ГрамотаИБ ГрамотаИБ

Приказ ФСТЭК № 117: что меняется в защите государственных информационных систем

Что такое приказ ФСТЭК России № 117, который с 1 марта 2026 года пришёл на смену приказу № 17: к кому применяется, как определяется класс защищённости ГИС (К1–К3), роль модели угроз и аттестации, и что учесть операторам государственных информационных систем при переходе.

Защита государственных информационных систем (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.) регулируется отдельно от обычных ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.. С 1 марта 2026 года прежний приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России № 17 заменён приказом № 117. Разберём, к кому он применяется и что важно учесть.

К кому применяется

Приказ № 117 устанавливает требования к защите информации, не составляющей государственную тайну, в государственных и муниципальных информационных системах. Это касается государственных органов, органов местного самоуправления и организаций, которые являются операторами таких систем. Для негосударственных ИСПДн действует другой документ — приказ ФСТЭК № 21.

Класс защищённости и модель угроз

Для ГИС определяется класс защищённости — К1, К2 или К3 — по уровню значимости информации и масштабу системы; как он считается, разобрано в статье «Класс защищённости ГИС». Состав мер защиты выбирается под класс и уточняется по модели угроз, разрабатываемой по методике ФСТЭК 2021.

Аттестация

Ключевое отличие ГИС от обычной ИСПДн — обязательная аттестация системы защиты на соответствие требованиям безопасности до ввода в эксплуатацию. Это сохраняется и в новом регулировании: для ГИС нужны проектная документация, аттестационные испытания и аттестат соответствия.

Что учесть при переходе

  • Свериться с актуальными требованиями приказа № 117 (пришёл на смену № 17).
  • Проверить класс защищённости и актуальность модели угроз по методике 2021.
  • Привести проектную и эксплуатационную документацию и аттестацию в соответствие.

Главное

Приказ ФСТЭК № 117 с 1 марта 2026 года заменил приказ № 17 и задаёт требования к защите информации в государственных и муниципальных системах: класс защищённости К1–К3, меры под класс и модель угроз, обязательная аттестация. Для негосударственных ИСПДн по-прежнему действует приказ № 21. ГрамотаИБ помогает определить класс и собрать комплект документов — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «ФСТЭК: ИСПДн, ГИС, КИИ» →

Субъект КИИ: касается ли вас 187-ФЗ — чек-лист

Кто такой субъект критической информационной инфраструктуры по 187-ФЗ, по каким сферам деятельности определяется этот статус и чем он отличается от наличия значимого объекта. Простой чек-лист, чтобы понять, относятся ли к вашей организации требования по КИИ, и что делать, если да.

ГосСОПКА и НКЦКИ: кому и как подключаться (КИИ)

Что такое ГосСОПКА и НКЦКИ, кто обязан взаимодействовать с системой, как подключиться (напрямую к НКЦКИ или через ведомственный/корпоративный центр) и в какие сроки уведомлять о компьютерных инцидентах. Для субъектов критической информационной инфраструктуры по 187-ФЗ.

Приказ ФСТЭК № 21: разбор мер защиты персональных данных в ИСПДн

Понятный разбор приказа ФСТЭК России №21 от 18.02.2013 — главного документа о том, как технически и организационно защищать персональные данные в информационных системах (ИСПДн). К кому он применяется и чем отличается от требований к ГИС, как выбираются меры (базовый набор по уровню защищённости, уточнение по модели угроз, компенсирующие меры, оценка эффективности), какие есть группы мер, что на практике достаточно для УЗ-4, какие нужны документы и какие заблуждения мешают операторам.

Как правильно хранить персональные данные в приложении: чек-лист для разработчика

Практические правила для разработчиков, чтобы хранение ПДн в приложении соответствовало 152-ФЗ и приказу ФСТЭК №21: минимизация данных, разграничение доступа, шифрование, хеширование паролей, обезличивание для тестовых сред, ПДн в логах, удаление по запросу субъекта, локализация базы в РФ и журналирование доступа.