Приказ ФСТЭК №117 от 11.04.2025 официально заменяет устаревший приказ №17 от 2013 года. Это не просто обновление, а полная смена парадигмы защиты государственных информационных систем (ГИС). 🎯 Вместо статичных классов защищённости (К1, К2, К3) вводится гибкий числовой показатель — Коэффициент Защищённости Информации (КЗИ). Его значение варьируется от 0 до 1, где 1 — это минимальный базовый уровень (зелёная зона), а ≤ 0,75 — «красная зона» критического риска, требующая срочных мер. ⚠️

🧮 Как считаем? КЗИ складывается из оценки 16 критериев в 4 группах. Обратите внимание на веса — это приоритеты регулятора: 1️⃣ Организация и управление (вес 0.10) — назначение ответственных, работа с подрядчиками. 2️⃣ Защита пользователей (вес 0.25) — сложные пароли (от 12 символов!), MFA для привилегированных, чистка учётных записей. 3️⃣ Защита информационных систем (макс. вес 0.35) — тут и межсетевые экраны на периметре, и управление уязвимостями (критические на периметре — не дольше 30 дней!), и антивирус с централизованным управлением, и защита от DDoS. 4️⃣ Мониторинг и реагирование (вес 0.30) — обязательный централизованный сбор событий и, что важно, непрерывное взаимодействие с ГосСОПКА. 🛡️

🔑 Ключевые новшества, которые нельзя игнорировать:

· Защита удалёнки: только с криптографией (сертификаты), строго с территории РФ и с использованием VPN + антивируса. · Веб-приложения и API: теперь под прицелом требований. · Подрядчики (аутсорсинг): разработчики, операторы ЦОД, ИТ-сервисы — все они обязаны соблюдать требования №117 при работе с вашими ГИС. Ответственность с вас не снимается. 🤝 · Регулярность: оценивать КЗИ нужно раз в полгода, а показатель зрелости (ПЗИ) — раз в 2 года. Это непрерывный процесс, а не разовая «галочка».

👥 На кого распространяется? Операторы всех ГИС (федеральных, региональных, муниципальных — п.3 приказа!), государственные учреждения, ГУПы, МУПы, а также операторы ЦОД и подрядчики, работающие с госсектором. Коммерческие фирмы (банки, страховые), получающие данные из ГИС, тоже должны сверять с ним свои интеграции.

Что делать прямо сейчас? Не ждать 2026 года. Провести инвентаризацию, сделать GAP-анализ (сравнить текущее состояние с КЗИ=1) и начать внедрять недостающие меры. Если ваш КЗИ окажется ниже 1, придётся слать во ФСТЭК план мероприятий по его повышению.

Подробный разбор критериев и логику расчёта можно найти в полном тексте приказа или в руководствах экспертов (например, на сайте КРЕДО-С).

Коллеги из госсектора и смежных отраслей, вы уже начали подготовку? Какие пункты вызывают больше всего вопросов? 👇