С 1 марта 2026 года вступил в силу приказ ФСТЭК России №117, который кардинально обновляет требования к защите государственных информационных систем (ГИС). Документ не просто заменяет устаревший приказ №17 2013 года – он вводит новую философию для всех компаний страны. Ключевые нововведения 117-го приказа разбирает руководитель отдела продвижения продуктов ИБ-вендора "Код Безопасности" Павел Коростелев.

От формулировок – к конкретике

Приказ №117 стал логическим развитием 17-го приказа, но с принципиально новыми акцентами. Одно из главных нововведений – появление двух показателей оценки: защищенности и зрелости. Первый представляет собой результат анализа инцидентов, то есть ФСТЭК выделила базовые контроли, нарушения в которых с вероятностью 80% приводят к инцидентам: отсутствие двухфакторной аутентификации, отсутствие единой системы хранения журналов, пароли по умолчанию. Это такие "смертные грехи" в области безопасности, которых нужно непременно избегать.

Что же касается показателя зрелости, то на данный момент ФСТЭК еще формулирует соответствующие методические рекомендации. Однако уже сейчас понятно, что регулятор будет устанавливать целевые уровни зрелости, с помощью которых компании смогут постепенно повышать безопасность, переходя от уровня к уровню. Это, кстати, особенно актуально в текущих финансовых условиях.

Подрядчики под надзором: новые правила игры

Одними из самых сложных для реализации требований будет работа с подрядными организациями. ФСТЭК отдельно указывает на эту необходимость, поскольку значительная доля инцидентов в госсекторе происходит именно через атаки на подрядчиков. Дело в том, что ИТ-инфраструктуры компаний госсектора хорошо защищены, поэтому злоумышленники получают доступ к системам подрядчика и "заходят" в целевую организацию через них.

Раньше у органов власти не было формальных полномочий требовать от подрядчиков соблюдения мер кибербезопасности – теперь есть. И в этом заключается сложность, поскольку это нововведение и у организаций уйдет определенное время, чтобы привыкнуть к новым реалиями и выработать соответствующие процессы.

Но это на самом деле важный шаг, потому что если подрядчик обрабатывает данные ГИС у себя, то его инфраструктура должна быть защищена на сопоставимом уровне – это логично. При этом, как и в случае с уровнями зрелости, в контексте работы с подрядчиками также ожидается отдельное постановление правительства, которое определит уровни подрядчиков и требования к ним в зависимости от вида работ.

Широкий охват требований

С технической точки зрения приказ №117 вводит несколько обязательных требований:

• использование межсетевых экранов нового поколения (NGFW) на границе с интернетом;
• применение Web Application Firewall (WAF) для защиты веб-приложений и API;
• защита мобильных устройств, которые теперь должны работать на российских ОС (использование Android и iOS не допускается);
• использование сертифицированных операционных систем и сред виртуализации.

Отдельно стоит обратить внимание на расширение области действия требований: теперь защищать нужно не только саму ГИС, но и инфраструктуру, на которой она работает. Если раньше отдельные компоненты ИТ-инфраструктуры могли оставаться "в тени", то теперь они должны соответствовать всем требованиям – от сертификации до доверенной загрузки.

Что делать с уже аттестованными системами

Хорошая новость – внеочередная переаттестация не требуется, так что сертификации, полученные по старым правилам, действуют в течение всего жизненного цикла системы. Однако при серьезной модернизации или масштабировании придется проходить процедуру уже по новым требованиям. Если договор на создание ГИС был заключен до 1 марта 2026 года, систему можно аттестовывать по старым правилам.

В любом случае надо отметить: регулятор проявляет достаточно деликатный подход и не требует, чтобы все срочно побежали переаттестовываться. Поэтому ожидается, что основной поток переаттестации придется на конец 2026 года и 2027-й.

Главный итог

Приказ №117 не изобретает принципиально новых методов защиты, но требует, чтобы все меры выполнялись не "для галочки", а по-настоящему. Те организации, которые уже жили по требованиям 17-го приказа, перейдут на новые правила относительно легко. Тем же, кто использовал "пространство для трактовок" и экономил на безопасности, придется вкладывать серьезные ресурсы в приведение инфраструктуры в соответствие.