Приказ ФСТЭК №117: новая эпоха защиты ГИС с 1 марта 2026

Для ИТ-директоров и специалистов по информационной безопасности наступает период, который можно назвать «великой миграцией». Приказ ФСТЭК России №17, служивший фундаментом для защиты государственных информационных систем (ГИС) на протяжении долгих 13 лет (с 2013 года), уходит в историю. Его преемник — Приказ №117 от 11.04.2025 — вступает в силу 1 марта 2026 года.

Это не косметическая правка старого текста, а радикальная смена правил игры. Регулятор переходит от статичных требований к модели непрерывного контроля. Организациям — от федеральных министерств до сельских муниципалитетов — предстоит не просто обновить документацию, а фактически перестроить архитектуру безопасности. Учитывая инертность закупочных процедур и сложность аттестации, 1 марта 2026 года — это не дата начала планирования, а день, когда обновленная система уже должна стоять «под ружьем».

Приказ №117 сохраняет привычную трехступенчатую иерархию классов защищенности (К1, К2 и К3), однако серьезно ужесточает требования к выбору инструментов защиты.

Ключевой аналитический нюанс, который многие упускают при первом прочтении, заложен в пунктах 71–72. Согласно новым требованиям, класс используемых средств защиты информации (СЗИ) теперь обязан строго соответствовать классу самой системы. Если ваша ИС классифицирована как К1, то и установленный на периметре межсетевой экран (NGFW) должен иметь сертификат ФСТЭК соответствующего класса. Это исключает возможность использования «облегченных» решений в критически значимых системах и ставит перед ИТ-департаментами задачу жесткого аудита закупок.

«Документ вступает в силу 1 марта 2026 года и заменяет Приказ №17. Аттестаты соответствия, выданные до этой даты, сохраняют силу, однако новые системы и те, что проходят переаттестацию, должны проектироваться исключительно по новым требованиям».

Пункт 63 Приказа №117 вводит 17 базовых мер защиты. Для многих организаций внедрение каждой из них по отдельности превращается в построение «зоопарка решений» — нагромождение продуктов от разных вендоров, которые крайне сложно интегрировать и еще сложнее поддерживать.

Использование многофункционального устройства NGFW/UTM‑класса помогает уйти от «зоопарка» разрозненных СЗИ: часть базовых сетевых мер закрывается на одном узле, что упрощает эксплуатацию и аттестацию за счёт меньшего числа объектов контроля. Важно проверять соответствие конкретной модели и её сертификатов вашей архитектуре и классу (К1/К2/К3).

• Защита веб-ресурсов и API (п. 63 ж, з): Полноценный WAF на базе связки Nginx+NAXSI блокирует SQL-инъекции и XSS без покупки отдельного «железа».
• Контроль доступа (п. 63 а, б, м): Идентификация пользователей через AD/LDAP и контроль приложений на уровне L7.
• Обнаружение вторжений (п. 63 о): Система IPS с использованием актуальных сигнатур/правил обнаружения угроз (в рамках возможностей и сертификации продукта).
• Защита от DDoS (п. 63 р): Профилирование трафика и использование SYN-прокси для предотвращения атак на отказ в обслуживании.
• Защищенные каналы связи (п. 63 с): VPN в режимах «сеть-сеть», «клиент-сеть» и «клиент-клиент» с поддержкой IPsec/OpenVPN и других распространённых режимов VPN (уточняйте поддерживаемые протоколы в конкретной сертифицированной поставке).

Самый большой «сюрприз» Приказа №117 — это введение показателя защищенности Кзи (п. 31). Раньше аттестация была «разовой печатью»: получили документ и забыли о нем на годы. Теперь ИБ превращается в непрерывный аудит.

Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.

Самый большой «сюрприз» Приказа №117 — это введение показателя защищенности Кзи (п. 31). Раньше аттестация была «разовой печатью»: получили документ и забыли о нем на годы. Теперь ИБ превращается в непрерывный аудит.

Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.

Самый большой «сюрприз» Приказа №117 — это введение показателя защищенности Кзи (п. 31). Раньше аттестация была «разовой печатью»: получили документ и забыли о нем на годы. Теперь ИБ превращается в непрерывный аудит.

Оценка показателя Кзи должна проводиться не реже одного раза в 6 месяцев. Для ИТ-служб это означает необходимость тотальной автоматизации. Соблюсти это требование вручную практически невозможно. Именно здесь критически важна интеграция NGFW с SIEM-системами (п. 49): NGFW становится источником нормализованных событий и телеметрии, на базе которых SIEM может автоматизировать расчёт и контроль показателя защищённости. Без такого фундамента мониторинг превращается в бесконечную административную нагрузку.

Чтобы 1 марта 2026 года не стало днем экстренного исправления ошибок, начните подготовку по следующему алгоритму:
1. Классификация: Определите класс защищенности ваших систем (К1, К2 или К3) согласно приложению к новому Приказу.
2. Инвентаризация и аудит сертификатов: Проверьте наличие сертификатов ФСТЭК на все текущие СЗИ и — что критически важно — сроки их действия. Просроченный сертификат равносилен отсутствию защиты.
3. Выбор базового NGFW: Перейдите от «зоопарка» к сертифицированному NGFW, который закроет максимум сетевых мер (14 из 17).
4. Автоматизация мониторинга: Настройте связку NGFW + SIEM для автоматического расчета показателя Кзи раз в полгода.
5. Организационный блок: Обновите внутренние регламенты и обучите персонал работе с новыми инструментами мониторинга.

— начинать с закупки «железа» без классификации К1/К2/К3 и модели угроз;

— не проверять сроки и состав сертификатов ФСТЭК на текущие СЗИ (просрочка = риск провала аттестации);

— не закладывать людей и регламенты под «непрерывный контроль» (Кзи), надеясь закрыть всё документацией;

— строить мониторинг без нормализации событий: SIEM есть, а данных для расчёта и расследований нет;

— забывать про эксплуатацию: резервирование, доступ к логам, обновления, обучение пользователей.

— наличие актуального сертификата ФСТЭК, покрывающего требуемые функции для вашего класса;
— достаточная производительность в «реальных» режимах (IPS/SSL inspection/VPN), а не в рекламных тестах;
— качество логирования и интеграций с SIEM (форматы, нормализация, события по политикам);
— удобство эксплуатации: роли/права, отчётность, бэкапы конфигов, прозрачность изменений;
— понятный SLA/сервис и наличие запасных частей/замены на время ремонта.

Приказ ФСТЭК №117 — это переход от «бумажной» безопасности к реальной защищенности, основанной на данных и постоянном анализе. Подготовка требует времени, но современные инструменты позволяют упростить этот путь. Практический шаг: запланируйте пилот (PoC) сертифицированного NGFW и связки NGFW+SIEM на одном сегменте, чтобы в реальных условиях проверить закрытие мер, полноту логирования и трудозатраты на сопровождение.

Завершая, задайте себе вопрос: готова ли ваша текущая инфраструктура пройти аттестацию по новым правилам, или утро 1 марта 2026 года вы встретите с предписанием о приостановке работы систем?