Кто должен соблюдать новые требования
Приказ ФСТЭК № 117 распространяется на все информационные системы государственных органов и муниципальных служб, а также на системы, которые с ними взаимодействуют, включая банковские и финансовые. Он полностью заменит прежний приказ № 17, который устанавливал требования только к защите государственных информационных систем (ГИС). Новый документ охватывает все уровни ИТ-инфраструктуры — от сетей и виртуализации до рабочих станций, систем управления и обработки данных, взаимодействия с подрядчиками. Приказ № 117 также учитывает современные технологические вызовы и активное развитие искусственного интеллекта (ИИ).
Требования приказа распространяются на:
- все государственные органы — в зависимости от типа обрабатываемых данных;
- государственные унитарные предприятия и учреждения, включая медицинские, образовательные и административные;
- центры обработки данных (ЦОД), обслуживающие государственные органы и предприятия, а также операторов этих ЦОД;
- разработчиков и пользователей ПО, связанных с ГИС и муниципальными информационными системами.
Исключение составляют информационные системы, обрабатывающие информацию, составляющую государственную тайну, — для них действуют отдельные
Что будет, если не выполнить требования
В приказе № 117 не прописаны санкции напрямую, но применяются нормы КоАП РФ (ст. 13.12, 3.31) и УК РФ (ст. 272–274, 286, 293). Самым серьёзным наказанием для организаций (особенно госорганизаций) может стать приостановка или запрет эксплуатации ГИС. Это катастрофический сценарий: остановка госуслуг повлечёт колоссальные репутационные, политические и организационные последствия, а также цепочку дисциплинарных взысканий.
В чём суть требований
Приказ № 117 существенно усиливает защиту информационных систем, вводя новые требования к бизнес-процессам, технологиям и ответственности. Рассмотрим основные изменения и их влияние на бизнес и госорганизации.
- Обработка данных критической важности в публичных облаках запрещена; владелец ГИС несёт полную ответственность даже при передаче информации третьей стороне. Это означает, что нельзя перекладывать риски на провайдера. Для использования облачных технологий необходимо выполнять те же строгие требования, которые, в частности, реализуются в гособлаках — ГЕОП (Государственная единая облачная платформа) и «ГосТех» (единая цифровая платформа, площадка для разработки и эксплуатации государственных информационных систем и сервисов).
- Сроки реагирования на инциденты установлены: для критических инцидентов — 24 часа, для высокого уровня угроз — не более семи дней.
- Использование только сертифицированных ФСТЭК РФ систем управления базами данных (СУБД), так как они относятся к средствам защиты информации (СЗИ). Это бросает серьёзный вызов операторам и владельцам ГИС. Однако сертифицированное ПО от вендора существенно облегчает задачу: в рамках техподдержки оперативно приходят патчи, обновления или временные меры защиты — без простоев и лишних самостоятельных доработок. Например, платформы данных автоматически получают актуальные версии, уже лишённые известных уязвимостей.
- Регулярные аудиты и оценки защищенности. Технический аудит — не реже двух раз в год с отчётами в ФСТЭК; расчёт коэффициента защищённости информационных систем (КЗИ) — раз в шесть месяцев, показателя уровня зрелости обеспечения информационной безопасности (ПЗИ) — раз в два года.
Такие требования затронут также и организации, взаимодействующие с ГИС, например банки и их подсистемы кредитных конвейеров или дистанционного банковского обслуживания.
Контроль охватит всю экосистему, включая платформы данных. Сотрудники служб информационной безопасности привыкли фокусироваться на антивирусах и файрволах, пренебрегая СУБД. Но именно базы данных станут ключевым звеном — их придётся встроить в единую систему мониторинга с мгновенной реакцией.
Реальная угроза
Статистика последних месяцев выявляет тревожную тенденцию: по данным аналитического центра StormWall за третий квартал 2025 года, Россия заняла четвёртое место в мире по числу DDoS-атак, на её долю приходится около 9,6% всех подобных инцидентов. При этом, по оценкам ГК «Солар», масштаб утечек данных у российских компаний вырос в 138 раз за девять месяцев 2025 года. Объём похищенной информации составил около 748 ТБ — а это эквивалент сотен тысяч фильмов в HD-качестве или сотен миллиардов фотографий.
Приказ № 117 меняет правила игры в защите ГИС, делая акцент на сертифицированных решениях для всех уровней инфраструктуры, включая системы управления и обработки данных. Но если бизнес подготовится к его вступлению в силу, сложностей не возникнет.
Автор статьи:
Алексей Журавлев
Заместитель гендиректора Группы Arenadata
Источник: РБК