«Модель активного надзора»: как приказ №117 ФСТЭК повлияет на работу ИБ

С 1 марта 2026 года в России начинает действовать разработанный Федеральной службой по техническому и экспортному контролю (ФСТЭК) приказ № 117. Документ обновляет предшествующий приказ № 17 — он регламентирует требования о защите информации в государственных информационных системах (ГИС), иных информационных системах госорганов и госпредприятий. Несмотря на, казалось бы, узкую направленность — госсектор, — этот приказ обещает серьезно повлиять на всю ИБ-отрасль.

По словам заместителя генерального директора по инновационной деятельности «СёрчИнформ» Алексея Парфентьева, воспринимать 117-й приказ как исключительно касающийся государственных органов не стоит.

«Приказ распространяется не только на операторов государственных ИС, но и на все организации госсектора, а также на их подрядчиков, обеспечивающих для них создание, совершенствование и обслуживание информационных систем. Если субъекты регулирования относятся к КИИ или работают с персональными данными, требования 117-го приказа для них также будут обязательны», — говорит Парфентьев.

Эксперт также отмечает, что к мерам защиты добавились целые наборы требований. Самые крупные из них касаются обеспечения безопасности информации, в том числе и от утечек. Также расписаны требования к обеспечению безопасности пользовательских устройств и безопасному использованию ИИ.

«По 117-му приказу, применение интеллектуальных инструментов должно быть строго регламентировано: установлены допустимые тематики запросов, введен контроль за ответами ИИ. В ИС госсектора не допускается применение недоверенных ИИ-технологий», — говорит заместитель генерального директора «СёрчИнформ».

Парфентьев отмечает и другое нововведение: с начала действия 117-го приказа организации госсектора обязаны обучать своих сотрудников ИБ-компетенциям. Причем, по словам эксперта, речь идет не о формальных инструктажах, а о полноценных тренировках, семинарах и учебных фишинговых рассылках. Да и специалистам из ИБ-служб в госсекторе станет немного проще: начнет работать регламентированный порядок принятия решений о ресурсном обеспечении ИБ организации.

Подробные детали о том, как будет работать новый акт, все еще в разработке, говорит Парфентьев. Но перемены в подходе к регуляции ИБ уже заметны.

«Заметно, что 117-й приказ намного более практико-ориентирован, чем действующий приказ № 17. Наши коллеги и заказчики подтверждают, что с принятием приказа стратегия “обложиться бумагами” перестала отвечать требованиям властей. Сейчас приоритет смещается в сторону прикладной безопасности — аудита защищаемых систем и информации в них, внедрения и обновления технических средств защиты», — отмечает эксперт.

«Качественно новый этап регулирования»

Помощник начальника аналитического центра компании «Газинформсервис», секретарь Консорциума исследований безопасности технологий искусственного интеллекта Дмитрий Служеникин также отмечает, что ФСТЭК расстается с принципом «разовых проверок». Новый документ создает систему непрерывного мониторинга, оценки и отчетности.

«Если ранее контроль со стороны ФСТЭК в основном осуществлялся в рамках процедуры аттестации информационных систем, то теперь регулятор вводит регулярный и обязательный для всех цикл предоставления данных о состоянии защищенности», — говорит Служеникин.

Служеникин выделяет несколько ключевых нововведений. Так, смещается фокус от абстрактных угроз к прямому недопущению конкретных последствий. «Основная цель защиты информации формулируется не как “борьба со всеми угрозами”, а как недопущение наступления негативных последствий (событий) для организации», — отмечает эксперт. При этом оператор должен задокументировать недопустимые последствия, а для этого нужно анализировать риски и переходить к управлению ИБ, основанному на результатах.

Служеникин, как и Парфентьев, обращает внимание на то, что подрядчикам и партнерам госструктур тоже придется обеспечивать выполнение требований — теперь это должно быть закреплено в договорах. Служеникин подчеркивает, что теперь требования распространяются на всю цепочку поставок.

ИБ и ИТ в рамках новых требований будут идти на сближение. Приказ предписывает организациям иметь и контролировать актуальные перечни разрешенного и запрещенного ПО и регулярно контролировать конфигурации информационных систем. Кроме того, уязвимости нужно будет устранять в срок — критические в течение 24 часов, высокой степени опасности — в течение 7 дней.

«Это свидетельствует о том, что классических мер ИБ (таких как антивирус или межсетевой экран) уже недостаточно. Требуется глубокая интеграция процессов безопасности в жизненный цикл ИТ-систем и тесное взаимодействие подразделений ИБ и ИТ», — отмечает Служеникин.

Новые правила также предписывают проводить регулярный аудит и отчитываться в ФСТЭК. Каждые 6 месяцев надо будет проводить оценку состояния защиты и сравнение с нормированными показателями, каждые 2 года — оценивать показатель уровня зрелости мероприятий по ИБ. Ежегодно нужно будет отчитываться о результатах мониторинга информационных угроз. И помимо этого, регулярно нужно направлять отчеты по результатам контроля уровня защищенности. Контроль осуществляется с помощью автоматизированных систем, пентестов или киберучений.

Служеникин отмечает, что приказ конкретизирует подходы к реализации мер безопасности. Защита ПК требует внедрения решений для мониторинга и анализа процессов и событий безопасности на уровне конечных узлов. По сути, будут требоваться решения класса EDR. Восстановление после инцидентов также должно укладываться в строгие сроки — для систем 1-го класса защищенности, например, срок восстановления после сбоя или атаки (включая DDoS) составит 24 часа.

Примечательно, но приказом не только допускается, но и поощряется использование ИИ для мониторинга угроз и анализа событий безопасности. А если организация занимается разработкой ПО, то ей будет нужно соблюдать мероприятия по безопасной разработке.

«ФСТЭК инициировала качественно новый этап регулирования в области защиты информации для государственных органов, унитарных предприятий и учреждений, — резюмирует Служеникин. — ФСТЭК переходит к модели активного надзора. Организации должны быть готовы к постоянному диалогу с регулятором на основе предоставляемых данных, а не только к периодическим аттестационным проверкам».

По словам Служеникина, ответственность теперь становится «всеобъемлющей». Требования по ИБ распространяются на всю экосистему организации, что требует пересмотра подхода к заключению договоров. Но без глубокой интеграции ИБ и ИТ, без эффективного управления конфигурациями, уязвимостями и ПО выполнять новые требования будет невозможно технически.

«Контекст импортозамещения остается критичным, — подчеркивает эксперт. — Требования по использованию российского ПО, в том числе из единого реестра, и сертифицированных средств защиты информации сохраняют свою актуальность и влияют на выбор технологических решений».

Игнорировать новый приказ, как полагает Служеникин, значит идти на риск. Тенденции таковы, что контроль становится строже — ужесточена административная и введена уголовная ответственность за нарушение в области персональных данных. «Для госорганов риски также включают репутационные потери и срывы выполнения государственных функций», — отметил Служеникин.