Что такое КЗИ и Пзи в приказе ФСТЭК №117?

КЗИ (коэффициент защищённости информации) — числовой показатель от 0 до 1, характеризующий текущий уровень защиты ГИС. Рассчитывается по 16 коэффициентам в 4 группах: организация и управление (вес 0,10), защита пользователей (0,25), защита информационных систем (0,35), мониторинг ИБ и реагирование (0,30). Минимально допустимое значение — КЗИ ≥ 1,0. Оценка проводится не реже раза в 6 месяцев, результат направляется во ФСТЭК в течение 5 рабочих дней (пункт 32). Пзи (показатель уровня зрелости) оценивает зрелость процессов ИБ — раз в 2 года. Оба показателя введены впервые и заменяют бинарную аттестацию из приказа №17.

Какие SLA устанавливает приказ ФСТЭК №117 для устранения уязвимостей?

Пункт 38 приказа №117 впервые вводит жёсткие временны́е ограничения для ГИС: критические уязвимости — не более 24 часов; высокие уязвимости — не более 7 календарных дней. Дополнительно: при выявлении уязвимостей, сведений о которых нет в БДУ ФСТЭК, оператор обязан направить информацию во ФСТЭК в срок не более 5 рабочих дней. До принятия приказа №117 российские нормативные документы устанавливали лишь общую рекомендацию «устранять своевременно». Несоблюдение SLA фиксируется в показателях КЗИ и является основанием для предписания ФСТЭК.

Что запрещает приказ ФСТЭК №117 в части использования ИИ?

Пункт 60 прямо запрещает передачу информации ограниченного доступа разработчику модели искусственного интеллекта — в том числе через API облачных сервисов для улучшения модели. Это означает запрет на использование ChatGPT, GigaChat и аналогов с данными ДСП. Пункт 61 требует: определить шаблоны запросов и ответов при взаимодействии с ИИ-сервисами; контролировать тематику запросов; разработать статистические критерии выявления недостоверных ответов; обеспечить реагирование на нарушения. Приказ №117 — первый нормативный документ ФСТЭК России, устанавливающий требования к использованию ИИ в ГИС.

Сколько обязательных направлений мероприятий в приказе ФСТЭК №117?

Пункт 34 приказа №117 устанавливает 21 обязательное направление мероприятий по защите информации. Для сравнения: приказ №17 содержал 15 групп мер. Новые направления включают защиту от DDoS (направление «с»), защиту при использовании ИИ («т»), непрерывное взаимодействие с ГосСОПКА («х»). Каждое из 21 направлений раскрыто отдельными требованиями (пункты 36–61). Оператор обязан реализовать все 21 направление, конкретный набор мер адаптируется по результатам оценки угроз.

Нужна ли аттестация ГИС по новому приказу ФСТЭК №117?

Да, аттестация сохраняется как обязательная процедура (пункт 19 приказа №117). Для аттестации необходимо подтвердить значение КЗИ ≥ 1,0 по 16 коэффициентам и применение сертифицированных СЗИ (пункт 71). Аттестаты, выданные до 01.03.2026 по приказу №17, действуют до своего срока истечения — но с 01.03.2026 организация уже обязана выполнять требования №117 параллельно. При первой плановой переаттестации оценка будет проводиться только по приказу №117. Аттестацию проводит только аккредитованная ФСТЭК организация; расчёт КЗИ между аттестациями может выполнять внутренний специалист.

Текст приказа ФСТЭК №117: ключевые нормы с цитатами

Q: Где найти официальный текст приказа ФСТЭК №117?

Приказ ФСТЭК №117 от 11 апреля 2025 года официально опубликован на publication.pravo.gov.ru (18 апреля 2025). Регистрационный номер Минюста — 82619, дата регистрации — 16 июня 2025 года. Документ действует с 1 марта 2026 года. Полное название: «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». На сайте ФСТЭК России (fstec.ru) размещены методические документы к приказу, включая методику расчёта КЗИ.

Приказ ФСТЭК №117 от 11 апреля 2025 года утверждает «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Документ зарегистрирован в Минюсте России 16 июня 2025 года (регистрационный №82619) и вступил в силу 1 марта 2026 года, полностью заменив приказ ФСТЭК №17 от 2013 года.

В этой статье — структура приказа по разделам, ключевые нормы с дословными цитатами, таблицы SLA и требования к ИИ.

Кому обязателен приказ ФСТЭК №117

Согласно пункту 1 приказа, требования применяются при создании и эксплуатации:

государственных информационных систем (ГИС) федерального и регионального уровней;
иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений;
муниципальных информационных систем (пункт 3).

Требования не распространяются (пункт 12) на ИС Администрации Президента РФ, Совета Безопасности, Федерального Собрания, аппарата Правительства РФ, Конституционного и Верховного судов, а также на ИС, обеспечивающие управление вооружением, военной и специальной техникой.

Если ГИС одновременно является значимым объектом КИИ, её защита обеспечивается в соответствии и с требованиями №117, и с нормативными актами по 187-ФЗ (пункт 6).

Структура приказа: 8 разделов

Требования состоят из восьми разделов:

I. Общие положения (п. 1–12) — сфера применения, исключения, соотношение с другими НПА (152-ФЗ/ПП-1119, 187-ФЗ, ФСБ).

II. Организация деятельности по защите информации и управление данной деятельностью (п. 13–33) — политика ЗИ, внутренние стандарты и регламенты, роли и ответственность, аттестация, КЗИ/Пзи.

III. Перечень мероприятий (п. 34–35) — 21 обязательное направление деятельности.

IV–XXI. Требования к каждому мероприятию (п. 36–61) — детальное раскрытие каждого из 21 направлений.

Мероприятия по контролю уровня защищённости (п. 62–67) — порядок контроля.

Применение средств защиты информации (п. 68–75) — сертификация СЗИ, требования к поставщикам.

Ключевое новшество: показатель защищённости КЗИ

Приказ №117 заменяет бинарную оценку «выполнено/не выполнено» количественным показателем.

Пункт 31 устанавливает:

«Оператор (обладатель информации) должен быть ознакомлен с показателями: а) показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации (далее — показатель защищённости Кзи); б) показателя, характеризующего уровень зрелости процессов по защите информации (далее — показатель уровня зрелости Пзи).»

Пункт 32 устанавливает периодичность:

«Расчёт и оценка показателя защищённости Кзи должны проводиться оператором (обладателем информации) не реже одного раза в шесть месяцев. Расчёт и оценка показателя уровня зрелости Пзи должны проводиться оператором (обладателем информации) не реже одного раза в два года.»

Результаты Кзи и Пзи направляются во ФСТЭК России в срок не позднее 5 рабочих дней после расчёта.

КЗИ рассчитывается по методике ФСТЭК на основе 16 коэффициентов в 4 группах:

Группа	Вес
Организация и управление (к11–к13)	0,10
Защита пользователей (к21–к24)	0,25
Защита информационных систем (к31–к36)	0,35
Мониторинг ИБ и реагирование (к41–к43)	0,30

Минимально допустимое значение КЗИ — 1,0. При КЗИ ниже 1,0 руководитель оператора уведомляется в течение 3 календарных дней (пункт 32).

Рассчитать КЗИ онлайн → калькулятор на странице модуля

21 направление мероприятий (пункт 34)

Приказ №117 устанавливает 21 обязательное направление деятельности по защите информации:

№	Мероприятие
а	Выявление и оценка угроз безопасности информации
б	Контроль конфигураций информационных систем
в	Управление уязвимостями
г	Управление обновлениями
д	Защита информации ограниченного доступа при обработке и хранении
е	Защита информации при применении конечных устройств
ж	Защита информации при применении мобильных устройств
з	Защита информации при удалённом доступе пользователей
и	Защита информации при беспроводном доступе
к	Защита информации при привилегированном доступе
л	Мониторинг информационной безопасности
м	Разработка безопасного программного обеспечения
н	Физическая защита информационных систем
о	Обеспечение непрерывности функционирования при нештатных ситуациях
п	Повышение осведомлённости пользователей по вопросам ЗИ
р	Защита информации при взаимодействии с подрядными организациями
с	Защита от компьютерных атак типа «отказ в обслуживании» (DDoS)
т	Защита информации при использовании искусственного интеллекта
у	Реализация мер защиты в информационных системах
ф	Контроль уровня защищённости информации
х	Непрерывное взаимодействие с ГосСОПКА

SLA на устранение уязвимостей (пункт 38)

Приказ впервые вводит жёсткие временны́е рамки. Дословная цитата:

«Устранение уязвимостей, которые могут быть использованы нарушителями, или исключение возможности их использования за счёт применения компенсирующих мер должно проводиться оператором (обладателем информации): — в отношении уязвимостей критического уровня опасности — в срок не более 24 часов; — в отношении уязвимостей высокого уровня опасности — в срок не более 7 календарных дней.»

При выявлении уязвимостей, сведения о которых отсутствуют в БДУ ФСТЭК, оператор обязан направить информацию во ФСТЭК России в срок не более 5 рабочих дней.

Как КиберОснова контролирует SLA по уязвимостям из БДУ ФСТЭК →

Требования к искусственному интеллекту (пункты 60–61)

Приказ №117 первым в российском регулировании устанавливает требования к использованию ИИ в государственных ИС.

Пункт 60 — защита ИС при использовании ИИ для функционирования системы:

«Посредством проведения мероприятий по обеспечению защиты информации при использовании для функционирования информационных систем искусственного интеллекта должна быть обеспечена возможность исключения несанкционированного доступа к информации или воздействия на информационные системы... за счёт воздействия на наборы данных, применяемые модели искусственного интеллекта и их параметры...»

Прямой запрет:

«Не допускается передача лицу, разработавшему модель искусственного интеллекта, информации ограниченного доступа, содержащейся в информационных системах, в том числе для улучшения функционирования модели искусственного интеллекта.»

Пункт 61 — требования при взаимодействии пользователей с ИИ-сервисами (ChatGPT, GigaChat и аналогами):

определить шаблоны запросов и обеспечить контроль соответствия им;
определить шаблоны ответов и контролировать их соответствие установленным форматам;
определить допустимые тематики и контролировать соответствие запросов;
разработать статистические критерии для выявления недостоверных ответов;
обеспечить реагирование на недостоверные ответы путём ограничения области принимаемых решений.

Аттестация ГИС по приказу №117

Пункт 19 обязывает проводить аттестацию ГИС:

«Информационная система должна быть аттестована (при наличии в ней информации ограниченного доступа) или её защита подтверждена иными методами оценки соответствия.»

Аттестаты, выданные до вступления в силу приказа (до 01.03.2026), действительны до окончания установленных в них сроков (пункт 3 приказа).

Для аттестации необходимо подтвердить значение КЗИ ≥ 1,0. Аттестатор проверяет:

расчёт КЗИ по 16 коэффициентам;
доказательную базу по каждой выполненной мере;
применение сертифицированных СЗИ (пункт 71).

Как SGRC-платформа формирует доказательную базу для аттестатора →

Сроки восстановления информационных систем (пункт 30)

В зависимости от класса ИС:

Класс защищённости	Максимальный RTO
1 класс	24 часа
2 класс	7 дней
3 класс	4 недели (28 дней)

Класс защищённости определяется в ходе классификации ИС при её создании.

Внутренние документы, которые требует приказ №117

Раздел II устанавливает обязательный пакет организационно-распорядительных документов (ОРД):

Политика защиты информации (пункт 14а) — область действия, цели, принципы, перечни объектов, роли
Внутренние стандарты по ЗИ (пункт 14г) — требования к паролям, моделям доступа, конфигурациям, конечным и мобильным устройствам
Внутренние регламенты по ЗИ (пункт 14д) — порядок управления УЗ, удалённого доступа, работы с подрядчиками
Модель угроз (пункт 36) — на основе данных БДУ ФСТЭК
План мероприятий по совершенствованию ЗИ (пункт 33) — при КЗИ < 1,0
Отчёт о результатах мониторинга ИБ (пункт 49) — ежегодно во ФСТЭК

Требования к средствам защиты информации

Пункт 71:

«Для защиты информации должны применяться сертифицированные средства защиты информации в соответствии с инструкциями (правилами) по их эксплуатации. Применяемые средства защиты информации должны быть обеспечены со стороны их разработчиков поддержкой безопасности на территории Российской Федерации, включая выпуск и применение обновлений программного обеспечения.»

Требование к сертификатам СЗИ означает обязательное использование российских или сертифицированных иностранных СЗИ с действующим сертификатом ФСТЭК России.

Связь с другими нормативными актами

НПА	Как соотносится с приказом №117
152-ФЗ + ПП-1119 + приказ №21	Для ГИС с ПДн применяются оба приказа одновременно
187-ФЗ + приказ №239	Для ГИС — значимых объектов КИИ — применяются оба
Приказ ФСБ по СКЗИ	При использовании криптосредств — дополнительно
ПП-676	Устанавливает порядок создания ГИС, включая разработку модели угроз

Итог: что изменилось по сравнению с приказом №17

Параметр	Приказ №17 (2013)	Приказ №117 (2025)
Оценка соответствия	Бинарная (да/нет)	Количественная (КЗИ ≥ 1,0)
Уязвимости	Устранять своевременно	24ч / 7 дней / 5 дней
ИИ-требования	Нет	Пункты 60–61 (впервые)
ГосСОПКА	Рекомендательно	Обязательно для всех ГИС
Периодичность оценки	Не установлена	КЗИ — раз в 6 мес, Пзи — раз в 2 года
Направления мер	15 групп мер (Приложение)	21 направление мероприятий

Подробное сравнение приказа №17 и №117 →

Автоматизация требований приказа №117 в КиберОснова

SGRC-платформа КиберОснова автоматизирует выполнение всех требований приказа №117:

Расчёт КЗИ онлайн — 16 коэффициентов в 4 группах, живой пересчёт
SLA-контроль уязвимостей — автоматические оповещения 24ч/7дн/5дн из БДУ ФСТЭК
Генерация ОРД — политика ЗИ, регламенты, модель угроз, отчёты
Мониторинг ИБ — контроль событий, аудит выполнения мероприятий

Запросить демо →

Приказ ФСТЭК №117: разбор текста с дословными цитатами по пунктам