Что кардинально меняется в защите ГИС с 2026 года

С 1 марта 2026 года вступает в силу новый базовый документ по ИБ для госсектора — Приказ ФСТЭК №117. Он не просто обновляет, а полностью заменяет привычный Приказ №17 от 2013 года. Меняется сама философия подхода. Разбираем ключевые отличия, которые затронут госорганы, унитарные предприятия, учреждения и их подрядчиков.

1. Кого касается? — Сфера применения резко расширена

· Было (№17): Только Государственные информационные системы (ГИС). · Стало (№117): Практически вся ИТ-инфраструктура госсектора: · Все ИС государственных органов, УП, казенных, бюджетных и автономных учреждений. · Муниципальные информационные системы (МИС). · Интегрированные с ГИС системы (должны соответствовать классу защиты ГИС). · Подрядчики, разрабатывающие ПО или оказывающие ИТ-услуги для таких систем.

Вывод: Теперь требования едины для всей цепочки создания и эксплуатации ИС в госсекторе.

2. Как защищать? — От чек-листов к процессному и риск-ориентированному подходу

· Было: Фактически, набор обязательных к применению мер защиты (чек-лист). · Стало: Замкнутый цикл (process-driven): планирование → адаптация под архитектуру и угрозы → верификация и усиление. Акцент на защите систем, сбой которых несет критические последствия (угроза жизнедеятельности, нарушение прав граждан и т.д.). Это управление рисками, а не простое соответствие.

3. Что документировать? — Четкая структура вместо разночтений

Введена строгая иерархия документов:

1. Политика ИБ (общие подходы и цели). 2. Стандарты ИБ (конкретные требования). 3. Регламенты ИБ (порядок действий).

Это должно устранить “творчество” и разночтения при оформлении.

4. Какие технические меры? — Учтены современные реалии

· Было: 13 групп мер. · Стало: 17 групп мер. Добавлена защита для: · Веб-технологий, мобильных устройств, IoT, облачных вычислений. · Управление обновлениями (с проверкой подлинности и тестированием). · Привилегированный доступ (PAM) с обязательной строгой/МФА. · Мониторинг ИБ по ГОСТ Р 59547-2021. · Системы ИИ (требуются ограничения по тематике, шаблонам, проверке ответов).

5. Новые требования к подрядчикам — Ответственность разделяется

Подрядчики должны:

· Предоставлять аттестат по модели угроз заказчика. · Соответствовать классу защиты ГИС, для которой работают. · Официально знакомиться с политикой ИБ оператора и подтверждать это.

6. Как доказывать соответствие? — Новая система оценки

Помимо аттестации, вводятся регулярные внутренние оценки:

· КЗИ (показатель защищенности) — оценка от базовых угроз. Рассчитывать каждые полгода. · ПЗИ (показатель уровня зрелости) — оценка эффективности мер защиты. Рассчитывать раз в два года (методика ожидается). · Результаты нужно документировать и ежегодно представлять контролирующим органам.

🔄 Переходный период и итоги

· Действующие аттестаты по №17, выданные до 01.03.2026, остаются в силе. · Период до марта 2026 — время на адаптацию, обучение и внедрение.

Итог: Приказ №117 — это смена парадигмы: от формального соответствия к управлению рисками, от защиты только ГИС к защите всей государственной ИТ-инфраструктуры, от разовых проверок к непрерывному процессу с регулярной оценкой зрелости.

#ФСТЭК #ФСТЭК117 #ИБ #ГИС #информационнаябезопасность #госсектор #комплаенс #риски #приказ117