.PNG)
Этот чек-лист содержит все 48+ мероприятий из методики приказа ФСТЭК №117, сгруппированных по 16 критериям в 4 группы. Используйте его для самопроверки перед оценкой КЗИ.
48+
Мероприятий
в чек-листе
16
Критериев
оценки
4
Группы
показателей
~70%
Обязательных
мер
Дата вступления в силу
1 марта 2026
Используйте этот чек-лист для планомерной подготовки
1Организация и управление (R₁ = 0,10)
k11 — Ответственный за ИБ (вес 0,3)
Издан приказ о назначении ответственного за ИБ
Ответственный — заместитель руководителя (не ниже)
В должностной инструкции закреплены функции по ИБ
k12 — Подразделение/работник по ИБ (вес 0,4)
Создано подразделение ИБ или назначен работник
Утверждено положение о подразделении / должностная инструкция
Определены полномочия и ответственность
Работник имеет профильное образование или прошёл обучение
k13 — Требования к подрядчикам (вес 0,3)
Определены подрядчики с привилегированным доступом к ИС
В договорах есть требования по защите от угроз через инфраструктуру подрядчика
Проводится контроль выполнения требований подрядчиками
2Защита пользователей (R₂ = 0,25)
k21 — Парольная политика (вес 0,3)
Утверждена парольная политика
Минимальная длина пароля — 12 символов
Требуется сложность (буквы, цифры, спецсимволы)
Установлен срок действия пароля (не более 90 дней)
Технически обеспечен контроль политики (AD GPO, PAM)
k22 — MFA для привилегированных (вес 0,3)
Определён перечень привилегированных УЗ
Внедрено решение MFA (токены, TOTP, push)
MFA включена для всех администраторов
Охват MFA — не менее 50% привилегированных УЗ
k23 — Нет дефолтных паролей (вес 0,2)
Проведена инвентаризация сервисных УЗ и УЗ разработчиков
Изменены все пароли, установленные по умолчанию
Настроен сброс пароля после первой аутентификации
Проводится периодический аудит на дефолтные пароли
k24 — Нет УЗ уволенных (вес 0,2)
Есть регламент блокировки УЗ при увольнении
УЗ блокируются в день увольнения
Проводится периодический аудит активных УЗ
Настроена интеграция с кадровой системой
3Защита информационных систем (R₃ = 0,35)
k31 — МСЭ L3/L4 на периметре (вес 0,20)
Установлен межсетевой экран на периметре
Настроена фильтрация на уровне L3 (IP-адреса)
Настроена фильтрация на уровне L4 (порты TCP/UDP)
Реализована сегментация сети (DMZ)
Ведётся журналирование событий МСЭ
k32 — Нет критических уязвимостей на периметре (вес 0,25)
Проводится регулярное сканирование периметра (≥1 раз/мес)
Критические уязвимости устраняются в течение 30 дней
Ведётся реестр выявленных уязвимостей
Есть ответственный за устранение уязвимостей
k33 — Управление уязвимостями 90 дней (вес 0,15)
Проводится сканирование внутренней инфраструктуры
Критические уязвимости устраняются в течение 90 дней
Охват сканирования — не менее 90% устройств
k34 — Проверка email-вложений (вес 0,15)
Используется антивирус на почтовом сервере
Проверяются вложения на вредоносный код
Используется песочница (sandbox)
Блокируются опасные типы вложений (.exe, .js)
k35 — Централизованный антивирус (вес 0,15)
Используется корпоративный антивирус
Централизованное управление (консоль администратора)
Охват — не менее 80% устройств
Базы обновляются автоматически
k36 — Защита от DDoS L3/L4 (вес 0,10)
Определены публичные сервисы, требующие защиты
Подключена защита от DDoS (провайдер или on-premise)
Защита работает на уровне L3/L4
Есть защита на уровне L7
4Мониторинг и реагирование (R₄ = 0,30)
k41 — Централизованный сбор событий (вес 0,4)
Внедрена SIEM-система или аналог
Настроен сбор событий с критичных систем
Настроено оповещение о неудачных входах привилегированных УЗ
События хранятся не менее 6 месяцев
k42 — Анализ событий устройств с Интернет (вес 0,35)
Определён перечень устройств, взаимодействующих с Интернет
Настроен сбор событий со всех таких устройств
Выполняется анализ собранных событий
Есть выделенный аналитик SOC
k43 — Регламент реагирования (вес 0,25)
Утверждён регламент реагирования на инциденты
Определены роли и ответственные
Описаны типовые сценарии реагирования
Проводятся учения по реагированию (≥1 раз/год)
Частые вопросы
Сколько пунктов в чек-листе ФСТЭК №117?▼
Чек-лист содержит 48+ мероприятий, сгруппированных по 16 критериям в 4 группы. Около 70% мер являются обязательными для достижения минимального базового уровня защищённости (КЗИ = 1).
Какие пункты обязательные?▼
Пункты без отступа — обязательные. Пункты с отступом (курсивом) — рекомендуемые, повышающие оценку, но не блокирующие достижение КЗИ = 1.
Как использовать чек-лист?▼
1) Пройдитесь по всем пунктам и отметьте выполненные. 2) Невыполненные обязательные пункты — приоритет для устранения. 3) Рассчитайте КЗИ в калькуляторе для точной оценки.
Совет
После прохождения чек-листа используйте калькулятор КЗИ для точного расчёта показателя защищённости. Он автоматически учтёт веса критериев и покажет итоговую оценку.
Теги:
чек-лист
ФСТЭК №117
самопроверка
подготовка
16 критериев
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также ознакомьтесь с полным руководством по 117 приказу ФСТЭК.
Услуги КРЕДО-С
Кирилл Терещенко
Специалист по информационной безопасности
С 2020 года специализируется на аттестации ГИС и категорировании КИИ. Аттестация ГИС министерств РФ.