Приказы ФСТЭК №17, №21, №117, №239 — сравнение 2026

Q: Чем отличается приказ ФСТЭК №17 от №117?

№17 (2013) — первый приказ для государственных информационных систем: три класса защищённости (К1–К3), требования к мерам и документации по стандартам того времени. №117 (2025) — его актуальная замена: четыре класса (К1–К4), введён новый показатель КЗИ (коэффициент защищённости) как обязательное условие аттестации, обновлены требования к документации и безопасной разработке. Организациям, работающим по №17, необходимо провести gap-анализ и перейти на №117 до следующей переаттестации.

Q: Кому нужен приказ ФСТЭК №21?

Операторам персональных данных: любым компаниям и организациям, которые обрабатывают ПДн в информационных системах персональных данных (ИСПДн). Требования определяются уровнем защищённости — УЗ-1 (максимальный) … УЗ-4 (минимальный). Уровень рассчитывается по матрице из трёх параметров: тип данных (специальные, биометрические, иные, общедоступные), число субъектов ПДн (более 100 000 или нет) и тип актуальных угроз. Чем выше уровень — тем больше обязательных мер и жёстче требования к их реализации.

Q: Кому нужен приказ ФСТЭК №239?

Субъектам критической информационной инфраструктуры (КИИ) — организациям из 13 отраслей, перечисленных в 187-ФЗ: финансы, здравоохранение, транспорт, энергетика, связь, оборонная промышленность и другие. Приказ применяется к тем, у кого есть значимые объекты КИИ 1, 2 или 3 категории значимости. Для объектов 1 категории аттестация обязательна; для категорий 2 и 3 требования также строгие, но порядок подтверждения соответствия может отличаться. Нарушение требований №239 влечёт административную и уголовную ответственность.

Q: Кому нужен приказ ФСТЭК №117?

Государственным органам федерального и регионального уровня, органам местного самоуправления и организациям, эксплуатирующим государственные информационные системы (ГИС). С 2025 года приказ №117 от 11 апреля 2025 г. является актуальной редакцией требований для ГИС и заменяет устаревший №17 (2013). Если ваша организация является оператором ГИС — классификация системы, выполнение мер защиты, расчёт КЗИ и прохождение аттестации обязательны в соответствии именно с №117.

Q: Можно ли применять несколько приказов ФСТЭК одновременно?

Да, и для многих организаций это обязательная реальность. Региональный орган исполнительной власти (РОИВ), который эксплуатирует ГИС с персональными данными и при этом является субъектом КИИ, обязан одновременно соответствовать №117 (как оператор ГИС), №21 (как оператор ПДн) и №239 (как субъект КИИ). Меры частично пересекаются, но каждый приказ устанавливает собственные требования к документации и аттестации. SGRC-платформа КиберОснова ведёт единый реестр мер с маппингом по всем трём приказам, исключая дублирование работы.

Q: Нужна ли аттестация для всех четырёх приказов?

Требования к аттестации различаются. Обязательная аттестация перед вводом в эксплуатацию установлена для ГИС по №17/117 и для значимых объектов КИИ 1 категории по №239. Для ИСПДн по №21 официальная аттестация не обязательна, однако является наиболее весомым способом подтвердить соответствие — особенно для медицинских, банковских и государственных систем. Для аттестованных ГИС предусмотрена переаттестация каждые 3 года при изменениях в системе. Добровольная аттестация доступна для любого типа ИС.

Q: Что такое уровни защищённости по приказу №21?

Четыре уровня защищённости: УЗ-4 (минимальный), УЗ-3, УЗ-2 и УЗ-1 (максимальный). Уровень определяется по «матрице» из типа ПДн (специальные, биометрические, иные, общедоступные), числа субъектов ПДн (свыше 100 000 или нет) и типа актуальных угроз (1, 2 или 3). Каждый уровень требует определённый набор мер: например, УЗ-1 предполагает криптозащиту данных при передаче и хранении, разграничение доступа вплоть до уровня записей, а также защиту от угроз первого типа (связанных с недекларированными возможностями в системном ПО).

Q: Что такое категории значимости объектов КИИ по приказу №239?

Три категории значимости: 1 (высшая) — объекты, нарушение работы которых критически влияет на национальную безопасность, государственное управление или обороноспособность; 2 (значительная) — серьёзные социальные или экономические последствия; 3 (умеренная) — ограниченное воздействие. Категория присваивается по результатам категорирования в соответствии с 187-ФЗ и постановлением Правительства №127. Чем выше категория, тем строже требования к мерам защиты, мониторингу и взаимодействию с ГосСОПКА. Для объектов 1 категории аттестация обязательна.

Q: Как определить, какой приказ ФСТЭК применим к моей организации?

Алгоритм выбора состоит из трёх независимых проверок. (1) Эксплуатируете ГИС — применяется №117; если система была аттестована по №17, требуется переход на №117. (2) Обрабатываете персональные данные в ИСПДн — применяется №21; уровень защищённости определяется по матрице ПДн. (3) Являетесь субъектом КИИ (организация из 13 отраслей 187-ФЗ с категорированными объектами) — применяется №239. Если выполняются несколько условий, приказы применяются одновременно. SGRC-платформа КиберОснова автоматически определяет применимые требования по профилю организации и объединяет их в единый реестр мер.

Q: Сколько мер защиты содержит каждый из приказов?

Примерный объём мер: №17 — около 194 мер в 11 группах (устаревший, актуален до перехода на №117); №21 — 109 базовых мер в 15 группах для ИСПДн; №117 — свыше 200 мер в 11 группах, число варьируется по классу ГИС (К1–К4); №239 — 239 мер в 14 группах для объектов КИИ. Часть мер пересекается между приказами. Платформа КиберОснова содержит 317/317 мер №21 и покрывает 95% каталога мер №239, что позволяет вести единый контроль выполнения без ручной сверки по каждому приказу.

Четыре приказа ФСТЭК — №17, №21, №117 и №239 — регулируют защиту информации в России. На практике у специалистов по ИБ регулярно возникает один и тот же вопрос: какой приказ применим к конкретной организации и как они соотносятся между собой? Эта статья — единый справочник: структура каждого приказа, сравнительная таблица и алгоритм выбора.

Обзор четырёх приказов ФСТЭК: кратко

Приказ	Год	Кому	Объект защиты	Ключевое нововведение
№17	2013	Госорганы, операторы ГИС	ГИС — государственные информационные системы	Первая классификация ГИС: три класса К1–К3
№21	2013	Операторы ПДн	ИСПДн — информационные системы персональных данных	Четыре уровня защищённости УЗ-1…УЗ-4
№117	2025	Госорганы, операторы ГИС	ГИС (обновлённые требования)	Четыре класса, КЗИ, новые процессные требования
№239	2017	Субъекты КИИ	Значимые объекты КИИ	239 мер, 14 групп, три категории значимости

Все четыре приказа изданы ФСТЭК России и образуют систему нормативных документов в области защиты информации. Они не дублируют, а дополняют друг друга: каждый регулирует свой тип информационных систем и субъектов.

Приказ №17 — первый стандарт для ГИС (до 2025)

Приказ ФСТЭК России № 17 от 11 февраля 2013 г. «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» — первый системообразующий документ для ГИС.

Субъект: государственные органы и организации, эксплуатирующие ГИС федерального и регионального уровней.

Объект: государственные информационные системы (ГИС), в которых обрабатывается информация, не составляющая государственную тайну, но требующая защиты (персональные данные, служебная информация и т.д.).

Классификация: три класса защищённости:

К1 — высший класс: нарушение безопасности может привести к значительным негативным последствиям для деятельности органа власти
К2 — средний класс: умеренные негативные последствия
К3 — низший класс: незначительные последствия

Класс определяется по матрице из двух критериев: масштаб ГИС (федеральный/региональный/объектовый) и категория обрабатываемой информации.

Структура мер: 11 групп, 194 меры защиты. Группы: идентификация и аутентификация (ИАФ), управление доступом (УПД), ограничение программной среды (ОПС), защита машинных носителей (ЗНИ), аудит безопасности (АУД), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), контроль (анализ) защищённости (АНЗ), обеспечение целостности (ОЦЛ), обеспечение доступности (ОДТ), защита среды виртуализации (ЗСВ) и другие. Для оценки критичности уязвимостей в рамках АНЗ используйте калькулятор CVSS v4.0 с расчётом SLA, а актуальные записи доступны в реестре БДУ.

Аттестация: обязательная по всем трём классам перед вводом ГИС в эксплуатацию.

Статус в 2026 году: Приказ №17 формально действует для ГИС, аттестованных до вступления в силу №117. Для новых ГИС и при ре-аттестации применяется №117. На практике организации завершают переход в течение 2025–2026 гг.

Приказ №21 — защита персональных данных в ИСПДн

Приказ ФСТЭК России № 21 от 18 февраля 2013 г. «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Субъект: все операторы персональных данных — юридические и физические лица, обрабатывающие ПДн в ИСПДн. Приказ применяется в связке с 152-ФЗ «О персональных данных».

Объект: информационные системы персональных данных (ИСПДн) — любые системы, содержащие ПДн физических лиц.

Система уровней защищённости: вместо «классов» — четыре уровня защищённости (УЗ):

Уровень	Описание
УЗ-1	Максимальный: специальные ПДн + угрозы 1 типа
УЗ-2	Высокий: биометрические ПДн или специальные ПДн > 100 000 субъектов
УЗ-3	Средний: иные ПДн > 100 000 субъектов или специальные ПДн сотрудников
УЗ-4	Базовый: иные ПДн < 100 000 субъектов, угрозы 3 типа

Матрица определения уровня — ключевой инструмент №21. Уровень зависит от трёх факторов:

Тип ПДн: специальные (здоровье, политика, религия) → биометрические → иные → общедоступные
Число субъектов: > 100 000 или ≤ 100 000
Тип актуальных угроз: 1 (угрозы, связанные с наличием недокументированных возможностей в системном ПО) / 2 (в прикладном ПО) / 3 (отсутствие недокументированных возможностей)

Структура мер: 15 групп, 109 базовых мер. Базовый набор определяется уровнем защищённости, далее адаптируется под модель угроз.

Аттестация: не обязательна по закону для ИСПДн, но рекомендована. На практике крупные операторы ПДн (банки, медицинские организации) проводят аттестацию добровольно — это снижает риски при проверках Роскомнадзора и ФСБ.

Приказ №117 — новый универсальный стандарт для ГИС (с 2025)

Приказ ФСТЭК России № 117 от 11 апреля 2025 г. — актуализированная редакция требований для государственных информационных систем. Принят взамен №17 с учётом накопленного практического опыта и изменений в технологическом ландшафте.

Субъект: государственные органы, органы местного самоуправления, государственные корпорации и организации, эксплуатирующие ГИС. Муниципальные ИС также охватываются №117.

Объект: государственные информационные системы — те же, что в №17, плюс расширенный охват облачных и распределённых ГИС.

Ключевые изменения по сравнению с №17:

Четыре класса защищённости вместо трёх: К1, К2, К3, К4. Добавлен К4 для систем с минимальными требованиями.
КЗИ (коэффициент защищённости информации) — новая метрика для оценки эффективности реализованных мер. КЗИ рассчитывается по формуле с учётом выполнения базовых и усиленных мер.
Процессные требования: расширены требования к жизненному циклу ИС, безопасной разработке, управлению изменениями и документированию.
Контроль нейтрализации угроз: новый раздел о периодической проверке актуальности модели угроз и достаточности принятых мер.
Обновлённый реестр мер: 200+ мер в 11 группах, учитывающих современные угрозы (контейнеризация, микросервисы, удалённый доступ).

Аттестация: обязательна для всех классов К1–К4 перед вводом в эксплуатацию. Переаттестация — при существенных изменениях ГИС или по истечении срока аттестата.

Связь с №17: система, аттестованная по №17, продолжает работать до окончания срока аттестата. При переаттестации — применяется №117. Меры из №17 и №117 во многом пересекаются, поэтому переход не требует полного пересмотра системы защиты.

Приказ №239 — защита значимых объектов КИИ

Приказ ФСТЭК России № 239 от 25 декабря 2017 г. «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Субъект: субъекты КИИ — организации из 13 отраслей, перечисленных в 187-ФЗ: здравоохранение, наука, транспорт, связь, энергетика, банки и финансовый рынок, топливно-энергетический комплекс, атомная промышленность, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая, металлургия, химическая промышленность.

Объект: значимые объекты КИИ — информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, которым по результатам категорирования КИИ присвоена одна из трёх категорий значимости.

Три категории значимости объектов КИИ:

Категория	Уровень влияния	Примеры
1	Критическое на нацбезопасность, обороноспособность, экономику	АСУ ТП атомных станций, ГИС обеспечения обороны
2	Значительное на безопасность и жизнедеятельность	Региональные энергосистемы, транспортные узлы
3	Умеренное: нарушение затрагивает отдельные организации	Больничные ИС, ИС малых транспортных компаний

Структура мер: 14 групп, 239 мер защиты — по числу совпадает с номером приказа. Меры дифференцированы по категориям значимости: чем выше категория, тем шире базовый набор обязательных мер.

Группы мер №239 (14): идентификация и аутентификация, управление доступом, ограничение программной среды, защита машинных носителей, аудит безопасности, антивирусная защита, предотвращение вторжений, контроль защищённости, обеспечение целостности, обеспечение доступности, защита технических средств, защита информационной (автоматизированной) системы и её компонентов, реагирование на инциденты, управление конфигурацией.

Мониторинг: субъекты КИИ 1 категории обязаны подключиться к ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) и направлять уведомления об инцидентах в НКЦКИ.

Аттестация: обязательна для объектов КИИ 1 категории значимости. Для категорий 2 и 3 — аттестация не обязательна, но ФСТЭК рекомендует оценку соответствия.

Сравнительная таблица: все 4 приказа ФСТЭК

Критерий	№17	№21	№117	№239
Год принятия	2013	2013	2025	2017
Субъект	Госорганы, операторы ГИС	Все операторы ПДн	Госорганы, операторы ГИС	Субъекты КИИ
Объект защиты	ГИС	ИСПДн	ГИС (обновл.)	Значимые объекты КИИ
Классификация	3 класса (К1–К3)	4 уровня (УЗ-1–УЗ-4)	4 класса (К1–К4)	3 категории (1–3)
Число мер	~194 (11 групп)	109 базовых (15 групп)	200+ (11 групп)	239 (14 групп)
Аттестация обязательна?	Да (все классы)	Нет (добровольно)	Да (все классы)	Да (1 категория)
Регулятор	ФСТЭК России	ФСТЭК + Роскомнадзор	ФСТЭК России	ФСТЭК + ФСБ (ГосСОПКА)
Связь с КИИ	Опосредованная	Нет прямой	Может пересекаться	Прямая (187-ФЗ)
Связь с ПДн	Пересекается (если ГИС обрабатывает ПДн)	Основной документ	Пересекается	Пересекается
КЗИ (коэффициент)	Нет	Нет	Да	Нет
Мониторинг ГосСОПКА	Нет	Нет	Рекомендован	Обязателен (кат. 1)
Штраф за нарушение	Административная ответственность по КоАП	КоАП + Роскомнадзор	Административная ответственность по КоАП	КоАП + уголовная (до 10 лет — за создание угроз КИИ)
Актуальный статус	Действует для ранее аттестованных ГИС	Действует	Актуальная редакция для ГИС	Действует

Как определить, какой приказ нужен вашей организации

Алгоритм состоит из трёх последовательных вопросов. Каждый вопрос независим — «да» на несколько вопросов означает, что применяются несколько приказов.

Вопрос 1: Вы государственный орган или эксплуатируете ГИС?

Если да → Приказ №117 (для систем, создаваемых после 2025) или №17 (для ранее аттестованных).

ГИС — это информационная система, созданная на основании федерального закона, решения Президента, Правительства или органа государственной власти для реализации государственных полномочий. Включает: реестры, порталы госуслуг, системы электронного документооборота органов власти, информационные системы Министерств.

Если вы частная компания, работающая по государственному контракту, но не являющаяся оператором ГИС по нормативному акту — требования №17/117 к вам не применяются.

Вопрос 2: Ваша организация обрабатывает персональные данные физических лиц в ИСПДн?

Если да → Приказ №21

Практически любая организация с сотрудниками или клиентами — оператор ПДн. ИСПДн — это любая автоматизированная система, в которой хранятся ПДн: CRM, HRM, бухгалтерские программы, медицинские ИС, системы контроля доступа.

Первый шаг — определить уровень защищённости по матрице (тип ПДн × число субъектов × тип угроз). От уровня зависит набор обязательных мер.

Вопрос 3: Ваша организация является субъектом КИИ?

Если да → Приказ №239

Субъект КИИ — организация, которая:

Осуществляет деятельность в одной из 13 отраслей, перечисленных в 187-ФЗ
Владеет (использует) информационными системами, ИТС или АСУ ТП, функционирование которых критично для основной деятельности

Определить статус субъекта КИИ и провести категорирование КИИ — обязанность самой организации. Если объектам КИИ не присвоены категории — требования №239 применяются в минимальном объёме, но сам факт наличия объектов КИИ требует регистрации в реестре ФСТЭК.

Если несколько ответов «да» — применяются все

Это типичная ситуация для:

Регионального органа исполнительной власти (РОИВ): ГИС (→ №117) + обрабатывает ПДн граждан (→ №21) + может быть субъектом КИИ (→ №239)
Банка: обрабатывает ПДн клиентов (→ №21) + является субъектом КИИ (→ №239) + плюс требования ЦБ 382-П, 719-П
Медицинской организации: обрабатывает специальные ПДн (здоровье) (→ №21 УЗ-3/УЗ-2) + может быть субъектом КИИ в отрасли здравоохранения (→ №239)

Если применимы несколько приказов: как совмещать

Совмещение нескольких приказов — не исключение, а норма для большинства крупных организаций. Практика выработала несколько подходов.

ГИС + ПДн: №117 и №21

Государственная информационная система часто обрабатывает персональные данные граждан — реестры, порталы, системы соцзащиты. В этом случае применяются оба приказа.

Принцип совмещения: базовый набор мер определяется по каждому приказу независимо, затем формируется объединённый реестр. Меры, совпадающие по содержанию (например, требования к идентификации и аутентификации), реализуются один раз, но документируются в разрезе обоих приказов.

На практике требования №117 строже или сопоставимы с №21, поэтому выполнение №117 во многом закрывает и требования №21. Но документальное подтверждение и организация системы защиты ПДн нужны отдельно.

КИИ + ПДн: №239 и №21

Типично для банков, медицинских организаций, телекоммуникационных компаний. Требования пересекаются по большинству технических мер — аутентификация, разграничение доступа, аудит, антивирусная защита.

Ключевое различие: цель защиты. В №21 — конфиденциальность ПДн субъектов, в №239 — непрерывность работы и целостность значимого объекта КИИ. Модель угроз и перечень защищаемых активов различаются, хотя технические меры во многом совпадают.

ГИС + КИИ: №117 и №239

Отдельные государственные ИС могут быть признаны объектами КИИ — например, ИС в сфере обеспечения обороны, управления энергетической или транспортной инфраструктурой. В этом случае применяются оба приказа.

Требования №239 обычно строже в части мониторинга и реагирования на инциденты (ГосСОПКА), поэтому для объектов КИИ 1 категории меры №239 фактически «поглощают» требования №117 по технической защите.

Единый реестр мер — ключ к управлению совмещёнными требованиями

Ведение отдельных таблиц соответствия по каждому приказу в Excel приводит к дублированию, ошибкам и сложностям при аудитах. Правильный подход — единый реестр мер с маппингом по всем применимым приказам.

Платформа КиберОснова реализует именно такой подход: одна мера защиты может одновременно закрывать требования нескольких приказов, а система автоматически формирует отчёты в разрезе каждого из них.

Как SGRC-платформа автоматизирует соответствие каждому приказу

Ручное управление соответствием требованиям четырёх приказов — это сотни мер, несколько реестров, периодические актуализации и постоянная подготовка к проверкам. SGRC-платформа переводит этот процесс в управляемый и измеримый вид.

Приказ	Что автоматизирует КиберОснова	Покрытие
№17	Реестр мер К1–К3, статусы выполнения, документация для аттестации	Полное
№21	Определение УЗ по матрице, базовый набор мер, отчёты для аудита	317/317 мер (100%)
№117	Реестр мер К1–К4, расчёт КЗИ, контроль переаттестации	Полное
№239	Реестр мер по категориям 1–3, маппинг на активы, уведомления ГосСОПКА	235/239 мер (98%)
Совмещение	Единый реестр с кросс-маппингом по всем приказам	Все комбинации

Модуль соответствия требованиям в КиберОснова позволяет:

Автоматически определить применимые приказы по профилю организации
Сформировать базовый набор мер с учётом класса ГИС / уровня УЗ / категории КИИ
Отслеживать статус выполнения каждой меры с ответственными и сроками
Генерировать отчёты в формате, требуемом для аттестации по ФСТЭК
Контролировать актуальность модели угроз при изменениях в ИС

Подробнее о возможностях — на странице соответствия требованиям ФСТЭК. Запросите демо — подберём набор приказов под ваш профиль организации.

FAQ: 10 вопросов о приказах ФСТЭК

Чем отличается приказ ФСТЭК №17 от №117?

№17 (2013) — первый приказ для ГИС, три класса защищённости (К1–К3). №117 (2025) — обновлённая редакция: четыре класса, вводит КЗИ (коэффициент защищённости), расширены требования к документации, безопасной разработке и управлению изменениями. №117 постепенно заменяет №17: для новых ГИС и при переаттестации — применяется №117.

Кому нужен приказ ФСТЭК №21?

Всем операторам персональных данных, обрабатывающим ПДн в информационных системах. Требования зависят от уровня защищённости (УЗ-1…УЗ-4), который определяется по матрице: тип ПДн × число субъектов × тип актуальных угроз. Приказ применяется совместно с 152-ФЗ.

Кому нужен приказ ФСТЭК №239?

Субъектам КИИ из 13 отраслей, перечисленных в 187-ФЗ: финансы, здравоохранение, транспорт, энергетика, связь и другие. Требования применяются только к значимым объектам КИИ, которым по итогам категорирования присвоена 1, 2 или 3 категория значимости.

Кому нужен приказ ФСТЭК №117?

Государственным органам, органам местного самоуправления и организациям, эксплуатирующим государственные информационные системы. С 2025 года №117 — актуальная редакция требований для ГИС, заменяет №17 при создании новых систем и переаттестации.

Можно ли применять несколько приказов ФСТЭК одновременно?

Да, и это распространённая ситуация. Например, региональный орган исполнительной власти с ГИС, обрабатывающей ПДн граждан и отнесённой к КИИ, обязан соответствовать одновременно №117, №21 и №239. Платформа КиберОснова ведёт единый реестр мер с кросс-маппингом по всем приказам — это исключает дублирование документации.

Нужна ли аттестация для всех четырёх приказов?

Обязательная аттестация: №17 и №117 — для всех ГИС любого класса; №239 — для значимых объектов КИИ 1 категории. Для №21 (ИСПДн) аттестация законом не требуется, однако крупные операторы ПДн (банки, медорганизации) проводят её добровольно для подтверждения соответствия.

Что такое уровни защищённости по приказу №21?

Четыре уровня: УЗ-4 (базовый), УЗ-3, УЗ-2, УЗ-1 (максимальный). Уровень определяется по «матрице»: тип ПДн (специальные → биометрические → иные → общедоступные) × число субъектов (> 100 000 или ≤ 100 000) × тип угроз (1/2/3). Каждый уровень задаёт минимальный обязательный набор технических и организационных мер.

Что такое категории значимости объектов КИИ по приказу №239?

Три категории: 1-я — наивысшая, критическое влияние на национальную безопасность и обороноспособность; 2-я — значительное влияние на жизнеобеспечение; 3-я — умеренное влияние, затрагивающее отдельные организации. Присвоение категории — обязанность самого субъекта КИИ по итогам категорирования.

Как определить, какой приказ ФСТЭК применим к моей организации?

Алгоритм: (1) Есть ГИС → №117. (2) Обрабатываете ПДн → №21. (3) Являетесь субъектом КИИ → №239. Если несколько условий одновременно — применяются все соответствующие приказы. Платформа КиберОснова автоматически определяет применимые требования по профилю организации и формирует единый план соответствия требованиям ФСТЭК.

Сколько мер защиты содержит каждый из приказов?

Приблизительно: №17 — 194 меры (11 групп), №21 — 109 базовых мер (15 групп), №117 — 200+ мер (11 групп, 4 класса), №239 — 239 мер (14 групп). База КиберОснова охватывает 317/317 мер №21 (100%) и 235/239 мер №239 (98%).

Итоговый выбор нормативной базы зависит от типа организации, характера обрабатываемой информации и статуса субъекта КИИ. В большинстве случаев применяется несколько приказов одновременно — и именно здесь SGRC-платформа даёт наибольший эффект: единый реестр, сквозная трассируемость мер и автоматизированная отчётность по каждому регулятору.

Запросите демо платформы КиберОснова — покажем, как автоматизировать соответствие именно тем приказам, которые применимы к вашей организации.

Приказы ФСТЭК №17, №21, №117 и №239: сравнение — кому нужен каждый