Приказ ФСТЭК №117: требования к защите ГИС, КЗИ, аттестация

Q: Кому нужен приказ ФСТЭК №117?

Государственным органам федерального и регионального уровня, органам местного самоуправления и подведомственным организациям, которые эксплуатируют государственные информационные системы (ГИС). Приказ №117 от 11 апреля 2025 г. заменяет устаревший №17 (2013) и устанавливает актуальные требования к защите, классификации и аттестации ГИС. Если ваша организация является оператором ГИС — приказ обязателен к исполнению.

Q: Чем приказ ФСТЭК №117 отличается от №17?

№117 от 11.04.2025 обновляет и заменяет №17 (2013). Ключевые отличия: введён показатель КЗИ (коэффициент защищённости), который фиксирует количественную готовность к аттестации; расширена классификация ИС с 3 до 4 классов (К1–К4); обновлены требования к документации — технический паспорт, план мероприятий, модель угроз; усилены требования к безопасной разработке (CI/CD-процессы). Организации, работавшие по №17, обязаны перейти на №117 в установленные ФСТЭК сроки.

Q: Что такое КЗИ и как он рассчитывается?

КЗИ (коэффициент защищённости информации) — новый показатель по приказу №117, отражающий долю выполненных мер защиты относительно всех применимых. Рассчитывается как отношение реализованных мер к общему числу обязательных, взвешенных по классу ИС. Значение КЗИ ≥ 1.0 является обязательным условием допуска системы к аттестации. Для CISO это означает: нельзя отложить «ненужные» меры и рассчитывать на прохождение аттестации — все обязательные меры должны быть выполнены и подтверждены доказательной базой.

Q: Нужно ли проходить аттестацию по приказу №117?

Да, аттестация ГИС обязательна перед вводом в эксплуатацию — это требование закона, а не рекомендация. После первичной аттестации переаттестация проводится каждые 3–5 лет в зависимости от класса системы, либо внепланово при существенных изменениях в ГИС. Эксплуатация ГИС без действующего аттестата влечёт административную ответственность по КоАП ст. 13.12: штрафы для должностных лиц 30–50 тыс. руб., для юридических лиц 100–200 тыс. руб., плюс риск приостановки деятельности системы.

Q: Как SGRC-система помогает выполнить приказ №117?

SGRC-платформа КиберОснова автоматизирует полный цикл работы с требованиями №117: импортирует перечень применимых мер для ГИС вашего класса (К1–К4) и сразу исключает неприменимые; ведёт контроль выполнения каждой меры с хранением доказательной базы (документы, скриншоты, ссылки); рассчитывает КЗИ в реальном времени, показывая, насколько система готова к аттестации; формирует полный пакет документации — акт классификации, технический паспорт, план мероприятий, отчёт аттестационной комиссии. Это сокращает ручную работу команды ИБ в 3–5 раз.

Q: Сколько мер защиты в приказе ФСТЭК №117?

Приказ №117 структурирует меры в XI групп: группы I–IV охватывают организационные меры (управление доступом, защиту информации, реагирование на инциденты, управление конфигурациями), группы V–XI — технические меры (сетевая безопасность, защита среды виртуализации, защита средств связи и т.д.). Число обязательных мер зависит от класса ГИС: около 80 базовых мер для класса К4 и свыше 200 мер с учётом компенсирующих для класса К1. Чем выше класс ГИС, тем больше мер и строже требования к их подтверждению.

Q: Можно ли совмещать требования №117 и №239 для одного объекта?

Да, и это типичная ситуация для крупных РОИВ и госкорпораций. Объект КИИ, обрабатывающий государственную информацию в ГИС, обязан выполнять требования обоих приказов: №117 как оператор ГИС и №239 как субъект критической информационной инфраструктуры. На практике меры №239 накладываются поверх мер №117 и в ряде случаев дублируют друг друга. SGRC-платформы ведут единый реестр мер с маппингом по обоим приказам, что исключает двойную работу и позволяет видеть «пересечения» в одном интерфейсе.

Q: Когда вступил в силу приказ ФСТЭК №117?

Приказ ФСТЭК России от 11 апреля 2025 г. №117 прошёл регистрацию в Минюсте и вступил в силу в 2025 году. Для уже эксплуатируемых ГИС, аттестованных по №17, предусмотрен переходный период: организации обязаны привести системы в соответствие требованиям №117 в сроки, установленные ФСТЭК. CISO стоит заблаговременно провести gap-анализ: сравнить текущий набор мер с требованиями №117 и оценить объём доработок до следующей аттестации.

Приказ ФСТЭК №117 от 11 апреля 2025 года — новый основополагающий документ по защите государственных информационных систем, пришедший на смену приказу №17 (2013 года). Он вводит обновлённую классификацию ГИС на четыре класса, новый числовой показатель защищённости КЗИ и переработанный набор мер, структурированных в XI групп. Документ обязателен для государственных органов, органов местного самоуправления и организаций, эксплуатирующих ГИС.

В этой статье разберём: кому нужен приказ №117, чем он отличается от предшественников, как устроена система мер защиты, что такое КЗИ и как его рассчитать — а также покажем, как SGRC-платформа автоматизирует выполнение требований от первого импорта мер до готового пакета документов для аттестации.

Что такое приказ ФСТЭК №117 и кому он нужен

Область применения и субъекты

Приказ ФСТЭК №117 «Об утверждении Требований о защите информации, обрабатываемой в государственных информационных системах» распространяется на:

Государственные органы — федеральные органы исполнительной власти, органы законодательной и судебной власти, государственные органы субъектов РФ.
Органы местного самоуправления — муниципальные образования всех уровней.
Организации, эксплуатирующие ГИС — государственные корпорации, унитарные предприятия и иные юридические лица, которым на основании федерального закона или решения уполномоченного органа поручено создание или эксплуатация ГИС.
Операторов и пользователей ГИС, если ГИС передана в эксплуатацию третьим лицам.

Объект защиты — государственная информационная система любого уровня: от муниципальных реестров до федеральных информационных систем. Под действие приказа подпадает не только информация, обрабатываемая в ГИС, но и технологические процессы обработки: проектирование архитектуры, разработка, эксплуатация, вывод из эксплуатации. Это принципиально: защита ГИС начинается ещё на этапе проектирования, а не после ввода в эксплуатацию.

Что является ГИС: федеральный или региональный информационный ресурс, созданный на основании нормативного правового акта или решения госоргана для реализации государственных функций или оказания государственных услуг. Корпоративная ERP-система государственного унитарного предприятия — ГИС. Внутренний сайт РОИВ — ГИС. Система учёта услуг МФЦ — ГИС.

История появления: почему понадобился №117

Предшественник — приказ ФСТЭК №17 от 11 февраля 2013 года — действовал более 12 лет. За это время кардинально изменились модели угроз, технологический ландшафт и подходы к разработке ПО. Накопился ряд системных проблем:

Устаревшая трёхуровневая классификация. Три класса (К1–К3) из приказа №17 не покрывали всё разнообразие современных ГИС: федеральные реестры с десятками миллионов записей требовали принципиально иного уровня защиты, чем муниципальная система документооборота, но в рамках №17 обе могли получить один и тот же класс К1.

Отсутствие единого показателя готовности. В приказе №17 соответствие было фактически бинарным — «выполнено/не выполнено». Не было способа формально измерить, насколько система близка к готовности к аттестации, и сравнить защищённость разных ГИС. Каждый аттестующий орган применял собственные метрики.

Разрыв с практикой разработки. Приказ №17 практически игнорировал безопасную разработку ПО. После атак на цепочку поставок (особенно после инцидента SolarWinds и аналогичных) стало очевидно: уязвимость может быть заложена на этапе разработки, а не только при эксплуатации.

Пробелы для облака и виртуализации. ГИС, развёрнутые на облачных платформах или в виртуализированных средах, фактически выпадали из регулирования — №17 писался до массового применения этих технологий в госсекторе.

Приказ №117 устраняет все эти пробелы. Это структурно новый документ с иной архитектурой требований, а не «косметическое» обновление №17.

Чем приказ №117 отличается от №17, №21, №239

Четыре действующих приказа ФСТЭК нередко воспринимаются как взаимозаменяемые. На практике у каждого — чёткая область применения. Полное сравнение всех четырёх документов с матрицей «кому применять» — в статье Сравнение приказов ФСТЭК №17, 21, 117, 239.

Параметр	№17 (утратил силу)	№21 (ИСПДн)	№117 (ГИС, 2025)	№239 (КИИ)
Объект защиты	ГИС	ИСПДн	ГИС	Значимые объекты КИИ
Субъект	Госорганы, МСУ	Операторы ПД	Госорганы, МСУ, операторы ГИС	Субъекты КИИ
Классификация	3 класса (К1–К3)	4 уровня (УЗ1–УЗ4)	4 класса (1–4)	3 категории (1–3)
Показатель готовности	Нет	Нет	КЗИ ≥ 1.0	Нет
Аттестация	Обязательная	Не требуется	Обязательная	Не требуется
Безопасная разработка	Упоминается	Нет	Отдельная группа мер	Нет
Статус	Утратил силу	Действующий	Действующий	Действующий

№17 — государственные ИС (до 2025)

Приказ №17 вступил в силу в 2013 году и более 12 лет был основным документом по защите ГИС. Он установил три класса защищённости (К1 — высший, К3 — низший), базовые наборы мер и требование обязательной аттестации. С вступлением в силу приказа №117 документ утратил силу. Организации, ранее выполнявшие требования №17, обязаны привести системы в соответствие с №117 в сроки, установленные ФСТЭК.

Для уже аттестованных ГИС: действующий аттестат, выданный по №17, сохраняет силу до истечения срока его действия. Переаттестация проводится по требованиям нового приказа №117.

№21 — ИСПДн (персональные данные)

Приказ ФСТЭК №21 регулирует защиту персональных данных в информационных системах персональных данных (ИСПДн). Действует параллельно с №117: если ГИС обрабатывает персональные данные, она одновременно — и ИСПДн, и ГИС. Требования обоих приказов применяются одновременно.

Ключевой практический вопрос: как не дублировать работу при выполнении двух приказов сразу? SGRC-платформа позволяет вести единый реестр мер с раздельной маркировкой по приказам — меры, перекрывающие требования одновременно №117 и №21, отмечаются один раз и засчитываются по обоим приказам.

№117 — новый универсальный (2025)

Ключевые нововведения по сравнению с №17:

Расширенная классификация: 4 класса вместо 3. Класс 1 — высший, класс 4 — низший. Критерии классификации включают уровень секретности обрабатываемых сведений, масштаб ГИС, последствия инцидентов.
КЗИ (коэффициент защищённости): формализованный числовой показатель. Обязателен для аттестации — КЗИ ≥ 1.0.
Требования к безопасной разработке: отдельная группа мер по SSDLC, CI/CD-процессам, управлению зависимостями и цепочке поставок ПО.
Облако и виртуализация: явные требования для ГИС, развёрнутых на облачных платформах и в виртуализированных средах.
Обновлённая структура мер: XI групп с чёткой логикой «организационные → технические».

№239 — объекты КИИ

Приказ ФСТЭК №239 регулирует безопасность значимых объектов КИИ — ИС, ИТКС и АСУ, функционирующих в 14 сферах (здравоохранение, транспорт, энергетика, банковский сектор и др.). Если ГИС одновременно признана значимым объектом КИИ, применяются оба приказа — №117 и №239. Меры по №239 накладываются «поверх» мер по №117, как правило, ужесточая требования к отдельным группам. Единый реестр мер с маппингом по обоим приказам позволяет видеть «зазор» между ними без дублирования данных.

Ключевые требования приказа ФСТЭК №117

Структура мер защиты по приказу №117 — XI групп, разделённых на организационные (I–IV) и технические (V–XI). Состав применимых мер зависит от класса ГИС: для класса 4 (базового) перечень мер минимален, для класса 1 — расширен дополнительными и компенсирующими мерами.

I–IV группы: организационные меры

Организационные меры — фундамент системы защиты. Без них технические средства теряют смысл: невозможно эффективно управлять доступом, если неизвестно, кто за что отвечает, и нет регламента предоставления прав.

Группа I — Организация защиты информации (ОЗИ)

Требования группы I охватывают:

Назначение ответственного за защиту информации, определение его полномочий и ресурсов.
Разработку организационно-распорядительной документации (ОРД): политику ИБ верхнего уровня, положения по отдельным направлениям (управление доступом, инциденты, резервное копирование), инструкции для пользователей и администраторов.
Разграничение ответственности между оператором ГИС, заказчиком и исполнителем (в случае аутсорсинга разработки или эксплуатации).
Планирование мероприятий по защите: ежегодный план, бюджет, KPI выполнения.
Контроль выполнения требований: внутренние проверки, анализ эффективности мер.

Практический разрыв, который фиксирует ФСТЭК при проверках: ОРД-документы существуют, но не актуализированы (утверждены 3–5 лет назад), не доведены до сотрудников, не выполняются. Это не «соответствие» — это имитация. SGRC-платформа отслеживает дату последнего обновления каждого документа, статус ознакомления и периодичность пересмотра.

Группа II — Управление доступом к ГИС (УПД) — организационная часть

Организационные меры управления доступом включают:

Регламент предоставления, изменения и отзыва прав доступа с конкретными сроками (например, доступ предоставляется в течение 1 рабочего дня, отзывается немедленно при увольнении).
Ведение реестра пользователей ГИС: роли, права, дата последнего пересмотра прав.
Порядок работы привилегированных пользователей (администраторов): раздельные учётные записи для административных и пользовательских задач, журналирование всех административных действий.
Правила удалённого доступа к ГИС: VPN, МФА, разрешённые устройства, временные ограничения.
Периодический пересмотр прав (не реже 1 раза в год для обычных пользователей, чаще — для привилегированных).

Группа III — Управление конфигурацией (УКФ)

Управление конфигурацией по №117 — не только IT-процесс, но и требование к документации:

Ведение эталонных конфигураций всех компонентов ГИС: серверов, рабочих станций, сетевого оборудования, СЗИ.
Документирование изменений в конфигурации: кто изменил, когда, с чьего разрешения.
Контроль установки обновлений и патчей: политика управления уязвимостями, сроки установки критических патчей.
Запрет несанкционированных изменений конфигурации.
Контроль состава установленного ПО: белые списки ПО, контроль нелицензионных и несертифицированных программ.

Группа IV — Защита технологических процессов обработки информации (ЗТС)

Новая группа, принципиально расширенная по сравнению с №17. Охватывает безопасность процессов разработки и сопровождения ГИС:

Требования к безопасной разработке (SSDLC, DevSecOps): анализ безопасности на каждом этапе разработки.
Анализ уязвимостей в исходном коде: статический (SAST) и динамический (DAST) анализ перед релизом.
Контроль цепочки поставок ПО: проверка сторонних компонентов и зависимостей на уязвимости (Software Composition Analysis, SCA).
Изоляция среды разработки от производственной среды: разработчики не имеют прямого доступа к продуктивной ГИС.
Регламент управления изменениями в ГИС: процедура тестирования, согласования и развёртывания изменений.
Контроль аутентичности: проверка целостности компонентов ГИС при каждом обновлении.

Для операторов ГИС, разрабатывающих ПО собственными силами или заказывающих разработку, группа IV — одна из наиболее трудоёмких. Модуль аудита ИБ в SGRC-платформе позволяет провести самооценку по каждому требованию группы IV с автоматической фиксацией доказательств и формированием плана устранения пробелов.

V–XI группы: технические меры

Технические меры — конкретные функциональные требования к средствам защиты информации и архитектуре ГИС. Для каждого класса ФСТЭК определяет базовый набор мер плюс дополнительные меры, которые применяются при наличии конкретных угроз.

Группа V — Идентификация и аутентификация (ИАФ)

Уникальная идентификация всех субъектов доступа: пользователей, процессов, устройств. Не допускаются «общие» учётные записи.
Аутентификация перед предоставлением доступа: пароли, токены, сертификаты СКЗИ — в зависимости от класса ГИС и уровня доступа.
Для ГИС 1–2 класса: обязательная многофакторная аутентификация (МФА) для привилегированных пользователей и пользователей с удалённым доступом.
Управление учётными данными: минимальная длина и сложность паролей, периодическая смена, блокировка при превышении числа неудачных попыток входа, запрет повторного использования паролей.
Идентификация устройств для ГИС 1 класса: сертификаты на каждом узле.

Группа VI — Управление доступом (УПД) — техническая часть

Разграничение доступа на основе ролей (RBAC) или атрибутов (ABAC).
Принцип наименьших привилегий: каждый пользователь получает только права, необходимые для выполнения своих задач, — не больше.
Контроль доступа к объектам: файловая система, базы данных, сервисы, API.
Ограничение исходящих сетевых соединений: пользователи не могут произвольно подключаться к внешним ресурсам.
Контроль доступа к съёмным носителям: запрет или ограничение использования USB-накопителей.
Для ГИС 1–2 класса: мандатное управление доступом (MAC) с метками конфиденциальности.

Группа VII — Защита машинных носителей (ЗНИ)

Инвентаризация машинных носителей: реестр всех жёстких дисков, USB-накопителей, резервных носителей.
Контроль подключения съёмных носителей: разрешительный список, запрет неавторизованных устройств.
Криптографическое шифрование ноутбуков и съёмных носителей для ГИС 1–2 класса: BitLocker, ViPNet или отечественные СКЗИ при работе со сведениями, составляющими гостайну.
Гарантированное уничтожение информации при утилизации: физическое разрушение или сертифицированное программное стирание.
Учёт носителей, переданных за пределы ГИС.

Группа VIII — Регистрация событий безопасности (РСБ)

Журналирование событий: авторизации и разавторизации, изменения прав доступа, изменения конфигурации, доступ к критичным данным, события безопасности СЗИ.
Централизованный сбор журналов (SIEM или аналог): журналы с разных узлов ГИС поступают в единое хранилище.
Защита журналов: хранение на отдельном защищённом сервере, недоступном рядовым пользователям; защита от модификации и удаления.
Хранение журналов: не менее 1 года для ГИС 3–4 класса, не менее 3 лет для 1–2 класса.
Анализ журналов: регулярный просмотр и реагирование на аномальные события; для ГИС 1–2 класса — автоматическая корреляция и оповещение.

Группа IX — Антивирусная защита (АВЗ)

Установка средств антивирусной защиты на все узлы ГИС: рабочие станции, серверы, почтовые шлюзы.
Актуальность антивирусных баз: обновление не реже 1 раза в сутки (для ГИС 1–2 класса — в реальном времени).
Сканирование входящих файлов и съёмных носителей.
Централизованное управление антивирусной защитой через консоль управления.
Для ГИС, подключённых к государственным сетям: использование сертифицированных средств антивирусной защиты (сертификат ФСТЭК России).

Группа X — Обнаружение вторжений (СОВ)

Установка системы обнаружения вторжений (IDS) на ключевых узлах и сегментах сети ГИС.
Мониторинг сетевого трафика на наличие признаков атак: сигнатурный анализ, поведенческий анализ аномалий.
Интеграция с SIEM для корреляции событий IDS с другими источниками.
Актуализация базы сигнатур атак.
Для ГИС 1–2 класса: система предотвращения вторжений (IPS) с автоматической блокировкой подозрительного трафика.
Использование сертифицированных СОВ (сертификат ФСТЭК) для ГИС, подключённых к государственным сетям.

Группа XI — Защита информационной инфраструктуры (ЗИИ)

Самая широкая группа, охватывающая архитектурные и технические меры защиты всей инфраструктуры ГИС:

Межсетевое экранирование: сегментация ГИС на зоны с разным уровнем доверия, фильтрация трафика по принципу «запрещено всё, что не разрешено явно».
Защита web-приложений: WAF (Web Application Firewall) для ГИС с web-интерфейсом — защита от SQL-инъекций, XSS, CSRF.
Шифрование каналов связи: TLS 1.2+ для всех внешних подключений к ГИС; СКЗИ для ГИС, работающих со сведениями, составляющими гостайну, или подключённых к ведомственным каналам связи.
Сегментация сети: физическая или виртуальная изоляция критичных компонентов ГИС от менее критичных сегментов и от корпоративной сети.
Защита DNS: использование корпоративного DNS с фильтрацией вредоносных доменов, защита от DNS-hijacking.
Резервирование: резервирование ключевых компонентов ГИС (база данных, серверы приложений, каналы связи) для обеспечения непрерывности.
Контроль целостности: мониторинг целостности критичных файлов, конфигураций и компонентов ГИС с оповещением при несанкционированных изменениях.

КЗИ — показатель защищённости: формула и расчёт

Что такое КЗИ

Коэффициент защищённости информации (КЗИ) — центральное нововведение приказа №117, которого не было ни в одном предшествующем приказе ФСТЭК. Это числовой показатель, отражающий степень выполнения мер защиты для конкретной ГИС с учётом класса системы и весов отдельных групп мер.

Принципиальное отличие от подхода №17: в старом документе «соответствие» было бинарным — либо меры выполнены, либо нет. КЗИ позволяет видеть промежуточное состояние и управлять прогрессом: какой процент мер выполнен, какой вес у невыполненных, сколько не хватает до порогового значения для аттестации.

Формула расчёта КЗИ

КЗИ рассчитывается как отношение суммарного веса выполненных мер к суммарному весу всех применимых мер для данного класса ГИС:

КЗИ = Σ(вес_i × статус_i) / Σ(вес_i)

где:
  вес_i     — весовой коэффициент i-й меры (зависит от класса ГИС и группы мер)
  статус_i  — статус выполнения меры:
              1.0 — мера полностью выполнена
              0.5 — мера выполнена частично (есть доказательства, но не в полном объёме)
              0.0 — мера не выполнена
  суммирование — по всем применимым мерам для данного класса ГИС

Пороговое значение для аттестации: КЗИ ≥ 1.0.

Значение КЗИ < 1.0 означает, что часть обязательных мер не выполнена. Аттестующий орган вправе отказать в выдаче аттестата соответствия.

Как интерпретировать КЗИ

КЗИ	Интерпретация	Рекомендуемые действия
≥ 1.0	Все применимые меры выполнены	Готовить документацию и подавать на аттестацию
0.85–0.99	Критические меры не выполнены	Немедленно устранить пробелы по мерам с наибольшим весом
0.70–0.84	Существенные пробелы	Разработать план мероприятий, приоритизировать по весу
< 0.70	Системные нарушения	Пересмотр архитектуры защиты, аттестация невозможна

Что делать, если КЗИ < 1.0

Выгрузить список невыполненных мер с сортировкой по весу — работу начинают с мер, вносящих наибольший вклад в КЗИ. Незначительные меры с малым весом устраняют в последнюю очередь.
Проверить применимость мер: часть мер может быть неприменима к конкретной ГИС (например, меры по защите мобильных устройств — если ГИС не допускает мобильный доступ). ФСТЭК допускает обоснованное исключение неприменимых мер — это увеличивает КЗИ, но требует документированного обоснования с подписью ответственного.
Применить компенсирующие меры: для мер, которые технически невозможно выполнить в стандартной форме, приказ №117 предусматривает замену компенсирующими мерами с эквивалентным уровнем защиты. Компенсирующие меры согласовываются с ФСТЭК.
Разработать план мероприятий с конкретными сроками, ответственными исполнителями и контрольными точками.

SGRC-платформа рассчитывает КЗИ в реальном времени: по мере обновления статусов мер показатель пересчитывается автоматически. До начала аттестации можно видеть точный прогресс и устранять пробелы, не тратя деньги на аттестующего органа «вхолостую».

Классификация ГИС по приказу №117

Четыре класса защищённости

Приказ №117 вводит четырёхуровневую классификацию ГИС — вместо трёхуровневой в №17.

Класс	Уровень	Основные критерии	Примеры ГИС
1	Высший	Обработка сведений, составляющих гостайну, или данных, утечка которых угрожает безопасности государства	Системы государственного управления, ФГУПы оборонного сектора
2	Высокий	Федеральные ГИС федерального значения; ГИС с обработкой ПД госслужащих; масштаб — вся страна	Федеральные реестры, ГАС «Правосудие», ЕГР ЗАГС
3	Средний	Региональные ГИС; ведомственные ИС органов власти субъектов РФ	Региональные порталы госуслуг, ИС регорганов власти
4	Базовый	Муниципальные ГИС; ведомственные системы местного уровня	МИС муниципальных больниц, системы МФЦ, ведомственные системы документооборота

Документ классификации: что включать

Класс ГИС определяется в документе классификации, который утверждается оператором ГИС. Ключевые разделы документа:

Наименование и краткое описание ГИС, цели и задачи системы.
Категории обрабатываемой информации (персональные данные, служебная информация, сведения, составляющие гостайну — при наличии).
Масштаб ГИС: муниципальный, региональный, федеральный.
Оценка последствий нарушения конфиденциальности, целостности, доступности информации в ГИС.
Перечень угроз безопасности, актуальных для данной ГИС (выбирается из БДУ ФСТЭК).
Обоснование присвоенного класса.
Перечень применимых мер защиты (XI групп) с учётом класса.

Класс ГИС пересматривается при изменении условий обработки (новые категории данных, изменение масштаба, смена оператора). Повышение класса влечёт пересмотр набора мер и переаттестацию.

Дополнительные и компенсирующие меры

Базовый набор мер для каждого класса определён приказом №117. Оператор обязан дополнить его:

Дополнительными мерами — если в результате анализа угроз выявлены актуальные угрозы, которые базовый набор не перекрывает.
Компенсирующими мерами — если выполнение какой-либо базовой меры технически невозможно (например, устаревшее ПО, которое невозможно обновить без замены всей системы).

Перечень применимых мер оформляется как приложение к документу классификации и согласовывается с ФСТЭК для ГИС 1–2 класса.

Как SGRC-платформа автоматизирует выполнение приказа №117

Ручное выполнение требований приказа №117 для одной ГИС — задача на несколько месяцев работы специалиста ИБ. Для операторов, управляющих несколькими ГИС или сетью подведомственных организаций, ручной подход нереализуем в принципе.

SGRC-платформа КиберОснова автоматизирует полный цикл — от классификации ГИС до готового пакета документов для аттестации.

Импорт и применение мер защиты

После указания класса ГИС платформа автоматически формирует персонализированный набор применимых мер из XI групп. Для каждой меры доступны:

Полный текст требования из приказа №117.
Рекомендуемые технические средства и организационные мероприятия для выполнения меры.
Поля для загрузки доказательств: скриншоты настроек, сканы документов, ссылки на подтверждающие материалы.
Статус выполнения: «Выполнена» / «Не выполнена» / «Частично» / «Неприменима» (с полем для ввода обоснования).
Ответственный исполнитель и срок выполнения.

Расчёт КЗИ в реальном времени

По мере обновления статусов мер платформа пересчитывает КЗИ без каких-либо действий со стороны пользователя. Дашборд показывает:

Текущее значение КЗИ и его динамику за период.
Список мер, критически влияющих на КЗИ (с сортировкой по весу).
Прогноз: при выполнении каких конкретных мер КЗИ превысит пороговое значение 1.0.
Сравнение КЗИ между несколькими ГИС в портфеле оператора.

Формирование документации для аттестации

Аттестующему органу необходим полный пакет документов. Платформа генерирует весь пакет на основе данных, уже введённых в систему:

Техническое задание на создание (модернизацию) системы защиты ГИС.
Технический паспорт ГИС — с описанием архитектуры и реализованных мер.
Акт классификации ГИС — с обоснованием присвоенного класса.
Модель угроз и нарушителя — на основе БДУ ФСТЭК, актуализированная.
Акт оценки соответствия — с расчётом КЗИ и перечнем выполненных мер, оформленный по требованиям ФСТЭК.
План мероприятий по защите информации — для мер в процессе реализации.

Все документы генерируются без ручного переноса данных в Word-шаблоны. Изменение одного значения в системе автоматически обновляет все зависимые документы.

Batch-режим для нескольких ГИС

Для РОИВ и государственных органов, курирующих подведомственные организации, критически важна возможность управлять несколькими ГИС в едином интерфейсе. Соответствие требованиям ФСТЭК через SGRC-платформу позволяет:

Одновременно вести реестры мер для 10, 100, 500 ГИС.
Назначать задачи и опросники конкретным исполнителям по каждой ГИС.
Видеть сводный дашборд: КЗИ по всем ГИС, топ систем с наибольшим количеством пробелов, общий прогресс по портфелю.
Формировать сводный отчёт для руководства: сколько ГИС готово к аттестации, сколько — в работе, каков средний КЗИ.

Это принципиально важно для операторов, обслуживающих подведомственные учреждения: РОИВ с 50 региональными больницами, каждая из которых эксплуатирует МИС как ГИС, не может вести работу в 50 Excel-таблицах.

Подготовка к аттестации: чеклист

Аттестация ГИС — обязательная процедура перед вводом в эксплуатацию. Без аттестата соответствия эксплуатация ГИС незаконна. Переаттестация проводится каждые 3–5 лет (зависит от класса) или при существенных изменениях в составе ГИС.

Документальная часть

Акт классификации ГИС — класс, категории обрабатываемой информации, обоснование, перечень применимых мер.
Техническое задание на создание/модернизацию системы защиты — согласованное с ФСТЭК для 1–2 класса.
Модель угроз и нарушителя — актуальная, с использованием БДУ ФСТЭК, подписанная ответственным.
Технический паспорт ГИС — архитектура, перечень аппаратных и программных компонентов, схемы сети, точки подключения.
Проектная и рабочая документация на систему защиты информации.
Организационно-распорядительная документация: политика ИБ, инструкции пользователей, инструкции администраторов, регламент реагирования на инциденты.
Сертификаты соответствия на применяемые СЗИ — действующие, соответствующие классу ГИС.

Техническая часть

Расчёт КЗИ ≥ 1.0 — все применимые меры выполнены или обоснованно исключены/заменены компенсирующими.
Инвентаризация компонентов ГИС — полная и актуальная на дату аттестации.
Применяемые СЗИ соответствуют классу ГИС и имеют действующие сертификаты ФСТЭК.
Журналы событий собираются на всех узлах ГИС, хранятся в соответствии с требованиями, защищены от модификации.
Антивирусная защита установлена и обновлена на всех узлах, централизованно управляется.
Средства обнаружения вторжений функционируют, сигнатурные базы актуальны.
Тест на проникновение или оценка уязвимостей проведены; выявленные уязвимости устранены или задокументированы компенсирующие меры.
Резервное копирование настроено; проведено тестовое восстановление с фиксацией результата.
Шифрование каналов настроено согласно классу ГИС.

Организационная часть

Приказ об ответственном за защиту информации — актуальный состав, актуальные полномочия.
Инструктаж сотрудников — журналы ознакомления с политикой ИБ и инструкциями пользователей.
Аттестующий орган — выбран (только лицензиат ФСТЭК по технической защите), уведомлён, договор заключён.
Доступ аттестующего органа к компонентам ГИС — согласован с ИТ-службой, порядок работы определён.
Сроки аттестации согласованы с аттестующим органом с учётом пиковых нагрузок на ГИС.

Сроки переаттестации

Аттестат соответствия выдаётся на конкретный срок:

ГИС 3–4 класса: как правило, 3 года с возможным продлением.
ГИС 1–2 класса: как правило, 1–2 года с обязательными ежегодными контрольными проверками.

Аттестат аннулируется при существенных изменениях в составе ГИС (новые компоненты, изменение архитектуры, новые категории обрабатываемых данных). В этом случае — внеплановая переаттестация.

Запросите демо платформы КиберОснова — убедитесь, что КЗИ вашей ГИС достигнет порогового значения до начала аттестации, а не после.

Чеклист готовности к Приказу ФСТЭК №117 (PDF, 27 пунктов) — 6 блоков: категорирование, модель угроз, система защиты, управление уязвимостями, инциденты, оргмеры. Для внутреннего аудита и подготовки к проверке ФСТЭК. Скачать бесплатно

Типичные ошибки при выполнении требований приказа №117

Анализ практики выполнения требований приказа №17 — предшественника №117 — показывает устойчивые паттерны ошибок, которые будут воспроизводиться и при работе с новым документом. Зная их заранее, можно избежать дорогостоящих переделок перед аттестацией.

Ошибка 1: Неактуальная или формальная ОРД

Самая распространённая ситуация: политика ИБ утверждена руководителем в год создания ГИС, с тех пор не пересматривалась, в документе упомянуто ПО, которое уже не используется, и не упомянуто то, что появилось за последние 3 года. При аттестации такой документ засчитывается как невыполненная мера.

Второй вариант: документы существуют, но не доведены до сотрудников. Журналы ознакомления не ведутся. С точки зрения аттестующего органа — мера не выполнена.

Как исправить: завести реестр ОРД-документов с датой последнего обновления, плановой датой пересмотра и статусом ознакомления сотрудников. Пересматривать не реже 1 раза в год или при изменении условий обработки информации.

Ошибка 2: Завышение статуса выполнения мер

Оператор отмечает меру как «Выполнена», хотя СЗИ установлено, но не настроено. Антивирус работает, но базы не обновлялись 6 месяцев. Журналирование включено, но журналы не хранятся централизованно. При аттестации аттестующий орган проверяет не только наличие СЗИ, но и его работоспособность и соответствие настроек требованиям.

Как исправить: для каждой меры в SGRC-системе загружать реальные доказательства: скриншот настроек с датой, результат сканирования, выгрузку журналов. Аттестующий орган не принимает «есть, но без подтверждения».

Ошибка 3: Несоответствие состава ГИС и документации

Технический паспорт ГИС оформлен при вводе в эксплуатацию. С тех пор добавлены новые серверы, сменился провайдер, появились новые интеграции. В паспорте этого нет. Формально — ГИС в документации и ГИС в реальности — разные объекты.

Как исправить: любое изменение в составе ГИС должно инициировать обновление технического паспорта. Перед аттестацией — обязательная сверка документации с фактическим составом.

Ошибка 4: Игнорирование группы IV (безопасная разработка)

Для многих операторов требования группы IV — неожиданность. Они привыкли к тому, что «защита ГИС» — это межсетевые экраны и антивирус, но не DevSecOps. В итоге меры группы IV оказываются не выполнены, а их вес в КЗИ существенный.

Как исправить: если ГИС разрабатывается или сопровождается собственной командой разработки — начать выполнение группы IV заблаговременно. Внедрение SAST/DAST, настройка pipeline с проверкой зависимостей, разделение сред — это задачи на несколько месяцев.

Ошибка 5: Выбор СЗИ без проверки актуальности сертификата

Оператор устанавливает средство защиты, которое использовалось для прежней ГИС. Сертификат ФСТЭК на него истёк полгода назад. На аттестации — несоответствие.

Как исправить: перед закупкой СЗИ проверять актуальность сертификата на сайте ФСТЭК России в реестре сертифицированных продуктов. Сертификат должен быть действующим на дату аттестации.

FAQ

Кому нужен приказ ФСТЭК №117?

Государственным органам, органам МСУ и организациям, обрабатывающим государственные информационные системы (ГИС). №117 заменяет и обобщает требования №17 для ГИС.

Чем приказ ФСТЭК №117 отличается от №17?

№117 от 11.04.2025 обновляет и заменяет №17 (2013). Ключевые отличия: введён показатель КЗИ (коэффициент защищённости), расширена классификация ИС (4 класса вместо 3), изменены требования к документации, усилены требования к CI/CD-процессам разработки.

Что такое КЗИ и как он рассчитывается?

КЗИ (коэффициент защищённости информации) — новый показатель по приказу №117, отражающий долю выполненных мер защиты. Рассчитывается как отношение выполненных мер к общему числу применимых, взвешенных по классу ИС. КЗИ ≥ 1.0 требуется для прохождения аттестации.

Нужно ли проходить аттестацию по приказу №117?

Да, обязательная аттестация ГИС требуется перед вводом в эксплуатацию и переаттестация каждые 3–5 лет (зависит от класса). Без аттестата эксплуатация ГИС незаконна.

Как SGRC-система помогает выполнить приказ №117?

SGRC-платформа автоматизирует: импорт перечня применимых мер для ГИС вашего класса, контроль выполнения каждой меры с доказательной базой, расчёт КЗИ в реальном времени, формирование документации для аттестации (акт, технический паспорт, план мероприятий).

Приказ ФСТЭК №117: требования к защите ГИС и как автоматизировать выполнение

Часто задаваемые вопросы

Кому нужен приказ ФСТЭК №117?

Чем приказ ФСТЭК №117 отличается от №17?

Что такое КЗИ и как он рассчитывается?

Нужно ли проходить аттестацию по приказу №117?

Как SGRC-система помогает выполнить приказ №117?

Сколько мер защиты в приказе ФСТЭК №117?

Можно ли совмещать требования №117 и №239 для одного объекта?

Когда вступил в силу приказ ФСТЭК №117?

Связанные материалы

Автоматизируйте ИБ с КиберОснова