18.06.2025
С 1 марта 2026 года вступает в силу новый нормативный акт, регулирующий защиту информации в государственных и муниципальных информационных системах, а также в системах государственных органов, предприятий и учреждений. Речь идет о приказе №117, изданном ФСТЭК России 11 апреля 2025 года и зарегистрированном в Минюсте 16 июня 2025 года под номером 82619. Ознакомиться с полным текстом документа можно по ссылке: http://publication.pravo.gov.ru/document/0001202506170011?index=1.Этот приказ отменяет действие приказа ФСТЭК России №17 от 11 февраля 2013 года, который ранее регулировал защиту информации, не составляющей государственную тайну, в государственных информационных системах. Однако, аттестаты соответствия, выданные до вступления в силу нового приказа, сохраняют свою юридическую силу.
Новый приказ значительно расширяет область регулирования, распространяясь не только на государственные, но и на муниципальные информационные системы. Это означает, что большее количество организаций и систем подпадают под действие новых требований.
В связи с этим, организациям потребуется разработать и внедрить большое количество внутренних регламентов и стандартов, охватывающих различные аспекты информационной безопасности. Это включает в себя требования к конфигурации и настройке программного и аппаратного обеспечения, сбору и анализу событий информационной безопасности, управлению привилегированными учетными записями и удаленным доступом, управлению уязвимостями и обновлениями, разработке безопасного программного обеспечения, выводу в публичный доступ сервисов и систем, а также мониторингу информационной безопасности и контролю уровня защищенности.
Приказ устанавливает требования к квалификации сотрудников подразделений информационной безопасности. Не менее 30% работников должны иметь профессиональное образование или пройти профессиональную переподготовку в области информационной безопасности.
Важным нововведением является распространение действия приказа на тех, кто получает информацию из государственных информационных систем или интегрируется с ними через API. Такие организации также должны соответствовать требованиям приказа №117.
Операторы информационных систем обязаны создавать подразделения или назначать ответственных лиц за защиту информации, при этом к ним предъявляются требования о профессиональном образовании.
Оценка показателя защищенности теперь должна проводиться каждые полгода, а уровня зрелости – каждые два года, с предоставлением отчета во ФСТЭК. Оценка проводится по методике ФСТЭК, а не силами лицензиатов.
Приказ содержит новые наборы мер по защите информации, однако не включает в себя фреймворк мер. Это означает, что детализация требований будет представлена в новых методических документах ФСТЭК, которые ожидаются в текущем году.
В приказе конкретизированы действия, необходимые для выполнения мер по защите информации.
Аттестация государственных информационных систем остается обязательной. При этом, возможность аттестации информационной системы как отдельного набора сегментов исключена.
Периодический контроль теперь проводится раз в три года или после инцидента. Результаты контроля оформляются в виде отчета. При этом, обязательство по ведению протоколов и заключений контроля, установленное приказом №77, сохраняется.