Ключевые изменения в защите ГИС: что принес Приказ ФСТЭК России 117

С 1 марта 2026 года вступает в силу новый регуляторный документ — Приказ ФСТЭК России 117, который существенно меняет подход к обеспечению безопасности государственных информационных систем (ГИС). В отличие от ранее действовавшего Приказа 17, новый документ не просто обновляет требования, а фактически формирует новую модель управления информационной безопасностью.

Разберем, какие изменения являются наиболее значимыми и к чему стоит готовиться организациям.

Расширение круга регулируемых организаций

Одно из ключевых нововведений — значительное расширение области применения требований.
Теперь под действие приказа подпадают не только владельцы государственных информационных систем, но и широкий круг организаций, включая:

• государственные и муниципальные органы;
• государственные учреждения и унитарные предприятия;
• любые информационные системы органов власти;
• организации, которые получают или обрабатывают данные из ГИС.

Таким образом, требования распространяются даже на тех, кто формально не является оператором ГИС, но взаимодействует с ними. Это означает, что экосистема регулирования становится значительно шире.

Переход к процессному управлению безопасностью

Приказ 117 вводит принципиально новый подход — непрерывное управление защитой информации.
Организациям необходимо выстроить замкнутый цикл процессов:

1. Планирование мер защиты.
2. Реализация и внедрение.
3. Оценка эффективности.
4. Совершенствование на основе анализа.

Такой подход соответствует международным практикам (например, модели PDCA) и предполагает постоянную адаптацию системы безопасности к новым угрозам.

Изменение подхода к мерам защиты

В отличие от предыдущих нормативных актов, новый приказ:

• не содержит фиксированной итоговой таблицы мер защиты;
• делает акцент на системности и зрелости процессов;
• требует внедрения комплексной системы управления ИБ.

При этом сохраняется обязательность использования сертифицированных средств защиты информации (СЗИ) и криптографических средств (СКЗИ). Организации должны самостоятельно формировать набор мер защиты, исходя из рисков, архитектуры систем и уровня зрелости процессов.

Жесткие сроки устранения уязвимостей

Впервые вводятся четкие требования по срокам реагирования на уязвимости:

• критические — до 24 часов;
• высокие — до 7 дней;
• средние и низкие — в рамках внутренних регламентов.

Это требует внедрения полноценных процессов управления уязвимостями, включая:

• их регулярное выявление;
• классификацию;
• контроль сроков устранения.

Дополнительно вводится обязанность информирования о инцидентах в систему ГосСОПКА.

Обязательная отчетность перед регулятором

Еще одно существенное нововведение — регулярная отчетность во ФСТЭК.
Организациям необходимо будет предоставлять:

• показатели защищенности (раз в полгода и ежегодно);
• уровень зрелости системы защиты (ежегодно);
• итоговый годовой отчет.

Ранее подобные требования отсутствовали, что делает новый приказ значительно более строгим с точки зрения контроля.

Усиление требований к подрядчикам

Особое внимание уделяется взаимодействию с внешними организациями.
Теперь необходимо:

• проверять наличие политик информационной безопасности у подрядчиков;
• включать требования по ИБ в договоры;
• фиксировать ответственность за нарушение требований.

Фактически безопасность становится сквозным требованием по всей цепочке взаимодействия.

Новые требования к персоналу

Приказ 117 закрепляет жесткие требования к кадровому обеспечению:

Организационные требования

• создание отдельного подразделения по ИБ;
• назначение ответственного руководителя уровня заместителя.

Квалификационные требования

• руководитель должен иметь профильное образование или переподготовку (не менее 360 часов);
• не менее 30% сотрудников ИБ-подразделения — с профильным образованием.

Это означает, что многим организациям придется:

• пересматривать структуру подразделений;
• обучать персонал;
• формировать кадровый резерв.

Что делать организациям

Для соответствия новым требованиям рекомендуется:

До вступления приказа

• провести аудит текущей системы защиты;
• оценить кадровый состав;
• определить пробелы в процессах ИБ.

После вступления

• внедрить процессы управления уязвимостями;
• наладить регулярную отчетность;
• пересмотреть договоры с подрядчиками;
• организовать обучение сотрудников.

Преимущества нового регулирования

Несмотря на усложнение требований, приказ 117 дает ряд системных плюсов:

• единые стандарты безопасности;
• повышение качества защиты информации;
• ускорение реагирования на угрозы;
• развитие зрелости ИБ-процессов.

Основные вызовы

В то же время организации столкнутся с рядом сложностей:

• рост затрат на информационную безопасность;
• необходимость обучения персонала;
• увеличение объема отчетности;
• перестройка внутренних процессов.

Приказ ФСТЭК России 117 — это переход от формального выполнения требований к полноценному управлению информационной безопасностью.

Организациям предстоит не просто внедрить отдельные меры защиты, а выстроить комплексную систему, включающую процессы, технологии и квалифицированный персонал.

Те, кто начнет подготовку заранее, смогут не только выполнить требования регулятора, но и значительно повысить устойчивость своих информационных систем к современным угрозам.