Введение: Почему 1 марта 2026 года — это новая «точка невозврата»
Для ИТ-директоров и специалистов по информационной безопасности наступает период, который можно назвать «великой миграцией». Приказ ФСТЭК России №17, служивший фундаментом для защиты государственных информационных систем (ГИС) на протяжении долгих 13 лет (с 2013 года), уходит в историю. Его преемник — Приказ №117 от 11.04.2025 — вступает в силу 1 марта 2026 года.
Это не косметическая правка старого текста, а радикальная смена правил игры. Регулятор переходит от статичных требований к модели непрерывного контроля. Организациям — от федеральных министерств до сельских муниципалитетов — предстоит не просто обновить документацию, а фактически перестроить архитектуру безопасности. Учитывая инертность закупочных процедур и сложность аттестации, 1 марта 2026 года — это не дата начала планирования, а день, когда обновленная система уже должна стоять «под ружьем».
Это не косметическая правка старого текста, а радикальная смена правил игры. Регулятор переходит от статичных требований к модели непрерывного контроля. Организациям — от федеральных министерств до сельских муниципалитетов — предстоит не просто обновить документацию, а фактически перестроить архитектуру безопасности. Учитывая инертность закупочных процедур и сложность аттестации, 1 марта 2026 года — это не дата начала планирования, а день, когда обновленная система уже должна стоять «под ружьем».
Факт №1: Прощание с Приказом №17 и новая классификация (К1, К2, К3)
Приказ №117 сохраняет привычную трехступенчатую иерархию классов защищенности (К1, К2 и К3), однако серьезно ужесточает требования к выбору инструментов защиты.
Ключевой аналитический нюанс, который многие упускают при первом прочтении, заложен в пунктах 71–72. Согласно новым требованиям, класс используемых средств защиты информации (СЗИ) теперь обязан строго соответствовать классу самой системы. Если ваша ИС классифицирована как К1, то и установленный на периметре межсетевой экран (NGFW) должен иметь сертификат ФСТЭК соответствующего класса. Это исключает возможность использования «облегченных» решений в критически значимых системах и ставит перед ИТ-департаментами задачу жесткого аудита закупок.
«Документ вступает в силу 1 марта 2026 года и заменяет Приказ №17. Аттестаты соответствия, выданные до этой даты, сохраняют силу, однако новые системы и те, что проходят переаттестацию, должны проектироваться исключительно по новым требованиям».
Ключевой аналитический нюанс, который многие упускают при первом прочтении, заложен в пунктах 71–72. Согласно новым требованиям, класс используемых средств защиты информации (СЗИ) теперь обязан строго соответствовать классу самой системы. Если ваша ИС классифицирована как К1, то и установленный на периметре межсетевой экран (NGFW) должен иметь сертификат ФСТЭК соответствующего класса. Это исключает возможность использования «облегченных» решений в критически значимых системах и ставит перед ИТ-департаментами задачу жесткого аудита закупок.
«Документ вступает в силу 1 марта 2026 года и заменяет Приказ №17. Аттестаты соответствия, выданные до этой даты, сохраняют силу, однако новые системы и те, что проходят переаттестацию, должны проектироваться исключительно по новым требованиям».
Факт №2: Магия цифр — как один NGFW закрывает 14 из 17 базовых мер
Пункт 63 Приказа №117 вводит 17 базовых мер защиты. Для многих организаций внедрение каждой из них по отдельности превращается в построение «зоопарка решений» — нагромождение продуктов от разных вендоров, которые крайне сложно интегрировать и еще сложнее поддерживать.
Использование многофункционального устройства NGFW/UTM‑класса помогает уйти от «зоопарка» разрозненных СЗИ: часть базовых сетевых мер закрывается на одном узле, что упрощает эксплуатацию и аттестацию за счёт меньшего числа объектов контроля. Важно проверять соответствие конкретной модели и её сертификатов вашей архитектуре и классу (К1/К2/К3).
Использование многофункционального устройства NGFW/UTM‑класса помогает уйти от «зоопарка» разрозненных СЗИ: часть базовых сетевых мер закрывается на одном узле, что упрощает эксплуатацию и аттестацию за счёт меньшего числа объектов контроля. Важно проверять соответствие конкретной модели и её сертификатов вашей архитектуре и классу (К1/К2/К3).
Какие возможности NGFW/UTM критичны в контексте Приказа №117:
• Защита веб-ресурсов и API (п. 63 ж, з): Полноценный WAF на базе связки Nginx+NAXSI блокирует SQL-инъекции и XSS без покупки отдельного «железа».
• Контроль доступа (п. 63 а, б, м): Идентификация пользователей через AD/LDAP и контроль приложений на уровне L7.
• Обнаружение вторжений (п. 63 о): Система IPS с использованием актуальных сигнатур/правил обнаружения угроз (в рамках возможностей и сертификации продукта).
• Защита от DDoS (п. 63 р): Профилирование трафика и использование SYN-прокси для предотвращения атак на отказ в обслуживании.
• Защищенные каналы связи (п. 63 с): VPN в режимах «сеть-сеть», «клиент-сеть» и «клиент-клиент» с поддержкой IPsec/OpenVPN и других распространённых режимов VPN (уточняйте поддерживаемые протоколы в конкретной сертифицированной поставке).
• Контроль доступа (п. 63 а, б, м): Идентификация пользователей через AD/LDAP и контроль приложений на уровне L7.
• Обнаружение вторжений (п. 63 о): Система IPS с использованием актуальных сигнатур/правил обнаружения угроз (в рамках возможностей и сертификации продукта).
• Защита от DDoS (п. 63 р): Профилирование трафика и использование SYN-прокси для предотвращения атак на отказ в обслуживании.
• Защищенные каналы связи (п. 63 с): VPN в режимах «сеть-сеть», «клиент-сеть» и «клиент-клиент» с поддержкой IPsec/OpenVPN и других распространённых режимов VPN (уточняйте поддерживаемые протоколы в конкретной сертифицированной поставке).
Факт №3: Показатель Кзи — безопасность теперь измеряется каждые полгода
Самый большой «сюрприз» Приказа №117 — это введение показателя защищенности Кзи (п. 31). Раньше аттестация была «разовой печатью»: получили документ и забыли о нем на годы. Теперь ИБ превращается в непрерывный аудит.
Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.
Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.
Факт №4: Муниципалитеты и ГУПы — в зоне ответственности теперь все
Самый большой «сюрприз» Приказа №117 — это введение показателя защищенности Кзи (п. 31). Раньше аттестация была «разовой печатью»: получили документ и забыли о нем на годы. Теперь ИБ превращается в непрерывный аудит.
Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.
Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.
Факт №5: «Серебряной пули» не существует, но есть «фундамент»
Самый большой «сюрприз» Приказа №117 — это введение показателя защищенности Кзи (п. 31). Раньше аттестация была «разовой печатью»: получили документ и забыли о нем на годы. Теперь ИБ превращается в непрерывный аудит.
Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.
Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.
План действий: 5 шагов к готовности (Чек-лист)
Чтобы 1 марта 2026 года не стало днем экстренного исправления ошибок, начните подготовку по следующему алгоритму:
1. Классификация: Определите класс защищенности ваших систем (К1, К2 или К3) согласно приложению к новому Приказу.
2. Инвентаризация и аудит сертификатов: Проверьте наличие сертификатов ФСТЭК на все текущие СЗИ и — что критически важно — сроки их действия. Просроченный сертификат равносилен отсутствию защиты.
3. Выбор базового NGFW: Перейдите от «зоопарка» к сертифицированному NGFW, который закроет максимум сетевых мер (14 из 17).
4. Автоматизация мониторинга: Настройте связку NGFW + SIEM для автоматического расчета показателя Кзи раз в полгода.
5. Организационный блок: Обновите внутренние регламенты и обучите персонал работе с новыми инструментами мониторинга.
1. Классификация: Определите класс защищенности ваших систем (К1, К2 или К3) согласно приложению к новому Приказу.
2. Инвентаризация и аудит сертификатов: Проверьте наличие сертификатов ФСТЭК на все текущие СЗИ и — что критически важно — сроки их действия. Просроченный сертификат равносилен отсутствию защиты.
3. Выбор базового NGFW: Перейдите от «зоопарка» к сертифицированному NGFW, который закроет максимум сетевых мер (14 из 17).
4. Автоматизация мониторинга: Настройте связку NGFW + SIEM для автоматического расчета показателя Кзи раз в полгода.
5. Организационный блок: Обновите внутренние регламенты и обучите персонал работе с новыми инструментами мониторинга.
Типовые ошибки при переходе на Приказ №117:
— начинать с закупки «железа» без классификации К1/К2/К3 и модели угроз;
— не проверять сроки и состав сертификатов ФСТЭК на текущие СЗИ (просрочка = риск провала аттестации);
— не закладывать людей и регламенты под «непрерывный контроль» (Кзи), надеясь закрыть всё документацией;
— строить мониторинг без нормализации событий: SIEM есть, а данных для расчёта и расследований нет;
— забывать про эксплуатацию: резервирование, доступ к логам, обновления, обучение пользователей.
— не проверять сроки и состав сертификатов ФСТЭК на текущие СЗИ (просрочка = риск провала аттестации);
— не закладывать людей и регламенты под «непрерывный контроль» (Кзи), надеясь закрыть всё документацией;
— строить мониторинг без нормализации событий: SIEM есть, а данных для расчёта и расследований нет;
— забывать про эксплуатацию: резервирование, доступ к логам, обновления, обучение пользователей.
Критерии выбора NGFW под №117 (быстрый чек‑лист):
— наличие актуального сертификата ФСТЭК, покрывающего требуемые функции для вашего класса;
— достаточная производительность в «реальных» режимах (IPS/SSL inspection/VPN), а не в рекламных тестах;
— качество логирования и интеграций с SIEM (форматы, нормализация, события по политикам);
— удобство эксплуатации: роли/права, отчётность, бэкапы конфигов, прозрачность изменений;
— понятный SLA/сервис и наличие запасных частей/замены на время ремонта.
— достаточная производительность в «реальных» режимах (IPS/SSL inspection/VPN), а не в рекламных тестах;
— качество логирования и интеграций с SIEM (форматы, нормализация, события по политикам);
— удобство эксплуатации: роли/права, отчётность, бэкапы конфигов, прозрачность изменений;
— понятный SLA/сервис и наличие запасных частей/замены на время ремонта.
Заключение: Взгляд в будущее
Приказ ФСТЭК №117 — это переход от «бумажной» безопасности к реальной защищенности, основанной на данных и постоянном анализе. Подготовка требует времени, но современные инструменты позволяют упростить этот путь. Практический шаг: запланируйте пилот (PoC) сертифицированного NGFW и связки NGFW+SIEM на одном сегменте, чтобы в реальных условиях проверить закрытие мер, полноту логирования и трудозатраты на сопровождение.
Завершая, задайте себе вопрос: готова ли ваша текущая инфраструктура пройти аттестацию по новым правилам, или утро 1 марта 2026 года вы встретите с предписанием о приостановке работы систем?
Завершая, задайте себе вопрос: готова ли ваша текущая инфраструктура пройти аттестацию по новым правилам, или утро 1 марта 2026 года вы встретите с предписанием о приостановке работы систем?