ГрамотаИБ ГрамотаИБ

Приказ ФСТЭК №117 вместо №17: что изменилось в защите ГИС (сравнение)

С 1 марта 2026 года защиту информации в государственных информационных системах регулирует приказ ФСТЭК России №117 — он заменил приказ №17. Подробный сравнительный разбор: что осталось прежним (классы К1–К3, аттестация), а что изменилось принципиально — переход от базового набора мер по классу к целям защиты и актуальным угрозам, новые показатели защищённости (Кзи) и зрелости (Пзи) с отчётностью во ФСТЭК, расширение сферы действия и непрерывное управление защитой. С какой целью проведена реформа и что делать оператору ГИС.

С 1 марта 2026 года вступил в силу приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России от 11 апреля 2025 г. №117 — новые Требования о защите информации в государственных информационных системах. Он признал утратившими силу приказ №17 от 11 февраля 2013 г. и все вносившие в него изменения приказы. Это не косметическая правка, а смена самой логики защиты ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.. Разберём по пунктам: что осталось, что изменилось и зачем.

Коротко: что и когда заменилось

  • Было: приказ ФСТЭК №17 от 11.02.2013 (с изменениями 2017, 2019, 2020 и 2024 годов).
  • Стало: приказ ФСТЭК №117 от 11.04.2025, зарегистрирован Минюстом 16.06.2025, действует с 1 марта 2026 года.
  • Основание: часть 5 статьи 16 149-ФЗ «Об информации».

Что осталось прежним

Чтобы не пугаться, начнём с преемственности — фундамент не сломали:

  • Три класса защищённости К1–К3. Как и в №17, класс определяется по уровню значимости информации (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.) и масштабу системы; К1 — высший, К3 — низший. Подробнее — в статье «Класс защищённости ГИС», а рассчитать класс можно в калькуляторе.
  • Аттестация сохранена. Подтверждение соответствия системы требованиям по-прежнему предусмотрено, а аттестаты соответствия, выданные до 1 марта 2026 года, остаются действительными (пункт 3 приказа) — переоформлять их только из-за смены приказа не нужно.
  • Сертифицированные средства защиты и применение СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. по требованиям ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России — без принципиальных изменений.
  • Опора на угрозы. Актуальные угрозы и негативные последствия определяются по банку данных угроз ФСТЭК (БДУ) и методике оценки угроз.

Главное изменение: от «набора мер по классу» к целям защиты

Это ядро реформы. Старый и новый подходы устроены по-разному:

  • Как было в №17. Для класса системы брался базовый набор мер из таблицы в приложении к приказу, который затем адаптировался, уточнялся, дополнялся, а при невозможности — заменялся компенсирующими мерами. Логика «от каталога»: есть класс — есть фиксированный перечень мер.
  • Как стало в №117. Оператор сначала определяет цели защиты информации исходя из ожидаемых результатов и негативных последствий (по БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.), фиксирует их в политике защиты, а уже затем выбирает мероприятия и меры, направленные на блокирование именно актуальных угроз. Перечень целей задан прямо в приказе (пункт 30): исключение утечки, предотвращение несанкционированного доступа, модификации, подмены и удаления информации, защита от отказа в обслуживании, недопущение использования системы не по назначению и распространения противоправной информации, восстановление доступа и данных и другие.

То есть вектор сместился с формального «закрыть меры по списку» на риск- и целеориентированную защиту: меры обосновываются целями и угрозами, а не только номером класса.

Новое: измеримые показатели защищённости и зрелости

Появился механизм, которого в №17 не было, — числовая оценка состояния защиты (пункты 31–32):

  • Показатель защищённости Кзи — характеризует текущее состояние защиты информации от базового уровня угроз. Рассчитывается и оценивается не реже одного раза в 6 месяцев.
  • Показатель уровня зрелости Пзи — определяет достаточность и эффективность проводимых мероприятий по защите. Оценивается не реже одного раза в 2 года.
  • Реакция на отклонения. Если значения не соответствуют нормированным (заданным методическими документами ФСТЭК), в течение 3 календарных дней со дня завершения оценки об этом информируется руководитель оператора — для решения о мерах по повышению защищённости.
  • Отчётность во ФСТЭК. Результаты оценки Кзи и Пзи не позднее 5 рабочих дней после дня их расчёта направляются в ФСТЭК России — для мониторинга состояния технической защиты информации в стране. Это принципиально новая обязанность.

Конкретный состав и содержание мер, методики расчёта показателей и нормированные значения определяются методическими документами ФСТЭК, тогда как сам приказ задаёт требования, цели защиты и порядок выбора мер.

Новое: управление защитой и непрерывность по жизненному циклу

Приказ №117 выделяет отдельный раздел «Организация деятельности по защите информации и управление данной деятельностью». От оператора требуется не разовое выполнение мер, а постоянный процесс:

  • разработка и утверждение политики защиты информации (область действия, цели и задачи, перечень защищаемых систем и информации);
  • защита на всех стадиях — создание и развитие (модернизация), эксплуатация и вывод из эксплуатации;
  • план мероприятий по совершенствованию защиты по итогам оценки показателей.

В №17 акцент был на стадиях создания системы защиты (формирование требований, проектирование, внедрение, аттестация, ввод в действие) по ГОСТам серии 34. №117 переносит центр тяжести на непрерывное управление защищённостью в течение всей жизни системы.

Новое: шире сфера действия

Приказ №17 распространялся на государственные информационные системы. №117 прямо охватывает не только ГИС, но и иные информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений. Кроме того, в муниципальных информационных системах защита обеспечивается по этим же Требованиям, если иное не установлено законодательством (пункт 3 Требований). При этом сохранены исключения (системы Администрации Президента, Аппарата Правительства, высших судов, органов разведки и контрразведки, управления вооружением и т. п.).

Сравнительная таблица

АспектПриказ №17 (2013–2026)Приказ №117 (с 01.03.2026)
Логика выбора мерБазовый набор по классу + адаптация / уточнение / дополнение / компенсирующие мерыЦели защиты информации, меры под актуальные угрозы и цели
Классы защищённостиК1–К3 (по УЗ и масштабу)К1–К3 (по УЗ и масштабу) — без изменений
Где описаны мерыТаблица мер в приложении к приказуТребования и цели — в приказе; конкретный состав мер и методики — в методических документах ФСТЭК
Оценка состоянияАттестация и контрольАттестация + показатели Кзи (раз в 6 мес.) и Пзи (раз в 2 года)
Отчётность во ФСТЭКРегулярной не былоРезультаты оценки показателей направляются во ФСТЭК
Сфера действияГИСГИС и иные ИС госорганов, ГУП, госучреждений
Модель работыСтадии создания системы защитыНепрерывное управление на всех стадиях жизненного цикла
АттестатыВыданные до 01.03.2026 действительны

С какой целью проведена реформа

  • Уйти от «бумажного» комплаенса. Закрытый по таблице класс не означает реальной защищённости. Привязка мер к целям и актуальным угрозам делает защиту осмысленной.
  • Сделать защищённость измеримой и управляемой. Показатели Кзи и Пзи дают оператору и регулятору числовую картину и заставляют регулярно переоценивать состояние.
  • Дать государству мониторинг. Отчётность во ФСТЭК позволяет видеть состояние технической защиты информации по стране и оценивать эффективность.
  • Охватить все госсистемы и весь жизненный цикл. Под требования попадают не только аттестованные ГИС, а защита ведётся непрерывно, а не только при вводе в эксплуатацию.

Что делать оператору ГИС сейчас

  • Проверить, что действующие аттестаты соответствия в порядке (они остаются действительными), и спланировать переход на модель №117.
  • Определить и зафиксировать в политике защиты цели защиты информации и негативные последствия по БДУ.
  • Актуализировать модель угроз под перечень целей и актуальные угрозы.
  • Внедрить регулярную оценку показателей Кзи и Пзи по методическим документам ФСТЭК и порядок информирования руководителя и ФСТЭК.
  • Перевести защиту в режим непрерывного управления: политика, план совершенствования, контроль на всех стадиях жизненного цикла.

Главное

Приказ №117 не отменяет привычные классы К1–К3 и аттестацию, но смещает акцент: от фиксированного набора мер по классу — к целям защиты, актуальным угрозам и измеримым показателям защищённости и зрелости с отчётностью во ФСТЭК. Это переход от формального соответствия к управляемой и проверяемой защищённости на всём жизненном цикле системы. ГрамотаИБ помогает определить класс ГИС, построить модель угроз и подобрать меры — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «ФСТЭК: ИСПДн, ГИС, КИИ» →

Приказ ФСТЭК № 117: что меняется в защите государственных информационных систем

Что такое приказ ФСТЭК России № 117, который с 1 марта 2026 года пришёл на смену приказу № 17: к кому применяется, как определяется класс защищённости ГИС (К1–К3), роль модели угроз и аттестации, и что учесть операторам государственных информационных систем при переходе.

ГосСОПКА и НКЦКИ: кому и как подключаться (КИИ)

Что такое ГосСОПКА и НКЦКИ, кто обязан взаимодействовать с системой, как подключиться (напрямую к НКЦКИ или через ведомственный/корпоративный центр) и в какие сроки уведомлять о компьютерных инцидентах. Для субъектов критической информационной инфраструктуры по 187-ФЗ.

Субъект КИИ: касается ли вас 187-ФЗ — чек-лист

Кто такой субъект критической информационной инфраструктуры по 187-ФЗ, по каким сферам деятельности определяется этот статус и чем он отличается от наличия значимого объекта. Простой чек-лист, чтобы понять, относятся ли к вашей организации требования по КИИ, и что делать, если да.

Приказ ФСТЭК № 21: разбор мер защиты персональных данных в ИСПДн

Понятный разбор приказа ФСТЭК России №21 от 18.02.2013 — главного документа о том, как технически и организационно защищать персональные данные в информационных системах (ИСПДн). К кому он применяется и чем отличается от требований к ГИС, как выбираются меры (базовый набор по уровню защищённости, уточнение по модели угроз, компенсирующие меры, оценка эффективности), какие есть группы мер, что на практике достаточно для УЗ-4, какие нужны документы и какие заблуждения мешают операторам.