актуальные новости и полезные материалы в telegram канале
+7 (800) 600-76-91
Контакты
+7 (800) 600-76-91
Контакты
+7 (800) 600-76-91
Контакты
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪
Принять все
Настроить
Настройки cookie
Обязательные cookies
Эти файлы cookie необходимы для того, чтобы вы могли пользоваться сайтом и его функциями. Их нельзя отключить. Они устанавливаются в ответ на ваши запросы, такие как настройка ваших предпочтений конфиденциальности, вход в систему или заполнение форм.
Аналитические cookies
Disabled
Эти файлы cookie собирают информацию, чтобы помочь нам понять, как используются наши веб-сайты или насколько эффективны наши маркетинговые кампании, или чтобы помочь нам настроить наши веб-сайты для вас.
Рекламные cookies
Disabled
Эти файлы cookie предоставляют рекламным компаниям информацию о вашей активности в Интернете, чтобы помочь им предоставлять вам более релевантную онлайн-рекламу или ограничивать количество показов рекламы. Эта информация может быть передана другим рекламным компаниям.
Подтвердить
  • TS Solution
  • Блог TS Solution
  • Приказ ФСТЭК № 117: что изменится в защите госсистем с 1 марта 2026 года

Приказ ФСТЭК № 117: что изменится в защите госсистем с 1 марта 2026 года

11 апреля 2025 года увидел свет новый Приказ ФСТЭК России № 117, который кардинально меняет привычные подходы к защите информации ограниченного доступа в государственных структурах.

С 1 марта 2026 года он заменит собой действующий уже более 10 лет Приказ № 17. Это не просто обновление — это смена парадигмы, которая потребует от ИБ-специалистов госсектора пересмотреть свои подходы к построению систем защиты.
В этой статье мы разберем ключевые нововведения приказа и расскажем, на что стоит обратить внимание уже сейчас, чтобы подготовиться к изменениям.

Сфера действия расширяется: под ударом все системы госорганов
Первое и самое важное изменение — приказ распространяется не только на государственные информационные системы (ГИС), но и на любые другие информационные системы государственных органов, учреждений и унитарных предприятий.

Под действие новых требований теперь попадают:
  • Системы внутреннего электронного документооборота (ЭДО);
  • Кадровые системы;
  • Бухгалтерские и учетные системы;
  • И другие ИС, обрабатывающие информацию ограниченного доступа.
Важный нюанс: Такая система не станет автоматически ГИС — от нее не потребуется обязательная аттестация и согласование модели угроз. Но защищать ее придется по новым, более строгим правилам.
Исчезли классы и базовые меры: на что теперь ориентироваться?
Один из главных шоков для специалистов — в приказе № 117 отсутствует привычное деление на классы защищенности и нет базового набора мер защиты.

  • Нет этапов жизненного цикла ИС;
  • Нет таблицы с мерами для каждого класса;
  • Нет самого понятия «базовый набор мер».
Возникает резонный вопрос: как же работать? Ответ есть: ФСТЭК России готовит методические документы, которые должны восполнить эти «пробелы» и детализировать требования с учетом классов защищенности. Пока же можно ориентироваться на ГОСТ 51583-2014 по жизненному циклу.
Новый подход: от «мер» к «мероприятиям»
Ключевое изменение философии документа — переход от абстрактных «мер» к конкретным «мероприятиям». От организаций теперь требуется не просто «иметь средство защиты», а реализовывать четкий перечень действий.
Это позволяет уже сейчас начать подготовку:

  1. Рассмотреть внедрение EDR-решений для защиты конечных устройств.
  2. Проанализировать системы безопасного удаленного доступа к своим ИС.
  3. Пересмотреть программы обучения пользователей, сделав их более практико-ориентированными.

17 подсистем защиты и новые вызовы: ИИ и не только

Приказ описывает 17 подсистем защиты информации. Помимо классических (управление доступом, антивирусная защита), появились и абсолютно новые, отражающие современные угрозы.
Это сигнал: угрозы эволюционируют, и защита должна идти в ногу с ними. Просто «закрыть доступ в интернет» — уже недостаточно.

Что будет дальше?

Ожидается публикация методических документов от ФСТЭК, которые:
  • Детализируют меры по классам защищённости
  • Уточнят требования к реализации подсистем
  • Введут показатель уровня зрелости (maturity level) — аналог NIST CSF или CIS Controls
Это значит, что оценка безопасности будет не двоичной («есть/нет защита»), а градуированной — сколько процентов требований выполнено, насколько зрела система защиты.

Что можно сделать уже сейчас?

  • Проведите инвентаризацию всех ИС в вашей организации — не только ГИС, но и СЭД, HRM, ERP
  • Оцените текущий уровень защиты по новым подсистемам (особенно: EDR, удалённый доступ, обучение)
  • Запланируйте апгрейд инфраструктуры: если у вас нет EDR — начните поиск решений
  • Обновите политики ИБ с учётом новых требований к обучению, доступу, обработке данных
  • Подготовьтесь к аудиту зрелости — собирайте доказательства выполнения мероприятий

Как команда TS Solution может вам помочь?

Мы уже анализируем новые требования и адаптируем наши решения под них:
  • TS Hard — поможет привести системы к безопасным конфигурациям, соответствующим новым подсистемам
  • ScanBox — протестирует устойчивость почты к атакам (критично при расширении периметра)
  • Multicheck — экспресс-аудит вашей инфраструктуры на соответствие новым мерам
  • Консультации и сопровождение — наши инженеры помогут разобраться в деталях и построить дорожную карту перехода

Заключение

Приказ №117 — не просто замена документа. Это новая эра информационной безопасности в госсекторе, где важна не сама форма, а реальная защита.
Организациям нужно перестать думать в категориях «аттестовали — забыли». Теперь безопасность выглядит как процесс, с постоянным контролем, обучением и внедрением современных технологий.

Начните подготовку уже сегодня. Потому что с 1 марта 2026 года отсрочки не будет.