Приказ ФСТЭК России № 117

Полное руководство

Новые требования, старые проблемы и немного свежих.Наша платформа берёт этот многостраничный труд и превращает его в понятные шаги для вашего коллектива.

Связаться с нами
Кто мы?

компания "Технологии доступа"

Наша компания — лицензиат ФСТЭК России.
Это не даёт нам права выдавать наши тексты за официальные, но даёт уверенность, что мы говорим не с потолка.

  1. Шаблоны— бесплатно.
    Это старт. Вы можете скачать формы документов и заполнить сами.
  2. Уверенность — по запросу.
    Это наша работа: от адаптации документов до внедрения средств защиты и аттестации на соответствие требованиям. Платно, но дешевле штрафа и потраченных нервов.

Организационные меры

Разработка и внедрение внутренних регламентов по обработке данных.

Технические меры

Установка систем защиты, межсетевых экранов и антивирусов.

Мониторинг безопасности

Постоянный анализ журналов доступа и событий безопасности.

Обучение персонала

Обязательные тренинги для всех сотрудников раз в год.

🎁 Бесплатные шаблоны документов по 117‑му приказу

Политика защиты информации

Документ, определяющий цели, задачи, принципы и роли в системе защиты информации.

Назначение ответственных

Распределение обязанностей с чёткими инструкциями для каждой роли.

Стандарт защиты информации

Измеримые параметры: сроки смены паролей, периодичность сканирования, глубина хранения журналов.

Регламент защиты информации

Пошаговые процедуры действий персонала при инцидентах, изменениях в системе, вводе в эксплуатацию.

Учетные формы

Журналы событий, акты, протоколы, подтверждающие выполнение требований.

Документы на каждую ИС

От приказа о создании ИС до акта проверки реализации мер защиты.


Этапы большого пути

📋

Этап 1. Первичные организационные мероприятия

1.1
Инвентаризация активов
рабочая группа, перечни ИС, данных, сервисов
1.2
Политика защиты информации
цели, принципы, структура СЗИ
1.3
Отдел ИБ / ответственные лица
назначение, закрепление обязанностей, ≥30% с профильным образованием
1.4
Постоянно действующая комиссия
создать, утвердить положение
1.5
Стандарт защиты информации (базовые параметры)
пароли, доступ, аудит, съёмные носители
1.6
Регламент защиты информации (инструкции для ответственных)
порядок действий при инцидентах, уязвимостях, резервном копировании
🔍 Для каждой ИС проверяется: выполнены ли требования Этапа 2?
⚠️

Требования не выполнены → Этап 2

2.1
Формирование требований к защите ИС
классификация, перечень актуальных угроз, требования
2.2
Подсистема ИБ
выбор конкретных СЗИ, описание реализации мер защиты (проектирование)
2.3
Внедрение СЗИ и анализ уязвимостей
установка, настройка, тестирование, акт, анализ уязвимостей
2.4
Проверка и ввод в эксплуатацию
контрольные испытания, аттестация (при необходимости), приказ о вводе
➡ После ввода → Этап 3

Требования выполнены → Этап 3

Процессный подход (непрерывный цикл)
📌
Планирование
цели, процессы
⚙️
Реализация
выполнение мер
📊
Оценка
расчёт Кзи, Пзи
🔄
Совершенствование
корректировка
⬆️ (возврат к планированию) ⬆️
Подробный разбор Приказа №117 →
Как рождаются документы: от пустого листа до спокойной проверки

Бесплатные шаблоны документов по фстэк 117

29.03.2026
Кратко о главном: кто, что, кому и почему

политика защиты информацИи

Главный документ, который объясняет, зачем нужна защита, кто за что отвечает и по каким правилам всё работает. Утвердил — и система защиты обрела фундамент.

29.03.2026
Кто, за что, на какой срок — всё по полочкам

Назначение ответственных

Детальные инструкции для каждой роли: что должен знать, что делать, чем имеет право пользоваться и за что отвечает.Никакой путаницы, никакого «а я думал, это ты».

08.04.2026
Один голос — хорошо, а комиссия — надёжнее

Назначение комиссии

Объединяет ответственных лиц в единый коллегиальный орган. Комиссия утверждает ключевые решения, расследует инциденты и контролирует защиту информации. Коллегиально — значит объективно, надёжно и без сюрпризов

10.04.2026
Чёткие параметры — чёткая защита

стандарт защиты информации

Конкретные параметры: как часто менять пароли, в какие сроки устранять уязвимости, сколько хранить журналы. Без общих фраз — только измеримые требования. Политика говорит «зачем», стандарт — «как».

20.04.2026
Без регламента — бардак. С регламентом — бардак, но в журнале

регламент защиты информации

Пошаговая инструкция: кто, когда и в каком порядке действует. Стандарт задаёт параметры, регламент — последовательность шагов.

21.01.2026
Всё по списку — ничего лишнего

набор Учетных форм

Если политика, стандарт и регламент — это обещания, то учетные формы — это доказательства, что обещания выполнены.

От общих правил — к документам под каждую ИС

После «общей части» мы спускаемся на места и для каждой ИС готовим свои локальные нормативы.
Чтобы каждая система жила по своим правилам, но не выходила за рамки единых принципов.

скоро
Нет приказа — нет системы. Нет системы — нечего защищать

созданиЕ ИС

Самый первый документ. Без него ваша ИС существует только в головах, а в головах, как известно, угрозы не нейтрализуются. С приказа начинается жизнь системы и её защита.

скоро
Правильная мера — это когда угроза не проходит

определение мер защиты информации

Защита строится так, чтобы у каждой угрозы был свой барьер. Здесь решается, что именно нужно для каждой системы: антивирус, разграничение доступа, шифрование, журналы — и в каком объёме.

скоро
Из бумаги — в дело. Из правил — в работу

Внедрение средств защиты

Документы готовы, средства закуплены. Теперь настраиваем, запускаем, проверяем. Чтобы защита не осталась на бумаге, а начала работать — контролировать доступ, блокировать угрозы и вести журналы.

скоро
Не верь на слово — проверь на деле

Проверка реализации мер защиты

Комплексная проверка: смотрим, работает ли защита, сканируем на уязвимости, имитируем реальную атаку. В итоге — заключение, на основе которого можно принять решение, а при необходимости — аттестат соответствия требованиям по защите.

Если вы дочитали до сюда — вам точно нужны эти ответы

Часто задаваемые вопросы о Приказе ФСТЭК № 117

Для кого обязателен Приказ ФСТЭК № 117?

Требования распространяются на:

  • федеральные органы исполнительной власти;
  • государственные внебюджетные фонды;
  • органы государственной власти субъектов РФ;
  • органы местного самоуправления;
  • организации, эксплуатирующие государственные информационные системы (ГИС) или информационные системы общего пользования.

Фактически любой государственный или муниципальный заказчик, а также оператор ГИС обязан выполнить требования 117‑го приказа.

Какие группы мер защиты информации устанавливает Приказ № 117?

Приказ выделяет четыре основные группы мер:

  1. Организационные меры — разработка политик, регламентов, назначение ответственных, обучение персонала.
  2. Технические меры — установка и настройка средств защиты: межсетевые экраны, антивирусы, системы обнаружения вторжений, средства доверенной загрузки.
  3. Меры по работе с уязвимостями — управление конфигурациями, сканирование безопасности, устранение уязвимостей.
  4. Меры по обеспечению непрерывности — резервное копирование, восстановление после сбоев, мониторинг событий.

Каждая из этих групп детализируется в приложении к приказу, которое содержит исчерпывающий перечень требований.

Какие последствия грозят за невыполнение требований Приказа № 117?

Отсутствие документации, невнедрённые средства защиты или нарушения при эксплуатации ГИС влекут:

  • предписания ФСТЭК России с указанием сроков устранения;
  • административные штрафы по ст. 13.12 КоАП РФ (до 500 000 руб. на юридическое лицо);
  • дисквалификацию должностных лиц;
  • приостановку деятельности информационной системы или организации в целом.

Кроме того, отсутствие подтверждения выполнения мер защиты делает невозможным получение лицензий, участие в госзакупках и может стать основанием для отказа во вводе системы в эксплуатацию.

Как правильно подготовиться к Приказу № 117?

Подготовка должна быть системной и включать:

  • Аудит текущего состояния — выявление недостающих документов и средств защиты.
  • Разработку полного пакета документов (политика, стандарты, регламенты, учётные формы, назначение ответственных).
  • Внедрение технических мер — установку сертифицированных ФСТЭК средств защиты информации.
  • Обучение персонала правилам работы с защищённой системой.
  • Проверку реализации мер и оформление заключения о соответствии.

Компания «Технологии доступа» (лицензиат ФСТЭК России) сопровождает весь цикл — от анализа до сдачи отчётности. Мы предоставляем бесплатные шаблоны документов и помогаем обеспечить результат, который выдержит проверку.

Какие документы входят в минимальный пакет по Приказу № 117?

Обязательный минимум включает:

  • Политику защиты информации;
  • Назначение ответственных за защиту информации;
  • Стандарт защиты информации (измеримые параметры);
  • Регламент защиты информации (пошаговые процедуры);
  • Учётные формы (журналы, акты, протоколы).

Для каждой информационной системы дополнительно разрабатываются локальные документы: приказ о создании, определение мер защиты, акты внедрения и проверки.

Каковы сроки приведения в соответствие с требованиями Приказа № 117?

Конкретные сроки зависят от даты ввода информационной системы в эксплуатацию и от того, является ли система вновь создаваемой или уже действующей. Для новых ГИС требования должны быть выполнены до начала эксплуатации. Для существующих систем, введённых до вступления приказа в силу, сроки устанавливаются планом мероприятий организации, но, как правило, не должны превышать 12–18 месяцев. Рекомендуется провести аудит и разработать дорожную карту, чтобы избежать штрафов.

Нужно ли получать лицензию ФСТЭК для выполнения требований 117‑го приказа?

Сам по себе приказ не требует от организации-оператора наличия лицензии ФСТЭК. Однако для разработки, внедрения и обслуживания средств защиты информации (СЗИ) часто привлекаются лицензиаты ФСТЭК (на деятельность по технической защите информации, на разработку СЗИ и т.п.). Если организация выполняет работы собственными силами, лицензия не нужна, но все используемые средства защиты должны быть сертифицированы ФСТЭК.

Коммерческие организации могут выполнять требования приказа ФСТЭК № 117?

Да, могут, но не всегда обязаны. Приказ № 117 формально адресован государственным информационным системам (ГИС) и их операторам. Однако коммерческая организация обязана выполнять его требования в следующих случаях:

  • Как подрядчик государства — если вы разрабатываете, сопровождаете ГИС или получаете доступ к государственной информации, заказчик включит требования 117‑го приказа в договор. Без их выполнения сотрудничество невозможно.
  • Как оператор информационной системы общего пользования — если ваша система обрабатывает информацию, переданную из ГИС, или сама признана таковой по закону.
  • Добровольно — даже если приказ прямо не обязывает, его меры отражают лучшие практики защиты информации. Внедрение этих требований повышает доверие партнёров, упрощает прохождение аудитов и получение лицензий ФСТЭК.

Для чисто коммерческих ИС, не связанных с государством, приказ № 117 не является нормативным актом прямого действия. Но организации могут использовать его как основу для построения собственной системы защиты информации — это надёжнее, чем устаревшие методические документы.

Важно: если коммерческая организация всё же решит следовать приказу (по договору или добровольно), она должна применять сертифицированные ФСТЭК средства защиты, разработать полный пакет документов и провести оценку реализации мер защиты. Компания «Технологии Доступа» помогает бизнесу выстроить такую систему под ключ — от аудита до сдачи отчётности, с предоставлением готовых шаблонов документов.

Как применяется Приказ ФСТЭК №21 после вступления в силу Приказа №117?

Приказ №117 не отменяет Приказ №21. Оба документа действуют одновременно, но сферы их применения разграничены:

  • Приказ №117 является основным для всех информационных систем, принадлежащих государственным органам, государственным учреждениям и государственным унитарным предприятиям (независимо от того, являются ли они государственными информационными системами (ГИС) или нет).
  • Приказ №21 продолжает действовать для всех операторов персональных данных, однако для государственных структур он утратил приоритет, уступив место требованиям Приказа №117.

На практике это означает:

  • Если информационная система принадлежит негосударственной организации (коммерческой или некоммерческой), то Приказ №21 применяется в полном объёме без изменений.
  • Если информационная система принадлежит государственному органу, учреждению (включая ГУП), то приоритет имеют требования Приказа №117. Согласно пункту 5 Приказа №117, при обработке в информационной системе персональных данных дополнительно к его требованиям применяются требования Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119. Требования Приказа №21 применяются лишь субсидиарно — в той мере, в какой они не противоречат новому регулированию (например, обязанности по уведомлению субъектов персональных данных).

Для каких систем аттестация является обязательной процедурой по Приказу ФСТЭК №117?

Обязательной аттестации подлежат только государственные информационные системы (ГИС). В остальных случаях аттестация является добровольной, если иное не закреплено в локальных документах оператора системы.

В деталях:

  • Государственные информационные системы (ГИС) — аттестация обязательна (в соответствии с Порядком, утверждённым Приказом ФСТЭК №77 от 29.04.2021, и на основании Постановления Правительства №676 от 06.07.2015 «О требованиях к порядку... государственных информационных систем...»).
  • Иные информационные системы государственных органов, учреждений и ГУП (не являющиеся ГИС) — аттестация добровольна. Однако в любом случае необходимо проводить оценку реализации мер защиты информации, предусмотренных Приказом №117, и документально подтверждать их выполнение (актами, журналами, отчётами и т.п.).

При взаимодействии с внешними системами:

  • Системы, взаимодействующие с ГИС — аттестация не обязательна, если регламент подключения к ГИС не требует её проведения. Оператор ГИС вправе устанавливать для таких систем любые требования к взаимодействию (независимо от их принадлежности). В регламенте взаимодействия могут быть закреплены требования об обязательной аттестации внешних систем, поскольку это служит надёжным доказательством реализации необходимых мер. Несоблюдение установленных требований может повлечь отказ в доступе.
  • Системы государственных органов, учреждений и ГУП, взаимодействующие с внешними системами (не ГИС) — аттестация также добровольна, если это прямо не предписано регламентом подключения к внешней системе. Как и в случае с ГИС, оператор внешней системы вправе устанавливать собственные требования к организации взаимодействия.

Можно ли использовать несертифицированные средства защиты информации?

Нет. Приказ № 117 прямо требует применения средств защиты информации, прошедших процедуру оценки соответствия (сертификации) в системе ФСТЭК России или ФСБ России (в зависимости от типа системы и защищаемой информации). Использование несертифицированных СЗИ считается нарушением требований и влечёт административную ответственность, а также может привести к отказу в аттестации объекта информатизации.

Пожаловаться на контент cайта в Битрикс24