Приказ ФСТЭК № 117: Как изменятся правила игры для госсектора в 2026 году и как к этому подготовиться

1Приказ ФСТЭК №117 для госсектора в 2026 году

Сфера информационной безопасности в государственном секторе готовится к масштабной трансформации. Документ, который изменит ландшафт ИБ для тысяч организаций — Приказ ФСТЭК России № 117. Он был утвержден 11 апреля 2025 года, уже прошел регистрацию в Минюсте и официально вступает в силу с 1 марта 2026 года.

Для руководителей организаций и ИТ-директоров это означает одно: правила игры меняются, и адаптироваться к ним придется в сжатые сроки. Приказ № 117 не просто обновляет старые нормы, он вводит принципиально новый, системный подход к защите информации и оценке защищенности. Что именно изменится и почему начинать подготовку нужно уже сейчас?

2Расширение зоны ответственности: кто теперь «под прицелом» ФСТЭК?

Главная боль, с которой столкнутся многие руководители — это резкое расширение списка субъектов, подпадающих под действие новых правил. В отличие от привычного Приказа ФСТЭК № 17, новый 117-й приказ охватывает гораздо больший пул организаций.

Теперь требования по защите информации распространяются не только на классические государственные информационные системы (ГИС). В периметр контроля включены иные информационные системы муниципальных образований, государственных органов, а также унитарных предприятий и учреждений. Это означает, что даже те организации, которые раньше находились вне жесткого поля зрения регулятора в части ГИС, теперь обязаны выстраивать защиту по всей строгости закона.

Важный нюанс: если у вас уже есть действующие аттестаты соответствия, выданные до 1 марта 2026 года, они остаются действительными. Однако их наличие не освобождает вашу организацию от новой ключевой обязанности — регулярного расчета показателя защищенности (КЗИ).

3Новые векторы угроз: что придется защищать по-новому?

Регулятор прекрасно понимает, что технологии не стоят на месте. Поэтому в новом приказе появились дополнительные, весьма жесткие требования, которые ранее либо вообще не учитывались, либо оставались в серой зоне. Руководителям ИТ и ИБ-подразделений предстоит провести аудит своих систем по следующим новым направлениям:

4КЗИ: ваш новый «градусник» безопасности

Смысл Приказа № 117 сводится к единому и понятному подходу: прозрачной оценке защищенности и стандартизированной отчетности. Для этого вводится центральное понятие — показатель защищенности информации (КЗИ).

КЗИ — это числовое значение в диапазоне от 0 до 1. Он наглядно демонстрирует, насколько внедренные в вашей организации меры соответствуют актуальным требованиям ФСТЭК. Согласно методике, КЗИ, равный 1, считается минимальным базовым уровнем, при котором меры защиты признаются достаточными. По сути, это индикатор здоровья вашей системы безопасности.

И здесь кроется главная организационная сложность: оценивать этот показатель необходимо не реже одного раза в 6 месяцев.

5Как избежать хаоса в таблицах Excel?

На бумаге методика ФСТЭК может показаться логичной. Однако на практике специалистам предстоит работать с 16 критериями, которые разделены на 4 группы, каждая из которых имеет свой весовой коэффициент. Выполнять эти расчеты вручную в Excel каждые полгода — это гарантированная потеря времени, высокий риск человеческой ошибки и головная боль для всего отдела ИБ.

Чтобы избавить государственные организации от этой рутины, эксперты компании КРЕДО-С (лицензиата ФСТЭК и ФСБ) разработали специализированный инструмент — бесплатный онлайн-калькулятор КЗИ.

Вместо того чтобы тратить дни на изучение формул и составление таблиц, ваш специалист может пройти расчет за 5–10 минут.

Готовы узнать свой уровень защищенности прямо сейчас? Не ждите наступления 2026 года. Оцените готовность вашей инфраструктуры к новым требованиям ФСТЭК уже сегодня.

Переходите по ссылке и рассчитайте КЗИ для вашей организации абсолютно бесплатно.