Справочник по Приказу ФСТЭК № 117

🔄 Основные изменения по сравнению с Приказом № 17

⚡ Ключевое изменение: Приказ № 117 полностью заменяет Приказ № 17 от 11.02.2013 и все его редакции. Аттестаты, выданные до 01.03.2026, остаются действительными.

1. Расширение области применения

Было (№ 17): Только ГИС, не содержащие гостайну
Стало (№ 117): ГИС + иные ИС государственных органов, ГУП, государственных учреждений + информация любого уровня ограничения доступа (кроме гостайны)

2. Новые технологии и концепции

В № 117 добавлены требования к защите:

🤖 Искусственного интеллекта (пп. 60-61) - контроль запросов/ответов, недопущение передачи информации ограниченного доступа разработчикам моделей
☁️ Облачных технологий и контейнеризации (п. 63 г, д)
📱 Технологий Интернета вещей (IoT) Технологий Интернета вещей (IoT) концепция вычислительной сети, соединяющей вещи (физические предметы), оснащенные встроенными информационными технологиями для взаимодействия друг с другом или с внешней средой без участия человека (п. 63 л)
🔗 API (программных интерфейсов) (п. 63 з)
🌐 Информационно-телекоммуникационной инфраструктуры (п. 8)

3. Система оценки защищенности

Параметр	Приказ № 17	Приказ № 117
Показатели	Отсутствовали	2 обязательных показателя: • К_ЗИ (защищенность) • П_ЗИ (зрелость)
Периодичность оценки К_ЗИ	—	Не реже 1 раза в 6 месяцев
Периодичность оценки П_ЗИ	—	Не реже 1 раза в 2 года
Отчетность в ФСТЭК	Не требовалась	В течение 5 рабочих дней после расчета

4. Управление уязвимостями - жесткие сроки

🚨 Критически важно для интеграторов:

Критические уязвимости: устранение за 24 часа
Высокие уязвимости: устранение за 7 календарных дней
Новые уязвимости: информирование ФСТЭК в течение 5 рабочих дней

5. Аутентификация

Привилегированный доступ: обязательна строгая аутентификация (или усиленная многофакторная при технической невозможности)
Удаленный доступ: только строгая аутентификация + защита канала
Мобильные устройства: строгая аутентификация обязательна

6. Мониторинг информационной безопасности

Обязателен для всех ИС, кроме локальных и изолированных (п. 49)
Итоговый отчет за год направляется в ФСТЭК России
Допускается использование ИИ для анализа событий безопасности

7. Контроль уровня защищенности

Периодичность: не реже 1 раза в 3 года или после компьютерного инцидента

Отчет в ФСТЭК России: в течение 5 рабочих дней после завершения

8. Классификация информационных систем

Класс	УЗ / Масштаб	Интервал восстановления	Уровень нарушителя
Класс 1	УЗ1 (любой масштаб) УЗ2 (федеральный)	≤ 24 часа	Высокий
Класс 2	УЗ2 (региональный/объектовый) УЗ3 (федеральный)	≤ 7 дней	Повышенный
Класс 3	УЗ3 (региональный/объектовый)	≤ 4 недели	Базовый

I. Общие положения (пп. 1-12)

П. 1 - Область применения

Применяются для:

Государственных информационных систем
Иных информационных систем государственных органов
ИС государственных унитарных предприятий
ИС государственных учреждений

Цель: Защита информации (некриптографическими методами) от НСД, специальных воздействий.

П. 2 - Передача информации ограниченного доступа

Для интеграторов: При передаче информации ограниченного доступа из ГИС в другую ИС, принимающая система ОБЯЗАНА соответствовать требованиям защиты по ч.5 ст.16 ФЗ-149.

Состав передаваемой информации, цели защиты и уровень защищенности устанавливает оператор (обладатель информации).

П. 3 - Муниципальные ИС

Защита обеспечивается в соответствии с Требованиями № 117, если иное не установлено законодательством РФ.

П. 4 - Государственная тайна

При обработке информации, содержащей гостайну, применяются требования ФСТЭК по технической защите гостайны.

П. 5 - Персональные данные

Применяются одновременно:

Требования к защите ПДн (ПП РФ № 1119)
Требования № 117

П. 6 - КИИ

Если ИС является значимым объектом КИИ, применяются НПА по ФЗ-187 + Требования № 117.

П. 7 - Криптография

При использовании СКЗИ применяются требования ФСБ России + Требования № 117.

П. 8 - Информационно-телекоммуникационная инфраструктура

Новое требование! Функционирование ИС на базе ИТ-инфраструктуры допускается только при условии защиты самой инфраструктуры в соответствии с Требованиями № 117.

Пп. 9-11 - Цели защиты информации

Оператор обязан обеспечивать защиту:

На всех стадиях обработки и хранения
На всех этапах жизненного цикла ИС (создание, модернизация, эксплуатация, вывод из эксплуатации)

Цели защиты (п. 10):

Недопущение нарушения конфиденциальности, целостности, доступности информации
Недопущение нарушения функционирования ИС от реализации угроз

П. 11: Негативные последствия определяются на основе банка данных угроз ФСТЭК России.

П. 12 - Исключения

Требования НЕ распространяются на ИС:

Администрации Президента РФ
Аппарата Совбеза РФ
Федерального Собрания РФ
Аппарата Правительства РФ
Конституционного и Верховного судов РФ
Органов разведки и контрразведки
Систем управления вооружением

II. Организация деятельности по защите информации (пп. 13-33)

П. 14 - Организация деятельности (обязательные документы)

а) Политика защиты информации (обязательное содержание):

✓ Область действия (перечень информации, ИС, компонентов ИТ-инфраструктуры)
✓ Цели и задачи защиты
✓ Принципы защиты
✓ Перечни объектов защиты (ПО, аппаратура, ИС, сети)
✓ Категории лиц, их обязанности и полномочия
✓ Состав организационной системы управления
✓ Ответственность за нарушения

б) Определение ответственных лиц

в) Применение средств защиты информации

г) Внутренние стандарты по ЗИ (обязательное содержание):

Требования к первичной идентификации пользователей
Требования к моделям доступа
Перечень разрешенного/запрещенного ПО
Требования к типовым конфигурациям
Требования к доступу в Интернет
Требования к удаленному доступу и дистанционной работе
Ограничения и запреты для пользователей
Требования к защите конечных устройств
Требования к защите мобильных устройств
Требования к непрерывности функционирования
Требования к резервному копированию
Требования к сбору и анализу событий безопасности
Требования при подключении других ИС

д) Внутренние регламенты по ЗИ (обязательное содержание):

Порядок создания/изменения/блокирования учетных записей
Порядок работы с привилегированными учетными записями
Порядок работы с аутентификационной информацией
Порядок предоставления удаленного доступа
Порядок доступа подрядных организаций
Порядок доступа других гос. органов
Порядок предоставления доступа в Интернет
Порядок повышения знаний пользователей
Порядок управления уязвимостями
Порядок управления обновлениями
Порядок обработки информации ограниченного доступа
Порядок физической защиты ИС
Порядок разработки безопасного ПО (при самостоятельной разработке)
Порядок вывода в промышленную эксплуатацию сервисов с доступом из Интернета
Порядок мониторинга ИБ
Порядок восстановления функционирования
Порядок контроля уровня защищенности

е) Выделение ресурсов для защиты информации

Для интеграторов - важно! Все эти документы должны быть разработаны и утверждены до аттестации. Политика утверждается руководителем или ответственным лицом (п. 15). Внутренние стандарты и регламенты также утверждаются руководителем или ответственным лицом (п. 25).

П. 16 - Подрядные организации

Подрядчики должны быть ознакомлены с политикой ЗИ в части, их касающейся. Обязанность выполнения политики закрепляется в договорах.

Пп. 17-19 - Ответственные лица и подразделения

П. 17: Защиту организует руководитель или ответственное лицо
П. 18: Обязанности ответственного лица включаются в должностные обязанности
П. 19: Создается структурное подразделение или назначаются специалисты по ЗИ

П. 20 - Квалификация

Обязательное требование: Не менее 30% работников подразделения по ЗИ должны иметь:

Профессиональное образование по специальности ИБ, ИЛИ
Пройденную профессиональную переподготовку в области ИБ

Пп. 23-24 - Программные средства и специализированные организации

П. 23: Подразделение по ЗИ должно применять средства для:

Выявления угроз и обнаружения вторжений
Контроля уровня защищенности
Мониторинга ИБ
Выявления уязвимостей
Контроля настроек и конфигураций
Автоматизации и аналитической поддержки

П. 24: Могут привлекаться организации с лицензией на техническую защиту конфиденциальной информации.

Пп. 28-33 - Управление деятельностью по ЗИ

П. 28 - Управление включает:

Разработку и планирование мероприятий
Проведение мероприятий и принятие мер
Оценку состояния защиты
Совершенствование мероприятий

П. 31-32 - Показатели защищенности:

Показатель	Описание	Периодичность расчета	Отчетность в ФСТЭК
К_ЗИ	Показатель защищенности от базового уровня угроз	≥ 1 раза в 6 месяцев	В течение 5 рабочих дней
П_ЗИ	Показатель уровня зрелости (достаточность и эффективность мероприятий)	≥ 1 раза в 2 года	В течение 5 рабочих дней

⚠️ Критически важно: При несоответствии К_ЗИ и П_ЗИ нормированным значениям:
• Руководитель информируется в течение 3 календарных дней
• Разрабатывается план мероприятий по совершенствованию (п. 33)

III. Проведение мероприятий и принятие мер по защите информации (пп. 34-73)

П. 34 - Перечень обязательных мероприятий

Выявление и оценка угроз безопасности информации
Контроль конфигураций ИС
Управление уязвимостями
Управление обновлениями
Защита при обработке информации ограниченного доступа
Защита конечных устройств
Защита мобильных устройств
Защита при удаленном доступе
Защита при беспроводном доступе
Защита при привилегированном доступе
Мониторинг ИБ
Разработка безопасного ПО
Физическая защита ИС
Обеспечение непрерывности функционирования
Повышение знаний пользователей
Защита при взаимодействии с подрядными организациями
Защита от DDoS-атак
Защита при использовании ИИ
Реализация мер по защите ИС
Контроль уровня защищенности
Взаимодействие с ГосСОПКА

П. 38 - Управление уязвимостями 🚨

Жесткие сроки устранения:

Уровень опасности	Срок устранения	Действия
Критический	≤ 24 часа	Устранение или применение компенсирующих мер
Высокий	≤ 7 календарных дней	Устранение или применение компенсирующих мер
Средний/Низкий	Определяется во внутреннем регламенте	Устранение согласно регламенту

Уязвимости, отсутствующие в банке ФСТЭК: информирование ФСТЭК в течение 5 рабочих дней.

П. 39 - Управление обновлениями

Проверка подлинности и целостности обновлений
Тестирование до применения в промышленной эксплуатации
Разрешение на применение с безопасными настройками
Бесконтрольная установка обновлений НЕ ДОПУСКАЕТСЯ

Пп. 42-45 - Защита мобильных устройств

При использовании мобильных устройств для выполнения служебных обязанностей:

✓ Защита каналов передачи данных
✓ Строгая аутентификация
✓ Исключение НСД к мобильному устройству

Личные мобильные устройства: допускаются только при соответствии Требованиям и возможности контроля со стороны оператора (п. 43).

П. 46 - Удаленный доступ

Для служебных целей обязательно:

Защита каналов передачи данных
Строгая аутентификация
Использование сетей связи на территории РФ
Защита программно-аппаратных средств пользователя

Рекомендуемые средства: выделенные оператором средства, соответствующие Требованиям.

Допустимо: личные средства при использовании сертифицированных средств обеспечения безопасной дистанционной работы + антивирус + иные СЗИ.

П. 48 - Привилегированный доступ

Создание привилегированных учетных записей с минимально необходимыми правами
Привилегированные УЗ с правом создания других привилегированных УЗ должны быть персонифицированными
Аутентификация: строгая, или усиленная многофакторная при технической невозможности
Запрещено объединение ролей: системного администрирования + разработки/тестирования + администратора безопасности
Неиспользуемые привилегированные УЗ блокируются и удаляются
Встроенные привилегированные УЗ отключаются или переименовываются
Все действия подлежат регистрации

П. 49 - Мониторинг информационной безопасности

Обязателен для всех ИС, кроме локальных и изолированных

Сбор данных о событиях безопасности
Обработка и анализ событий
Выявление признаков реализации угроз
Выявление нарушений внутренних стандартов
Мониторинг по ГОСТ Р 59547-2021 (разделы 4 и 5)
Допускается использование доверенных технологий ИИ для анализа

Отчетность: Итоговый отчет за год направляется в ФСТЭК России.

П. 50 - Разработка безопасного ПО

При самостоятельной разработке ПО реализуются меры по ГОСТ Р 56939-2024 (разделы 4 и 5).

При привлечении подрядчиков требования по ГОСТ Р 56939-2024 могут включаться в техническое задание.

Пп. 52-55 - Непрерывность функционирования

Интервалы времени восстановления значимых функций:

Класс защищенности	Максимальный интервал восстановления
Класс 1	≤ 24 часа
Класс 2	≤ 7 календарных дней
Класс 3	≤ 4 недели

Обязательно (п. 55):

Резервные копии ПО, конфигураций и информации
Хранение на разных типах носителей в разных местах
Периодическое тестирование на работоспособность
Проверки возможности восстановления ≥ 1 раза в 2 года (в т.ч. тренировки)

Пп. 56-57 - Повышение знаний пользователей

Доведение информационных материалов (памятки, баннеры, буклеты)
Проведение лекций, семинаров, обучающих игр
Имитационные рассылки для оценки устойчивости к социальной инженерии
Тренировки по отработке мероприятий ЗИ

Периодичность оценки знаний: ≥ 1 раза в 3 года или после компьютерного инцидента.

Пп. 60-61 - Защита при использовании ИИ 🤖

Новое требование!

Обеспечивается защита от воздействия на:

Наборы данных
Модели ИИ и их параметры
Процессы и сервисы по обработке данных

Запрещено: передача информации ограниченного доступа разработчику модели ИИ (в т.ч. для улучшения модели).

При взаимодействии с сервисами на основе ИИ (п. 61):

Строго заданные шаблоны: контроль соответствия запросов и ответов шаблонам
Свободная форма: контроль тематик запросов и форматов ответов
Разработка критериев выявления недостоверных ответов
Реагирование на недостоверные ответы
Исключение нерегламентированного влияния ИИ на параметры модели и функционирование ИС
В состав ИС включаются только доверенные технологии ИИ

Пп. 62-64 - Базовые меры защиты

П. 63 - Обязательные базовые меры:

Идентификация и аутентификация
Управление доступом
Регистрация событий безопасности
виртуализации и облачных вычислений облачные вычисления - информационно-технологическая модель обеспечения повсеместного и удобного доступа с использованием сети "Интернет" к общему набору конфигурируемых вычислительных ресурсов ("облаку"), устройствам хранения данных, приложениям и сервисам, которые могут быть оперативно предоставлены и освобождены от нагрузки с минимальными эксплуатационными затратами или практически без участия провайдера ☁️
Защита контейнерных сред и оркестрации3.10 оркестрация (orchestration): Метод организации управления сервисами, в котором специализированный сервис координирует и управляет другими элементами, входящими в состав сервиса. Примечание — Элемент, который управляет оркестрацией, не является частью самой оркестрации (экземпляром структуры). 🐳
Защита сервисов электронной почты
Защита веб-технологий
Защита API 🔗
Защита конечных устройств
Защита мобильных устройств
Защита технологий интернета вещей (IoT) 📱
Защита точек беспроводного доступа
Антивирусная защита
Обнаружение и предотвращение вторжений на сетевом уровне
Сегментация и межсетевое экранирование
Защита от DDoS-атак
Защита каналов передачи данных и сетевого взаимодействия

П. 64 - Защита от нарушителей:

Класс 3: защита от нарушителей с базовым уровнем возможностей
Класс 2: защита от нарушителей с повышенным уровнем возможностей
Класс 1: защита от нарушителей с высоким уровнем возможностей

Пп. 66-67 - Контроль уровня защищенности

Методы контроля (один или совокупность):

Автоматизированное/ручное выявление уязвимостей с экспертной оценкой
Выявление несанкционированных подключений устройств
Тестирование путем моделирования реализации угроз
Тренировки по отработке действий по обеспечению защищенности

Периодичность: ≥ 1 раза в 3 года или после компьютерного инцидента.

Отчет: в ФСТЭК России в течение 5 рабочих дней после завершения.

Пп. 71-72 - Средства защиты информации

Обязательные требования к СЗИ:

✓ Сертифицированные СЗИ
✓ Эксплуатация согласно инструкциям разработчиков
✓ Поддержка безопасности на территории РФ
✓ Выпуск обновлений для устранения уязвимостей
✓ Соблюдение запретов по Указу № 250 от 01.05.2022

Класс защиты СЗИ по уровню доверия (п. 72):

Класс защищенности ИС	Минимальный класс защиты и уровень доверия СЗИ
Класс 1	≥ 4 класс
Класс 2	≥ 5 класс
Класс 3	6 класс

Аттестация информационных систем

П. 65 - Обязательная аттестация

Государственные ИС: До начала обработки и/или хранения информации ОБЯЗАТЕЛЬНА аттестация на соответствие Требованиям № 117.

Иные ИС государственных органов, ГУП, государственных учреждений: Решение о необходимости аттестации принимает руководитель оператора или ответственное лицо.

Нормативная база аттестации

Аттестация проводится в соответствии с:

Приказ ФСТЭК России № 77 от 29.04.2021 - "Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну"

Основные изменения в процедуре аттестации

1. Аттестационные испытания по Приказу № 117

Цель аттестации: Подтверждение достаточности принятых мер защиты ИС и содержащейся в них информации.

Этапы аттестационных испытаний (по Приказу № 77):

Этап 1: Подготовка к аттестационным испытаниям

Оформление приказа о проведении аттестационных испытаний
Определение состава аттестационной комиссии
Формирование перечня необходимых документов
Подготовка организационно-распорядительных документов по ЗИ

Этап 2: Проведение предварительных обследований

Анализ организационно-распорядительных документов
Проверка политики ЗИ и внутренних стандартов/регламентов
Проверка соответствия структуры ИС проектной документации
Анализ модели угроз (если разработана)
Проверка технического задания на создание подсистемы защиты

Этап 3: Анализ уязвимостей и проведение испытаний

Инструментальный анализ: сканирование уязвимостей, анализ конфигураций
Тестирование на проникновение: моделирование атак в соответствии с актуальными угрозами
Проверка базовых мер защиты: все 17 групп из п. 63
Проверка адаптации мер: соответствие архитектуре и особенностям функционирования ИС
Верификация: проверка дополнения и усиления мер с учетом актуальных угроз

Новое в № 117 (п. 62): Меры защиты проходят три стадии:

Реализация базовых мер (п. 63) соответствующего класса защищенности
Адаптация базовых мер применительно к архитектуре ИС и применяемым ИТ
Верификация адаптированных мер с учетом актуальных угроз + дополнение/усиление

Этап 4: Оценка соответствия показателей

Расчет показателя защищенности К_ЗИ
Проверка соответствия нормированным значениям по методическим документам ФСТЭК
При несоответствии - выработка рекомендаций по доработке

Этап 5: Оформление результатов

Составление заключения о результатах аттестационных испытаний
Оформление Аттестата соответствия (при положительном заключении)
Формирование аттестационного дела

2. Что проверяется при аттестации по № 117

Документы:

✓ Политика защиты информации (п. 14а)
✓ Внутренние стандарты по ЗИ (п. 14г)
✓ Внутренние регламенты по ЗИ (п. 14д)
✓ Акт классификации с присвоением класса защищенности
✓ Модель угроз безопасности информации (если разрабатывалась)
✓ Техническое задание на создание подсистемы защиты
✓ Приказы о назначении ответственных лиц
✓ Положение о подразделении по ЗИ

Организационные меры:

✓ Наличие структурного подразделения (специалистов) по ЗИ (п. 19)
✓ Квалификация сотрудников: ≥30% с образованием/переподготовкой в области ИБ (п. 20)
✓ Применение программных средств для контроля и мониторинга (п. 23)
✓ Повышение знаний пользователей (пп. 56-57)

Технические меры (п. 63 - все 17 групп):

Идентификация и аутентификация
Управление доступом
Регистрация событий безопасности
Защита виртуализации и облачных вычислений
Защита контейнерных сред
Защита электронной почты
Защита веб-технологий
Защита API
Защита конечных устройств
Защита мобильных устройств
Защита IoT
Защита беспроводного доступа
Антивирусная защита
Обнаружение и предотвращение вторжений
Сегментация и МЭ
Защита от DDoS
Защита каналов передачи данных

Процессы:

✓ Управление уязвимостями с соблюдением сроков (п. 38)
✓ Управление обновлениями (п. 39)
✓ Мониторинг информационной безопасности (п. 49)
✓ Контроль конфигураций (п. 37)
✓ Управление учетными записями и привилегированным доступом (п. 48)
✓ Резервное копирование и обеспечение непрерывности (пп. 52-55)
✓ Контроль уровня защищенности (пп. 66-67)

Средства защиты информации:

✓ Сертификация СЗИ соответствующего класса (п. 72)
✓ Поддержка на территории РФ (п. 71)
✓ Правильность настройки и конфигурирования СЗИ

3. Особенности проведения аттестации

Для интеграторов - ключевые моменты:

Акт классификации - основа для определения объема мер защиты
Актуальные угрозы - определяются из банка данных угроз ФСТЭК, проверяется верификация мер против них
К_ЗИ - обязательный показатель, рассчитывается по методическим документам ФСТЭК
Компенсирующие меры (п. 69) - при невозможности реализации отдельных мер требуется обоснование эффективности
Тестирование на проникновение - обязательная часть испытаний для проверки защиты от нарушителей соответствующего уровня (п. 64)

4. Срок действия аттестата

Аттестат действует до:

Изменения класса защищенности ИС
Существенного изменения архитектуры или состава ИС
Изменения актуальных угроз, требующих изменения мер защиты
Выявления недостатков при контроле уровня защищенности

5. Периодические мероприятия после аттестации

Мероприятие	Периодичность	Отчетность в ФСТЭК
Расчет К_ЗИ	≥ 1 раза в 6 месяцев	В течение 5 рабочих дней
Расчет П_ЗИ	≥ 1 раза в 2 года	В течение 5 рабочих дней
Контроль уровня защищенности	≥ 1 раза в 3 года или после инцидента	В течение 5 рабочих дней
Отчет по мониторингу ИБ	Итоговый за год	После представления руководителю
Проверка восстановления	≥ 1 раза в 2 года	—
Оценка знаний пользователей	≥ 1 раза в 3 года или после инцидента	—

Приложение: Классы защищенности информационных систем

Методика определения класса защищенности

Шаг 1: Определение уровня значимости информации (УЗ)

Степени возможного ущерба:

Степень ущерба	Описание последствий
Высокая	Существенные негативные последствия в социальной, политической, международной, экономической, финансовой областях И/ИЛИ ИС и/или оператор не могут выполнять возложенные функции
Средняя	Умеренные негативные последствия И/ИЛИ Не могут выполнять хотя бы одну из возложенных функций
Низкая	Незначительные негативные последствия И/ИЛИ Могут выполнять функции с недостаточной эффективностью или с привлечением дополнительных сил

Степень ущерба оценивается для трех свойств информации:

Конфиденциальность (неправомерный доступ, копирование, распространение)
Целостность (неправомерное уничтожение или модификация)
Доступность (неправомерное блокирование)

Определение УЗ:

УЗ 1 (высокий): хотя бы для одного свойства определена ВЫСОКАЯ степень ущерба
УЗ 2 (средний): хотя бы для одного свойства определена СРЕДНЯЯ степень ущерба, и НЕТ высокой
УЗ 3 (низкий): для всех свойств определены НИЗКИЕ степени ущерба

⚠️ Особое правило (п. 4): Для информации с грифом "для служебного пользования" (ДСП) ВСЕГДА устанавливается УЗ 1.

При обработке нескольких видов информации (п. 5):

УЗ определяется отдельно для каждого вида. Итоговый УЗ устанавливается по НАИВЫСШИМ значениям степени ущерба.

Шаг 2: Определение масштаба ИС

Масштаб	Определение
Федеральный	ИС предназначена для решения задач на всей территории РФ или в пределах двух и более субъектов РФ
Региональный	ИС предназначена для решения задач в пределах одного субъекта РФ
Объектовый	ИС предназначена для решения задач в пределах объекта (объектов) одного государственного органа, муниципального образования, организации

Шаг 3: Определение класса защищенности

УЗ	Федеральный масштаб	Региональный масштаб	Объектовый масштаб
УЗ 1	Класс 1	Класс 1	Класс 1
УЗ 2	Класс 1	Класс 2	Класс 2
УЗ 3	Класс 2	Класс 3	Класс 3

Примеры определения класса

Пример 1: ГИС федерального органа

Обрабатывает информацию с грифом ДСП → УЗ 1 (п. 4)
Используется на территории всей РФ → Федеральный масштаб
Результат: Класс 1

Пример 2: Региональная ИС учета

Нарушение целостности → средняя степень ущерба
Нарушение доступности → низкая степень ущерба
Конфиденциальность не критична → низкая степень ущерба
Есть средняя степень, нет высокой → УЗ 2
Региональный масштаб
Результат: Класс 2

Пример 3: Объектовая ИС отдела

Все свойства - низкая степень ущерба → УЗ 3
Объектовый масштаб
Результат: Класс 3

Специальные случаи

ИС на базе ИТ-инфраструктуры (п. 8)

Классы защищенности ИС, функционирующих на базе ИТ-инфраструктуры, НЕ ДОЛЖНЫ быть выше класса защищенности самой инфраструктуры.

Пример: Если ИТ-инфраструктура имеет Класс 2, то все ИС на ней могут иметь только Класс 2 или Класс 3.

Сегменты ИС с разными классами (п. 9)

Допускается присвоение разных классов защищенности отдельным сегментам одной ИС.

Важно: Меры защиты каждого сегмента принимаются в соответствии с его классом.

Оформление результатов классификации (п. 10)

Акт классификации утверждается оператором и содержит:

Наименование классифицируемой ИС (и сегментов при их наличии)
УЗ (или УЗ по сегментам)
Масштаб ИС (и сегментов при их наличии)
Присвоенный класс защищенности

Допускается: единый акт классификации на несколько сегментов ИС одного оператора.

Пересмотр класса защищенности (п. 11)

Класс подлежит пересмотру при:

Изменении масштаба ИС (сегментов)
Изменении значимости содержащейся информации

Соответствие класса защищенности и требований

Параметр	Класс 1	Класс 2	Класс 3
Уровень нарушителя	Высокий	Повышенный	Базовый
Минимальный класс СЗИ	≥ 4 класс	≥ 5 класс	6 класс
Интервал восстановления	≤ 24 часа	≤ 7 дней	≤ 4 недели
Все базовые меры (п. 63)	✓	✓	✓
Адаптация + верификация	✓	✓	✓

Детальное сравнение Приказа № 17 и Приказа № 117

1. Область применения

Аспект	Приказ № 17 (2013)	Приказ № 117 (2025)
Какие системы	Только ГИС	ГИС + иные ИС гос. органов + ИС ГУП + ИС государственных учреждений
Какая информация	Информация, не составляющая гостайну	Информация ограниченного доступа (любой уровень, кроме гостайны)
ИТ-инфраструктура	Не упоминалась	Обязательна защита ИТ-инфраструктуры, на базе которой функционируют ИС

2. Новые технологии в № 117

Технология	В № 17	В № 117
Искуственный интеллект Искуственный интелект комплекс технологических решений, позволяющий имитировать когнитивные функции человека (включая поиск решений без заранее заданного алгоритма) и получать при выполнении конкретных задач результаты, сопоставимые, с результатами интеллектуальной деятельности человека или превосходящие их. Комплекс технологических решений включает в себя информационно-коммуникационную инфраструктуру, программное обеспечение (в том числе в котором используются методы машинного обучения), процессы и сервисы по обработке данных и поиску решений	Не упоминался	Пп. 60-61: требования к защите при использовании ИИ, контроль запросов/ответов, запрет передачи информации огр. доступа
Облачные технологии	Не упоминались	П. 63г: защита виртуализации и облачных вычислений
Контейнеризация	Не упоминалась	П. 63д: защита контейнерных сред и оркестрации
API	Не упоминались	П. 63з: защита программных интерфейсов взаимодействия приложений
IoT	Не упоминался	П. 63л: защита технологий интернета вещей

3. Организационные требования

Требование	Приказ № 17	Приказ № 117
Политика ЗИ	Общие требования	Детализированное содержание (п. 14а): область действия, цели, задачи, принципы, объекты, категории лиц, оргсистема, ответственность
Внутренние стандарты	Упоминались	Конкретный перечень из 13 обязательных разделов (п. 14г)
Внутренние регламенты	Упоминались	Конкретный перечень из 17 обязательных порядков (п. 14д)
Квалификация	Не регламентировалась	≥30% сотрудников подразделения ЗИ с образованием/переподготовкой в области ИБ (п. 20)

4. Показатели и оценка

Показатель	Приказ № 17	Приказ № 117
К_ЗИ (защищенность)	Отсутствовал	Обязательный, расчет ≥ 1 раза в 6 месяцев, отчет в ФСТЭК в течение 5 рабочих дней (пп. 31-32)
П_ЗИ (зрелость)	Отсутствовал	Обязательный, расчет ≥ 1 раза в 2 года, отчет в ФСТЭК в течение 5 рабочих дней (пп. 31-32)
Нормированные значения	—	Устанавливаются методическими документами ФСТЭК (п. 31)
Действия при несоответствии	—	Информирование руководителя за 3 дня, разработка плана совершенствования (пп. 32-33)

5. Управление уязвимостями

Параметр	Приказ № 17	Приказ № 117
Критические уязвимости	Сроки не регламентированы	Устранение за 24 часа (п. 38)
Высокие уязвимости	Сроки не регламентированы	Устранение за 7 календарных дней (п. 38)
Новые уязвимости	Не регламентировано	Информирование ФСТЭК в течение 5 рабочих дней (п. 38)

6. Аутентификация

Тип доступа	Приказ № 17	Приказ № 117
Привилегированный доступ	Усиленная аутентификация	Строгая аутентификация (или усиленная многофакторная при технической невозможности) (п. 48)
Удаленный доступ	Усиленная аутентификация	Строгая аутентификация + защита канала + сети на территории РФ (п. 46)
Мобильные устройства	Общие требования	Строгая аутентификация обязательна (п. 42)

7. Мониторинг и контроль

Мероприятие	Приказ № 17	Приказ № 117
Мониторинг ИБ	Рекомендован	Обязателен для всех ИС кроме локальных и изолированных (п. 49)
Стандарт мониторинга	—	ГОСТ Р 59547-2021 разделы 4 и 5 (п. 49)
Отчет по мониторингу	Не требовался	Итоговый годовой отчет в ФСТЭК (п. 49)
Контроль уровня защищенности	Не регламентирован четко	≥ 1 раза в 3 года или после инцидента, отчет в ФСТЭК за 5 рабочих дней (пп. 66-67)

8. Непрерывность функционирования

Параметр	Приказ № 17	Приказ № 117
Интервалы восстановления	Не регламентированы	К1: ≤24ч, К2: ≤7 дней, К3: ≤4 недели (п. 53)
Проверки восстановления	Не регламентированы	≥ 1 раза в 2 года, включая тренировки (п. 55)
Резервное копирование	Общие требования	Разные типы носителей, разные места хранения, периодическое тестирование (п. 55)

9. Средства защиты информации

Требование	Приказ № 17	Приказ № 117
Сертификация	Обязательна	Обязательна + соответствие классу (К1:≥4кл, К2:≥5кл, К3:6кл) (пп. 71-72)
Поддержка	Не регламентирована	Обязательна на территории РФ, включая обновления для устранения уязвимостей (п. 71)
Запреты	—	Соблюдение запретов по Указу № 250 от 01.05.2022 (п. 71)

10. Разработка безопасного ПО

Аспект	Приказ № 17	Приказ № 117
Требования	Отсутствовали	При самостоятельной разработке - по ГОСТ Р 56939-2024 разделы 4 и 5 (п. 50)
Подрядчики	Общие требования	Требования по ГОСТ могут включаться в ТЗ (п. 50)

11. Обучение пользователей

Мероприятие	Приказ № 17	Приказ № 117
Периодичность оценки	Не регламентирована	≥ 1 раза в 3 года или после инцидента (п. 57)
Имитационные рассылки	Не упоминались	Обязательны для оценки устойчивости к социальной инженерии (п. 56в)
Тренировки	Не упоминались	Практическая отработка мероприятий ЗИ (п. 56г)

12. Отчетность в ФСТЭК

Отчет	Приказ № 17	Приказ № 117
К_ЗИ	Не требовался	В течение 5 рабочих дней после расчета (п. 32)
П_ЗИ	Не требовался	В течение 5 рабочих дней после расчета (п. 32)
Контроль уровня защищенности	Не требовался	В течение 5 рабочих дней после завершения (п. 67)
Мониторинг ИБ	Не требовался	Итоговый отчет за год (п. 49)
Новые уязвимости	Не требовались	В течение 5 рабочих дней при выявлении (п. 38)

Ключевые выводы для интеграторов

Что нужно учитывать при переходе с № 17 на № 117:

Расширенная область: теперь не только ГИС, но и иные ИС государственных организаций
Новые технологии: обязательна защита ИИ, облаков, контейнеров, IoT, API
Жесткие сроки: устранение критических уязвимостей за 24 часа, высоких - за 7 дней
Показатели: регулярный расчет К_ЗИ и П_ЗИ с отчетностью в ФСТЭК
Строгая аутентификация: обязательна для привилегированного и удаленного доступа
Мониторинг: обязателен для всех ИС (кроме локальных/изолированных)
Документация: детализированные требования к политике, стандартам, регламентам
Квалификация: минимум 30% сотрудников подразделения ЗИ с профильным образованием
Отчетность: множественные отчеты в ФСТЭК с жесткими сроками
Аттестаты старые действительны: переход может быть постепенным

Полный текст Приказа ФСТЭК России № 117

МИНИСТЕРСТВО ЮСТИЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ЗАРЕГИСТРИРОВАНО
Регистрационный № 82619
от "16" июня 2025 г.

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК России)

ПРИКАЗ

« 11 » апреля 2025 г. | Москва | № 117

Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений

В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», пунктом 2 и подпунктом 9¹ пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085,

ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений.

2. Признать утратившими силу:

приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
приказ ФСТЭК России от 15 февраля 2017 г. № 27;
приказ ФСТЭК России от 28 мая 2019 г. № 106;
приказ ФСТЭК России от 27 апреля 2020 г. № 61;
пункт 1 изменений, утвержденных приказом ФСТЭК России от 28 августа 2024 г. № 159.

3. Установить, что аттестаты соответствия на государственные информационные системы и иные информационные системы, выданные до дня вступления в силу настоящего приказа, считаются действительными.

4. Настоящий приказ вступает в силу с 1 марта 2026 г.

ДИРЕКТОР ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
В.СЕЛИН

УТВЕРЖДЕНЫ
приказом ФСТЭК России
от « 11 » апреля 2025 г. № 117

Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений

Далее следует полный текст Требований из 73 пунктов и Приложения, который был подробно разобран в предыдущих вкладках данного справочника.

Основные разделы:

I. Общие положения (пп. 1-12)
II. Организация деятельности по защите информации и управление данной деятельностью (пп. 13-33)
III. Проведение мероприятий и принятие мер по защите информации (пп. 34-73)
Приложение: Требования к определению класса защищенности информационной системы

Полный официальный текст приказа содержится в прикрепленном PDF-документе.

📋 Справочник по Приказу ФСТЭК России № 117