1 марта 2026 года вступает в силу Приказ ФСТЭК России №117 от 11.04.2025, который полностью заменяет действовавший с 2013 года Приказ ФСТЭК №17. Для операторов персональных данных, работающих с государственными информационными системами (ГИС), это означает принципиально новые требования к защите информации — с числовой оценкой, регулярной отчётностью и расширенным перечнем обязательных мер.
В этой статье разберём, что меняется для тех, кто обрабатывает персональные данные в ГИС, как Приказ 117 связан с 152-ФЗ и Приказом ФСТЭК 21, какие документы потребуются и как подготовиться к переходу.
Что такое Приказ ФСТЭК 117 и почему он важен
Приказ ФСТЭК России от 11 апреля 2025 г. №117 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» — это новый базовый документ, определяющий порядок защиты информации в ГИС.
Почему понадобился новый приказ
Приказ ФСТЭК №17 действовал с 2013 года и за 12 лет морально устарел. За это время произошли кардинальные изменения:
- усложнился ландшафт киберугроз — атаки стали целевыми, организованными и многовекторными;
- появились новые технологии: облачные среды, контейнеризация, микросервисы;
- выросли требования к оперативности реагирования на инциденты;
- накопилась правоприменительная практика, выявившая пробелы в старом приказе;
- штрафы за нарушения в сфере ПДн выросли до оборотных — до 500 млн рублей.
Старый Приказ 17 предлагал бинарную оценку: «соответствует / не соответствует». Приказ 117 вводит принципиально иной подход — числовую оценку защищённости, которая позволяет отслеживать динамику и сравнивать системы между собой.
Кого затрагивает Приказ 117
Приказ 117 обязателен для всех организаций, которые:
- эксплуатируют государственные информационные системы (федеральные, региональные, муниципальные);
- обрабатывают информацию ограниченного доступа в ГИС, в том числе персональные данные;
- являются операторами или обработчиками ПДн в рамках ГИС;
- разрабатывают, внедряют или сопровождают ГИС как подрядчики.
Если ваша организация подключена к ГИС или обрабатывает персональные данные через государственную информационную систему — вам нужно готовиться к выполнению требований Приказа 117.
Ключевые нововведения Приказа 117
Приказ 117 — это не косметическая правка Приказа 17, а фундаментально новый документ. Рассмотрим основные изменения.
1. Показатель КЗИ — числовая оценка защищённости
Главное нововведение — коэффициент защищённости информации (КЗИ). Это числовой показатель от 0 до 1, рассчитываемый по формуле на основе 16 критериев в 4 группах.
Принцип прост: чем ближе КЗИ к 1, тем лучше защищена система. Значение выше 0,5 считается приемлемым, ниже — требует немедленных корректирующих мер.
В отличие от бинарной аттестации по Приказу 17 («прошёл / не прошёл»), КЗИ даёт измеримую и сравнимую оценку. Это позволяет:
- отслеживать динамику защищённости во времени;
- объективно сравнивать разные ГИС;
- приоритизировать ресурсы на основе числовых данных;
- отчитываться перед ФСТЭК в стандартизированной форме.
Рассчитать КЗИ для вашей системы можно с помощью бесплатного калькулятора КЗИ.
2. Обязательная периодическая оценка
КЗИ — это не разовая процедура. Приказ 117 устанавливает обязательную переоценку каждые 6 месяцев. Результаты оценки направляются во ФСТЭК России. Это означает:
- необходимость постоянного мониторинга состояния защиты;
- формирование регулярной отчётности;
- назначение ответственных за проведение оценки;
- фиксация изменений и отклонений между оценками.
3. Расширенный перечень требований: 73 + 11
Приказ 117 содержит 73 основных требования и 11 дополнительных — значительно больше, чем примерно 40 мер в старом Приказе 17. Новые требования охватывают:
- защиту в облачных и виртуализированных средах;
- безопасность цепочки поставок (supply chain security);
- управление конфигурациями и обновлениями;
- защиту при взаимодействии с внешними системами;
- безопасность API и интеграционных интерфейсов;
- защиту данных при использовании мобильных устройств.
4. Требования к подрядчикам
Впервые на уровне приказа формализованы требования к организациям, привлекаемым к работам с ГИС:
- наличие лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации;
- соблюдение требований по защите информации при выполнении работ;
- ответственность за нарушение требований безопасности;
- контроль со стороны оператора ГИС за действиями подрядчика.
5. Обучение и подготовка персонала
Приказ 117 устанавливает конкретные требования к квалификации и обучению:
- регулярное повышение квалификации специалистов по ИБ;
- обучение пользователей ГИС правилам безопасной работы;
- проведение тренировок по реагированию на инциденты;
- документирование результатов обучения.
6. Взаимодействие с ГосСОПКА
Приказ 117 обязывает операторов ГИС взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА):
- информирование об инцидентах ИБ;
- получение и обработка бюллетеней безопасности;
- участие в мероприятиях по противодействию компьютерным атакам.
Как связаны Приказ ФСТЭК 117, Приказ 21 и 152-ФЗ
Если ваша ГИС обрабатывает персональные данные — а так работает подавляющее большинство государственных систем — вы оказываетесь на пересечении трёх нормативных актов. Разберём, как они соотносятся.
Сравнительная таблица
| Параметр | 152-ФЗ | Приказ ФСТЭК 21 | Приказ ФСТЭК 117 |
|---|---|---|---|
| Сфера применения | Все операторы ПДн | Все ИСПДн | Только ГИС |
| Тип требований | Правовые и организационные | Технические и организационные | Технические и организационные |
| Предмет регулирования | Правила обработки ПДн | Меры защиты ПДн в ИСПДн | Меры защиты информации в ГИС |
| Классификация | Категории ПДн | Уровни защищённости (УЗ-1 — УЗ-4) | Классы защищённости + КЗИ |
| Оценка соответствия | Проверки РКН | Оценка эффективности мер | КЗИ каждые 6 месяцев + отчёт ФСТЭК |
| Количество мер | Общие принципы | ~100 мер в 15 группах | 73 + 11 требований |
| Контролирующий орган | Роскомнадзор | ФСТЭК России | ФСТЭК России |
| Штрафы | До 500 млн ₽ (оборотные) | Через 152-ФЗ и КоАП | Через КоАП и предписания ФСТЭК |
Принцип совмещения требований
Для ГИС, обрабатывающей ПДн, действует правило кумулятивного применения:
- 152-ФЗ — устанавливает правовые основания обработки ПДн: согласия, уведомления, права субъектов, подготовка к проверкам РКН.
- Приказ ФСТЭК 21 — определяет технические и организационные меры защиты ПДн в ИСПДн, применяемые ко всем операторам.
- Приказ ФСТЭК 117 — добавляет специфические требования для ГИС: КЗИ, отчётность перед ФСТЭК, требования к подрядчикам.
При этом при совпадении требований Приказов 21 и 117 применяется более строгое требование. На практике это означает, что для ГИС с ПДн нужно выполнить объединённый набор мер из обоих приказов.
Практический пример
Допустим, региональная ГИС обрабатывает персональные данные 50 000 граждан (ФИО, СНИЛС, адрес). Оператор обязан:
- Выполнить требования 152-ФЗ: получить согласия, подать уведомление в Роскомнадзор, назначить ответственного, разработать политику обработки ПДн.
- Выполнить требования Приказа ФСТЭК 21: определить уровень защищённости, реализовать базовый набор мер, провести оценку эффективности.
- Выполнить требования Приказа ФСТЭК 117: классифицировать ГИС, реализовать 73+11 требований, рассчитать КЗИ, наладить отчётность каждые 6 месяцев, обеспечить взаимодействие с ГосСОПКА.
16 критериев оценки КЗИ
Показатель КЗИ рассчитывается на основе 16 критериев, объединённых в 4 группы. Каждый критерий имеет весовой коэффициент, определяющий его вклад в итоговую оценку.
Группа 1. Организация защиты информации
Оценивает наличие и качество организационной основы системы защиты.
| № | Критерий | Что оценивается |
|---|---|---|
| 1 | Наличие организационно-распорядительных документов | Полнота и актуальность комплекта ОРД по ИБ |
| 2 | Назначение ответственных | Наличие назначенных лиц, их квалификация |
| 3 | Обучение и осведомлённость персонала | Регулярность обучения, охват, документирование |
| 4 | Планирование мероприятий по защите | Наличие и выполнение плана мероприятий по ИБ |
Группа 2. Реализация технических мер
Оценивает полноту и корректность внедрённых технических средств защиты.
| № | Критерий | Что оценивается |
|---|---|---|
| 5 | Реализация базовых мер защиты | Соответствие набору мер по классу защищённости |
| 6 | Управление уязвимостями | Регулярность сканирования, скорость устранения |
| 7 | Управление обновлениями | Своевременность установки патчей безопасности |
| 8 | Управление конфигурациями | Контроль изменений, безопасные настройки |
Группа 3. Мониторинг и реагирование
Оценивает способность организации обнаруживать и отрабатывать инциденты.
| № | Критерий | Что оценивается |
|---|---|---|
| 9 | Мониторинг событий безопасности | Полнота сбора логов, наличие SIEM |
| 10 | Обнаружение инцидентов | Скорость и полнота обнаружения |
| 11 | Реагирование на инциденты | Наличие плана, скорость реагирования |
| 12 | Взаимодействие с ГосСОПКА | Выполнение обязательств по информированию |
Группа 4. Контроль и совершенствование
Оценивает системность подхода к защите и её развитие.
| № | Критерий | Что оценивается |
|---|---|---|
| 13 | Периодический контроль защищённости | Регулярность аудитов и тестирований |
| 14 | Управление рисками | Наличие процесса оценки и обработки рисков |
| 15 | Управление подрядчиками | Контроль требований ИБ к исполнителям |
| 16 | Совершенствование системы защиты | Анализ результатов, корректирующие меры |
Как рассчитывается итоговый КЗИ
Итоговый КЗИ вычисляется как средневзвешенное значение оценок по всем 16 критериям с учётом весовых коэффициентов каждой группы. Каждый критерий оценивается по шкале от 0 до 1, затем умножается на свой весовой коэффициент.
Рассчитать КЗИ вручную можно, но проще воспользоваться специализированным инструментом. Калькулятор КЗИ на 117fstec.credos.ru позволяет:
- ввести значения по каждому из 16 критериев;
- автоматически рассчитать КЗИ с учётом весов;
- получить рекомендации по повышению показателя;
- сформировать отчёт для направления во ФСТЭК.
Какие документы нужны для соответствия Приказу 117
Переход на Приказ 117 потребует существенного обновления документальной базы. Ниже — полный перечень документов, которые должны быть у оператора ГИС.
Основные документы по классификации и проектированию
| Документ | Назначение | Примечание |
|---|---|---|
| Акт классификации ГИС | Определение класса защищённости | Переоформляется при изменениях в системе |
| Модель угроз безопасности информации | Определение актуальных угроз | По методике ФСТЭК 2021 года |
| Техническое задание на систему защиты | Требования к системе защиты | На основе класса защищённости и модели угроз |
| Проектная (техническая) документация | Архитектура и состав системы защиты | Описание выбранных средств и их настроек |
Организационно-распорядительные документы (ОРД)
| Документ | Назначение |
|---|---|
| Политика информационной безопасности | Общие принципы и цели обеспечения ИБ |
| Приказ о назначении ответственных за защиту информации | Определение ответственных лиц |
| Регламент управления доступом | Порядок предоставления и отзыва доступа |
| Регламент управления уязвимостями | Порядок сканирования и устранения уязвимостей |
| Регламент управления обновлениями | Порядок тестирования и установки обновлений |
| Регламент управления конфигурациями | Контроль изменений в настройках систем |
| План реагирования на инциденты ИБ | Порядок обнаружения, эскалации и устранения инцидентов |
| Регламент оценки показателя КЗИ | Порядок и сроки периодической оценки |
| Регламент взаимодействия с ГосСОПКА | Порядок информирования об инцидентах |
| Регламент работы с подрядчиками | Требования ИБ к привлекаемым организациям |
| Программа обучения персонала | План повышения квалификации по ИБ |
| Модель нарушителя | Описание потенциальных источников угроз |
Эксплуатационные документы
| Документ | Назначение |
|---|---|
| Журнал учёта событий безопасности | Фиксация инцидентов и реагирования |
| Журнал учёта средств защиты информации | Реестр сертифицированных СЗИ |
| Журнал учёта машинных носителей | Контроль перемещения носителей информации |
| Результаты оценки КЗИ | Отчёт каждые 6 месяцев для ФСТЭК |
| Акты периодического контроля | Результаты аудитов и тестирований |
Важно: разработка ОРД не требует лицензии ФСТЭК
Разработка организационно-распорядительной документации — это не лицензируемый вид деятельности. Вы можете разработать весь комплект ОРД самостоятельно или с привлечением консультантов без лицензии ФСТЭК. Лицензия необходима только для работ по проектированию и внедрению технических средств защиты.
Часть документов можно подготовить с помощью нашего конструктора документов по 152-ФЗ: политику ИБ, модель угроз, модель нарушителя и другие шаблонные документы.
Сроки и план перехода
Ключевые даты
| Дата | Событие |
|---|---|
| 11 апреля 2025 г. | Приказ ФСТЭК №117 подписан и зарегистрирован |
| 1 марта 2026 г. | Вступление в силу. Приказ ФСТЭК №17 утрачивает силу |
| До 1 сентября 2026 г. | Рекомендуемый срок первой оценки КЗИ (6 месяцев с момента вступления) |
| Далее — каждые 6 месяцев | Обязательная переоценка КЗИ и направление результатов во ФСТЭК |
Переходные положения
- Аттестаты соответствия, выданные по Приказу 17, действуют до окончания их срока, но не освобождают от выполнения новых требований.
- При очередной переаттестации необходимо полностью перейти на требования Приказа 117.
- Новые ГИС, вводимые в эксплуатацию после 1 марта 2026 г., проектируются только по Приказу 117.
Пошаговый план подготовки
Рекомендуем начать подготовку заблаговременно. Ниже — практический план действий.
Этап 1. Аудит текущего состояния (до конца февраля 2026)
- Проведите инвентаризацию ГИС и обрабатываемой информации.
- Оцените текущее соответствие требованиям Приказа 17.
- Определите перечень ГИС, обрабатывающих персональные данные.
- Зафиксируйте расхождения между текущим состоянием и требованиями Приказа 117.
Этап 2. Обновление документации (март — апрель 2026)
- Пересмотрите модель угроз с учётом новой методики.
- Обновите организационно-распорядительные документы.
- Разработайте регламент оценки КЗИ.
- Разработайте регламент взаимодействия с ГосСОПКА.
Этап 3. Доработка технических мер (апрель — июнь 2026)
- Проведите gap-анализ: какие из 73+11 требований уже выполнены, какие — нет.
- Составьте план устранения несоответствий с приоритизацией по весовым коэффициентам КЗИ.
- Внедрите недостающие технические меры.
- Настройте процессы управления уязвимостями и обновлениями.
Этап 4. Первая оценка КЗИ (до сентября 2026)
- Проведите расчёт КЗИ по всем 16 критериям — используйте калькулятор КЗИ.
- Оформите результаты в установленной форме.
- Направьте результаты во ФСТЭК России.
- При КЗИ ниже 0,5 — разработайте план корректирующих мер.
Этап 5. Поддержание и совершенствование (постоянно)
- Обеспечьте регулярную переоценку КЗИ каждые 6 месяцев.
- Проводите обучение персонала.
- Актуализируйте документацию при изменениях в системе.
- Контролируйте выполнение требований подрядчиками.
Ответственность за несоблюдение
Невыполнение требований Приказа ФСТЭК 117 влечёт серьёзные последствия — как административные, так и уголовные.
Административная ответственность
| Нарушение | Штраф для юрлиц | Штраф для должностных лиц |
|---|---|---|
| Нарушение требований по защите информации (ст. 13.12 КоАП) | До 50 000 ₽ | До 20 000 ₽ |
| Использование несертифицированных средств защиты | До 50 000 ₽ с конфискацией | До 30 000 ₽ |
| Грубое нарушение лицензионных требований | До 400 000 ₽ | До 50 000 ₽ |
Кроме штрафов, ФСТЭК может выдать предписание об устранении нарушений с конкретными сроками. Неисполнение предписания — отдельное правонарушение.
Ответственность за утечку персональных данных
Если нарушение требований Приказа 117 приводит к утечке ПДн, включаются нормы ответственности за персональные данные:
- Первичная утечка: фиксированные штрафы до 15 млн рублей.
- Повторная утечка: оборотные штрафы от 1% до 3% годовой выручки, но не менее 15 млн и не более 500 млн рублей.
Уголовная ответственность
При критических инцидентах возможна уголовная ответственность по статьям:
- ст. 274 УК РФ — нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации (до 5 лет лишения свободы);
- ст. 274.1 УК РФ — неправомерное воздействие на критическую информационную инфраструктуру (до 10 лет лишения свободы), если ГИС относится к объектам КИИ.
Практические рекомендации
1. Начните с документального аудита
Прежде чем закупать средства защиты, проведите ревизию имеющейся документации. Часто выясняется, что технические меры в целом реализованы, но не оформлены документально — а это с точки зрения проверяющих равносильно их отсутствию. Проверьте наличие:
- актуальной модели угроз;
- политики информационной безопасности;
- приказа о назначении ответственных;
- журналов учёта событий и инцидентов.
2. Используйте калькулятор КЗИ для приоритизации
Не пытайтесь выполнить все 73+11 требований одновременно. Рассчитайте текущий КЗИ с помощью калькулятора на 117fstec.credos.ru и определите, какие критерии дают наибольший вклад в итоговый показатель. Начните с критериев с наивысшим весовым коэффициентом — это обеспечит максимальный прирост КЗИ при минимальных затратах.
3. Совмещайте выполнение требований Приказов 117 и 21
Если ваша ГИС обрабатывает ПДн, многие требования Приказа ФСТЭК 21 и Приказа 117 пересекаются. Составьте единую матрицу требований и реализуйте их совместно — это сэкономит время и ресурсы. Определите уровень защищённости ваших ИСПДн и совместите его с классом защищённости ГИС.
4. Не забудьте про подрядчиков
Приказ 117 впервые формализует требования к исполнителям работ. Если вы привлекаете подрядчиков к разработке, внедрению или обслуживанию ГИС:
- проверьте наличие лицензии ФСТЭК у подрядчика;
- включите требования по ИБ в договор;
- обеспечьте контроль выполнения требований;
- зафиксируйте ответственность за нарушения.
5. Наладьте процесс, а не разовое мероприятие
Приказ 117 ориентирован на непрерывный процесс обеспечения безопасности:
- переоценка КЗИ каждые 6 месяцев;
- регулярное обучение персонала;
- постоянный мониторинг и реагирование;
- актуализация документации при изменениях.
Выстройте внутренние процессы так, чтобы защита информации была частью повседневной деятельности, а не подготовкой к проверке.
6. Используйте автоматизацию для подготовки документов
Подготовка полного комплекта ОРД вручную занимает недели. Конструктор документов по 152-ФЗ позволяет автоматизировать создание значительной части документов: вы заполняете данные о вашей организации и системах, а сервис генерирует готовые документы с учётом требований законодательства.
Итог
Приказ ФСТЭК 117 — это не просто замена старого Приказа 17, а переход к принципиально новой модели оценки защищённости государственных информационных систем. Для операторов ПДн в ГИС это означает:
- Числовую оценку вместо бинарной — КЗИ от 0 до 1 по 16 критериям.
- Регулярную отчётность — оценка каждые 6 месяцев, результаты направляются во ФСТЭК.
- Значительно больше требований — 73+11 вместо ~40.
- Контроль подрядчиков и обучение персонала — формализованные обязательства.
- Высокие штрафы за нарушения — до 500 млн рублей при утечке ПДн.
До вступления Приказа в силу 1 марта 2026 года осталось совсем немного времени. Начните подготовку сейчас:
- Проведите аудит текущей документации и технических мер.
- Рассчитайте КЗИ с помощью бесплатного калькулятора.
- Определите приоритетные направления доработки.
- Подготовьте комплект ОРД — используйте конструктор документов для ускорения.
- Наладьте регулярные процессы мониторинга и оценки.
Подробные руководства по каждому аспекту Приказа ФСТЭК 117 — классификация ГИС, расчёт КЗИ, перечень мер защиты — доступны на 117fstec.credos.ru.
