 2024-2025 годы выделим топ-7 ошибок, которые приводят к продлению сроков и дополнительным затратам.

Ошибка 1. Шаблонная модель угроз

Скачанная из интернета модель угроз — самая частая причина отказа. Аттестационный орган видит, что модель не соответствует фактической инфраструктуре: упомянуты несуществующие угрозы, не учтены реальные риски, БДУ ФСТЭК не актуализирована. Решение — разработка модели под вашу систему.

Ошибка 2. Несоответствие документов и фактической реализации

В проекте написано «применяется СКЗИ КриптоПро», в реальности — используется другая криптография. Аттестационный орган сверяет каждый пункт. Любое несоответствие — основание для отказа.

Ошибка 3. Просроченные сертификаты ФСТЭК на средства защиты

Сертификаты СЗИ должны быть действительны на момент аттестации. Часто оператор закупает средство, оно работает 2-3 года, а его сертификат уже истёк. Перед аттестацией обязательно проверьте все сертификаты в реестре ФСТЭК.

Ошибка 4. Неверный расчёт класса защищённости

Класс рассчитывается по 16 критериям КЗИ Приказа ФСТЭК №117. Завышение класса = неоправданные затраты. Занижение = отказ в аттестации с требованием пересмотреть. Правильно — пригласить эксперта на этап классификации.

Ошибка 5. Отсутствие журналов учёта

Журналы (доступа, событий ИБ, носителей, инцидентов) должны вестись фактически, а не существовать только на бумаге. Аттестационный орган проверяет реальное заполнение за последние 1-3 месяца.

Ошибка 6. Неактуальные приказы и регламенты

Документы датированы 2018 годом, в них упоминаются ушедшие сотрудники, отсылки к отменённым нормативным актам (например, к Приказу ФСТЭК №17 после его отмены). Все документы должны быть переизданы под актуальную редакцию.

Ошибка 7. Нет регламента реагирования на инциденты

С 2024 года требование стало обязательным. Документ должен включать: классификацию инцидентов, ответственных лиц, сроки реагирования, порядок уведомления НКЦКИ, шаблоны отчётов. Без него — отказ в аттестации.

Все эти ошибки устраняются на этапе подготовки. Полный комплект актуальных документов с правильной перекрёстной ссылочной структурой можно создать в конструкторе документов за 1-2 дня.