.PNG)
Меры защиты информации — это комплекс организационных и технических мероприятий, направленных на обеспечение конфиденциальности, целостности и доступности данных в информационных системах. Приказ ФСТЭК №117 (вступает в силу 1 марта 2026) устанавливает принципиально новый подход: вместо статичного «базового набора мер» вводится количественная оценка через 16 критериев и 48+ конкретных мероприятий с весовыми коэффициентами. В этом руководстве — полный перечень мер, классификация, пошаговый план внедрения и типичные ошибки.
48+
Мероприятий
по методике
4
Группы
показателей
16
Критериев
оценки
~70%
Обязательных
мер
Что такое меры защиты информации
Защита информации в Российской Федерации регулируется Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ст. 16). Закон обязывает обладателей информации и операторов информационных систем принимать правовые, организационные и технические меры, направленные на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования и иных неправомерных действий.
Для государственных информационных систем конкретные требования к мерам защиты устанавливают приказы ФСТЭК России. До 1 марта 2026 года действует приказ ФСТЭК №17 (2013), после — его заменяет приказ ФСТЭК №117, который кардинально меняет подход к оценке защищённости.
Классификация мер защиты: организационные, технические, правовые
Все меры защиты информации делятся на три основных типа. Приказ ФСТЭК №117 охватывает первые два — организационные и технические, — поскольку правовые меры определяются на уровне федеральных законов.
Организационные
Приказы о назначении ответственных, регламенты, политики ИБ, контроль подрядчиков, обучение персонала. Группа 1 приказа 117 (R₁ = 0,10)
Технические
МСЭ, антивирус, SIEM, MFA, управление уязвимостями, защита от DDoS. Группы 2, 3, 4 приказа 117 (суммарный вес 0,90)
Правовые
Федеральные законы (149-ФЗ, 152-ФЗ, 187-ФЗ), подзаконные акты, стандарты. Определяют рамку для остальных мер
Ключевое отличие приказа ФСТЭК №117
На кого распространяются требования
Приказ ФСТЭК №117 распространяется не только на ГИС, но на все информационные системы госорганов, учреждений, ГУП, МУП и их подрядчиков. Требования обязательны для:
Государственные ИС (ГИС)
Все классы защищённости: К1 (высокий), К2 (средний), К3 (низкий). Федеральные и региональные.
Муниципальные ИС
Согласно п.3 приказа — администрации, МФЦ, муниципальные учреждения.
ГУП, МУП, госкорпорации
Все информационные системы унитарных предприятий и государственных корпораций.
Подрядчики и операторы ЦОД
Организации с привилегированным доступом к ГИС обязаны выполнять требования по ИБ.
Если организация — субъект КИИ, дополнительно применяются меры из приказа ФСТЭК №239. Для защиты персональных данных в ИСПДн — требования приказа ФСТЭК №21.
Единый порог для всех
Полная карта 16 критериев с весовыми коэффициентами
Прежде чем рассматривать меры по группам, ознакомьтесь с общей картой всех 16 критериев. Каждый критерий имеет конкретный вес в итоговой формуле КЗИ — чем выше вес, тем сильнее влияние на итоговый показатель защищённости.
| № | Группа | Описание | Вес | Тип |
|---|---|---|---|---|
| k11 | 1. Организация | Ответственный за ИБ уровня зам. руководителя | 0,030 | Орг. |
| k12 | 1. Организация | Подразделение или работник по ИБ | 0,040 | Орг. |
| k13 | 1. Организация | Требования к подрядчикам с привилегированным доступом | 0,030 | Орг. |
| k21 | 2. Пользователи | Парольная политика (мин. 12 символов, 90 дней) | 0,075 | Техн. |
| k22 | 2. Пользователи | MFA для привилегированных пользователей (≥50%) | 0,075 | Техн. |
| k23 | 2. Пользователи | Нет дефолтных паролей на сервисных УЗ | 0,050 | Техн. |
| k24 | 2. Пользователи | Нет активных УЗ уволенных работников | 0,050 | Орг./Техн. |
| k31 | 3. Системы | Межсетевой экран L3/L4 на периметре | 0,070 | Техн. |
| k32 | 3. Системы | Уязвимости периметра устранены за 30 дней | 0,088 | Техн. |
| k33 | 3. Системы | Внутренние уязвимости устранены за 90 дней (≥90%) | 0,053 | Техн. |
| k34 | 3. Системы | Проверка вложений email на ВПО (≥80%) | 0,053 | Техн. |
| k35 | 3. Системы | Централизованный антивирус (≥80%) | 0,053 | Техн. |
| k36 | 3. Системы | Защита от DDoS-атак L3/L4 | 0,035 | Техн. |
| k41 | 4. Мониторинг | Централизованный сбор событий (SIEM) | 0,120 | Техн. |
| k42 | 4. Мониторинг | Сбор событий с устройств в Интернет | 0,105 | Техн. |
| k43 | 4. Мониторинг | Регламент реагирования на инциденты | 0,075 | Орг. |
Вес рассчитан как произведение весового коэффициента группы Rj и веса критерия внутри группы. Например, k32: 0,35 × 0,25 = 0,088 — наибольший вес среди всех 16 критериев.
1Организационные меры: организация и управление (R₁ = 0,10)
Группа включает 3 критерия (k11–k13) и весит 10% от итоговой оценки. Несмотря на небольшой вес, невыполнение любой обязательной меры обнуляет соответствующий критерий — а это фактически снижает КЗИ на 3-4%. Подробнее о том, какие документы нужны для оформления организационных мер — в статье об ОРД по приказу 117.
k11 — Ответственный за ИБ на уровне заместителя руководителя
Вес 0,3 — приказ о назначении, должностная инструкция с функциями ИБ. Важно: именно заместитель руководителя, а не IT-директор
k12 — Подразделение или работник по ИБ
Вес 0,4 — положение о подразделении, определены полномочия. Рекомендовано профильное образование (повышает оценку)
k13 — Требования к подрядчикам
Вес 0,3 — договоры с требованиями защиты от угроз через инфраструктуру подрядчика, контроль исполнения
| Мероприятие | Обязат. | Критерий |
|---|---|---|
| Издан приказ о назначении ответственного за ИБ | Да | k11 |
| Ответственный — заместитель руководителя (не ниже) | Да | k11 |
| В должностной инструкции закреплены функции по ИБ | Да | k11 |
| Создано подразделение ИБ или назначен работник | Да | k12 |
| Утверждено положение о подразделении / должностная инструкция | Да | k12 |
| Определены полномочия и ответственность | Да | k12 |
| Работник имеет профильное образование | Нет | k12 |
| Определены подрядчики с привилегированным доступом | Да | k13 |
| В договорах есть требования по защите от угроз | Да | k13 |
| Проводится контроль выполнения требований подрядчиками | Нет | k13 |
Практическая рекомендация
2Технические меры: защита пользователей (R₂ = 0,25)
Группа включает 4 критерия (k21–k24) и весит 25% от итоговой оценки. Защита учётных записей — источник большинства инцидентов. По данным практики аудитов ИБ, около 40% нарушений связаны именно с управлением доступом.
k21 — Парольная политика
Вес 0,3 — минимум 12 символов, сложность, срок 90 дней
k22 — MFA для привилегированных
Вес 0,3 — охват не менее 50% администраторов
k23 — Нет дефолтных паролей
Вес 0,2 — изменены все пароли по умолчанию
k24 — Нет УЗ уволенных
Вес 0,2 — блокировка в день увольнения
| Мероприятие | Обязат. | Критерий |
|---|---|---|
| Утверждена парольная политика | Да | k21 |
| Минимальная длина пароля — 12 символов | Да | k21 |
| Требуется сложность (буквы, цифры, спецсимволы) | Да | k21 |
| Установлен срок действия пароля (не более 90 дней) | Да | k21 |
| Технически обеспечен контроль политики | Да | k21 |
| Определён перечень привилегированных УЗ | Да | k22 |
| Внедрено решение MFA | Да | k22 |
| MFA включена для всех администраторов | Да | k22 |
| Охват MFA — не менее 50% привилегированных УЗ | Да | k22 |
| Проведена инвентаризация сервисных УЗ | Да | k23 |
| Изменены все пароли, установленные по умолчанию | Да | k23 |
| Настроен сброс пароля после первой аутентификации | Да | k23 |
| Проводится периодический аудит на дефолтные пароли | Нет | k23 |
| Есть регламент блокировки УЗ при увольнении | Да | k24 |
| УЗ блокируются в день увольнения | Да | k24 |
| Проводится периодический аудит активных УЗ | Да | k24 |
| Настроена интеграция с кадровой системой | Нет | k24 |
3Технические меры: защита информационных систем (R₃ = 0,35)
Самая весомая группа — 35% итоговой оценки. Включает 6 критериев (k31–k36) по технической защите: межсетевое экранирование, управление уязвимостями, антивирусная защита, защита от DDoS. Критерий k32 (устранение критических уязвимостей на периметре за 30 дней) имеет наибольший вес среди всех 16 критериев — 0,088.
Для внедрения технических мер защиты по группе 3 требуются сертифицированные средства защиты информации (СЗИ), включённые в реестр ФСТЭК России.
k31 — МСЭ L3/L4
Вес 0,20
k32 — Уязвимости (30 дн)
Вес 0,25 — макс. вес!
k33 — Уязвимости (90 дн)
Вес 0,15
k34 — Проверка email
Вес 0,15
k35 — Антивирус
Вес 0,15
k36 — DDoS-защита
Вес 0,10
| Мероприятие | Обязат. | Критерий |
|---|---|---|
| Установлен межсетевой экран на периметре | Да | k31 |
| Настроена фильтрация на уровне L3 (IP-адреса) | Да | k31 |
| Настроена фильтрация на уровне L4 (порты TCP/UDP) | Да | k31 |
| Реализована сегментация сети (DMZ) | Да | k31 |
| Ведётся журналирование событий МСЭ | Нет | k31 |
| Проводится регулярное сканирование периметра | Да | k32 |
| Критические уязвимости устраняются в течение 30 дней | Да | k32 |
| Ведётся реестр выявленных уязвимостей | Да | k32 |
| Есть ответственный за устранение уязвимостей | Нет | k32 |
| Проводится сканирование внутренней инфраструктуры | Да | k33 |
| Критические уязвимости устраняются в течение 90 дней | Да | k33 |
| Охват сканирования — не менее 90% устройств | Да | k33 |
| Используется антивирус на почтовом сервере | Да | k34 |
| Проверяются вложения на вредоносный код | Да | k34 |
| Используется песочница (sandbox) | Нет | k34 |
| Блокируются опасные типы вложений | Нет | k34 |
| Используется корпоративный антивирус | Да | k35 |
| Централизованное управление антивирусом | Да | k35 |
| Охват антивируса — не менее 80% устройств | Да | k35 |
| Базы антивируса обновляются автоматически | Да | k35 |
| Определены публичные сервисы для защиты | Да | k36 |
| Подключена защита от DDoS | Да | k36 |
| Защита работает на уровне L3/L4 | Да | k36 |
| Есть защита на уровне L7 | Нет | k36 |
Критерий k32 — приоритет №1
4Мониторинг и реагирование (R₄ = 0,30)
Вторая по весу группа — 30% итоговой оценки. Включает 3 критерия (k41–k43): централизованный сбор событий, анализ и регламент реагирования. По приказу 117, мониторинг из рекомендуемого стал обязательным — в отличие от приказа 17.
Критерий k41 (централизованный сбор событий) имеет вес 0,120 — второй по значимости после k32. Это означает, что без SIEM-системы и SOC-мониторинга достичь КЗИ = 1 практически невозможно.
k41 — Централизованный сбор событий
Вес 0,4 — SIEM-система, оповещение о неудачных входах привилегированных УЗ
k42 — Сбор событий с устройств в Интернет
Вес 0,35 — все устройства, взаимодействующие с сетью Интернет
k43 — Регламент реагирования
Вес 0,25 — утверждённый документ с ролями и сценариями, подключение к ГосСОПКА
| Мероприятие | Обязат. | Критерий |
|---|---|---|
| Внедрена SIEM-система или аналог | Да | k41 |
| Настроен сбор событий с критичных систем | Да | k41 |
| Настроено оповещение о неудачных входах привилегированных УЗ | Да | k41 |
| События хранятся не менее 6 месяцев | Нет | k41 |
| Определён перечень устройств с доступом в Интернет | Да | k42 |
| Настроен сбор событий со всех таких устройств | Да | k42 |
| Выполняется анализ собранных событий | Да | k42 |
| Есть выделенный аналитик SOC | Нет | k42 |
| Утверждён регламент реагирования на инциденты | Да | k43 |
| Определены роли и ответственные | Да | k43 |
| Описаны типовые сценарии реагирования | Да | k43 |
| Проводятся учения по реагированию | Нет | k43 |
Особенности мер защиты информации в ГИС
Государственные информационные системы имеют ряд особенностей, которые влияют на состав и порядок внедрения мер защиты. В отличие от коммерческих ИС, для ГИС обязательны:
Сертифицированные СЗИ
Все средства защиты должны иметь сертификат ФСТЭК соответствующего класса. Несертифицированные решения не засчитываются при аттестации.
Аттестация информационной системы
Обязательная процедура подтверждения соответствия. Проводится аккредитованными организациями — лицензиатами ФСТЭК.
Подключение к ГосСОПКА
По приказу 117 подключение к государственной системе обнаружения и предупреждения компьютерных атак — обязательно.
Классификация ГИС
К1 (высокий) — федеральные ГИС, К2 (средний) — региональные, К3 (низкий) — ведомственные. Состав мер зависит от класса.
Все 48+ мер приказа 117 являются базовыми для ГИС всех классов — минимальный порог КЗИ = 1 одинаков для К1, К2 и К3. Однако для ГИС 1-го класса рекомендуется стремиться к КЗИ > 1, реализуя дополнительные необязательные меры (отмечены «Нет» в таблицах выше). Подробнее — в услуге защиты ГИС и услуге аттестации ИС.
Как меры влияют на расчёт КЗИ
Каждая из 48+ мер входит в одну из 4 групп с весовыми коэффициентами. Итоговый показатель КЗИ рассчитывается по формуле: КЗИ = Σ(kji × Rj).
| Группа | Вес (Rn) | Критерии |
|---|---|---|
| Организация и управление | R₁ = 0,10 | k11–k13 |
| Защита пользователей | R₂ = 0,25 | k21–k24 |
| Защита информационных систем | R₃ = 0,35 | k31–k36 |
| Мониторинг и реагирование | R₄ = 0,30 | k41–k43 |
Обязательные меры — ключевой фактор
Как внедрить меры защиты: пошаговый план
Внедрение 48+ мер — не разовый проект, а выстроенный процесс. Ниже — 6 шагов, которые помогут систематизировать работу и достичь КЗИ = 1 в кратчайшие сроки. Порядок шагов важен — каждый следующий опирается на результаты предыдущего.
Шаг 1. Инвентаризация текущих мер
Составьте полный список всех ГИС, определите классы защищённости. Для каждой системы зафиксируйте, какие меры из 48+ уже реализованы, а какие — нет. Используйте чек-лист самопроверки.
Скачать чек-лист самопроверки →Шаг 2. GAP-анализ по 16 критериям
Сопоставьте текущее состояние с требуемым (КЗИ = 1). Определите критерии с низкими оценками. Приоритизируйте по весовым коэффициентам: сначала k32 (0,088), затем k41 (0,120), k42 (0,105).
Шаг 3. Расчёт текущего КЗИ
Проведите первичный расчёт показателя КЗИ по всем 16 критериям. Результат покажет, насколько далеко вы от целевого значения КЗИ = 1 и какие группы мер требуют наибольшего внимания.
Рассчитать КЗИ онлайн за 5 минут →Шаг 4. План мероприятий по повышению КЗИ
На основе GAP-анализа составьте план с конкретными мероприятиями, сроками, ответственными и бюджетом. Начните с критериев с наибольшим весом — они дают максимальный прирост КЗИ.
Шаг 5. Внедрение мер и подготовка документации
Параллельно внедряйте технические и организационные меры. Каждую реализованную меру фиксируйте в ОРД: политики, регламенты, журналы, акты. Без документации мера не засчитывается при аттестации.
Шаблоны ОРД по ФСТЭК №117 →Шаг 6. Повторный расчёт КЗИ и отчётность
После внедрения мер пересчитайте КЗИ. При достижении КЗИ = 1 — подготовьте отчёт и направьте результаты во ФСТЭК. Запланируйте следующую оценку через 6 месяцев.
Пересчитать КЗИ после внедрения →Не знаете, с чего начать?
Типичные ошибки при внедрении мер защиты
На что обращает внимание ФСТЭК
Назначение ответственного «по совместительству»
IT-директор вместо заместителя руководителя, нет функций в должностной инструкции — критерий k11 обнуляется
Активные УЗ уволенных сотрудников
УЗ отключена в AD, но активна в приложениях — основной источник инцидентов (40% проверок). Критерий k24 = 0
МСЭ установлен, но не настроен
Правила настроены слишком лояльно, МСЭ в режиме pass-through без фильтрации — критерий k31 = 0
SIEM работает, но логи не анализируются
Нет правил корреляции, слишком много false positives, объём логов переполняет хранилище. Критерий k41 = 0,5
Фокус только на технических мерах
Организационные меры (группа 1) забыты: нет приказа о назначении, нет положения о подразделении — три критерия обнулены
Игнорирование критерия k32 — наибольший вес
Управление уязвимостями на периметре (вес 0,088) — самый весомый критерий. Без регулярного сканирования КЗИ не достигнет 1
Дефолтные пароли на оборудовании
Пароли по умолчанию на коммутаторах, принтерах, Wi-Fi — частая находка при аттестации. Критерий k23 = 0
Мера внедрена, но не задокументирована
SIEM настроен, MFA работает, но нет ОРД — при проверке ФСТЭК это не засчитывается. Документируйте каждую меру
Часто задаваемые вопросы о мерах защиты информации
Сколько мер защиты требует приказ ФСТЭК №117?▼
Чем организационные меры отличаются от технических?▼
Какие меры защиты самые важные по весу?▼
Какие меры защиты обязательны для ГИС по приказу 117?▼
Что будет если не выполнить обязательные меры?▼
Как определить, какие меры нужны для моей системы?▼
Можно ли использовать open-source решения для технических мер?▼
Что делать, если нет бюджета на все 48 мер?▼
Как связаны меры защиты с расчётом КЗИ?▼
Как часто нужно пересматривать состав мер?▼
Итог: с чего начать внедрение мер защиты
Приказ ФСТЭК №117 вступает в силу 1 марта 2026 года. Для достижения минимального показателя КЗИ = 1 необходимо реализовать более 48 мероприятий по 4 группам: организационные (10%), защита пользователей (25%), защита систем (35%) и мониторинг (30%).
Три первых шага:
- Рассчитайте текущий КЗИ — бесплатный калькулятор покажет текущий уровень защищённости за 5 минут
- Проведите GAP-анализ по чек-листу самопроверки — определите, какие меры уже реализованы
- Составьте план мероприятий, приоритизируя критерии по весовым коэффициентам
Подробнее о приказе в целом — в полном руководстве по приказу ФСТЭК №117. Скачать текст приказа — на странице загрузки.
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также ознакомьтесь с полным руководством по 117 приказу ФСТЭК.
Дмитрий Елисеев
Специалист по информационной безопасности
С 2024 года специализируется на комплексных аудитах ИБ. Проекты — защита ПДн в МФЦ МО, безопасность в банковской сфере.