Оценка и приведение в соответствие требованиям Приказа ФСТЭК от 11 апреля 2025 г. №117

Идеология и целевая основа
Приказа ФСТЭК № 117

Приказ ФСТЭК № 117 нацелен на:

• недопущение (снижение возможности) наступления негативных последствий (событий) от нарушения конфиденциальности, целостности, доступности информации (далее — нарушение безопасности информации);
• недопущение (снижение возможности) наступления негативных последствий (событий) от нарушения функционирования информационных систем вследствие реализации (возникновения) угроз безопасности информации.

В совокупности система документов по приказу 117 переводит задачу защиты информации из статической — обеспечения соответствия требованиям ФСТЭК или ГОСТ 27001, — в динамическую задачу комплексного управления, включающую:

• Обеспечение и оценка степени соответствия установленным требованиям по ИБ;
• Достижение и непрерывная поддержка уровня зрелости процессов управления (качества управления) ИБ.

Область действия Приказа ФСТЭК № 117

Неформально можно сказать, что требования Приказа ФСТЭК № 117 распространяются на:

• Государственные информационные системы (ГИС),
• Иные системы государственных органов,
• ГУП, государственные учреждения,
• ИС муниципальных органов,
• ЗО КИИ,
• Операторы, обладатели и заказчики, заключившие контракт на создание или развитие ГИС.

Особенно важно подчеркнуть, что со вступлением в силу 117 Приказа ФСТЭК под требования подпадают также организации, которые получают информацию из ГИС (например, подрядчики, обрабатывающие данные).

Методологическая основа
Приказа ФСТЭК № 117

Методологически для проведения оценки соответствия требованиям Приказа ФСТЭК № 117 опирается на ряд ключевых документов:

• Методический документ от 12 апреля 2026 г. «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах»
• Методику анализа защищенности информационных систем от 25 ноября 2025 г.
• Методику оценки зрелости (проект).

Именно этими документами руководствуются наши эксперты при составлении аудиторского задания и разработке рекомендаций для проверяемой организации.

Требования к 1 марта 2026 года

К 1 марта 2026 г. ответственным организациям в соответствии с требованиями 117 приказа ФСТЭК России необходимо иметь возможность подтвердить:

• Утверждение и внедрение 21 процесса обеспечения информационной безопасности
• Внедрение 13 внутренних стандартов (стандарты предприятия)
• Внедрение 17 регламентов

Далее мы расскажем подробнее о составе процессов обеспечения информационной безопасности и ключевых документов, которые войдут в область экспертных работ.

Что мы проверяем и приводим в соответствие требованиям Приказа ФСТЭК № 117

1. Процессы обеспечения информационной безопасности

• Выявление и оценка угроз безопасности информации;
• Контроль конфигураций информационных систем;
• Управление уязвимостями;
• Управление обновлениями;
• Обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа;
• Обеспечение защиты информации при применении конечных устройств;
• Обеспечение защиты информации при применении мобильных устройств;
• Обеспечение защиты информации при удаленном доступе пользователей к информационным системам;
• Обеспечение защиты информации при беспроводном доступе пользователей к информационным системам;
• Обеспечение защиты информации при предоставлении пользователям доступа на чтение, выполнение, изменение, запись, удаление программ и (или) данных в информационных системах (далее — привилегированный доступ);
• Обеспечение мониторинга информационной безопасности;
• Обеспечение разработки безопасного программного обеспечения;
• Обеспечение физической защиты информационных систем;
• Обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций;
• Повышение уровня знаний и информированности пользователей по вопросам защиты информации;
• Обеспечение защиты информации при взаимодействии с подрядными организациями;
• Обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании;
• Обеспечение защиты информации при использовании искусственного интеллекта;
• Реализация в информационных системах мер по их защите и защите содержащейся в них информации;
• Проведение контроля уровня защищенности информации, содержащейся в информационных системах;
• Обеспечение непрерывного взаимодействия с ГосСОПКА.

2. Внутренние стандарты (стандарты предприятия)

• Требования к первичной идентификации лиц, обладающих правами доступа к информационным системам и (или) содержащейся в них информации и их использованию (далее — пользователи);
• Требования к применяемым моделям доступа пользователей;
• Перечень разрешенного и (или) запрещенного для использования программного обеспечения;
• Требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств;
• Требования к конфигурациям и настройкам программных, программно-аппаратных средств, предназначенных для обеспечения доступа пользователей из информационных систем к информационно-телекоммуникационной сети «Интернет» (далее — сеть «Интернет»);
• Требования к конфигурациям и настройкам программных, программно-аппаратных средств, предназначенных для обеспечения удаленного доступа пользователей к информационным системам и содержащейся в них информации, включая требования к обеспечению безопасной дистанционной работы;
• Ограничения и запреты действий для пользователей при использовании и обеспечении эксплуатации ими информационных систем;
• Требования к защите физических и виртуальных устройств информационных систем, имеющих постоянный доступ к сети «Интернет» (далее — конечные устройства);
• Требования к защите мобильных устройств, планшетных, переносных компьютеров, применяемых пользователями для доступа к информационным системам (за исключением мобильных устройств, предназначенных для доступа к сайтам сети «Интернет» и иным публичным веб-ресурсам) (далее — мобильные устройства);
• Требования к непрерывности функционирования информационных систем;
• Требования к резервному копированию информации, программного обеспечения и его конфигураций;
• Требования к сбору, регистрации и анализу событий, связанных с возможным нарушением безопасности информации, нарушением функционирования информационных систем, реализацией угроз безопасности информации (далее — события безопасности);
• Требования к защите информации при подключении к информационным системам иных информационных систем, включая требования к каналам передачи данных при взаимодействии с такими информационными системами.

3. Внутренние регламенты

• Порядок создания, учета, изменения и блокирования, контроля, удаления учетных записей;
• Порядок создания, учета, изменения и блокирования, контроля, удаления привилегированных учетных записей;
• Порядок создания, изменения, блокирования, контроля, удаления аутентификационной информации и средств аутентификации;
• Порядок предоставления пользователям удаленного доступа к информационным системам и содержащейся в них информации;
• Порядок и условия предоставления работникам подрядных организаций доступа к информационным системам, содержащейся в них информации, и (или) передачи им информации, контроля за таким доступом, передачей в случае привлечения подрядных организаций;
• Порядок предоставления работникам иных государственных органов, организаций доступа к информационным системам, содержащейся в них информации и (или) передачи им информации и контроля за такими доступом, передачей (в случае информационного взаимодействия с иными государственными органами, организациями);
• Порядок предоставления пользователям доступа из информационных систем в сеть «Интернет» и контроля ее использования;
• Порядок повышения уровня знаний и информированности пользователей по вопросам защиты информации;
• Порядок выявления, оценки и устранения уязвимостей информационных систем (далее — управление уязвимостями);
• Порядок получения, оценки, тестирования и применения обновлений программных, программно-аппаратных средств (далее — управление обновлениями);
• Порядок обработки, хранения и обращения с информацией ограниченного доступа;
• Порядок обеспечения физической защиты информационных систем;
• Порядок разработки безопасного программного обеспечения в случае его самостоятельной разработки оператором (обладателем информации);
• Порядок вывода в контур промышленной эксплуатации сервисов, доступ к которым осуществляется с использованием сети «Интернет», в случае наличия таких сервисов;
• Порядок мониторинга информационной безопасности информационных систем;
• Порядок восстановления штатного функционирования информационных систем и тестирования процессов восстановления;
• Порядок контроля уровня защищенности информации, содержащейся в информационных системах.

Как проводится оценка соответствия требованиям Приказа ФСТЭК № 117

В рамках проекта по оценке соответствия мы проверяем степень документированности и факт внедрения процессов обеспечения ИБ, охватываемых Приказом 117, а также применяемые организацией меры защиты информации, разрабатываем на основе результатов аудита рекомендации и план мероприятий для итогового приведения в соответствие, а также помогаем заказчику с проведением внедрения этих рекомендаций.