С 1 марта 2026 года вступает в силу Приказ ФСТЭК России №117, который заменяет устаревший Приказ №17 и существенно обновляет требования к защите информации в государственных информационных системах (ГИС), а также в ИС органов власти, унитарных предприятий и учреждений. Новый документ расширяет сферу действия, вводит более детальные меры защиты и акцентирует внимание на всей IT-инфраструктуре, включая виртуализацию, удаленный доступ и взаимодействие с подрядчиками. Это ответ на эволюцию киберугроз, рост атак через цепочки поставок и необходимость импортозамещения, что делает защиту более процессной и ориентированной на постоянный контроль.
Основные нововведения включают переход от базового набора мер к конкретным мероприятиям, описывающим бизнес-процессы. Расширяется определение ГИС, теперь охватывающее любые системы с государственными данными. Появляются новые классы угроз, обязательные требования к подрядчикам, удаленному доступу и использованию личных устройств. Система оценки соответствия меняется: вводятся показатели защищенности (контроль раз в полгода с отчетом во ФСТЭК) и зрелости (проверка раз в 2 года). Аттестация ГИС остается обязательной, но теперь учитывает всю инфраструктуру, а не только периметр системы.
В части защиты сети сохраняются базовые меры (сегментация, межсетевое экранирование, обнаружение вторжений), но добавляются обязательные требования к защите удаленного доступа (строгая аутентификация с криптографией, доступ только с территории РФ, VPN и антивирус на устройствах), веб-приложений и API, а также контролю конфигурации удаленных станций. Для виртуализации усиливаются меры против атак на гипервизоры, с акцентом на сертифицированные решения и наложенные средства защиты. Требования к рабочим станциям включают контроль конфигурации, мониторинг, централизованное управление безопасностью и усиление антивирусной защиты.
Особое внимание уделено подрядчикам: теперь обязательны требования к их ИБ, аттестация сегментов взаимодействия и запрет на разработку/тестирование в эксплуатируемых системах. Это минимизирует риски атак через внешних исполнителей, одна из самых актуальных угроз для госсектора.
В итоге, Приказ №117 переводит защиту ГИС на новый уровень — от статичной аттестации к динамичному процессу с регулярным мониторингом и отчетностью. Организациям госсектора рекомендуется уже сейчас проводить аудит и планировать модернизацию инфраструктуры, чтобы избежать рисков несоответствия и повысить общую устойчивость к киберугрозам.
У нас есть комплексная услуга "Изменение систем ИБ в соответствии с нормами законодательства РФ". Предоставим рекомендации по устранению любых несоответствий, а ещё разработаем методологию и внутренние нормативные документы в области ИБ.
