1 марта 2026 года приказ ФСТЭК №17 утратил силу. На смену ему пришёл приказ №117. Это не косметическое обновление — фундаментально изменился подход к оценке защищённости государственных информационных систем: от бинарного «соответствует / не соответствует» к числовому показателю КЗИ. Разбираем отличия конкретно.
Почему заменили приказ №17
Приказ ФСТЭК №17 был принят в 2013 году. За 13 лет применения накопились системные проблемы:
- Бинарная оценка не давала понять реальный уровень защищённости — система либо формально «аттестована», либо нет
- ~150 мер защиты создавали огромную документальную нагрузку без измеримого результата
- Аттестация раз в 1–2 года не отражала реальное текущее состояние защиты
- Нет требований к ИИ — при том что государственные органы активно внедряют ИИ-сервисы
- Расширение области применения стало необходимостью: ИС ГУП, МУП, муниципальные ИС, ИС подрядчиков остались без чёткого регулирования
Приказ №117 устраняет все эти проблемы.
Сравнительная таблица: приказ ФСТЭК №17 vs №117
| Критерий | Приказ №17 (2013) | Приказ №117 (2025) |
|---|---|---|
| Дата вступления в силу | 11.02.2013 | 01.03.2026 (утрата силы №17) |
| Подход к оценке | Качественный: классы К1, К2, К3 | Количественный: КЗИ от 0 до 1 |
| Числовой показатель | Нет | КЗИ (коэффициент защищённости информации) |
| Минимальный уровень | Соответствие классу | КЗИ = 1 (базовый) |
| Периодичность оценки | При изменениях в системе | Каждые 6 месяцев |
| Зрелость процессов | Нет | ПЗИ — раз в 2 года |
| Количество требований | ~150 мер | 16 критериев в 4 группах |
| Аттестация | Раз в 1 год (К1) / 2 года (К2, К3) | Сохраняется + регулярный КЗИ |
| Требования к ИИ | Нет | Да (req-60, req-61) |
| Сроки устранения уязвимостей | Не установлены | Критические — 24ч, высокие — 7 дней |
| RTO по классам | Не установлено | К1 — 24ч, К2 — 7 дней, К3 — 4 недели |
| Область применения | ГИС | ГИС + ИС госорганов + ГУП + МУП + МИС + подрядчики |
Главное отличие: от классов к числу
Приказ №17: бинарная логика
По старому приказу система классифицировалась как К1, К2 или К3, после чего к каждому классу применялся набор из ~150 мер защиты. Аттестация подтверждала соответствие — или нет.
Проблема: «соответствует» не значит «защищена». Организация могла формально выполнить все требования на бумаге и при этом иметь серьёзные дыры в безопасности. Никаких числовых измерений — только «галочки».
Приказ №117: количественная метрика
Вводится коэффициент защищённости информации (КЗИ) — число от 0 до 1, рассчитываемое по методике ФСТЭК на основе 16 критериев в 4 группах.
| Группа | Критерии | Количество |
|---|---|---|
| Организационные | Политики, ответственные, обучение, документация | 4 |
| Технические | Уязвимости, доступ, мониторинг, резервирование, периметр | 5 |
| Контроль | КЗИ/ПЗИ оценка, аттестация, пентесты, подрядчики | 4 |
| Реагирование | Инциденты, непрерывность, ГосСОПКА | 3 |
Каждый критерий оценивается по шкале 0–1. Итоговый КЗИ — агрегированный показатель. Базовый минимум — КЗИ = 1.
Это принципиальный сдвиг: теперь руководство видит реальную динамику защиты, а не просто факт аттестации.
Ключевые отличия по разделам
Периодичность: разовая аттестация vs постоянный мониторинг
Приказ №17: аттестация К1 — раз в год, К2/К3 — раз в 2 года. Между проверками система могла деградировать незаметно.
Приказ №117:
- Оценка КЗИ — каждые 6 месяцев (обязательно)
- Оценка ПЗИ (зрелости процессов) — каждые 2 года
- Отчёт в ФСТЭК — в течение 5 рабочих дней после оценки
- При отклонении от нормы КЗИ — эскалация в 3 дня
Защита превращается из разовой проверки в непрерывный процесс.
Требования к устранению уязвимостей: жёсткие SLA
В приказе №17 сроки устранения уязвимостей не устанавливались — это отдавалось на усмотрение организации.
В приказе №117 (req-38) — конкретные дедлайны:
| Критичность | Срок устранения |
|---|---|
| Критические уязвимости | 24 часа |
| Высокие уязвимости | 7 дней |
| Новые уязвимости из БДУ ФСТЭК | 5 дней |
Без автоматизации управления уязвимостями эти требования практически невозможно выполнить в масштабе.
Непрерывность: RTO теперь нормируется
Приказ №17 не устанавливал конкретных требований к времени восстановления.
Приказ №117 (req-53) вводит RTO (Recovery Time Objective) по классам систем:
| Класс | Максимальное время восстановления |
|---|---|
| K1 | 24 часа |
| K2 | 7 дней |
| K3 | 4 недели |
Требования к ИИ: первый в истории ФСТЭК
Это уникальная особенность приказа №117, которой нет ни в одном другом приказе ФСТЭК.
req-60 — защита ИИ-моделей: контроль применяемых моделей и обучающих данных, запрет на передачу информации ограниченного доступа разработчикам ИИ-моделей (включая облачные языковые модели).
req-61 — мониторинг ИИ-сервисов: соответствие выходных данных шаблонам, тематический контроль, проверка точности.
Если государственный орган использует ИИ-ассистентов, чат-боты или системы анализа данных на базе языковых моделей — теперь это требует отдельного регламента и документирования.
Область применения: расширение за пределы ГИС
Приказ №17 распространялся только на ГИС.
Приказ №117 охватывает:
- Государственные информационные системы (ГИС)
- Иные ИС государственных органов (не классифицированные как ГИС)
- ИС государственных унитарных предприятий (ГУП)
- ИС государственных учреждений
- Муниципальные информационные системы (МИС) — впервые явно
- Частные ИС, получающие информацию ограниченного доступа от ГИС
Что остаётся без изменений
- Классы защищённости К1, К2, К3 — сохранены
- Обязательность аттестации ГИС — сохраняется
- Ответственность оператора за безопасность системы — без изменений
- Требования к использованию сертифицированных СЗИ — сохраняются
- Требования к документированию — сохраняются (с обновлённой структурой)
Классы К1, К2, К3 теперь дополнены числовым показателем КЗИ, а не заменены им.
Как подготовиться к переходу
Приказ №117 уже вступил в силу (1 марта 2026). Если вы не успели подготовиться:
Шаг 1. Актуализируйте классификацию систем Приказ №117 расширяет область применения. Проверьте, все ли ваши системы учтены. Классификация — по таблице app-7 (УЗ × масштаб → К1/К2/К3).
Шаг 2. Рассчитайте текущий КЗИ Определите отправную точку. Если КЗИ < 1 — составьте план достижения базового уровня (req-33).
Шаг 3. Обновите документацию Политики и регламенты должны ссылаться на 16 критериев приказа №117, а не на меры приказа №17.
Шаг 4. Настройте SLA для уязвимостей 24 часа для критических и 7 дней для высоких уязвимостей требуют автоматизированного контроля.
Шаг 5. Разработайте регламент для ИИ (если применимо) Перечень допустимых инструментов, запрет на передачу ДСП во внешние модели.
КиберОснова SGRC: автоматизация требований приказа №117
Платформа КиберОснова закрывает ключевые требования приказа №117 — включая те, которые принципиально отличают его от приказа №17:
- Расчёт КЗИ каждые 6 месяцев — автоматически по 16 критериям с отчётом в формате ФСТЭК
- Управление уязвимостями с SLA — интеграция с БДУ ФСТЭК, контроль сроков 24ч/7д/5д
- GAP-анализ — приоритизация действий по влиянию на КЗИ
- Документация — автогенерация актов классификации и политик по структуре №117
- Аттестация — контроль готовности системы к аттестационной проверке
Запросить демо — рассчитаем КЗИ для вашей системы и покажем, что нужно сделать в первую очередь.
Часто задаваемые вопросы
Чем приказ ФСТЭК №17 отличается от приказа №117? Главное отличие — переход от бинарной оценки (класс К1/К2/К3) к числовому показателю КЗИ (от 0 до 1). Добавлены конкретные SLA для уязвимостей (24ч/7д/5д), обязательная переоценка КЗИ каждые 6 месяцев, RTO по классам и требования к защите ИИ-систем (req-60, req-61).
Когда перестал действовать приказ ФСТЭК №17? Приказ ФСТЭК №17 от 11.02.2013 утратил силу 1 марта 2026 года — одновременно со вступлением в силу приказа №117.
Сохранились ли классы К1, К2, К3 в приказе №117? Да. Классы К1, К2, К3 сохранены и определяются по той же матрице (уровень значимости × масштаб системы). В приказе №117 они дополнены числовым показателем КЗИ.
Нужно ли переоформлять аттестат соответствия при переходе с №17 на №117? Требования к аттестации сохраняются. Необходимо актуализировать документацию по 16 критериям приказа №117 и провести первую оценку КЗИ. Конкретный порядок переоформления уточняется по методическим документам ФСТЭК.
Что такое КЗИ и как он рассчитывается? КЗИ — коэффициент защищённости информации. Числовой показатель от 0 до 1, рассчитываемый по методике ФСТЭК на основе 16 критериев в 4 группах. Базовый минимум — КЗИ = 1. Оценивается каждые 6 месяцев.
Распространяется ли приказ №117 на ИС ГУП и МУП? Да. Приказ №117 явно включает ИС ГУП, государственных учреждений и муниципальные информационные системы в область применения — в отличие от приказа №17, который распространялся только на ГИС.
Связанные материалы: Приказ ФСТЭК №117 вступил в силу · БДУ ФСТЭК в КиберОснова · Что такое SGRC
Переход на требования приказа №117: практические шаги
Что нужно обновить в первую очередь
После 1 марта 2026 года организации, эксплуатирующие ГИС и ИС госорганов, должны выполнять требования приказа №117. Переход с №17 предполагает несколько ключевых изменений в текущей практике.
Новая документация
Структура документации изменилась. В приказе №17 требования были привязаны к конкретным мерам с кодами (ЗСВ.х, АВЗ.х и т.д.). В приказе №117 — к 16 критериям в четырёх группах. Это означает:
- Политика ИБ должна ссылаться на 16 критериев приказа №117
- Регламент управления уязвимостями должен включать SLA: 24ч/7д/5д
- Новый документ — регламент расчёта КЗИ: методология, периодичность, порядок направления отчёта в ФСТЭК
- При использовании ИИ-сервисов — регламент контроля ИИ
Первый расчёт КЗИ
Организация обязана провести первичный расчёт КЗИ и направить отчёт в ФСТЭК. Если КЗИ < 1 — составить план достижения базового уровня (req-33) с конкретными сроками.
Что НЕ нужно менять
- Классификация по классам К1/К2/К3 — логика определения классов сохранена
- Требования к сертифицированным СЗИ — классы требований не изменились
- Обязательность аттестации — аттестация сохраняется как обязательная процедура
- Основные технические меры защиты — большинство реализованных мер засчитываются
Почему КЗИ лучше, чем классы: аргументы для руководства
Числовой КЗИ — это не просто другой способ отчётности. Это инструмент управления.
При бинарной системе (приказ №17): статус системы — «аттестована» (1) или нет (0). Руководство не видит, насколько далеко система от идеального уровня защиты или насколько она деградировала с момента аттестации.
При КЗИ (приказ №117): статус — конкретное число, например, 0,73. Руководство видит:
- Динамику: с 0,73 в сентябре до 0,81 в марте — прогресс налицо
- Приоритеты: какие из 16 критериев тянут показатель вниз
- Риск: насколько отдалена система от базового минимума КЗИ = 1
Для CISO это аргумент в пользу инвестиций в ИБ: «сейчас КЗИ = 0,73, для достижения базового минимума нужны эти меры с таким бюджетом».
Типичные вопросы при переходе
Действует ли аттестат, выданный по приказу №17?
Аттестаты, выданные до 01.03.2026 по приказу №17, продолжают действовать до своего срока истечения. Однако с 01.03.2026 организация обязана параллельно выполнять требования №117 — прежде всего SLA по уязвимостям и регулярный расчёт КЗИ. Первая плановая переаттестация будет проходить уже по требованиям №117.
Нужна ли лицензия ФСТЭК для расчёта КЗИ?
Нет. Расчёт КЗИ может проводить внутренний специалист по ИБ без лицензии. Аттестация ИС — только аккредитованной организацией (лицензиат ФСТЭК). Это снижает барьер для регулярного мониторинга.
Как приказ №117 соотносится с приказом №239?
Приказ №117 заменяет №17 — для ГИС и ИС госорганов. Приказ №239 регулирует безопасность значимых объектов КИИ и продолжает действовать независимо. Если система является одновременно ГИС и значимым объектом КИИ — применяются оба приказа.
Автоматизация расчёта КЗИ в SGRC-платформе
SGRC-платформа КиберОснова автоматизирует ключевые обязанности по приказу №117, которые без инструментов требуют значительных ручных усилий:
Расчёт КЗИ каждые 6 месяцев Система рассчитывает КЗИ по 16 критериям на основе актуального состояния мер защиты. Автоматически формирует отчёт в формате, соответствующем требованиям ФСТЭК.
Управление уязвимостями с SLA-контролем Интеграция с БДУ ФСТЭК обеспечивает получение актуальных данных об угрозах. Платформа автоматически устанавливает дедлайны: 24 часа для критических, 7 дней для высоких, 5 дней для новых из БДУ. Ответственные получают уведомления при приближении сроков.
GAP-анализ по 16 критериям Для каждого критерия система показывает текущее состояние и разрыв до базового КЗИ = 1, с приоритизацией по влиянию на итоговый показатель.
Запросить демо — рассчитаем КЗИ для вашей системы прямо на демонстрации.
Заключение
Переход от приказа №17 к №117 — это переход от формальной «галочки» аттестации к управлению защищённостью как непрерывным числовым процессом. КЗИ, SLA на уязвимости, нормированный RTO и требования к ИИ делают систему ИБ измеримой и управляемой.
Для организаций, уже выстроивших процессы по приказу №17, переход потребует актуализации документации, настройки системы управления уязвимостями с жёсткими дедлайнами и организации регулярного расчёта КЗИ. Технические меры, реализованные под №17, в большинстве своём засчитываются по новым требованиям.
Связанные материалы: Приказ №117 вступил в силу · Сравнение приказов ФСТЭК №117, №239, №21 · БДУ ФСТЭК
Полная таблица различий по всем ключевым параметрам
Для удобства — сводная таблица с расширенным сравнением:
| Параметр | Приказ №17 | Приказ №117 |
|---|---|---|
| Дата вступления в силу | 11.02.2013 | 01.03.2026 |
| Дата утраты силы | 01.03.2026 | Действует |
| Подход к оценке | Качественный (классы) | Количественный (КЗИ, 0–1) |
| Минимальный уровень | Соответствие классу | КЗИ = 1 |
| Количество требований | ~150 мер | 16 критериев |
| Группировка требований | ~19 разделов | 4 группы, 16 критериев |
| Периодичность оценки | При значительных изменениях | КЗИ — каждые 6 мес., ПЗИ — раз в 2 года |
| Отчёт в ФСТЭК | По факту аттестации | 5 рабочих дней после оценки КЗИ |
| Аттестация | Обязательна (раз в 1–2 года) | Сохраняется + регулярный КЗИ |
| SLA на уязвимости | Не установлен | Крит.: 24ч, высокие: 7д, БДУ: 5д |
| RTO по классам | Не нормирован | K1: 24ч, K2: 7д, K3: 4 нед. |
| Требования к ИИ | Нет | req-60, req-61 |
| ГУП в области применения | Нет | Да |
| МИС в области применения | Нет | Да |
| Подрядчики ГИС | Косвенно | Явно (req-58, req-2) |
| Лицензия для расчёта КЗИ | — | Не требуется |
Часто задаваемые вопросы о переходе с №17 на №117
Нужно ли переделывать всю систему защиты при переходе на №117? Нет. Большинство технических мер, реализованных по приказу №17, соответствуют требованиям приказа №117. Переработки требуют документация (ссылки на 16 критериев вместо ~150 мер) и процессы: управление уязвимостями с жёсткими SLA, регулярный расчёт КЗИ.
Как изменился порядок классификации систем? В приказе №17 класс системы определялся по сочетанию: вид обрабатываемой информации, масштаб системы, результаты оценки ущерба. В приказе №117 классификация строится на пересечении уровня значимости (УЗ1–УЗ3) и масштаба (федеральный/региональный/объектовый) — таблица app-7. Логика сохранена, конкретная матрица немного изменена.
Распространяется ли приказ №117 на системы обработки персональных данных (ИСПДн)? Нет. ИСПДн регулируются приказом ФСТЭК №21. Если ИСПДн является одновременно ГИС — применяются оба приказа: №117 и №21. Это нередкая ситуация для государственных систем, обрабатывающих ПДн граждан.
Что остаётся без изменений при переходе
Вопреки масштабу преобразований, ряд ключевых элементов системы защиты не изменился. Это важно, чтобы не переделывать то, что уже работает.
Сохраняются классы К1, К2, К3 — логика трёхуровневой классификации по уровню значимости и масштабу сохранена.
Сохраняется аттестация — прохождение аттестации остаётся обязательным для ГИС. Аттестаты, выданные до 01.03.2026, продолжают действовать до своего срока истечения.
Сохраняются требования к классам СЗИ — соответствие класса сертифицированного СЗИ классу системы (К1 → 4-й класс, К2 → 5-й, К3 → 6-й) остаётся требованием.
Сохраняется ответственность оператора — организация несёт ответственность за безопасность системы вне зависимости от наличия аттестата.
Большинство технических мер засчитывается — реализованные меры по приказу №17 (антивирус, межсетевые экраны, аудит, резервирование) соответствуют критериям приказа №117. Не нужно начинать с нуля.
Переход с №17 на №117 — это прежде всего изменение в измерении и мониторинге защищённости, а не полный пересмотр технической архитектуры. Организациям с зрелыми процессами ИБ этот переход значительно проще.
Актуально на март 2026 года. Источники: Приказ ФСТЭК №117 (вступил в силу 01.03.2026), Приказ ФСТЭК №17 (утратил силу 01.03.2026).
