.PNG)
1Что такое приказ ФСТЭК №117
Приказ ФСТЭК России № 117 — нормативный документ, устанавливающий требования по защите информации в государственных информационных системах и иных ИС органов государственной власти, государственных учреждений и муниципальных образований.
Официальные реквизиты
Суть документа: Приказ № 117 вводит методику оценки показателя защищенности информации (КЗИ) на основе 16 критериев. Вместо статичной аттестации устанавливается процесс непрерывного мониторинга и количественной оценки состояния защиты.
2Когда вступает в силу 117 приказ ФСТЭК
1 марта 2026 года
Приказ ФСТЭК России № 117 вступает в силу с этой даты и отменяет приказ № 17 от 2013 года.
Ключевые даты
- • 11.04.2025 — подписание приказа
- • 16.06.2025 — регистрация в Минюсте
- • 01.03.2026 — вступление в силу
Периодичность оценки
- • КЗИ — не реже 1 раза в 6 месяцев
- • ПЗИ — не реже 1 раза в 2 года
- • При изменениях в ИС — внепланово
3На кого распространяется 117 приказ ФСТЭК
Приказ ФСТЭК №117 устанавливает требования к защите информации для операторов (обладателей информации) государственных информационных систем:
Государственные информационные системы (ГИС)
Все ГИС федеральных и региональных органов власти, органов МСУ, госучреждений (бюджетных, казённых, автономных).
Кто обязан выполнять требования
Косвенное влияние приказа
Коммерческие организации, получающие данные из ГИС (банки, страховые компании), а также ИТ-компании, оказывающие услуги госсектору, должны учитывать требования приказа 117 при интеграции и взаимодействии с государственными системами.
4Показатель защищенности информации (КЗИ)
КЗИ (Коэффициент защищенности информации) — числовое значение, характеризующее текущее состояние защиты информации. Диапазон: от 0 до 1.
Формула расчёта КЗИ
kji — значение i-го критерия j-й группы (от 0 до 1)
Rj — весовой коэффициент группы критериев
Интерпретация значений КЗИ
Шкала интерпретации определена в Методике оценки показателя КЗИ (методический документ ФСТЭК) и используется в отраслевой практике:
| Значение | Уровень | Описание |
|---|---|---|
| КЗИ = 1 | Минимальный базовый (зелёный) | Достаточный уровень мер защиты (по методике). |
| 0,75 < КЗИ < 1 | Низкий (оранжевый) | Необходимо повышение уровня защитных мер. |
| КЗИ ≤ 0,75 | Критический (красный) | Высокие регуляторные риски, требуются срочные мероприятия. |
Примечание: Порог КЗИ = 1 используется в методике ФСТЭК как минимальный базовый уровень для вывода о достаточности мер защиты.
516 критериев оценки по четырём группам
Методика ФСТЭК №117 устанавливает 16 критериев, сгруппированных в 4 группы с разными весовыми коэффициентами:
| Группа | Направление | Вес Rj |
|---|---|---|
| 1 | Организация и управление | 0.10 |
| 2 | Защита пользователей | 0.25 |
| 3 | Защита информационных систем | 0.35 |
| 4 | Мониторинг ИБ и реагирование | 0.30 |
Наибольший вес имеет группа «Защита информационных систем» (0.35) — ФСТЭК приоритизирует технические меры защиты периметра и устранение уязвимостей.
Группа 1: Организация и управление (R₁ = 0.10)
k11 (0.30): Заместитель руководителя назначен ответственным за ИБ с определёнными обязанностями
k12 (0.40): Определены функции подразделения/работника, ответственного за ИБ
k13 (0.30): К подрядчикам с привилегированным доступом установлены требования по защите от угроз через их инфраструктуру
Группа 2: Защита пользователей (R₂ = 0.25)
k21 (0.30): Парольная политика соблюдается (мин. 12 символов, буквы, цифры, спецсимволы)
k22 (0.30): MFA для привилегированных пользователей (охват ≥50%)
k23 (0.20): Отсутствуют сервисные УЗ с паролями, установленными по умолчанию
k24 (0.20): Отсутствуют активные УЗ уволенных работников
Группа 3: Защита информационных систем (R₃ = 0.35) — максимальный вес
k31 (0.20): Межсетевой экран L3/L4 на периметре (100% интерфейсов из Интернет)
k32 (0.25): Критические уязвимости на периметре устранены в течение 30 дней
k33 (0.15): Критические уязвимости на внутренних устройствах устранены в течение 90 дней (≥90%)
k34 (0.15): Проверка вложений email на вредоносное ПО (≥80% устройств)
k35 (0.15): Централизованное управление антивирусом (≥80%, обновление баз ≥1 раз/месяц)
k36 (0.10): Защита от DDoS-атак L3/L4 (договор с провайдером или собственные средства)
Группа 4: Мониторинг ИБ и реагирование (R₄ = 0.30)
k41 (0.40): Централизованный сбор событий и оповещение о неудачных входах привилегированных УЗ
k42 (0.35): Сбор и анализ событий со всех устройств, взаимодействующих с Интернет
k43 (0.25): Утверждён регламент реагирования на компьютерные инциденты
6Чем 117 приказ ФСТЭК отличается от 17
Приказ № 117 представляет собой принципиально новый подход к регулированию ИБ в госсекторе:
| Аспект | Приказ № 17 (2013) | Приказ № 117 (2025) |
|---|---|---|
| Сфера действия | Только ГИС | Все ИС госорганов, учреждений, ГУП, МУП, подрядчики |
| Тип оценки | Бинарный (соответствует/нет) | Числовой показатель 0–1 |
| Периодичность | К1: раз в год; К2/К3: раз в 2 года | КЗИ: раз в 6 месяцев; ПЗИ: раз в 2 года |
| Мониторинг | Рекомендуется | Обязателен (вес 0.30) |
| ГосСОПКА | Рекомендуется | Обязательно |
| Требования к персоналу | Не регламентированы | ≥30% с профильным образованием |
| Минимальный уровень | Не установлен | КЗИ = 1 |
7Пошаговый план мероприятий
Инвентаризация ИС
Составьте полный список всех ГИС, ИСПДн и иных ИС. Для каждой определите класс защищённости. Аудит ИБ поможет систематизировать активы.
Первичная оценка КЗИ
Проведите первичный расчёт показателя КЗИ по 16 критериям. Используйте калькулятор КРЕДО-С.
GAP-анализ
Сопоставьте текущее состояние с требуемым (КЗИ = 1). Комплексный аудит ИБ и ИТ определит критерии с низкими оценками.
Разработка документации
Политика ЗИ, регламенты управления уязвимостями, процедуры реагирования. Разработка документации по ИБ — наша услуга.
Внедрение мер защиты
Внедрение СЗИ, сканеры уязвимостей, подключение к ГосСОПКА, настройка мониторинга ИБ.
Итоговая оценка и отчётность
Финальный расчёт КЗИ. При достижении КЗИ = 1 — аттестация информационной системы и направление результатов во ФСТЭК.
8Чек-лист самопроверки по ФСТЭК №117
Организация и управление (R₁ = 0.10)
- Заместитель руководителя назначен ответственным за ИБ
- Определены функции подразделения/работника по ИБ
- Требования к подрядчикам по защите от угроз через их инфраструктуру
Защита пользователей (R₂ = 0.25)
- Парольная политика (мин. 12 символов, спецсимволы)
- MFA для привилегированных пользователей (≥50%)
- Нет дефолтных паролей у сервисных УЗ
- УЗ уволенных заблокированы
Защита информационных систем (R₃ = 0.35) — макс. вес
- Межсетевой экран L3/L4 на периметре
- Критические уязвимости на периметре устранены (≤30 дней)
- Критические уязвимости внутри устранены (≤90 дней, ≥90%)
- Проверка вложений email (≥80%)
- Централизованный антивирус (≥80%)
- Защита от DDoS L3/L4
Мониторинг ИБ и реагирование (R₄ = 0.30)
- Централизованный сбор событий и оповещение о неудачных входах
- Сбор и анализ событий с устройств, взаимодействующих с Интернет
- Утверждён регламент реагирования на инциденты
9Типичные ошибки
Отсутствие процессов мониторинга
Группа мониторинга имеет вес 0.30 — без неё невозможно достичь КЗИ = 1
Формальный подход к документации
Документы должны отражать реальное состояние, а не быть «для галочки»
Несертифицированные сканеры
Для анализа уязвимостей требуются сертифицированные средства ФСТЭК
Игнорирование ГосСОПКА
Подключение к ГосСОПКА теперь обязательно, не опционально
Разовая оценка вместо процесса
КЗИ нужно оценивать каждые 6 месяцев, ПЗИ — каждые 2 года
Нужна помощь с выполнением приказа ФСТЭК №117?
КРЕДО-С — лицензиат ФСТЭК и ФСБ России с 33-летним опытом. Более 1 000 реализованных проектов в 36 регионах.
10Частые вопросы
Когда вступает в силу Приказ №117 ФСТЭК?
Приказ ФСТЭК России № 117 от 11.04.2025 вступает в силу 1 марта 2026 года.
На кого распространяется Приказ ФСТЭК №117?
На операторов (обладателей информации) государственных информационных систем всех классов, муниципальные ИС (п.3 приказа), операторов ЦОД.
Нужно ли применять Приказ №117 муниципалитетам?
Да. Согласно п.3 приказа, в муниципальных информационных системах защита информации обеспечивается в соответствии с требованиями Приказа №117.
Распространяется ли Приказ №117 на коммерческие организации?
Напрямую — нет. Но коммерческие организации, получающие данные из ГИС (банки, страховые), разработчики ПО для госсектора и операторы ЦОД должны учитывать требования приказа при интеграции с государственными системами.
Что делать подрядчикам ГИС?
Подрядчики (разработчики ПО, ИТ-сервисные компании, операторы ЦОД) обязаны обеспечивать защиту информации в соответствии с требованиями Приказа №117 при работе с ГИС заказчика.
Какой минимальный показатель защищенности КЗИ?
В методике ФСТЭК порог КЗИ = 1 используется как минимальный базовый уровень (зелёная зона). При КЗИ < 1 рекомендуется разработка плана мероприятий.
Как часто проводить оценку КЗИ?
КЗИ — не реже 1 раза в 6 месяцев. ПЗИ (показатель зрелости) — не реже 1 раза в 2 года.
Где рассчитать показатель КЗИ онлайн?
Бесплатный калькулятор КРЕДО-С доступен на credos.ru/calculator. Расчёт за 5 минут, экспорт отчёта для ФСТЭК.
Чем Приказ №117 отличается от №17?
Приказ №117 заменяет 17-й с 01.03.2026. Ключевые отличия: числовой показатель КЗИ вместо бинарной оценки, регулярная оценка, повышенное внимание к уязвимостям, мониторингу и реагированию, а также отчётность.
Что делать если КЗИ ниже 1?
Разработать план мероприятий по повышению защищённости, направить результаты во ФСТЭК. Провести повторную оценку после выполнения мероприятий.
Нужна ли лицензия ФСТЭК для расчёта КЗИ?
Для расчёта КЗИ лицензия не требуется — это может делать внутренний ответственный за ИБ. Для аттестации ИС нужна аккредитация ФСТЭК.
Рассчитайте показатель КЗИ
Используйте бесплатный калькулятор КРЕДО-С для оценки по методике ФСТЭК №117. Расчёт за 5 минут, экспорт для регулятора.
Перейти к калькулятору