Ранее я уже давал общую информацию о стандартах межсетевой защиты информации, включая Приказ ФСТЭК России №117, вступивший в силу с 1 марта 2026 года. Однако теперь важно разобраться именно в изменениях, внесённых этим приказом, поскольку они затрагивают ключевые аспекты защиты информации в государственных и муниципальных информационных системах. Из предыдущего описания понятно, что речь идет об ужесточении требований к управлению персоналом, сокращении сроков устранения уязвимостей, расширении перечня защищаемых объектов инфраструктуры, ограничениях на иностранное программное обеспечение и обязательстве регулярного мониторинга и отчетности перед ФСТЭК. Тем не менее, эта информация была представлена довольно обобщенно, без детального объяснения каждого нововведения и возможных последствий для компаний и госорганизаций. Чтобы подготовить действительно полезный и точный ответ, мне необходимо уточнить конкретные формулировки изменений и убедиться, что ничего важного не упущено. Для этого потребуется обратиться к актуальным источникам и официальным публикациям, чтобы избежать ошибок и обеспечить полноту сведений.
Изучив найденную информацию, я вижу, что Приказ ФСТЭК №117, вступающий в силу с 1 марта 2026 года, представляет собой значительное обновление подхода к защите информации в государственных и муниципальных информационных системах. Прежде всего бросается в глаза существенное расширение круга организаций, попадающих под действие новых требований. Теперь под защитой должны находиться не только государственные информационные системы (ГИС), но и любые информационные системы, используемые органами власти, муниципальными структурами, государственными предприятиями и организациями, даже если формально они не зарегистрированы как ГИС. Такое изменение заметно увеличивает зону охвата и усложняет задачу соблюдения требований для многих организаций.
Кроме расширения сферы действия, особое внимание привлекает усиление технических требований к современным технологиям. Впервые введены четкие нормы по защите контейнерных сред вроде Kubernetes и Docker, веб-приложений и API, устройств Интернета вещей, систем искусственного интеллекта и мобильных решений. Очевидно, что современные цифровые экосистемы требуют особого внимания к безопасности, особенно учитывая широкое распространение облачных и распределенных архитектур.
Еще одним важным изменением стало введение жестких ограничений на использование иностранного программного обеспечения и публичных облачных сервисов для хранения критически важных данных. Этот шаг направлен на снижение риска утечек и внешнего влияния, хотя и создает дополнительные трудности для тех организаций, которые привыкли полагаться на зарубежные решения.
Показательно и появление измеримых показателей защищенности и регулярных отчетов. Теперь организации обязаны рассчитывать показатель защищенности каждые полгода, контролировать состояние системы защиты раз в два года и уровень защищенности — раз в три года или после серьезных инцидентов. Такая прозрачность и регулярность проверок призвана повысить дисциплину и ответственность среди операторов информационных систем.
Отдельно обращаю внимание на новые кадровые требования. Теперь минимум треть сотрудников подразделений информационной безопасности должны иметь профильное образование или специальную подготовку, а остальные сотрудники проходят проверку знаний раз в три года. Подобные меры подчеркивают важность человеческого фактора в обеспечении надежной защиты информации.
Наконец, сокращение сроков реагирования на уязвимости до 24 часов для критичных случаев и до семи дней для высокоуровневых угроз показывает стремление государства оперативно реагировать на возникающие угрозы. Автоматизированный мониторинг и постоянное совершенствование процедур позволяют надеяться на более устойчивую и предсказуемую среду в сфере информационной безопасности.
Все эти изменения свидетельствуют о серьезном намерении властей усилить защиту национальных цифровых ресурсов и минимизировать возможные риски в условиях растущих киберугроз.
Приказ ФСТЭК России №117, вступающий в силу с 1 марта 2026 года, вносит существенные изменения в подход к защите информации в государственных и муниципальных информационных системах. Рассмотрим подробнее ключевые новшества, установленные данным документом:
Ключевые изменения Приказа ФСТЭК №117
1. Расширение сферы действия
Теперь требования касаются не только официальных государственных информационных систем (ГИС), но и всех информационных систем, используемых государственными и муниципальными органами, учреждениями и унитарными предприятиями, независимо от наличия официального статуса ГИС. Исключениями являются только специализированные системы спецслужб, высших органов власти и системы управления вооружением .
2. Новые технологические требования
Впервые установлены конкретные требования к защите современных технологий:
— Контейнерные среды (Docker, Kubernetes)
— Веб-приложения и API-интерфейсы
— Интернет вещей (IoT)
— Искусственный интеллект и машинное обучение
— Мобильные устройства и приложения
3. Технологические ограничения
Запрещено использование:
— Иностранного программного обеспечения
— Публичных облачных сервисов для критически важной информации
— Несертифицированных средств криптографической защиты информации (СКЗИ)
4. Измеримые показатели и регулярная отчетность
Организации обязаны регулярно оценивать и отчитываться по следующим показателям:
— Показатель защищенности рассчитывается каждые 6 месяцев
— Проверка системы защиты проводится раз в 2 года
— Уровень защищенности оценивается раз в 3 года или после серьёзных инцидентов
Отчеты предоставляются в ФСТЭК в течение 5 рабочих дней после проведения расчетов или проверок
5. Кадровые требования
Повышены требования к квалификации сотрудников:
— Минимум 30% сотрудников подразделения информационной безопасности должны иметь профильное образование или переподготовку
— Оценка знаний всего персонала проводится раз в 3 года
— Дополнительное обучение после каждого компьютерного инцидента
— Четкая фиксация обязанностей по защите информации в должностных инструкциях
6. Сокращение сроков реагирования на уязвимости
Установлены жесткие временные рамки:
— Критические уязвимости устраняются в течение 24 часов
— Высокорисковые уязвимости — в течение 7 дней
— Средние и низкие уровни определяются внутренними регламентами
7. Жизненный цикл безопасности и безопасная разработка ПО
Требования информационной безопасности должны учитываться на каждом этапе жизненного цикла информационных систем:
— Проектирование и закупки
— Эксплуатация
— Модернизация
— Выведение из эксплуатации
Разработанное самостоятельно программное обеспечение должно соответствовать ГОСТ Р 6939-2024
8. Ответственность за нарушение требований
За несоблюдение требований предусмотрены серьезные последствия:
— Приостановка работы несоответствующих систем
— Административные штрафы до 100 тысяч рублей по статье 13.12 КоАП РФ
— Штрафы до 15 миллионов рублей за утечку данных по статье 13.11 КоАП РФ
Таким образом, Приказ ФСТЭК №117 кардинально усиливает требования к защите информации, внедряет современный процессный подход и повышает ответственность организаций за обеспечение информационной безопасности. Эти изменения направлены на создание единой, надежной и доверенной цифровой среды для государственного сектора России.
