Excel не применяем: рекомендации УЦСБ операторам ИС по Приказу 117

Как совмещать лечение пациентов или подачу воды в дома с требованиями ФСТЭК по учету серверов, лицензий и угроз? Для большинства новых операторов информационных систем — городских больниц, водоканалов, транспортных предприятий — это непрофильная задача. Отсутствие автоматизации превращает ее в головную боль: реестры устаревают, лицензии истекают, а регулятор выписывает штрафы. В первой статье цикла руководитель отдела разработки специального ПО УЦСБ Андрей Литвинов рассказывает, почему системный учет активов — это не прихоть, а условие работы без штрафов. Во второй — как перегрузка и человеческий фактор ведут к штрафам, и что с этим делать.

Расширение границ: что изменил Приказ 117

Разъясним юридическую сторону коротко. До 1 марта 2026 года требования ФСТЭК касались только государственных информационных систем (ГИС). Теперь действует Приказ 117, который распространяется на все информационные системы государственных органов, унитарных предприятий, учреждений и муниципалитетов. Это значит, что региональные водоканалы, транспортные компании, теплосети, администрации, больницы и школы, а также многие другие организации обязаны защищать свои ИС наравне с федеральными ведомствами.

Новый приказ требует не просто закупить средства защиты информации (СЗИ), но и выстроить системные процессы: назначить ответственных, разработать регламенты, регулярно оценивать защищенность, управлять уязвимостями, контролировать персонал. Однако для большинства таких организаций информационная безопасность — непрофильная функция. Штат ИТ-специалистов часто ограничен двумя-тремя сотрудниками, собственных компетенций в области ИБ для выстраивания всех требуемых процессов не хватает. Именно здесь возникает главный риск: процессы закрепляют «на бумаге», но в реальности они не работают.

Две бизнес-проблемы, ведущие к штрафам

Проблема 1. Нарушение регламентов из‑за отсутствия единой системы постановки и контроля задач. Когда задачи по ИБ ставятся через электронную почту или мессенджеры, и их контроль исполнения отсутствует, неизбежны срывы сроков и формальное отношение. Регулятор при проверке видит, что регламент есть, но доказательств его выполнения — нет. Результат: штраф и предписание об устранении.

Проблема 2. Бессистемное хранение данных — неактуальные реестры, просроченные лицензии и ошибки в паспортах. Ручное ведение реестров активов и СЗИ в Excel-таблицах приводит к дублированию, потерям и устареванию данных. Паспорта средств защиты заполняются с ошибками. Лицензии никто системно не отслеживает — они истекают, при этом организация продолжает использовать СЗИ нелегально. При проверке ФСТЭК такие нарушения классифицируются как грубое несоответствие требованиям.

В практике УЦСБ нередки случаи, когда операторы информационных систем, содержащих чувствительную информацию о десятках тысяч пользователей, ведут реестры активов в локальных файлах силами одного-двух сотрудников. Когда те увольняются или уходят в отпуск, карта ИТ-ландшафта теряется. Что не менее критично — лицензии на СЗИ часто не контролируются вообще — их даже могут забыть своевременно продлить. При этом регулятор требует актуальные данные в каждый момент времени. Без автоматизации это невозможно.

Как уход одного сотрудника ставит под удар систему защиты

Но как именно эти проблемы бьют по конкретному предприятию? 

Рассмотрим на реалистичном примере. В крупном региональном водоканале вся база активов и лицензий на средства защиты информации велась в Excel-файле одним сотрудником. После его увольнения структурированной документации не осталось, карту ИТ-ландшафта восстанавливали в авральном режиме. Вскоре выяснилось: часть лицензий истекла, задачи по обновлению сигнатур терялись в переписке, а значительная доля активов была учтена неверно. Отчетность для ФСТЭК формировали в спешке, руководство получило предупреждение о риске штрафа. 

Решением станет разработка и внедрение модулей Системы автоматизации обеспечения информационной безопасности (САОБ) на базе low-code платформы ePlat4m от УЦСБ. Выбрали только необходимые модули: управление активами, управление критической информационной инфраструктурой, моделирование угроз ИБ и управление средствами защиты информации.

После внедрения система автоматически загрузила данные из всех учетных систем — Excel-хаос исчез, реестры стали актуальными, дубли исключены. Теперь информация об активах (серверах, станциях, СЗИ) хранится централизованно и доступна любому сотруднику, независимо от кадровых изменений. Контроль лицензий стал автоматическим: платформа отслеживает сроки и заранее оповещает о продлении. Паспорта СЗИ формируются мгновенно. Моделирование угроз по методике ФСТЭК происходит в один клик.

Результат для водоканала: реестры актуальны, ни одна лицензия не просрочена, отчетность готовится за минуты. Предприятие прошло проверку ФСТЭК без штрафов и предписаний. Время, которое раньше тратилось на авральный сбор данных, теперь направлено на реальную защиту инфраструктуры.

Заключение

Игнорирование проблем с контролем исполнения задач и бессистемным хранением данных — прямой путь к штрафам и предписаниям. Приказ 117 не прощает формализма: регулятор проверяет не наличие бумажных регламентов, а реальное состояние активов, лицензий и документов. Кейс регионального водоканала показывает, что даже критически важное предприятие может оказаться в ловушке ручного учета. В то время как автоматизация на базе ePlat4m (САОБ) превращает хаос в управляемый процесс и позволяет проходить проверки без штрафов и предписаний.

В этой статье разобрали, к чему приводят неактуальные реестры и потерянные лицензии. Во второй части цикла расскажем о том, почему перегрузка персонала и человеческий фактор становятся главной причиной ИБ-инцидентов, и как автоматизация помогает этого избежать.