Как перейти от разовой аттестации к непрерывному циклу защиты и подготовиться к проверке без стресса
Приказ ФСТЭК №117: разбор требований и дорожная карта внедрения
1
марта 2026
Приказ №117 вступил в силу, заменив Приказ №17, действовавший 13 лет
30
% персонала ИБ
сотрудников подразделения ИБ должны иметь профильное образование или переподготовку
24
часа
на устранение критических уязвимостей — жёсткий срок реакции
0,9
Кзи
минимально допустимый коэффициент защищённости
Что изменилось с приходом Приказа №117
Приказ №17 (старый подход)
- Разовый акт: аттестация «внедрил и забыл»
- Качественная оценка на основе документации
- Требования только к государственным ИС
- Отсутствие количественных метрик
- Статичные меры защиты без срочных сроков
Приказ №117 (новый подход)
- Непрерывный цикл: мониторинг + отчётность
- Числовые метрики: Кзи (каждые 6 мес) и Пзи (раз в 2 года)
- Требования распространяются на ГУП, учреждения и муниципальные ИС
- Жёсткие сроки устранения уязвимостей (24ч / 7д)
- Процессный подход и зрелость процессов защиты
Ключевые показатели: Кзи и Пзи
Кзи — коэффициент защищённости информации
Числовое значение от 0 до 1, характеризующее реальный уровень защищённости информационной системы
Минимально допустимый уровень Кзи ≥ 0,9. Рассчитывается и направляется в ФСТЭК не реже одного раза в 6 месяцев
Пзи — показатель зрелости процессов
Оценивает, насколько системно и процессно выстроена защита информации в организации
Оценивается не реже одного раза в 2 года. Подтверждает, что защита держится не на отдельных людях, а на зрелых процессах
Сроки устранения уязвимостей
Критические
24 часа
устранить или исключить возможность эксплуатации
Высокие
7 дней
устранить или исключить возможность эксплуатации
Средние и низкие
По стандарту
сроки определяются внутренним стандартом организации
Практические рекомендации
Аттестаты, выданные до 1 марта 2026 года, действительны
но для новых и модернизируемых систем проектирование СЗИ ведите уже по новым требованиям
но для новых и модернизируемых систем проектирование СЗИ ведите уже по новым требованиям
Разработайте план перехода
ФСТЭК прямо рекомендует разработать план перехода на новые требования уже сейчас
ФСТЭК прямо рекомендует разработать план перехода на новые требования уже сейчас
Внедрите привилегированный доступ с MFA
только со строгой аутентификацией или усиленной MFA, с регистрацией всех попыток доступа
только со строгой аутентификацией или усиленной MFA, с регистрацией всех попыток доступа
Закрепите требования в договорах с подрядчиками
требования к ИБ для подрядчиков должны быть зафиксированы в документах, регулирующих доступ к системам
требования к ИБ для подрядчиков должны быть зафиксированы в документах, регулирующих доступ к системам
Обучайте ответственных и пользователей
проводите регулярное обучение сотрудников подразделения ИБ (повышение квалификации каждые 3–5 лет) и инструктажи для обычных пользователей по работе с защищёнными системами
проводите регулярное обучение сотрудников подразделения ИБ (повышение квалификации каждые 3–5 лет) и инструктажи для обычных пользователей по работе с защищёнными системами
Автоматизируйте расчёт Кзи и Пзи
внедрите SIEM-систему для сбора событий и автоматического расчёта коэффициента защищённости и показателя зрелости процессов
внедрите SIEM-систему для сбора событий и автоматического расчёта коэффициента защищённости и показателя зрелости процессов