.PNG)
1Суть требований приказа ФСТЭК №117
Приказ ФСТЭК России № 117 от 11.04.2025 устанавливает требования к защите информации в государственных информационных системах (ГИС). Требования основаны на 16 критериях оценки, объединённых в 4 группы с разными весовыми коэффициентами.
16
Критериев оценки
4
Группы требований
КЗИ ≥ 1
Минимальный уровень
6 мес
Периодичность оценки
2На кого распространяются требования
Требования приказа ФСТЭК №117 обязательны для:
| Категория организаций | Требование |
|---|---|
| Операторы государственных информационных систем (ГИС) | Обязательно |
| Государственные учреждения и органы власти | Обязательно |
| Муниципальные информационные системы (п.3 приказа) | Обязательно |
| Подрядчики с привилегированным доступом к ГИС | Обязательно |
| Операторы ЦОД, размещающих ГИС | Обязательно |
| Коммерческие организации (не ГИС) | Не обязательно |
3Группа 1: Организация и управление (R₁ = 0.10)
Первая группа требований охватывает организационные меры защиты информации. Вес группы — 10% от итогового показателя КЗИ.
На заместителя руководителя возложены функции по ИБ
Должен быть приказ о назначении ответственного за ИБ на уровне заместителя руководителя
Вес: 0.3 | п. 5.1 Методики ФСТЭК
Определены функции подразделения/работника по ИБ
Должно быть выделено подразделение ИБ или назначен ответственный работник с документально закреплёнными обязанностями
Вес: 0.4 | п. 5.2 Методики ФСТЭК
Требования к подрядчикам по защите от угроз
В договорах с подрядчиками, имеющими привилегированный доступ, должны быть требования по защите от угроз через их инфраструктуру
Вес: 0.3 | Таблица 1 Методики ФСТЭК
4Группа 2: Защита пользователей (R₂ = 0.25)
Вторая группа требований посвящена защите учётных записей и аутентификации. Вес группы — 25% от итогового показателя КЗИ.
Парольная политика соблюдается
Все пароли должны соответствовать требованиям: минимальная длина 12 символов, сложность, срок действия не более 90 дней
Вес: 0.3 | п. 6.1 Методики ФСТЭК
MFA для привилегированных пользователей
Администраторы и пользователи с повышенными правами должны использовать MFA. Охват — не менее 50%
Вес: 0.3 | п. 6.2 Методики ФСТЭК
Нет дефолтных паролей у сервисных УЗ
Сервисные и технические УЗ не должны использовать пароли по умолчанию (admin, password и т.д.)
Вес: 0.2 | Таблица 1 Методики ФСТЭК
Нет активных УЗ уволенных сотрудников
УЗ уволенных сотрудников должны быть заблокированы в день увольнения
Вес: 0.2 | п. 6.4 Методики ФСТЭК
5Группа 3: Защита информационных систем (R₃ = 0.35)
Максимальный вес!
Межсетевой экран L3/L4 на периметре (100%)
Межсетевой экран должен фильтровать трафик на сетевом и транспортном уровнях. Все интерфейсы из Интернет должны контролироваться
Вес: 0.2 | п. 3.1 Методики ФСТЭК
Нет критических уязвимостей на периметре
Критические уязвимости на периметре должны устраняться в течение 30 дней с момента публикации
Вес: 0.25 | п. 3.2 Методики ФСТЭК
Управление уязвимостями (90 дней, ≥90%)
Критические уязвимости на внутренних системах должны устраняться в течение 90 дней. Охват — не менее 90% устройств
Вес: 0.15 | п. 3.3 Методики ФСТЭК
Проверка вложений в email (≥80%)
Входящие письма должны проверяться на наличие вредоносных вложений. Охват — не менее 80% устройств
Вес: 0.15 | п. 3.5 Методики ФСТЭК
Централизованный антивирус (≥80%)
Антивирусное ПО должно управляться централизованно. Охват — не менее 80% устройств, обновление баз — не реже 1 раза в месяц
Вес: 0.15 | п. 3.6 Методики ФСТЭК
Защита от DDoS L3/L4
Для публичных сервисов должна быть реализована очистка входящего трафика от DDoS-атак на уровне L3/L4
Вес: 0.1 | п. 3.7 Методики ФСТЭК
6Группа 4: Мониторинг ИБ и реагирование (R₄ = 0.30)
Четвёртая группа требований посвящена мониторингу событий безопасности и реагированию на инциденты. Вес группы — 30% от итогового показателя КЗИ.
Централизованный сбор событий и оповещение
Должна быть SIEM-система для сбора событий ИБ с оповещением о неудачных попытках входа привилегированных УЗ
Вес: 0.4 | Таблица 1 Методики ФСТЭК
Анализ событий с устройств, взаимодействующих с Интернет
SIEM должен собирать и анализировать события со всех устройств, имеющих доступ в Интернет
Вес: 0.35 | Таблица 1 Методики ФСТЭК
Регламент реагирования на инциденты
Должен быть утверждённый регламент реагирования на инциденты ИБ с определёнными ролями и сценариями
Вес: 0.25 | п. 8.3 Методики ФСТЭК
7Сводная таблица требований
| Группа | Вес | Критерии |
|---|---|---|
| 1. Организация и управление | R₁ = 0.10 | k11, k12, k13 |
| 2. Защита пользователей | R₂ = 0.25 | k21, k22, k23, k24 |
| 3. Защита ИС (макс. вес) | R₃ = 0.35 | k31, k32, k33, k34, k35, k36 |
| 4. Мониторинг и реагирование | R₄ = 0.30 | k41, k42, k43 |
8Частые вопросы
Когда вступают в силу требования приказа ФСТЭК №117?▼
Требования приказа ФСТЭК России № 117 вступают в силу 1 марта 2026 года.
Какой минимальный показатель КЗИ требуется?▼
В методике ФСТЭК порог КЗИ = 1 используется как минимальный базовый уровень для вывода о достаточности мер защиты.
Как часто нужно оценивать соответствие требованиям?▼
КЗИ — не реже 1 раза в 6 месяцев. ПЗИ (показатель зрелости) — не реже 1 раза в 2 года.
Нужна ли лицензия ФСТЭК для оценки соответствия?▼
Для расчёта КЗИ лицензия не требуется — это может делать внутренний ответственный за ИБ. Для аттестации ИС нужна аккредитация ФСТЭК.
Рассчитайте соответствие требованиям
Калькулятор КЗИ
Бесплатный онлайн-расчёт показателя защищенности по всем 16 критериям
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также ознакомьтесь с полным руководством по 117 приказу ФСТЭК.
Олег Демьянов
Руководитель отдела информационной безопасности
С 2018 года консультирует ключевых игроков российского бизнеса. Экспертиза — промышленность, медицина, транспорт, органы власти.