Назад к блогу

Приказ ФСТЭК №117: что меняется для организаций и как подготовиться

8 мин. чтения0 просмотровСоответствие

Приказ ФСТЭК №117: что меняется для организаций и как подготовиться

С 1 марта 2026 года вступает в силу Приказ ФСТЭК России №117, который полностью заменяет действовавший 12 лет Приказ №17. Новый документ кардинально меняет подход к защите информации в государственных информационных системах. В этой статье разбираем ключевые нововведения и практические шаги по подготовке.

Кого затрагивает

Приказ №117 значительно расширяет сферу действия по сравнению с предшественником. Теперь требования распространяются не только на ГИС, но и на все информационные системы госорганов, государственных унитарных предприятий и учреждений, включая муниципальные. Подрядчики и сервис-провайдеры, имеющие доступ к этим системам, также попадают под действие приказа.

Это означает, что десятки тысяч организаций — от федеральных министерств до районных поликлиник — должны привести свои системы защиты в соответствие с новыми требованиями.

18 подсистем защиты вместо 13

Приказ №117 определяет 18 направлений технической защиты информации:

  • ИАФ — идентификация и аутентификация
  • УПД — управление доступом
  • РСБ — регистрация событий безопасности
  • ЗСВ — защита виртуализации и облачных вычислений (новое)
  • ЗКО — защита контейнерных сред и оркестрации (новое)
  • ЗЭП — защита сервисов электронной почты (новое)
  • ЗВТ — защита веб-технологий (новое)
  • ЗПИ — защита программных интерфейсов взаимодействия (API) (новое)
  • ЗКУ — защита конечных устройств
  • ЗМУ — защита мобильных устройств
  • ЗИВ — защита устройств интернета вещей (новое)
  • ЗБД — защита точек беспроводного доступа
  • АВЗ — антивирусная защита
  • СОВ — обнаружение и предотвращение вторжений
  • МСЭ — сегментация и межсетевое экранирование
  • ЗОО — защита от DDoS-атак (новое)
  • ЗКС — защита каналов связи
  • ЗИИ — защита систем искусственного интеллекта (новое)

Появление отдельных подсистем для контейнеров, API, IoT, DDoS и ИИ отражает современную реальность: эти технологии широко используются в госсекторе, но ранее не имели специализированных требований к защите.

Коэффициент защищённости Кзи — числовая оценка вместо бинарной

Главное нововведение Приказа №117 — переход от бинарной оценки «соответствует/не соответствует» к числовому показателю защищённости (Кзи). Этот коэффициент рассчитывается по 16 критериям в 4 группах с весовыми коэффициентами:

  1. Организация и управление (R₁ = 0.10) — назначение ответственных, подразделение ИБ, требования к подрядчикам
  2. Защита пользователей (R₂ = 0.25) — парольная политика, MFA, дефолтные пароли, учётки уволенных
  3. Защита информационных систем (R₃ = 0.35) — межсетевой экран, уязвимости на периметре, антивирус, DDoS-защита
  4. Мониторинг и реагирование (R₄ = 0.30) — SIEM, мониторинг интернет-устройств, регламент инцидентов

Значение Кзи ≥ 1.0 считается базовым уровнем, 0.75–1.0 — низким (есть предпосылки для угроз), а ≤ 0.75 — критическим. Расчёт проводится каждые 6 месяцев и направляется во ФСТЭК в течение 5 рабочих дней.

Жёсткие сроки устранения уязвимостей

Приказ впервые устанавливает конкретные дедлайны:

  1. Критические уязвимости — не более 24 часов
  2. Высокой опасности — не более 7 календарных дней
  3. Средние и низкие — по внутреннему регламенту организации

Ежемесячное сканирование активов на уязвимости становится обязательным. Уязвимости, не включённые в БДУ ФСТЭК, должны быть направлены во ФСТЭК в течение 5 рабочих дней.

Как EASM помогает выполнить требования №117

Платформа управления внешней поверхностью атаки (EASM) — один из ключевых инструментов для выполнения требований нового приказа. Вот что Perimeter проверяет автоматически:

  • ЗВТ (веб-технологии) — модуль web-сканирования проверяет заголовки CSP, HSTS, X-Frame-Options, наличие WAF, защиту от XSS и CSRF
  • ЗПИ (API) — модули api и exposure обнаруживают открытые API-эндпоинты (Swagger, GraphQL) без аутентификации
  • ЗЭП (электронная почта) — модуль dns проверяет записи SPF, DKIM и DMARC
  • ЗКС (каналы связи) — модуль tls проверяет версии TLS, наборы шифров, валидность сертификатов, поддержку ГОСТ
  • ЗОО (DDoS) — модуль web обнаруживает наличие CDN и Anti-DDoS провайдеров
  • МСЭ (межсетевой экран) — модуль network выявляет нефильтрованные порты и сервисы
  • Кзи k₂₃ (дефолтные пароли) — модуль network проверяет наличие дефолтных учётных данных на внешних сервисах
  • Кзи k₃₂ (уязвимости на периметре) — модуль vuln проверяет CVE/NVD на всех обнаруженных активах

Чеклист подготовки к 1 марта 2026

  1. Провести инвентаризацию всех информационных систем, подпадающих под действие Приказа
  2. Запустить EASM-сканирование для оценки внешней поверхности атаки
  3. Устранить критические уязвимости на внешнем периметре
  4. Настроить SPF, DKIM, DMARC для всех почтовых доменов
  5. Внедрить WAF для веб-приложений
  6. Развернуть систему DDoS-защиты L3/L4
  7. Назначить заместителя руководителя, ответственного за ИБ
  8. Убедиться, что не менее 30% сотрудников ИБ имеют профильное образование
  9. Подготовить регламент реагирования на инциденты
  10. Настроить подключение к ГосСОПКА
  11. Провести первый расчёт Кзи с помощью бесплатного калькулятора
  12. Настроить регулярный мониторинг с автоматическими оповещениями при обнаружении новых уязвимостей
Поделиться:TelegramVK

Похожие статьи

Критическая уязвимость пароля по умолчанию угрожает устройствам Juniper Networks

10 апр. 20262 мин. чтения1
juniper networksуправление уязвимостямибезопасность сети

Критическая уязвимость в React Server Components открывает доступ к атакам отказа в обслуживании

10 апр. 20263 мин. чтения1
компоненты react serverуправление уязвимостямиотказ в обслуживании

Уязвимость оборудования для газораспределительных систем GPL Odorizers GPL750

10 апр. 20262 мин. чтения1
критическая инфраструктурараспределение газауправление уязвимостями
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.