Приказ ФСТЭК №117 вступил в силу 1 марта 2026 года. Если ваша организация эксплуатирует государственную информационную систему, муниципальную ИС или иную информационную систему госоргана — с этого дня вы обязаны соответствовать новым требованиям. Приказ №17 от 2013 года прекратил действие в тот же день.
В этой статье — полный разбор: что изменилось, кому применяется, какие сроки нарушать нельзя и как SGRC-платформа помогает выполнить требования автоматически.
Официальные даты приказа ФСТЭК №117
| Событие | Дата |
|---|---|
| Подписание | 11 апреля 2025 |
| Регистрация в Минюсте | 16 июня 2025, № 82619 |
| Официальная публикация | 18 апреля 2025 |
| Вступление в силу | 1 марта 2026 |
| Утрата силы приказа №17 | 1 марта 2026 |
Переходный период составил около 11 месяцев — с апреля 2025 по март 2026. Этот срок дали для подготовки. Срок истёк.
Кому применяется приказ №117
Новый приказ распространяется на:
- Государственные информационные системы (ГИС) — реестры, порталы, системы учёта госорганов
- Иные ИС государственных органов — не классифицированные как ГИС, но принадлежащие госструктурам
- ИС государственных унитарных предприятий (ГУП) и государственных учреждений
- Муниципальные информационные системы (МИС) — прямо включены в область применения впервые
- Частные ИС, получающие информацию ограниченного доступа от ГИС (req-2)
Приказ не распространяется на: АП Президента, Совет Безопасности, Федеральное Собрание, Конституционный и Верховный суды, системы разведки, контрразведки и управления вооружением.
Важное уточнение по КИИ: Приказ №117 не заменяет приказ ФСТЭК №239. Объекты критической информационной инфраструктуры продолжают работать по №239. Если ваша ГИС одновременно является объектом КИИ — выполняются оба приказа.
Что заменяет приказ №117
Приказ №117 заменяет сразу несколько документов:
- Приказ ФСТЭК №17 от 11.02.2013 (полностью)
- Поправки к нему: приказы №27, №61, №106
- Часть положений приказа №159
Это не косметическое обновление. Это принципиально другой подход к оценке защищённости.
Ключевые изменения: от классов к числам
Новый показатель КЗИ — коэффициент защищённости информации
Главное нововведение приказа №117 — количественный показатель КЗИ со шкалой от 0 до 1. Базовый минимум — КЗИ = 1.
По старому приказу №17 система либо соответствовала классу, либо нет — бинарная оценка. По новому приказу каждый из 16 критериев оценивается по шкале 0–1, что позволяет видеть реальную степень зрелости защиты и управлять ею.
Второй показатель — ПЗИ — уровень зрелости процессов ИБ. Оценивается реже — раз в 2 года.
Сравнение приказов №17 и №117
| Критерий | Приказ №17 (2013) | Приказ №117 (2025) |
|---|---|---|
| Подход к оценке | Качественный (классы) | Количественный (КЗИ) |
| Классы защищённости | К1, К2, К3 | К1, К2, К3 (сохранены) |
| Числовой показатель | Нет | КЗИ от 0 до 1 |
| Минимальный уровень | Соответствие классу | КЗИ = 1 |
| Периодичность оценки | При изменениях | Каждые 6 месяцев |
| Количество требований | ~150 мер | 16 критериев в 4 группах |
| Область применения | Только ГИС | ГИС + иные ИС + ГУП + МУП + МИС + подрядчики |
| Аттестация | Раз в 1–2 года по классу | Сохраняется + регулярная оценка КЗИ |
| Требования к ИИ | Нет | Да (req-60, req-61) |
Структура: 16 критериев вместо 150 мер
В приказе №117 требования сгруппированы в 16 критериев в рамках 4 групп:
- Организационные (4 критерия): политики, ответственные, документация, обучение
- Технические (5 критериев): управление уязвимостями, защита доступа, мониторинг, резервирование, защита периметра
- Контроль (4 критерия): оценка КЗИ и ПЗИ, аттестация, пентесты, контроль подрядчиков
- Реагирование (3 критерия): инциденты, непрерывность, взаимодействие с ГосСОПКА
Сокращение числа пунктов с ~150 до 16 не означает упрощения — это укрупнение с переходом к процессному подходу.
Жёсткие SLA — сроки, которые нельзя нарушать
Одно из главных ужесточений — конкретные временны́е обязательства в требованиях (req-38, req-32, req-53, req-67).
Управление уязвимостями (req-38)
| Критичность уязвимости | Срок устранения |
|---|---|
| Критические | 24 часа |
| Высокие | 7 дней |
| Новые из БДУ ФСТЭК | 5 дней |
Работа с базой данных угроз ФСТЭК (БДУ) теперь не рекомендация — это требование с чёткими дедлайнами. Рассчитать SLA автоматически — CVSS v4.0 калькулятор с SLA по №117.
Оценка КЗИ (req-32)
| Показатель | Периодичность | Срок эскалации |
|---|---|---|
| КЗИ | Каждые 6 месяцев | 3 дня при отклонении |
| ПЗИ | Каждые 2 года | — |
| Отчёт в ФСТЭК | После оценки | 5 рабочих дней |
Непрерывность (req-53) — RTO по классам
| Класс системы | Максимальное время простоя (RTO) |
|---|---|
| K1 (высший) | 24 часа |
| K2 | 7 дней |
| K3 | 4 недели |
Контрольные мероприятия (req-67)
- Пентесты, учения, сканирование — каждые 3 года
- Отчёт в ФСТЭК — в течение 5 рабочих дней после проведения
Искусственный интеллект в приказе №117 — первый в истории ФСТЭК
Это уникальная особенность приказа №117, которой нет ни в одном другом приказе ФСТЭК.
Два новых требования — req-60 и req-61 — посвящены защите систем с применением искусственного интеллекта. Это первый приказ ФСТЭК, в котором ИИ упомянут явно как объект защиты.
req-60: Защита ИИ-моделей и данных
Если ваша ИС использует ИИ-технологии, оператор обязан:
- Контролировать применяемые модели и обучающие данные
- Запретить передачу информации ограниченного доступа разработчикам ИИ-моделей — в том числе через API облачных сервисов
- Определить перечень допустимых ИИ-инструментов
Это прямой ответ на риски использования ChatGPT, GigaChat и других языковых моделей (LLM) в госорганах: сотрудник не вправе вставлять служебную информацию в запрос к внешней языковой модели.
req-61: Мониторинг ИИ-сервисов
- Соответствие выходных данных ИИ установленным шаблонам
- Тематический контроль — ИИ работает только в определённых областях
- Проверка точности ответов ИИ на регулярной основе
Практическое значение: если организация использует ИИ-ассистентов для работы с документами, автоматизации процессов или анализа данных — нужен отдельный регламент контроля ИИ с документированием.
Классификация информационных систем по приказу №117
Классы защищённости К1, К2, К3 сохранены, но теперь привязаны к двум параметрам: уровень значимости (УЗ) и масштаб системы.
Таблица классификации (app-7)
| УЗ \ Масштаб | Федеральный | Региональный | Объектовый (локальный) |
|---|---|---|---|
| УЗ1 (высокий) | K1 | K1 | K1 |
| УЗ2 (средний) | K1 | K2 | K3 |
| УЗ3 (низкий) | K2 | K3 | K3 |
Уровень значимости определяется по потенциальному ущербу конфиденциальности, целостности и доступности информации. Информация с грифом «ДСП» автоматически относится к УЗ1.
Требования к СЗИ по классу:
- K1 → средства защиты класса 4 и выше
- K2 → класса 5 и выше
- K3 → класса 6 и выше
Аттестация: что меняется
Аттестация ГИС сохраняется как обязательная процедура (req-65). Но изменяется её роль и периодичность.
По приказу №17: аттестация проводилась однократно, с проверкой К1 — раз в год, К2/К3 — раз в 2 года.
По приказу №117: аттестация дополняется обязательной регулярной оценкой КЗИ каждые 6 месяцев. Аттестация — это разовое подтверждение соответствия; КЗИ — непрерывный мониторинг состояния защиты между аттестациями.
Важно: расчёт КЗИ не требует лицензии ФСТЭК. Его может проводить внутренний специалист по ИБ. Аттестацию — только аккредитованные организации.
Что делать прямо сейчас
Если вы не успели подготовиться за переходный период — вот минимальный набор шагов:
1. Классифицируйте ИС по новой таблице (app-7) Определите класс каждой системы. Документ — акт классификации.
2. Проведите GAP-анализ по 16 критериям Сопоставьте текущее состояние с требованиями. Зафиксируйте разрыв.
3. Рассчитайте текущий КЗИ Если КЗИ < 1 — составьте план достижения базового уровня с конкретными сроками (req-33).
4. Актуализируйте документацию Политики и процедуры должны ссылаться на 16 критериев приказа №117, а не на меры приказа №17.
5. Настройте SLA для уязвимостей Критические — 24 часа, высокие — 7 дней. Без автоматизации этот контроль практически невозможен.
6. Разработайте регламент для ИИ (если применимо) Перечень допустимых ИИ-инструментов, запрет на передачу ДСП в внешние модели, мониторинг выходных данных.
Санкции за несоответствие
Требования приказа №117 обязательны. Контроль осуществляет ФСТЭК России.
Последствия нарушений:
- Предписания ФСТЭК об устранении нарушений
- Приостановление эксплуатации ГИС до устранения выявленных несоответствий
- Административная ответственность должностных лиц (КоАП РФ)
- Повышенные риски при расследовании инцидентов
Отчёт о результатах оценки КЗИ направляется в ФСТЭК в течение 5 рабочих дней. Это означает прямой надзорный контроль за динамикой показателя.
Как КиберОснова SGRC автоматизирует требования приказа №117
Приказ №117 действует с 1 марта 2026 года. Для организаций, эксплуатирующих ГИС, это уже текущий период — откладывать выполнение требований нельзя.
SGRC-платформа КиберОснова закрывает ключевые требования приказа №117 без ручной работы в таблицах.
Управление уязвимостями с SLA-контролем Платформа интегрируется с БДУ ФСТЭК, получает актуальные данные об угрозах и автоматически устанавливает сроки устранения: 24 часа для критических, 7 дней для высоких. Уведомления ответственным — автоматически.
Расчёт КЗИ каждые 6 месяцев Модуль оценки КЗИ рассчитывает текущий показатель по 16 критериям, отображает динамику и формирует отчёт для ФСТЭК в установленном формате.
GAP-анализ по приказу №117 Система показывает разрыв между текущим состоянием и базовым КЗИ = 1 с приоритизацией по влиянию на показатель.
Документация Автоматическая генерация политик, регламентов и актов классификации в соответствии с требованиями №117.
Мониторинг подрядчиков Контроль соответствия требованиям по изолированным тестовым средам и запрету разработки в рабочей среде (req-58).
Запросить демо — рассчитаем текущий КЗИ для вашей системы и покажем, что нужно закрыть в первую очередь.
Часто задаваемые вопросы
Когда вступил в силу приказ ФСТЭК №117? Приказ ФСТЭК №117 вступил в силу 1 марта 2026 года. С этой же даты утратил силу приказ ФСТЭК №17 от 2013 года.
Чем приказ ФСТЭК №117 отличается от приказа №17? Главное отличие — замена бинарной оценки «соответствует / не соответствует» на числовой показатель КЗИ от 0 до 1. Также введены конкретные SLA для уязвимостей (24 ч / 7 дней / 5 дней), обязательная переоценка КЗИ каждые 6 месяцев и требования к защите ИИ-систем (req-60, req-61).
Кому обязателен приказ ФСТЭК №117? Приказ обязателен для операторов ГИС, иных ИС государственных органов, ГУП, государственных учреждений, МУП и МИС. Также распространяется на частные организации, обрабатывающие информацию ограниченного доступа из ГИС.
Заменяет ли приказ №117 приказ №239? Нет. Приказ №117 заменяет только приказ №17 (и поправки к нему). Приказ №239, регулирующий защиту объектов КИИ, продолжает действовать. Если ГИС является объектом КИИ — выполняются оба приказа.
Что такое КЗИ в приказе ФСТЭК №117? КЗИ (коэффициент защищённости информации) — числовой показатель от 0 до 1, характеризующий уровень защиты информационной системы по 16 критериям в 4 группах. Базовый минимум — КЗИ = 1. Оценивается каждые 6 месяцев.
Нужна ли лицензия ФСТЭК для расчёта КЗИ? Нет. Расчёт КЗИ может проводить внутренний специалист по ИБ без лицензии. Лицензия (аккредитация) ФСТЭК необходима только для проведения аттестации информационной системы.
Какие требования к ИИ содержит приказ №117? Приказ №117 впервые в истории ФСТЭК вводит требования к защите ИИ-систем. Req-60 требует контроля ИИ-моделей и данных, в том числе запрета передачи информации ограниченного доступа разработчикам внешних моделей. Req-61 требует мониторинга выходных данных ИИ-сервисов на соответствие шаблонам и точность.
Какие сроки устранения уязвимостей установлены в приказе №117? Критические уязвимости — 24 часа. Высокие — 7 дней. Новые уязвимости из БДУ ФСТЭК — 5 дней.
Что будет, если не соответствовать приказу №117? ФСТЭК вправе выдать предписание об устранении нарушений, приостановить эксплуатацию ГИС и привлечь должностных лиц к административной ответственности. Отчёт о результатах оценки КЗИ направляется в ФСТЭК в течение 5 рабочих дней — это инструмент прямого надзора.
Связанные материалы: Сравнение приказов ФСТЭК №17 и №117 · Работа с БДУ ФСТЭК в SGRC · Что такое SGRC
Требования к документации по приказу №117
Что нужно обновить в ОРД
Переход с приказа №17 на №117 требует актуализации организационно-распорядительной документации. Ключевые изменения в ОРД:
- Политика ИБ — ссылки на требования №117 вместо №17, включение раздела по КЗИ и ПЗИ
- Регламент управления уязвимостями — SLA по категориям критичности (24ч/7д/5д)
- Регламент оценки КЗИ — периодичность, методология расчёта, порядок направления отчёта в ФСТЭК
- Акт классификации ИС — актуализация по новой таблице (app-7) с учётом УЗ и масштаба
- Регламент обращения с ИИ-сервисами (если применимо) — перечень допустимых инструментов, запреты
Старая документация, составленная под приказ №17 с привязкой к мерам ЗИС.х, АВЗ.х и другим, формально не соответствует структуре нового приказа. Аудитор вправе указать на это несоответствие.
Аттестация и КЗИ: как совмещать
По приказу №117 аттестация сохраняется как обязательная процедура (req-65), но её роль меняется. Аттестация — это разовое подтверждение соответствия, КЗИ — непрерывный инструмент мониторинга между аттестациями.
Практическая схема:
- Аттестация проводится аккредитованной организацией (лицензиат ФСТЭК)
- Расчёт КЗИ — каждые 6 месяцев, внутренним специалистом или подрядчиком (лицензия не требуется)
- Отчёт о КЗИ направляется в ФСТЭК в течение 5 рабочих дней
- При снижении КЗИ ниже 1 — план достижения базового уровня (req-33) с конкретными сроками
Организации, прошедшие аттестацию по старому приказу №17, не освобождаются от требований №117. Аттестат, выданный по №17, не действует в контексте новых требований.
Чек-лист готовности к приказу ФСТЭК №117
Используйте этот чек-лист для оценки текущего статуса соответствия:
Организационные критерии (4 из 16):
- Актуализированы политика ИБ и ОРД со ссылками на требования №117
- Назначен ответственный за расчёт и мониторинг КЗИ
- Весь персонал прошёл обучение по требованиям №117
- Сформирована документация по каждой ИС (акт классификации, техпаспорт)
Технические критерии (5 из 16):
- Настроен процесс управления уязвимостями со сроками: критические — 24 ч, высокие — 7 дней, новые из БДУ — 5 дней
- Реализована защита привилегированного доступа
- Настроен централизованный мониторинг событий ИБ
- Обеспечено резервирование для выполнения RTO по классу (K1: 24ч, K2: 7д, K3: 4 нед.)
- Реализована защита периметра (межсетевые экраны, сегментация)
Контрольные критерии (4 из 16):
- Разработана и утверждена методология расчёта КЗИ
- Запланированы оценки КЗИ каждые 6 месяцев
- Определена периодичность пентестов (раз в 3 года, req-67)
- Выстроен процесс контроля соответствия подрядчиков (req-58)
Критерии реагирования (3 из 16):
- Разработан и утверждён план реагирования на инциденты
- Обеспечено взаимодействие с ГосСОПКА
- Разработан план непрерывности с RTO по классу ИС
ИИ (если применимо):
- Сформирован реестр допустимых ИИ-сервисов
- Внедрён запрет на передачу ДСП во внешние ИИ-модели
- Разработан регламент контроля выходных данных ИИ
Переходные положения: что делать с аттестованными системами
Если ваши ГИС уже аттестованы по приказу №17, важно понимать, что с ними происходит с 1 марта 2026 года.
Аттестаты, выданные до 01.03.2026 — продолжают действовать до своего срока истечения. Однако с 01.03.2026 организация обязана начать выполнение требований приказа №117 в той части, которая не противоречит действующим мерам.
Приоритет действий на переходный период:
- Провести GAP-анализ по 16 критериям приказа №117
- Составить план устранения несоответствий с учётом сроков действующих аттестатов
- Обеспечить выполнение SLA по уязвимостям (req-38) — этот пункт вступил в силу немедленно
- Рассчитать текущий КЗИ и направить отчёт в ФСТЭК
Ожидается, что ФСТЭК выпустит методические рекомендации по переходу. Следите за официальным сайтом регулятора и обновлениями БДУ ФСТЭК.
Заключение
Приказ ФСТЭК №117 — это качественный переход от бумажного соответствия к реальному управлению защищённостью. Числовой КЗИ, жёсткие SLA на уязвимости и обязательные отчёты в ФСТЭК каждые 6 месяцев делают «имитацию соответствия» невозможной.
Для организаций, эксплуатирующих ГИС и ИС госорганов, теперь недостаточно пройти аттестацию раз в два года. Требуется непрерывный процесс оценки и улучшения уровня защиты.
SGRC-платформа КиберОснова автоматизирует расчёт КЗИ, управление уязвимостями с SLA-контролем, подготовку отчётности для ФСТЭК и актуализацию документации — всё в единой системе.
Связанные материалы: Приказ ФСТЭК №117: полное руководство · БДУ ФСТЭК · Сравнение приказов ФСТЭК
Актуально на март 2026 года. Источники: Приказ ФСТЭК №117 (вступил в силу 01.03.2026), официальный сайт ФСТЭК России.
Полезные ссылки: Приказ ФСТЭК №117 — официальный текст на publication.pravo.gov.ru · Реестр сертифицированных СЗИ ФСТЭК · БДУ ФСТЭК (база данных угроз)
