Приказ ФСТЭК России № 17 от 2013 года был одним из основных нормативных актов, определяющих защиту государственных информационных систем — на него опиралась вся методология выбора мер защиты для ГИС и ИСПДн. С 1 марта 2026 года приказ № 17 утратил силу, его заменил приказ № 117. Это не косметическое обновление, разберём, что реально поменялось.
Главное концептуальное изменение: от качества к количеству
Приказ № 17 формулировал требования в качественной форме: «должна быть обеспечена идентификация субъектов», «должен быть реализован контроль целостности», и так далее. Оператор сам интерпретировал, что значит «обеспечена» — какие именно средства, на каких уровнях, с какой частотой проверок. Это давало гибкость, но и создавало пространство для упрощений.
В приказе № 117 появились числовые метрики класса защищённости информации (КЗИ) и подсистем защиты (ПЗИ). Это означает, что многие требования теперь имеют конкретные численные значения — например, частота автоматизированного контроля, минимальная длина паролей, временные характеристики аудита и так далее.
Практическое следствие: аудит и аттестация становятся более конкретными. Если раньше эксперт мог принять «у нас контроль реализован» по факту наличия процесса, теперь нужны измеримые подтверждения, что показатели соответствуют пороговым значениям.
В приказе № 117 появились числовые метрики класса защищённости информации (КЗИ) и подсистем защиты (ПЗИ). Это означает, что многие требования теперь имеют конкретные численные значения — например, частота автоматизированного контроля, минимальная длина паролей, временные характеристики аудита и так далее.
Практическое следствие: аудит и аттестация становятся более конкретными. Если раньше эксперт мог принять «у нас контроль реализован» по факту наличия процесса, теперь нужны измеримые подтверждения, что показатели соответствуют пороговым значениям.
Жёсткие сроки устранения уязвимостей
Приказ № 117 ввёл жёсткие сроки устранения выявленных уязвимостей с разделением по уровню критичности. Это закрывает один из наиболее распространённых пробелов в практике — когда уязвимость обнаружена и зафиксирована, но «когда-нибудь закроем».
Теперь сроки конкретны. Это требует, чтобы у оператора была не только система выявления уязвимостей (это давно требование), но и зрелый процесс их устранения с автоматизацией и метриками.
Теперь сроки конкретны. Это требует, чтобы у оператора была не только система выявления уязвимостей (это давно требование), но и зрелый процесс их устранения с автоматизацией и метриками.
Расширение зоны ответственности
Под действие приказа № 117 попадает большая совокупность систем по сравнению с приказом № 17. Часть требований распространяется на ИСПДн, ГИС, а отдельные положения касаются и объектов КИИ. Это означает необходимость пересмотра классификации систем оператора.
Что нужно сделать в 2026
Если ваша организация — оператор ГИС или ИСПДн, базовый чек-лист в 2026:
Первое — провести инвентаризацию информационных систем и подтвердить их классификацию по новой методологии приказа № 117. Если у вас в реестре стоит «ГИС 2 класс» по приказу № 17, нужно проверить, соответствует ли это новой шкале.
Второе — пересмотреть модель угроз и модель нарушителя. Часть угроз, актуальных в 2013 году, утратили актуальность, появились новые (тот же массированный DDoS, AI-генерируемые атаки, supply chain). Модель нужно актуализировать.
Третье — провести анализ соответствия текущей системы защиты требованиям нового приказа. Где требования стали жёстче — там, скорее всего, потребуется доработка.
Четвёртое — пересмотреть состав сертифицированных средств защиты. ФСТЭК параллельно «чистит» реестр — приостановлены сертификаты на 56 продуктов западных вендоров. Если ваши средства защиты теперь со статусом «приостановлен», без действующего договора поддержки их нельзя использовать в новых проектах.
Пятое — спланировать аттестацию (или подтверждение соответствия) с учётом новых требований. Аттестационные испытания после марта 2026 проводятся по № 117.
Первое — провести инвентаризацию информационных систем и подтвердить их классификацию по новой методологии приказа № 117. Если у вас в реестре стоит «ГИС 2 класс» по приказу № 17, нужно проверить, соответствует ли это новой шкале.
Второе — пересмотреть модель угроз и модель нарушителя. Часть угроз, актуальных в 2013 году, утратили актуальность, появились новые (тот же массированный DDoS, AI-генерируемые атаки, supply chain). Модель нужно актуализировать.
Третье — провести анализ соответствия текущей системы защиты требованиям нового приказа. Где требования стали жёстче — там, скорее всего, потребуется доработка.
Четвёртое — пересмотреть состав сертифицированных средств защиты. ФСТЭК параллельно «чистит» реестр — приостановлены сертификаты на 56 продуктов западных вендоров. Если ваши средства защиты теперь со статусом «приостановлен», без действующего договора поддержки их нельзя использовать в новых проектах.
Пятое — спланировать аттестацию (или подтверждение соответствия) с учётом новых требований. Аттестационные испытания после марта 2026 проводятся по № 117.
Что меняется в практике аудита
Если ваша организация проходит периодические проверки (например, ежегодные), готовиться нужно сильнее. Эксперт по приказу № 117 будет требовать измеримые подтверждения — журналы аудита, статистику инцидентов, метрики реакции, документированные процедуры с конкретными временными параметрами.
Это часто означает, что нужны дополнительные технические средства — SIEM с грамотной настройкой корреляций, системы автоматизации управления уязвимостями, инструменты непрерывного мониторинга соответствия (compliance monitoring).
Это часто означает, что нужны дополнительные технические средства — SIEM с грамотной настройкой корреляций, системы автоматизации управления уязвимостями, инструменты непрерывного мониторинга соответствия (compliance monitoring).
Тонкий момент: совместимость с другими регуляциями
Приказ № 117 не существует в вакууме. Параллельно действуют требования по КИИ (ФЗ № 187), требования о применении ПО из реестра Минцифры на значимых объектах КИИ (с 1 сентября 2025), требования ФЗ-152 о персональных данных. Все эти требования должны выполняться одновременно и непротиворечиво.
Грамотная подготовка к № 117 — это не точечное соответствие отдельному приказу, а пересборка системы управления информационной безопасностью с учётом всех актуальных регуляций.
Грамотная подготовка к № 117 — это не точечное соответствие отдельному приказу, а пересборка системы управления информационной безопасностью с учётом всех актуальных регуляций.
Как мы помогаем
ОЛЛИ ИТ ведёт проекты по приведению информационных систем в соответствие с актуальными требованиями ФСТЭК. Это включает аудит текущего состояния, пересмотр модели угроз, проектирование подсистем защиты, подбор и внедрение сертифицированных средств защиты, сопровождение аттестации.
Если вы понимаете, что после марта 2026 многое в вашей системе защиты потребует доработки, и хотите оценить объём работ — пришлите краткое описание вашей информационной системы и текущей классификации на zakaz@olly.ru.
Если вы понимаете, что после марта 2026 многое в вашей системе защиты потребует доработки, и хотите оценить объём работ — пришлите краткое описание вашей информационной системы и текущей классификации на zakaz@olly.ru.