Геоинформ - геоинформационная компания. - Приказ ФСТЭК №117 вступил в силу: новые требования к NGFW и сетевой безопасности ГИС

18/05/2026

1 марта 2026 года вступил в силу Приказ ФСТЭК России №117 от 11.04.2025, который кардинально меняет подход к организации защиты информации в государственных информационных системах (ГИС), муниципальных информационных системах (МИС), ИС госорганов, ГУП и государственных учреждений

Основные положения приказа:

1. Расширение сферы действия. Под действие приказа теперь подпадают:

государственные информационные системы (ГИС);
информационные системы любых государственных органов;
государственные унитарные предприятия;
муниципальные органы власти;
государственные учреждения;
информационные системы, получающие данные из государственных информационных систем.

Таким образом, даже организации, не являющиеся прямыми владельцами ГИС, но взаимодействующие с ними и получающие данные, обязаны соблюдать требования приказа.

2. Переход от разовой аттестации к непрерывному управлению. Вместо статичной аттестации вводится процесс непрерывного мониторинга и количественной оценки состояния защиты информации. Вводится "показатель защищённости информации (КЗИ)", который рассчитывается на основе 16 критериев, сгруппированных в четыре блока: организационные меры, технические меры, контроль и реагирование. КЗИ оценивается по шкале от 0 до 1, периодичность оценки — не реже одного раза в 6 месяцев.

3. Конкретные сроки реагирования на уязвимости:

критические уязвимости — не более 24 часов;
уязвимости высокого уровня — 7 календарных дней;
уязвимости среднего и низкого уровня — сроки определяются внутренними регламентами организации.

Организации обязаны разработать внутренние регламенты, устанавливающие процедуры выявления, классификации и устранения уязвимостей в установленные сроки. Также вводится обязательное информирование об этих инцидентах в ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы).

4. Обязательная отчётность перед ФСТЭК:

показатель защищённости (КЗИ) — ежегодно, раз в 6 месяцев;
показатель уровня зрелости системы защиты — ежегодно;
дополнительный годовой отчёт по итогам календарного года.

Ранее отчётность во ФСТЭК России не требовалась.

5. Требования к персоналу:

необходимо создать структурное подразделение, ответственное за информационную безопасность;
руководить этим подразделением должен отдельный заместитель первого лица организации. Он должен иметь высшее профильное образование (специалитет/магистратура) или пройти профессиональную переподготовку в области ИБ не менее 360 часов;
не менее 30% сотрудников подразделения должны иметь профильное образование в области информационной безопасности либо пройти профессиональную переподготовку.

6. Технологические ограничения:

запрещено использование иностранного ПО и публичных облачных сервисов для обработки критически важной информации;
средства защиты должны быть сертифицированы.

7. Взаимодействие с внешними организациями. Усиливается контроль за безопасностью при работе с подрядчиками и партнёрами:

обязательная разработка политик информационной безопасности у организаций-партнёров;
включение в договоры обязательств по обеспечению безопасности информации;
фиксация ответственности внешних организаций за соблюдение требований безопасности при взаимодействии с критическими информационными системами.

8. Безопасная разработка. Безопасность должна учитываться на всех этапах жизненного цикла ПО — от проектирования до вывода из эксплуатации.

Аттестаты соответствия, выданные до вступления нового приказа в силу, сохраняют действие, но при очередных аттестационных работах и подтверждении соответствия необходимо ориентироваться на требования приказа №117.