Что такое КЗИ по приказу ФСТЭК №117?

КЗИ (показатель защищённости информации) — количественная метрика, введённая приказом ФСТЭК №117. Рассчитывается по 16 коэффициентам в 4 группах: Организация и управление (вес 0,10), Защита пользователей (0,25), Защита ИС (0,35), Мониторинг и реагирование (0,30). Минимально допустимое значение — 1,0. КЗИ ниже 1,0 означает, что система не готова к аттестации.

Когда вступил в силу приказ ФСТЭК №117?

Приказ ФСТЭК №117 вступил в силу 1 марта 2026 года. Подписан 11 апреля 2025 года, зарегистрирован в Минюсте 16 июня 2025 года (рег. №82619). Полностью заменяет приказ ФСТЭК №17 от 2013 года. Аттестаты ГИС, выданные до 01.03.2026, действуют до окончания установленных в них сроков.

Какие SLA на устранение уязвимостей по приказу №117?

Приказ №117 устанавливает жёсткие сроки: критические уязвимости — 24 часа, высокого уровня опасности — 7 дней. Информация о новых уязвимостях из БДУ ФСТЭК должна быть направлена во ФСТЭК в течение 5 рабочих дней. Нарушение SLA фиксируется при аттестации и снижает КЗИ.

Кто обязан выполнять приказ ФСТЭК №117?

Требования обязательны для операторов государственных информационных систем (ГИС) всех уровней, государственных унитарных предприятий и учреждений. Приказ также распространяется на муниципальные ИС (п. 3) и ИТ-инфраструктуру, на базе которой функционируют ИС (п. 8). Исключения: ИС Администрации Президента, Совета Безопасности, ФСО, СВР.

Как часто нужно рассчитывать КЗИ?

По приказу №117, КЗИ рассчитывается не реже одного раза в 6 месяцев. Показатель зрелости процессов (Пзи) — не реже одного раза в 2 года. Результаты расчёта направляются во ФСТЭК. КиберОснова рассчитывает КЗИ в режиме реального времени, а формирование официального отчёта занимает несколько минут.

Чем приказ №117 отличается от приказа №17?

Ключевые отличия: 1) Количественная оценка КЗИ вместо бинарного «выполнено/нет»; 2) Жёсткие SLA на уязвимости (24ч/7дн); 3) Требования к ИИ (впервые в РФ); 4) Обязательная ГосСОПКА; 5) 21 направление мероприятий вместо разрозненных мер; 6) Сроки восстановления по классам (1 кл — 24ч, 2 кл — 7 дней, 3 кл — 4 недели). Подробнее — в статье об отличиях.

С 01.03.2026 в силе

Приказ ФСТЭК №117 — автоматизация КЗИ и защиты ГИС

КЗИ ≥ 1.0 — единственный критерий готовности ГИС к аттестации. Платформа рассчитывает КЗИ в реальном времени, контролирует SLA уязвимостей и выполнение 21 направления мероприятий.

Запросить демо Смотреть модули

Зачем автоматизировать выполнение приказа ФСТЭК №117

Приказ ФСТЭК №117 заменил приказ №17 с 1 марта 2026 года. Главное изменение — переход от бинарной оценки «выполнено/нет» к количественному показателю КЗИ (коэффициент защищённости информации). КЗИ рассчитывается по 16 критериям в 4 группах. Минимально допустимое значение — 1,0.

Ручной расчёт КЗИ, отслеживание SLA уязвимостей (критические — 24 часа) и контроль 21 направления мероприятий занимают недели. КиберОснова автоматизирует полный цикл — от расчёта КЗИ до формирования доказательной базы для аттестатора.

критериев КЗИ

4 группы с весами

24ч

SLA крит. уязвим.

7 дней — высокие

направление мер

Полный контрольный лист

Возможности модуля ФСТЭК №117

Автоматизация полного цикла соответствия: от расчёта КЗИ до аттестации ГИС

Автоматический расчёт КЗИ

Система рассчитывает показатель защищённости по 16 коэффициентам в 4 группах в режиме реального времени. При изменении статуса любой меры КЗИ пересчитывается немедленно. Результат отображается на дашборде и в отчёте для аттестатора.

SLA-контроль уязвимостей

Критические уязвимости — 24 часа на устранение, высокие — 7 дней, из БДУ ФСТЭК — 5 рабочих дней. КиберОснова автоматически отслеживает сроки, направляет оповещения и фиксирует факт устранения для аттестатора.

Контроль ИИ-инструментов (req-60, req-61)

Первое в России требование к ИИ в нормативном акте по ИБ. КиберОснова ведёт реестр допустимых ИИ-инструментов, контролирует запрет передачи информации ограниченного доступа разработчику модели, фиксирует взаимодействие пользователей с ИИ.

Отчётность для аттестатора

Экспорт расчёта КЗИ, перечня выполненных и невыполненных мер, доказательной базы в один отчёт. 21 направление мероприятий — контрольный лист с прогрессом. Готовые формы ОРД: политика ИБ, регламент реагирования, план защиты.

Калькулятор КЗИ — рассчитайте показатель защищённости онлайн

Отметьте выполненные критерии — КЗИ пересчитывается мгновенно. 16 показателей по методике ФСТЭК к приказу №117.

На заместителя руководителя возложены функции по ИБ

вес 0.3+0,03 КЗИ

Есть приказ о назначении зам. руководителя ответственным за ИБ. Без этого — нет «хозяина» процесса.

Определены функции подразделения / сотрудника по ИБ

вес 0.4+0,04 КЗИ

В штатном расписании или положении закреплены задачи по ИБ: мониторинг, реагирование, аудит.

В договорах с подрядчиками закреплены требования по ИБ

вес 0.3+0,03 КЗИ

NDA + обязательства подрядчика по защите данных. Типичная ошибка — забыть про IT-аутсорсеров.

Ваш КЗИ (показатель защищённости)

0.00

минимум 1.00 для аттестации

Критический — серьёзные пробелы в защите

Критериев выполнено: 0 из 16

До аттестации не хватает 1.00 КЗИ. КиберОснова покажет, какие меры закрыть в первую очередь.

Рассчитать КЗИ в КиберОснова

Автоматический расчёт + доказательная база + отчёт для аттестатора

КиберОснова vs ручной процесс для выполнения ФСТЭК №117

Критерий	Вручную (Excel + таблицы)	КиберОснова
Расчёт КЗИ	Ручной расчёт по 16 коэффициентам, 2-4 часа	Автоматически в реальном времени
Контроль SLA уязвимостей	Таймер в Excel, ручные напоминания	Автоматические оповещения: 24ч/7дн/5дн
ИИ-требования (req-60/61)	Нет инструмента	Реестр ИИ, контроль передачи данных
Отчёт для аттестатора	Составлять вручную, дни работы	Экспорт за 1 клик с доказательной базой
21 направление мероприятий	Чеклист в Word	Контрольный лист с прогрессом в платформе

Чеклист готовности к требованиям Приказа ФСТЭК №117

27 пунктов по 6 блокам: категорирование, модель угроз, система защиты, VM, инциденты, оргмеры. Для внутреннего аудита и подготовки к проверке ФСТЭК.

Скачать чеклист

FAQ

Часто задаваемые вопросы о приказе ФСТЭК №117

Не нашли ответ? Напишите нам

Связанные разделы

Выполните требования ФСТЭК №117 за 2 недели

КЗИ в реальном времени, SLA-контроль уязвимостей, ИИ-требования (req-60/61), отчёт для аттестатора.