Новый приказ ФСТЭК № 117: что изменилось и как подготовиться

Приказ ФСТЭК № 117 вступил в силу с 1 марта 2026 года и изменил требования к защите информации в государственных и связанных с ними информационных системах. Разбираем, кого касается новый приказ, что изменилось и что нужно теперь делать организациям.

22.04.2026

// Российский софт

С 1 марта 2026 года действуют новые требования к защите информации, утвержденные Приказом ФСТЭК России от 11 апреля 2025 года № 117. Документ зарегистрирован в Минюсте 16 июня 2025 года и заменил прежний приказ ФСТЭК № 17 вместе с последующими изменениями.

Для организаций это не просто обновление нормативной базы. Новый приказ усиливает требования не только к набору мер защиты, но и к тому, как выстроены процессы: управление уязвимостями, контроль состояния защищенности, работа с доступами, мониторинг событий и готовность к инцидентам.

Кого касается приказ № 117

Новые требования распространяются на государственные информационные системы, а также на иные информационные системы государственных органов, муниципальные государственные системы, информационные системы государственных унитарных предприятий и государственных учреждений. По сравнению с прежним регулированием область применения стала шире.

К исключениям относятся:

ИС Администрации Президента РФ
ИС аппарата Совета Безопасности РФ
ИС Федерального Собрания РФ
ИС Аппарата Правительства РФ
ИС Конституционного и Верховного судов РФ
ИС органов разведки и контрразведки
ИС управления вооружением и военной техникой

На практике это важно не только для самих госорганов и учреждений. Требования затрагивают и организации, которые создают, модернизируют, сопровождают или обслуживают такие системы: интеграторов, подрядчиков, разработчиков и поставщиков инфраструктурных решений.

Что изменилось по сравнению с прежним подходом

Главное изменение — расширение области применения. Если приказ № 17 был сосредоточен на государственных информационных системах, то приказ № 117 охватывает более широкий круг систем в государственном контуре.

Второе важное изменение — акцент на постоянной работе с защищенностью. Теперь важно не только внедрить меры защиты, но и поддерживать их в рабочем состоянии: контролировать изменения, отслеживать риски и своевременно реагировать на инциденты.

Третье — усиление требований к управлению уязвимостями. Для уязвимостей критического уровня установлен срок устранения не более 24 часов, для высокого уровня — не более 7 календарных дней. Это требует уже не формального, а реально работающего процесса: учета активов, контроля версий, мониторинга и понятной схемы устранения проблем.

Что нужно сделать для выполнения новых требований

Обычно подготовка к приказу № 117 включает несколько направлений.

Нужно определить, какие системы подпадают под действие новых требований, и оценить текущее состояние защиты информации.

Затем — пересмотреть внутренние документы: политику, стандарты, регламенты, распределение ролей и ответственности.

После этого — определить, какие меры и средства защиты действительно нужны для конкретной системы: где требуется усилить контроль доступа, где — мониторинг, где — резервное копирование, управление уязвимостями или защиту сетевого взаимодействия.

Отдельно стоит выстроить процессы информационной безопасности: управление уязвимостями, контроль изменений, реагирование на инциденты, обеспечение непрерывности, а для части организаций — и безопасную разработку.

Еще один обязательный блок — работа с сотрудниками. Без обучения и проверки знаний даже сильная техническая защита остается уязвимой.

Финальный этап — подтверждение достаточности принятых мер в установленной форме: через аттестацию или контроль уровня защищенности, в зависимости от типа системы и применимого порядка.

Примеры вендоров, чьи продукты соответствуют требованиям законодательства:

Обеспечение непрерывного взаимодействия с ГОССОПКА

Континент
Vipnet
С-Терра Шлюз
Застава

Мониторинг информационной безопасности (SOC/SIEM)

MP SIEM
Kaspersky KUMA
R-Vision SIEM
Rusiem
UserGate SIEM
UDV SIEM
Alertix

Сегментация и межсетевое экранирование, защита каналов передачи данных и сетевого взаимодействия

Positive Technologies NGFW
Континент АПКШ
Solar NGFW
Ideco NGFW
UserGate NGFW
Kaspersky NGFW
Traffic Inspector Next Generation
Arma Стена

Защита при удалённом доступе, защита каналов передачи данных и сетевого взаимодействия, ГОСТ

Континент
Элвис-Плюс Застава
С-Терра VPN
Vipnet
Diamond VPN

Вывод

Приказ ФСТЭК № 117 — это не формальная замена приказа № 17, а переход к более требовательному подходу к защите информации. Для организаций это означает, что вопрос нельзя закрыть только комплектом документов или разовой настройкой средств защиты. Нужна рабочая система: с процессами, ответственными, контролем уязвимостей и регулярной оценкой состояния защиты.

Если информационная система подпадает под действие Приказа № 117, лучше не откладывать подготовку. Чем раньше организация поймет, какие требования уже выполняются, а какие направления нужно усиливать, тем проще пройти этот путь без спешки, лишних закупок и хаотичных доработок.

Нужна помощь с переходом на российское ПО?

Мы являемся официальным партнером многих производителей и дистрибьюторов лицензионного ПО в России: ООО "РусБИТех-Астра", 1С, Dr Web, Касперский, Content, AliveColors, Кибер Протект, Code Industry, КриптоПрои мн. др. Подскажем вам, какой софт подойдет для ваших задач.

Чтобы получить бесплатную консультацию по автоматизации своего бизнеса Вы можете пообщаться с нашими специалистами в офисе компании или позвонив по телефону: 8-800-707-01-02.

Свяжитесь со мной