.PNG)
1Почему заменяют приказ №17
Приказ ФСТЭК №17 от 2013 года устарел и не соответствует современным угрозам информационной безопасности. Новый приказ №117 учитывает:
Современные киберугрозы
Актуальные методы атак и векторы проникновения
Новые технологии защиты
Развитие средств защиты информации
Международный опыт
Лучшие практики регулирования ИБ
Практика применения
Опыт использования старых требований
2Таблица сравнения приказов 17 и 117
| Критерий | Приказ №17 (2013) | Приказ №117 (2025) |
|---|---|---|
| Подход к оценке | Качественный (классы) | Количественный (КЗИ) |
| Классы защищённости | К1, К2, К3 | К1, К2, К3 (сохранены) |
| Показатель защиты | Отсутствует | КЗИ от 0 до 1 |
| Минимальный уровень | Соответствие классу | КЗИ = 1 (базовый) |
| Периодичность оценки | При изменениях | Каждые 6 месяцев |
| Количество критериев | ~150 мер | 16 критериев |
| Группировка мер | По функциям | По 4 группам |
| Область применения | Только ГИС | Все ИС госорганов, учреждений, ГУП, МУП, подрядчики |
3Ключевые отличия
1. От классов к числовому показателю
Системы делились на классы К1, К2, К3 в зависимости от уровня значимости.
Введён единый числовой показатель КЗИ (коэффициент защищённости информации).
0...1
Диапазон КЗИ
1
Базовый
16
Критериев
2. Регулярность проверок
Аттестация проводилась один раз и обновлялась только при значительных изменениях.
Обязательная переоценка каждые 6 месяцев, независимо от изменений.
3. Структура требований
~150 мер защиты, сгруппированных по функциональным блокам.
16 критериев в 4 группах: организационные (4), технические (5), контроль (4), реагирование (3).
4. Подход к оценке
Важное изменение
Приказ №117: Каждый критерий оценивается по шкале 0-1, что позволяет видеть степень соответствия.
4Как подготовиться к переходу
Аудит текущего состояния
Проведите инвентаризацию существующих мер защиты и сопоставьте их с новыми критериями.
Расчёт текущего КЗИ
Используйте калькулятор КЗИ для определения текущего уровня соответствия.
GAP-анализ
Определите разрыв между текущим КЗИ и базовым уровнем (КЗИ = 1).
План мероприятий
Составьте дорожную карту внедрения недостающих мер до 1 марта 2026.
5Что останется без изменений
Базовые принципы защиты информации
Необходимость аттестации ГИС
Ответственность оператора за безопасность
Требования к документированию
Вывод
Начните подготовку сейчас
Переход с приказа №17 на №117 — это существенное изменение подхода к защите информации
6Аттестация: что меняется
По приказу №17 аттестация ГИС проводилась однократно с повторной проверкой: К1 — раз в год, К2/К3 — раз в 2 года.
По приказу №117 аттестация сохраняется, но добавляется регулярная оценка КЗИ каждые 6 месяцев и оценка ПЗИ раз в 2 года. Классы К1, К2, К3 сохранены, но дополнены числовым показателем КЗИ.
Лицензия не нужна для расчёта
7Частые вопросы
Чем приказ ФСТЭК №117 отличается от приказа 17?▼
Приказ №117 сохраняет классы К1-К3 и дополняет их числовым показателем КЗИ (от 0 до 1), вводит регулярную оценку каждые 6 месяцев вместо разовой аттестации, и сокращает ~150 мер до 16 критериев в 4 группах.
Когда перестаёт действовать приказ ФСТЭК 17?▼
Приказ ФСТЭК №17 от 11.02.2013 утрачивает силу с 1 марта 2026 года, когда вступает в силу приказ №117 от 11.04.2025.
Нужно ли переделывать документацию с приказа 17 на 117?▼
Да, необходимо актуализировать политики и процедуры. Приказ №117 требует документирования по 16 критериям вместо ~150 мер, а также регламент регулярной оценки КЗИ каждые 6 месяцев.
Как подготовиться к переходу с 17 на 117 приказ?▼
1) Провести аудит текущих мер защиты. 2) Рассчитать текущий КЗИ с помощью калькулятора. 3) Выполнить GAP-анализ. 4) Составить план мероприятий до 1 марта 2026.
Нужна ли лицензия ФСТЭК для расчёта КЗИ?▼
Нет. Расчёт КЗИ может проводить внутренний ответственный за ИБ без лицензии. Лицензия (аккредитация) ФСТЭК нужна только для аттестации информационной системы.
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также ознакомьтесь с полным руководством по 117 приказу ФСТЭК.
Дмитрий Колесник
Директор по информационной безопасности
CISO КРЕДО-С. С 2010 года консультирует органы власти и крупнейшие предприятия по защите информации.