Привет, Хабр! На связи Алёна, аналитик по информационной безопасности в Selectel. Не так давно вступил в силу новый Приказ ФСТЭК № 117.
Тогда сообщество оказалось в неожиданной ситуации. Новые требования уже действуют, но конкретные меры еще не описаны. И вот, наконец, 12 апреля ФСТЭК выпустил методические рекомендации.
Месяц дискутировали с коллегами, разбирались, что конкретно поменялось и как работать теперь. Делимся первым опытом применения изменившихся норм на практике. Разбираемся: кому предназначен новый документ и как именно подготовиться к аттестации.
Содержание
→ Главное о новых требованиях ФСТЭК
→ Методические рекомендации и основные подходы
→ Организационные требования
→ Технические требования
→ Выводы
Главное о новых требованиях ФСТЭК
1 марта 2026 года вступил в силу Приказ ФСТЭК России № 117 от 11.04.2025. Документ утвердил новые «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее — Приказ ФСТЭК № 117 и Требования соответственно).
Он пришел на смену предыдущему Приказу ФСТЭК № 17 от 11.02.2013 — «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее — Приказ ФСТЭК № 17).
Основное отличие нового Приказа — расширенная «зона покрытия». Раньше под действие документа подпадали только государственные и взаимодействующие с ними информационные системы (далее ИС). Теперь соблюдать установленные нормы необходимо и иным системам государственных органов и учреждений.
Также новые Требования учитывают актуальные угрозы и современные технологии, на базе которых и строятся ИС. Например, в Приказ ФСТЭК № 117 включены меры по защите контейнеризации, веб‑технологий и интернета вещей, а также мероприятия по безопасности технологий искусственного интеллекта, удаленного доступа и разработки программного обеспечения. Да, и предыдущий Приказ ФСТЭК № 17 тоже подразумевал подобные процессы, однако в нем они не были четко регламентированы.
После 1 марта сообщество по информационной безопасности оказалось в неожиданной ситуации: новые Требования в силу вступили, однако конкретные меры и мероприятия для реализации в них не описаны. Если Приказ ФСТЭК № 17 содержал базовый набор мер защиты (Приложение 2), то в Приказе ФСТЭК № 117 мы видим только общие заголовки и перечни без конкретики. Отрасль находилась в ожидании официального утверждения методического документа, регламентирующего этот базовый состав.
Методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» был опубликован 12 апреля 2026 года. Финальная редакция существенно отличается от изначального проекта. В процессе утверждения некоторые меры были исключены из обязательных.
Спустя месяц изучения документа, обсуждений с коллегами и первого опыта применения норм на практике, пришло время поделиться своим видением: как именно следует подготовиться к аттестации по новым Требованиям.
Важно: ранее выданные аттестаты соответствия Приказу ФСТЭК № 17 продолжают действовать. Однако информационные системы, которым эта процедура требуется прямо сейчас, проверяются уже по правилам Приказа ФСТЭК № 117 и новым методическим рекомендациям.
Экстренно переаттестовывать действующие государственные информационные системы (далее ГИС) владельцы не обязаны, но регулятор подчеркнул необходимость спланировать переход на обновленные стандарты. Наша статья будет полезна не только организациям, проходящим аттестацию в данный момент или планирующим ее на ближайшее время, но и всем специалистам, желающим оценить готовность своей инфраструктуры к актуальным Требованиям.
Security Center
Рассказываем о лучших практиках и средствах ИБ, требованиях и изменениях в законодательстве.
Методические рекомендации и основные подходы
Еще раз: новый методический документ пришел на смену предыдущему — о мерах защиты информации в государственных информационных системах от 11 февраля 2014 года.
Приказ ФСТЭК № 17 не закреплял обязательное применение методических рекомендаций — они использовались при аттестации именно ГИС. Остальные же информационные системы могли получить аттестат соответствия исключительно на основании базового набора мер — все зависело от лицензиата, проводившего работы. Теперь такая непоследовательность полностью исключена.
Интересный факт: на «ТБ‑форуме 2026» представители ФСТЭК сообщили о планах распространить действие новых методических рекомендаций на ИСПДн и объекты КИИ. Реализовать это планируется за счет внесения изменений соответственно в 21‑й и 239‑й приказы ведомства.
Новый методический документ развивает подход к информационной безопасности. Претерпела изменения и его структура.
Расширилась зона действия — теперь требования распространяются не только на государственные органы и их ГИС. В периметр включены: иные информационные системы госорганов и других государственных учреждений (включая, ИСПДн и объекты КИИ), ИС которые взаимодействуют с ГИС, а также центры обработки данных, где они размещаются.
Выделен отдельный раздел, регламентирующий мероприятия по защите информации. Подчеркивается, что информационная безопасность должна быть комплексной, а не останавливаться на установке СЗИ. Для каждого процесса сформулированы цель, а также требования к реализации, документированию и усилению.
Важно учесть: при реализации мероприятий описанные усиления не обязательны для выполнения, они не привязаны к классу информационной системы. Их можно рассматривать как точки роста для дальнейшего совершенствования системы защиты.
Знакомый для нас перечень мер по защите информации вынесен в отдельный раздел, а их описание (в отличие от Методики 2014 года) стало более детализированным. Структура описания каждой меры аналогична предыдущему разделу. Здесь стоит обратить внимание на то, что усиления обязательны для реализации в соответствии с классом информационной системы.
В статье мы не будем проводить подробное сравнение мер из методик между собой. Полезнее будет привести перечень того, что необходимо реализовать для успешного прохождения аттестации.
Для наглядности в качестве объекта рассмотрим наиболее распространенный тип информационной системы — класса защищенности К3. Ее инфраструктура включает несколько физических и (или) виртуальных серверов, веб‑интерфейс, а также рабочие места администраторов и пользователей.
Для вашего удобства мы подготовили простой и понятный PDF — в нем самое главное.
Организационные требования
Перечислим основные документы, которые необходимо разработать для аттестуемой ИС.
Стоит учесть, что приведенный список не является исчерпывающим, и итоговый комплект документации может выглядеть иначе. Приведенный перечень — ориентировочный, но достаточный для большинства типовых ИС. Также не забываем, что защита информационной системы не заканчивается на аттестации — процессы, описанные в документах должны действительно работать.
Нормативная база допускает адаптацию требований Методического документа под специфику конкретного объекта и принятых в компании подходов: возможно как разделение отдельных пунктов требований, так и консолидация нескольких регламентов в единые корпоративные стандарты безопасности.
На основании анализа всех требований мы сформировали список документов с понятными названиями. Их наполнение должно соответствовать процессу обработки информации, архитектуре ИС и пунктам Методического документа.
Политика информационной безопасности.
Регламент управления уязвимостями.
Регламент управления обновлениями.
Регламент управления конфигурациями.
Регламент мониторинга информационной безопасности.
Регламент обнаружения и предотвращения вторжений.
Регламент выявления и реагирования на инциденты ИБ.
Регламент предоставления доступа в Интернет.
Регламент защиты мобильных устройств (если они используются).
Регламент разработки безопасного ПО (если в рамках ИС ведется разработка).
Регламент обеспечения физической защиты;
Регламент обеспечения непрерывности функционирования;
Регламент повышения уровня знаний и информированности пользователей по вопросам информационной безопасности;
Регламент контроля уровня защищенности информации;
Порядок управления учетными записями пользователей и доступами (включая матрицу доступа);
Порядок защиты информации ограниченного доступа;
Порядок защиты конечных устройств;
Порядок предоставления удаленного доступа;
Порядок использования средств криптографической защиты информации;
Порядок предоставления доступа подрядным организациям;
Порядок резервного копирования информации;
Порядок антивирусной защиты;
Перечень разрешенного и (или) запрещенного ПО;
Инструкции администратора информационной безопасности, администратора и пользователя.
Технические требования
Для защиты аттестуемой информационной системы нужно не только подготовить регламенты, но также развернуть и настроить правильные технические инструменты. Ниже мы собрали необходимый минимум средств защиты информации (СЗИ) и показали, какими готовыми услугами от Selectel можно закрыть эти задачи.
Тип СЗИ | Чем может помочь Selectel | |
1. | Операционная система, сертифицированная по требованиям безопасности. Применение стандартной ОС с наложенными средствами защиты от несанкционированного доступа (СЗИ от НСД) формально допускается, но не рекомендуется. | ОС Astra Linux Special Edition, РЕД ОС или Secret Net LSP (как дополнение к другим дистрибутивам) Secret Net Studio — Windows |
2. | Средства двухфакторной аутентификации. Их внедрение обязательно как минимум для привилегированных пользователей. В качестве решения можно использовать как отдельные MFA‑продукты, так и комплексные системы управления доступом класса IDM или PAM. | |
3. | Средства антивирусной защиты. Помимо базовых хостовых решений, необходимо предусмотреть проверку электронной почты (если она входит в периметр ИС) и фильтрацию сетевого трафика. | |
4. | Многофункциональный межсетевой экран (NGFW). Инструмент необходим для: сегментирования сети, антивирусной проверки трафика, выявления вторжений, обеспечения безопасности вплоть до прикладного уровня (L7) модели OSI и защиты от DDoS‑атак. В качестве альтернативы допускается развернуть комплекс отдельных СЗИ: межсетевой экран (МЭ), потоковый антивирус (АВЗ), систему обнаружения вторжений (СОВ) и WAF. При этом задачу по противодействию DDoS‑угрозам можно делегировать провайдеру. | UserGate (c модулем СОВ), дополнительно SolidWall и защита от DDoS |
5. | Средство выявления и анализа уязвимостей. | |
6. | Средства криптографической защиты. Их применение необходимо в том случае, если взаимодействие с ИС осуществляется по открытым каналам связи. | |
7. | Средство резервного копирования информации. | |
8. | Средства защиты среды виртуализации. Их развертывание необходимо в том случае, если инфраструктура информационной системы построена на базе виртуальных машин. | |
9. | Сертифицированная СУБД или специализированные средства ее защиты. Использовать такие решения необходимо в том случае, если для обработки информации применяются системы управления базами данных. |
Подробнее об информационной безопасности как услуге можно узнать на странице продуктов Selectel.
Выводы
Главная особенность аттестации по Приказу ФСТЭК № 117 — глубокая проработка организационных документов и процессов безопасности, которым теперь уделяется приоритетное внимание.
Кроме того, необходимо внедрить СЗИ для технологий, которые ранее не регламентировались так строго. В зависимости от архитектуры информационной системы, в периметр защиты могут войти контейнеризация, веб‑интерфейс, разработка ПО, удаленный доступ, сессии привилегированных пользователей и другие элементы.
В новых Требованиях нет невыполнимых условий. Да, изменился сам подход, однако он полностью соответствует времени и общепринятым практикам. Здесь нет избыточной теории — только реальные угрозы, с которыми ИТ‑сообщество сталкивается ежедневно.
