Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Разбор актуальных тем по информационной безопасности от экспертов УЦСБ
Вебинары
Регулярные ответы на вопросы по инфомационной безопасности
FAQ ИБ
Последние новости и мероприятия Центра кибербезопасности УЦСБ
Новости
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
FAQ: ответы на вопросы к вебинару «Приказ ФСТЭК России №117: изменения, которые нельзя игнорировать»
19 апреля 2026
17 марта состоялся вебинар «Приказ ФСТЭК России №117: изменения, которые нельзя игнорировать». Эксперты УЦСБ проанализировали новые требования к защите информации и дадут практические рекомендации по их выполнению.
В этом материале собрали ответы на самые интересные вопросы зрителей
17 марта состоялся вебинар «Приказ ФСТЭК России №117: изменения, которые нельзя игнорировать». Эксперты УЦСБ проанализировали новые требования к защите информации и дадут практические рекомендации по их выполнению.
В этом материале собрали ответы на самые интересные вопросы зрителей
Подпадают ли иные информационные системы муниципальных органов под действие приказа ФСТЭК России № 117?
В отличие от Требований о защите информации (ЗИ), не составляющей государственную тайну, содержащейся в государственных информационных системах (ГИС), утвержденных приказом ФСТЭК России от 11.02.2012 № 17, Требования о ЗИ, содержащейся в ГИС, иных информационных системах (ИС) государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11.04.2025 № 117, расширяют сферу применения требований по защите информации, охватывая теперь не только ГИС, но и муниципальные ИС (МИС), и иные ИС государственных органов, государственных унитарных предприятий и учреждений.
Согласно п.3 Требований, утвержденных приказом ФСТЭК России № 117, действие документа распространяется только на МИС, если иное не установлено законодательством РФ. В соответствии с п. 2 ч. 1 ст. 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» МИС – это ИС, созданная на основании решения органа местного самоуправления. Соответственно Требования, утвержденные приказом ФСТЭК России № 117, распространяются только на те ИС муниципальных органов, которые можно отнести к категории МИС.
Согласно п.3 Требований, утвержденных приказом ФСТЭК России № 117, действие документа распространяется только на МИС, если иное не установлено законодательством РФ. В соответствии с п. 2 ч. 1 ст. 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» МИС – это ИС, созданная на основании решения органа местного самоуправления. Соответственно Требования, утвержденные приказом ФСТЭК России № 117, распространяются только на те ИС муниципальных органов, которые можно отнести к категории МИС.
Требуется ли проведение модернизации системы в соответствии с требованиями приказа ФСТЭК России № 117, если у организации уже имеется аттестат соответствия, выданный по требованиям приказа ФСТЭК России № 17, с учётом Информационного сообщения ФСТЭК России от 12 марта 2026 г. № 240/22/1492?
При наличии аттестата соответствия Требованиям, утвержденным приказом ФСТЭК России № 17, работы по модернизации рекомендуем проводить по Требованиям, утвержденным приказом ФСТЭК России № 117. Возможно, в ближайшее время стоит ожидать пояснения по этому вопросу от ФСТЭК России.
Обращаем внимание, что в соответствии с п. 2 приказа ФСТЭК России № 117, приказ ФСТЭК России № 17 признан утратившим силу.
Обращаем внимание, что в соответствии с п. 2 приказа ФСТЭК России № 117, приказ ФСТЭК России № 17 признан утратившим силу.
Если информационная система была аттестована до вступления в силу приказа ФСТЭК России № 117, требуется ли обеспечивать выполнение всех требований данного приказа?
Если ИС была аттестована до вступления в силу Требований, утвержденных приказом ФСТЭК России № 117, обеспечивать выполнение всех требований данного приказа не требуется.
В соответствии с п. 3 Требований, утвержденных приказом ФСТЭК России № 117, аттестаты соответствия на ГИС и иные ИС, выданные до его вступления в силу, то есть до 01.03.2026, считаются действительными.
Однако осуществления поэтапного перехода к реализации Требований, утвержденных приказом ФСТЭК России № 117, рекомендуем разработать план перехода, содержащий описание мероприятий и мер по ЗИ, направленных на реализацию положений Требований, утвержденных приказом ФСТЭК России № 117, со сроками их реализации.
Обращаем внимание: Согласно информационному сообщению ФСТЭК России от 12.03.2026 № 240/22/1492 в ходе модернизации (развития) функционирующих ГИС, аттестованных на соответствие требованиям, утвержденным приказом ФСТЭК России №17 необходимо спланировать приведение их в соответствие Требованиям, утвержденных приказом ФСТЭК России № 117.
В соответствии с п. 3 Требований, утвержденных приказом ФСТЭК России № 117, аттестаты соответствия на ГИС и иные ИС, выданные до его вступления в силу, то есть до 01.03.2026, считаются действительными.
Однако осуществления поэтапного перехода к реализации Требований, утвержденных приказом ФСТЭК России № 117, рекомендуем разработать план перехода, содержащий описание мероприятий и мер по ЗИ, направленных на реализацию положений Требований, утвержденных приказом ФСТЭК России № 117, со сроками их реализации.
Обращаем внимание: Согласно информационному сообщению ФСТЭК России от 12.03.2026 № 240/22/1492 в ходе модернизации (развития) функционирующих ГИС, аттестованных на соответствие требованиям, утвержденным приказом ФСТЭК России №17 необходимо спланировать приведение их в соответствие Требованиям, утвержденных приказом ФСТЭК России № 117.
Подпадает ли информационная система, используемая в органе местного самоуправления для ведения бухгалтерского и кадрового учёта, под действие данного приказа?
Требования, утвержденные приказом ФСТЭК России № 117, распространяются на следующие ИС:
- ГИС;
- иные ИС государственных органов, государственных унитарных предприятий, государственных учреждений;
- МИС, если иное не установлено законодательством РФ.
Распространяется ли действие приказа ФСТЭК России № 117 на компанию-вендора, которая разрабатывает программный продукт, если она не является субъектом КИИ, не относится к операторам ГИС?
Действие требований, утвержденных приказом ФСТЭК России № 117 на компанию-вендора как на юридическое лицо не распространяется, если она сама не является владельцем (оператором) ИС, перечисленных в требованиях, утвержденных приказом ФСТЭК России № 117.
Однако стоит отметить, что указанный нормативный правовой акт влияет на требования к программному продукту, который компания-вендор разрабатывает для государственных или муниципальных органов. Разработки для таких заказчиков должны соответствовать следующим требованиям:
Однако стоит отметить, что указанный нормативный правовой акт влияет на требования к программному продукту, который компания-вендор разрабатывает для государственных или муниципальных органов. Разработки для таких заказчиков должны соответствовать следующим требованиям:
- программный продукт должен быть включен в Реестр российского программного обеспечения;
- если программный продукт является средством защиты информации (СрЗИ), то для использования данного средства в ИС государственных или муниципальных органов оно должно иметь сертификат соответствия ФСТЭК России и (или) ФСБ России;
- если продукт является СрЗИ, то оно должно соответствовать классу защиты и уровню доверия не ниже 6.
Попадают ли муниципальные организации под требования приказа ФСТЭК России № 117, учитывая, что они не являются государственными органами или государственными учреждениями, согласно действующему законодательству РФ?
Под действие Требований, утвержденных приказом ФСТЭК России № 117, подпадают:
В случае, если станет известно, что в муниципальном дошкольном образовании используются МИС, тогда требования, утвержденные приказом ФСТЭК России № 117, станут актуальными для учреждения.
Если в Муниципальном дошкольном образовательном учреждении отсутствуют МИС, то система защиты для используемых информационных систем персональных данных (ИСПДн) бухгалтерия и кадры, должна соответствовать Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
- ГИС;
- иные ИС государственных органов, государственных унитарных предприятий, государственных учреждений;
- МИС, если иное не установлено законодательством РФ.
В случае, если станет известно, что в муниципальном дошкольном образовании используются МИС, тогда требования, утвержденные приказом ФСТЭК России № 117, станут актуальными для учреждения.
Если в Муниципальном дошкольном образовательном учреждении отсутствуют МИС, то система защиты для используемых информационных систем персональных данных (ИСПДн) бухгалтерия и кадры, должна соответствовать Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
Если объекты КИИ уже категорированы, и срок действия установленной категории истекает в 2027 году, требуется ли уже сейчас приводить их в соответствие с требованиями приказа ФСТЭК России № 117?
Если объект критической информационной инфраструктуры (КИИ) является ГИС, МИС или ИС государственных органов, государственных унитарных предприятий или государственных учреждений, то объект подпадает под Требования, утвержденные приказом ФСТЭК России № 117. Для такого объекта КИИ необходимо начать планировать приведение в соответствие с Требованиями, утвержденными приказом ФСТЭК России № 117, уже сейчас. Также в Информационном сообщении ФСТЭК России от 12.03.2026 № 240/22/1492 сказано: «с целью осуществления поэтапного перехода к реализации Требований ФСТЭК Россиирекомендует разработать в государственных органах и организациях план перехода, содержащий описание мероприятий и мер по защите информации, направленных на реализацию положений Требований, со сроками их реализации».
Если же объект КИИ не является ГИС, МИС или ИС государственных органов, государственных унитарных предприятий или государственных учреждений, то объект не подпадает под требования приказа ФСТЭК России № 117. Для таких объектов приоритетными остается выполнение требований приказа ФСТЭК России № 239.
Также напоминаем о необходимости пересмотра категории значимости объектов КИИ в следующий случаях:
Если же объект КИИ не является ГИС, МИС или ИС государственных органов, государственных унитарных предприятий или государственных учреждений, то объект не подпадает под требования приказа ФСТЭК России № 117. Для таких объектов приоритетными остается выполнение требований приказа ФСТЭК России № 239.
Также напоминаем о необходимости пересмотра категории значимости объектов КИИ в следующий случаях:
- Плановый пересмотр: не реже, чем раз в 5 лет.
- Изменение показателей критериев значимости объектов КИИ или их значений, отраслевых особенностей категорирования. Например, изменение в условиях эксплуатации, технологий или инфраструктуре; выявление новых угроз, уязвимостей или факторов; значительные обновления или модернизация объекта КИИ.
Информационная система, созданная и функционирующая у субъекта, чьей формой собственности является муниципалитет, является муниципальной информационной системой (муниципальная ИС)?
В соответствии с п. 2 ч. 1 ст. 13 149-ФЗ МИС – это ИС, созданная на основании решения органа местного самоуправления. Это решение должно быть зафиксировано документально.
Согласно ст. 13 Федерального закона от 20.03.2025 № 33-ФЗ «Об общих принципах организации местного самоуправления в единой системе публичной власти», к органам местного самоуправления относятся органы, избираемые населением или образуемые представительным органом муниципального образования и наделенные собственными полномочиями по решению вопросов обеспечения жизнедеятельности населения.
В соответствии со ст. 14 Федерального закона от 20.03.2025 № 33-ФЗ «Об общих принципах организации местного самоуправления в единой системе публичной власти» структуру органов местного самоуправления составляют:
Согласно ст. 13 Федерального закона от 20.03.2025 № 33-ФЗ «Об общих принципах организации местного самоуправления в единой системе публичной власти», к органам местного самоуправления относятся органы, избираемые населением или образуемые представительным органом муниципального образования и наделенные собственными полномочиями по решению вопросов обеспечения жизнедеятельности населения.
В соответствии со ст. 14 Федерального закона от 20.03.2025 № 33-ФЗ «Об общих принципах организации местного самоуправления в единой системе публичной власти» структуру органов местного самоуправления составляют:
- представительный орган муниципального образования;
- глава муниципального образования;
- местная администрация (исполнительно-распорядительный орган муниципального образования);
- контрольно-счетный орган муниципального образования;
- иные органы, предусмотренные уставом муниципального образования и обладающие собственными полномочиями по решению вопросов непосредственного обеспечения жизнедеятельности населения.
Есть ли информация, когда ФСТЭК России планирует утвердить Требования к мерам по приказу ФСТЭК России № 117 в финальном варианте?
Методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» был утвержден 12.04.2026.
Обращаем внимание на п. 1.7 Методики, описывающей состав и содержание мероприятий и мер по ЗИ: «В связи с утверждением настоящего методического документа не применяются положения методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11 февраля 2014 г."». Соответственно использование прежней методики не допускается с момента утверждения новой методики, описывающей состав и содержание мероприятий и мер по ЗИ.
Обращаем внимание на п. 1.7 Методики, описывающей состав и содержание мероприятий и мер по ЗИ: «В связи с утверждением настоящего методического документа не применяются положения методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11 февраля 2014 г."». Соответственно использование прежней методики не допускается с момента утверждения новой методики, описывающей состав и содержание мероприятий и мер по ЗИ.
Что понимается под «отсутствием возможности» реализации отдельных мероприятий и (или) мер по защите информации, при котором оператор должен разрабатывать и внедрять компенсирующие меры для блокирования (нейтрализации) актуальных угроз?
Под отсутствием возможности реализации отдельных мероприятий и (или) мер по ЗИ понимается невозможность выполнения конкретных действий по защите информации. По сложившейся практике причинами отсутствия возможности реализации мер и мероприятий могут быть:
ФСТЭК России может потребовать предоставления сведений об обосновании применения компенсирующих мер в рамках реализации контрольно-надзорной функции, а также при согласовании Технического задания на создание системы обеспечения ИБ в соответствии с требованиями постановлением Правительства Российской Федерации (далее – РФ) от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации ГИС и дальнейшего хранения содержащейся в их базах данных информации».
- архитектурные особенности информационной инфраструктуры, препятствующие развертыванию необходимых СрЗИ;
- отсутствие на рынке сертифицированных СрЗИ, применение которых необходимо для соответствия установленным нормативным требованиям;
- высокая бюджетная оценка внедрения определенного класса СрЗИ, что делает их применение экономически нецелесообразным для организации. Отметим, что данная причина обоснования отсутствия возможности реализации мер и мероприятий по ЗИ весома для операторов, но не всегда может быть согласована представителями ФСТЭК России. В законодательном поле данная причина косвенно фигурирует лишь в отношении обеспечения безопасности в п.10 Состава и содержания мер, утвержденных приказом ФСТЭК России № 21.
ФСТЭК России может потребовать предоставления сведений об обосновании применения компенсирующих мер в рамках реализации контрольно-надзорной функции, а также при согласовании Технического задания на создание системы обеспечения ИБ в соответствии с требованиями постановлением Правительства Российской Федерации (далее – РФ) от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации ГИС и дальнейшего хранения содержащейся в их базах данных информации».
В случае, если «иная» информационная система является информационной системой персональных данных (ИСПДн), как корректно совмещать выполнение требований Приказов ФСТЭК России №117 и №21?
В данном случае необходимо исходить из того, какая организация является оператором ИС (владельцем информации).
В случае, если организация не является государственным органом, государственным унитарным предприятием и учреждением, тогда в отношении ИСПДн применяются нормы:
Отметим, что Состав и содержание мер, утвержденные приказом ФСТЭК России № 21, не противоречат Требованиям, утвержденным приказом ФСТЭК России № 117. Если в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений и МИС (если иное не установлено законодательством РФ) обрабатываются ПДн, то будет достаточно соблюдения Требований, утвержденных приказом ФСТЭК России № 117, и нормативных правовых актов по защите ПДн. В этом случае система защиты информации также будет соответствовать Составу и содержанию мер, утвержденным приказом ФСТЭК России № 21.
В случае, если организация не является государственным органом, государственным унитарным предприятием и учреждением, тогда в отношении ИСПДн применяются нормы:
- Постановления Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ППРФ-1119);
- Состава и содержания мер, утвержденных приказом ФСТЭК России № 21.
Отметим, что Состав и содержание мер, утвержденные приказом ФСТЭК России № 21, не противоречат Требованиям, утвержденным приказом ФСТЭК России № 117. Если в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений и МИС (если иное не установлено законодательством РФ) обрабатываются ПДн, то будет достаточно соблюдения Требований, утвержденных приказом ФСТЭК России № 117, и нормативных правовых актов по защите ПДн. В этом случае система защиты информации также будет соответствовать Составу и содержанию мер, утвержденным приказом ФСТЭК России № 21.
Как корректно соотносить уровни значимости, устанавливаемые в соответствии с приказом ФСТЭК России № 117, с уровнями защищённости, определяемыми ПП № 1119?
Как в таком случае учитывать системы, которые одновременно подпадают под несколько требований?
На данный момент официальная схема соотнесения уровней значимости с уровнями защищенности еще не опубликована. До опубликования разъяснений ФСТЭК России по данному вопросу или внесения изменений в текст Требований, утвержденных приказом ФСТЭК России № 117, исходя из структуры Требований, утвержденных приказом ФСТЭК России № 117, и сложившейся практики регулирующего органа, рекомендуем опираться на следующее соотношение уровней защищенности и классов защищенности:
- для ИС 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности персональных данных;
- для ИС 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности персональных данных;
- для ИС 3 класса защищенности обеспечивают 3 и 4 уровни защищенности персональных данных.
- об определении уровня защищенности персональных данных по Требованиям, утвержденным ПП-1119;
- об определении класса защищенности, по Требованиям, утвержденным приказом ФСТЭК России № 117.
- определить границы систем, попадабщих под требования (ИСПДн, КИИ, ГИС);
- определить требования, применимые для каждого типа систем: ИСПДн, ГИС и КИИ;
- выбрать максимально возможный набор требований по защите информации системы, предъявляемый к ИСПДн, ГИС и КИИ (меры защиты должны быть совместимы);
- разработать единую организационно-распорядительную документацию для системы в сферах ИСПДн, КИИ и ГИС;
- разработать комплексный план защиты информации системы;
- внедрить единое управление ИБ системы.
Если для полного соответствия требованиям приказа ФСТЭК России № 117 требуются значительные финансовые вложения, неприемлемые для бизнеса, какие допустимые механизмы или послабления могут быть применены?
В информационном сообщении ФСТЭК России от 12.03.2026 № 240/22/1492 сказано: «с целью осуществления поэтапного перехода к реализации Требований ФСТЭК России рекомендует разработать в государственных органах и организациях план перехода, содержащий описание мероприятий и мер по защите информации, направленных на реализацию положений Требований, со сроками их реализации».
Помимо формирования плана, на этапе перехода к реализации Требований, утвержденных приказом ФСТЭК России, необходимо разработать и обосновать применение компенсирующих мер согласно п. 69 Требований, утвержденных приказом ФСТЭК России № 117.
При недостаточности ресурсов организация вправе:
Помимо формирования плана, на этапе перехода к реализации Требований, утвержденных приказом ФСТЭК России, необходимо разработать и обосновать применение компенсирующих мер согласно п. 69 Требований, утвержденных приказом ФСТЭК России № 117.
При недостаточности ресурсов организация вправе:
- выполнить поэтапно Требования, утвержденные приказом ФСТЭК России № 117;
- приоритизировать реализацию процедур по ЗИ в наиболее критичных сегментах;
- в случае необходимости – применить компенсирующие меры по ЗИ, но в обязательном прядке обосновать их применимость и в дальнейшем эффективность.
Существует ли рекомендуемый или типовой набор средств защиты информации для подрядчиков?
На текущий момент рекомендуемый или типовой набор СрЗИ для подрядных организаций отсутствует.
Перечень СрЗИ, необходимых для реализации Требований, утвержденных приказом ФСТЭК России № 117, а также процедур, описанных в методике, описывающей состав и содержание мероприятий и мер по ЗИ, зависит от:
Перечень СрЗИ, необходимых для реализации Требований, утвержденных приказом ФСТЭК России № 117, а также процедур, описанных в методике, описывающей состав и содержание мероприятий и мер по ЗИ, зависит от:
- архитектурных особенностей и используемых технологий;
- актуальных угроз;
- функционала уже имеющихся СрЗИ.
Допустимо ли использование несертифицированных операционных систем на конечных устройствах с наложенными сертифицированными средствами защиты информации, учитывая, что в ряде мер (например, ЗКУ.2) допускается использование исключительно механизмов безопасности сертифицированных операционных систем?
В текущей редакции Методики, описывающей состав и содержание мероприятий и мер по ЗИ на конечных устройствах для мер ЗКУ.1, ЗКУ.4 и ЗКУ.5 предполагается выбор в реализации мер путем применения механизмов безопасности сертифицированных операционных систем (ОС) и (или) сертифицированными средствами идентификации и аутентификации. Однако для меры ЗКУ. 2 контроль целостности ПО конечных устройств реализуется исключительно путем применения механизмов безопасности сертифицированных ОС.
Таким образом, текущая редакция Методики, описывающей состав и содержание мероприятий и мер по ЗИ, например ЗКУ.2, не допускает использования несертифицированных ОС на конечных устройствах с наложенными сертифицированными СрЗИ.
Также, согласно п. 70 Требований, утвержденных приказом ФСТЭК России № 117, на системном уровне ЗИ должна обеспечиваться посредством применения встроенных в аппаратное обеспечение и системное ПО СрЗИ. Таким образом, необходимо использовать только сертифицированную ОС.
Таким образом, текущая редакция Методики, описывающей состав и содержание мероприятий и мер по ЗИ, например ЗКУ.2, не допускает использования несертифицированных ОС на конечных устройствах с наложенными сертифицированными СрЗИ.
Также, согласно п. 70 Требований, утвержденных приказом ФСТЭК России № 117, на системном уровне ЗИ должна обеспечиваться посредством применения встроенных в аппаратное обеспечение и системное ПО СрЗИ. Таким образом, необходимо использовать только сертифицированную ОС.
При каких условиях и для каких классов ГИС обязательна реализация PAM-системы, учитывая, что в Методике по мерам её использование явно не указано?
Реализация процедур, приведенных в разделе 3.10 Методики, описывающей состав и содержание мероприятий и мер по ЗИ, связанных с обеспечением защиты при предоставлении привилегированного доступа, является обязательной для ИС всех классов защищенности. При этом, требования к реализации не устанавливают обязательность применения систем управления привилегированным доступом (PAM).
Описанные в «Требованиях к реализации» процедуры допускается выполнить, например, посредством:
Обращаем внимание, что мероприятия по ЗИ, приведенные в Методике, описывающей состав и содержание мероприятий и мер по ЗИ, обязательны к реализации вне зависимости от классов защищенности ИС.
Описанные в «Требованиях к реализации» процедуры допускается выполнить, например, посредством:
- встроенных механизмов сертифицированных ОС;
- систем управления доступом;
- многофакторной аутентификации;
- организационных мер.
Обращаем внимание, что мероприятия по ЗИ, приведенные в Методике, описывающей состав и содержание мероприятий и мер по ЗИ, обязательны к реализации вне зависимости от классов защищенности ИС.
При каких условиях и для каких классов ГИС обязательна реализация PAM-системы, учитывая, что в Методике по мерам её использование явно не указано?
Реализация процедур, приведенных в разделе 3.10 Методики, описывающей состав и содержание мероприятий и мер по ЗИ, связанных с обеспечением защиты при предоставлении привилегированного доступа, является обязательной для ИС всех классов защищенности. При этом, требования к реализации не устанавливают обязательность применения систем управления привилегированным доступом (PAM).
Описанные в «Требованиях к реализации» процедуры допускается выполнить, например, посредством:
Обращаем внимание, что мероприятия по ЗИ, приведенные в Методике, описывающей состав и содержание мероприятий и мер по ЗИ, обязательны к реализации вне зависимости от классов защищенности ИС.
Описанные в «Требованиях к реализации» процедуры допускается выполнить, например, посредством:
- встроенных механизмов сертифицированных ОС;
- систем управления доступом;
- многофакторной аутентификации;
- организационных мер.
Обращаем внимание, что мероприятия по ЗИ, приведенные в Методике, описывающей состав и содержание мероприятий и мер по ЗИ, обязательны к реализации вне зависимости от классов защищенности ИС.
Каким образом лучше организовать многофакторную аутентификацию при наличии разнородных устройств в организации?
При наличии разнородных устройств, реализация многофакторной аутентификации должна основываться на классификации устройств. Например, исходя из их типов (конечные, мобильные) или от степени критичности обрабатываемой информации. Исходя из этого, рекомендуем реализовать многофакторную аутентификацию непосредственно на точках входа, например, на уровне:
Отметим, что согласно с п. 69 Требований, утвержденных приказом ФСТЭК России № 117, допускается применение компенсирующих мер при отсутствии возможности реализации отдельных мероприятий и (или) принятия мер по ЗИ.
- клиента подключения к виртуальной частной сети (VPN);
- ОС;
- ИС;
- веб-приложения.
- управления идентификацией и доступом (IAM);
- единого входа (SSO);
- управления привилегированного доступа (PAM).
- классические аппаратные токены, например, продукты от «Рутокен» и «Аладдин Р.Д.», в т.ч. токены многофакторной аутентификации с применением технологии беспроводной передачи данных малого радиуса действия (NFC);
- одноразовые пароли (OTP) через мобильные приложения (Яндекс.Ключ, Google Authenticator);
- персональные токены с биометрической идентификацией по отпечаткам пальцев.
Отметим, что согласно с п. 69 Требований, утвержденных приказом ФСТЭК России № 117, допускается применение компенсирующих мер при отсутствии возможности реализации отдельных мероприятий и (или) принятия мер по ЗИ.
Если документ разработан с учётом того, что все меры могут быть реализованы с применением сертифицированных СрЗИ, и, например, предусмотрена сертифицированная песочница, но ее использование является слишком дорогостоящим, какими способами допускается компенсировать ее отсутствие, если в методике прямо указано, что мера реализуется сертифицированной песочницей?
Согласно Методике, описывающей состав и содержание мероприятий и мер по ЗИ, АВЗ.4 «Применение замкнутой системы (среды) предварительного выполнения программ («песочницы»)» предусматривает выполнение динамического анализа потенциально вредоносных объектов в изолированной среде.
В соответствии с п. 69 Требований, утвержденных приказом ФСТЭК России № 117, допускается применение компенсирующих мер при отсутствии возможности реализации отдельных мероприятий и (или) принятия мер по ЗИ. В качестве альтернативы замкнутой системе (среды) предварительного выполнения программ («песочницы») рекомендуем рассмотреть компиляцию следующих организационных и технических мер:
Обращаем внимание: АВЗ.4 «Применение замкнутой системы (среды) предварительного выполнения программ («песочницы»)» не включена в базовый набор мер ЗИ ни для одного из классов защищенности. Соответственно ее применение необходимо только в случае, если базового состава мер недостаточно для нейтрализации актуальных угроз безопасности информации.
В соответствии с п. 69 Требований, утвержденных приказом ФСТЭК России № 117, допускается применение компенсирующих мер при отсутствии возможности реализации отдельных мероприятий и (или) принятия мер по ЗИ. В качестве альтернативы замкнутой системе (среды) предварительного выполнения программ («песочницы») рекомендуем рассмотреть компиляцию следующих организационных и технических мер:
- применение средств антивирусной защиты с использованием сигнатурных, а также поведенческих и эвристических методов;
- использование EDR/XDR с целью выявления аномальной активности и реализации контроля поведенческого анализа конечных устройств;
- осуществление анализа сетевой активности посредством IDS/IPS;
- проведение сегментации ИС, обеспечение сбора и анализа событий ИБ;
- реагирование на компьютерные инциденты в соответствии с внутренними локальными нормативными документами по защите информации.
Обращаем внимание: АВЗ.4 «Применение замкнутой системы (среды) предварительного выполнения программ («песочницы»)» не включена в базовый набор мер ЗИ ни для одного из классов защищенности. Соответственно ее применение необходимо только в случае, если базового состава мер недостаточно для нейтрализации актуальных угроз безопасности информации.
Функционал почтовых сервисов, предоставляемых по модели подписки, имеет ограничения. При этом реализация требований по защите электронной почты (ЗЭП.4) согласно Методике, как правило, предполагает организацию собственной почтовой инфраструктуры.
Существуют ли альтернативные способы выполнения данных требований без развёртывания собственного почтового сервиса для малых организаций?
Реализация требований по защите электронной почты не всегда требует развертывания собственной почтовой инфраструктуры. Допускается использование облачных почтовых сервисов, при условии, что они соблюдают положения, предусмотренные Требованиями, утвержденными приказом ФСТЭК России № 117, и Методикой, описывающей состав и содержание мероприятий и мер по ЗИ.
В частности, используемый сервис должен обеспечивать:
Обращаем внимание, что ответственность за соответствие реализованных мер по ЗИ остается на стороне оператора, и выбор решения должен осуществляться исходя из его функциональных возможностей, а не модели размещения.
В частности, используемый сервис должен обеспечивать:
- анализ содержимого сообщений и вложений электронной почты;
- проверку ссылок на наличие фишинговых и вредоносных элементов;
- фильтрацию сообщений по информации об отправителе;
- возможность ретроспективного анализа сообщений;
- блокирование или помещение в карантин сообщений;
- использование репутационных механизмов и «песочниц» – при усилении.
Обращаем внимание, что ответственность за соответствие реализованных мер по ЗИ остается на стороне оператора, и выбор решения должен осуществляться исходя из его функциональных возможностей, а не модели размещения.
Существуют ли требования к удаленным работникам и к удаленным подключениям в рамках нормативных требований по защите информации?
К основным процедурам по обеспечению ЗИ при удаленном доступе к ИС и содержащейся в них информации можно отнести ряд мероприятий.
В соответствии с ГОСТ Р 58833-2020, необходимо применять усиленную или строгую аутентификацию, исходя из:
Также по согласованию со специалистами по ЗИ допускается предоставление удаленного доступа с использованием личных программно-аппаратных средств пользователя оператора при условии применения сертифицированных средств обеспечения безопасной дистанционной работы; антивирусной защиты и иных СрЗИ, исключающих угрозы безопасности информации, связанных с удаленным доступом.
Требования по обеспечению защиты информации при удаленном доступе пользователей к ИС и содержащейся в ней информации приведены в п. 46 Требований, утвержденных приказом ФСТЭК России № 117, а также в разделе 3.8 Методики, описывающей состав и содержание мероприятий и мер по ЗИ. Среди основных процедур можно выделить применение строгой аутентификации, а также обеспечение защиты каналов связи и контроля используемых устройств.
Отметим, что не допускаются рабочие станции, к которым не применяются корпоративные процедуры по ЗИ, для доступа к ГИС; иным ИС государственных органов, государственных унитарных предприятий и учреждений; МИС (если иное не установлено законодательством РФ).
В соответствии с ГОСТ Р 58833-2020, необходимо применять усиленную или строгую аутентификацию, исходя из:
- типа пользователя (внешний/внутренний);
- вида устройства (конечное/мобильное);
- типа доступа (удаленный, привилегированный/непривилегированный);
- класса защищенности ИС (К1/К2/К3).
Также по согласованию со специалистами по ЗИ допускается предоставление удаленного доступа с использованием личных программно-аппаратных средств пользователя оператора при условии применения сертифицированных средств обеспечения безопасной дистанционной работы; антивирусной защиты и иных СрЗИ, исключающих угрозы безопасности информации, связанных с удаленным доступом.
Требования по обеспечению защиты информации при удаленном доступе пользователей к ИС и содержащейся в ней информации приведены в п. 46 Требований, утвержденных приказом ФСТЭК России № 117, а также в разделе 3.8 Методики, описывающей состав и содержание мероприятий и мер по ЗИ. Среди основных процедур можно выделить применение строгой аутентификации, а также обеспечение защиты каналов связи и контроля используемых устройств.
Отметим, что не допускаются рабочие станции, к которым не применяются корпоративные процедуры по ЗИ, для доступа к ГИС; иным ИС государственных органов, государственных унитарных предприятий и учреждений; МИС (если иное не установлено законодательством РФ).
Если для аттестуемого объекта (например, одного АРМ ДСП) приобретение сертифицированной SIEM-системы нецелесообразно, допустимо ли в качестве компенсирующей меры использование несертифицированного решения?
Согласно п. 71 Требований, утвержденных приказом ФСТЭК России № 117, применение несертифицированных СрЗИ не допускается.
В случае небольшой инфраструктуры и ограниченного количества источников событий в качестве альтернативы SIEM-системы рекомендуем рассмотреть совокупность следующих организационных и технических мер:
При увеличении масштаба инфраструктуры, количества источников событий внедрение SIEM-системы/подключение к SOC становится необходимым для обеспечения полноты и своевременности выявления инцидентов ИБ.
В случае небольшой инфраструктуры и ограниченного количества источников событий в качестве альтернативы SIEM-системы рекомендуем рассмотреть совокупность следующих организационных и технических мер:
- осуществление централизованного сбора событий с использованием syslog-сервера;
- выявление инцидентов на уровне конечных устройств посредством EDR/XDR;
- анализ сетевых атак посредством IDS/IPS;
- реагирование на компьютерные инциденты в соответствии с внутренними локальными нормативными документами по защите информации.
При увеличении масштаба инфраструктуры, количества источников событий внедрение SIEM-системы/подключение к SOC становится необходимым для обеспечения полноты и своевременности выявления инцидентов ИБ.
Требования приказа ФСТЭК России № 117 существенно выше требований приказов № 17 и № 21. Каким образом дошкольным образовательным учреждениям обеспечивать выполнение требований приказа № 117 при ограниченном финансировании, когда ресурсов с трудом хватает даже на выполнение требований приказа № 21?
Если в дошкольном учреждении используется МИС, то оператору необходимо выполнить Требования, утвержденные приказом ФСТЭК России № 117, если иное не установлено законодательством РФ.
При отсутствии финансовых ресурсов рекомендуем разработать поэтапный план перехода к реализации Требований, утвержденных приказом ФСТЭК России, содержание которого приведено в информационном сообщении ФСТЭК России от 12.03.2026 № 240/22/1492.
В соответствии с п. 69 Требований, утвержденных приказом ФСТЭК России № 117, при отсутствии возможности реализации отдельных мер или мероприятий по ЗИ допускается разработка и внедрение компенсирующих мер. Однако в таком случае необходимо обосновать применение и достаточность этих компенсирующих мер, а при аттестации подтвердить их эффективность.
При отсутствии финансовых ресурсов рекомендуем разработать поэтапный план перехода к реализации Требований, утвержденных приказом ФСТЭК России, содержание которого приведено в информационном сообщении ФСТЭК России от 12.03.2026 № 240/22/1492.
В соответствии с п. 69 Требований, утвержденных приказом ФСТЭК России № 117, при отсутствии возможности реализации отдельных мер или мероприятий по ЗИ допускается разработка и внедрение компенсирующих мер. Однако в таком случае необходимо обосновать применение и достаточность этих компенсирующих мер, а при аттестации подтвердить их эффективность.
Как рассчитывать КЗИ для организации, если есть два подразделения ИБ: одно отвечает за системы, где юрлицо является владельцем и оператором, второе — только за системы, где оно выступает оператором, а владелец — другое юрлицо.
Учитывая, что отчет во ФСТЭК России направляет оператор, как в этом случае правильно оформлять отчетность: один отчет на юрлицо или допустимо два?
Согласно Требованиям, утвержденным приказом ФСТЭК России № 117, от оператора направляется единый отчет по расчету показателя, характеризующего текущее состояние ЗИ от базового уровня угроз безопасности информации (Кзи). Отчет отправляется от юридического лица в целом.
Предлагаем организовать процесс расчета показателя Кзи в вашей структуре следующим образом:
1.Разработать внутренний регламент сбора данных, где 2 подразделение передает свои расчеты 1 (или специально назначенному координатору) для формирования единого отчета для отправки во ФСТЭК России.
2.Включить в расчет Кзи все системы, в которых юридическое лицо выполняет функции оператора, независимо от того, является оно их владельцем или нет.
3.Проанализировать результаты.
Если по результатам расчета показателей получены различные значения по одной и той же группе частных показателей, то при расчете показателя защищенности Кзи необходимо учитывать минимальное значение частных показателей.
4. Выставить итоговые оценки показателя защищенности Кзи.
5. Отправить результаты оценки показателя Кзи во ФСТЭК России в срок не позднее 5 рабочих дней после дня расчета.
Предлагаем организовать процесс расчета показателя Кзи в вашей структуре следующим образом:
1.Разработать внутренний регламент сбора данных, где 2 подразделение передает свои расчеты 1 (или специально назначенному координатору) для формирования единого отчета для отправки во ФСТЭК России.
2.Включить в расчет Кзи все системы, в которых юридическое лицо выполняет функции оператора, независимо от того, является оно их владельцем или нет.
- 1 подразделение: рассчитывает показатели для систем «Владелец + Оператор».
- 2 подразделение: рассчитывает показатели для систем «Только оператор» и перелает результаты расчета в 1 подразделение.
3.Проанализировать результаты.
Если по результатам расчета показателей получены различные значения по одной и той же группе частных показателей, то при расчете показателя защищенности Кзи необходимо учитывать минимальное значение частных показателей.
4. Выставить итоговые оценки показателя защищенности Кзи.
5. Отправить результаты оценки показателя Кзи во ФСТЭК России в срок не позднее 5 рабочих дней после дня расчета.
Как рассчитывать КЗИ для организации, если есть два подразделения ИБ: одно отвечает за системы, где юрлицо является владельцем и оператором, второе — только за системы, где оно выступает оператором, а владелец — другое юрлицо.
Учитывая, что отчет во ФСТЭК России направляет оператор, как в этом случае правильно оформлять отчетность: один отчет на юрлицо или допустимо два?
Согласно Требованиям, утвержденным приказом ФСТЭК России № 117, от оператора направляется единый отчет по расчету показателя, характеризующего текущее состояние ЗИ от базового уровня угроз безопасности информации (Кзи). Отчет отправляется от юридического лица в целом.
Предлагаем организовать процесс расчета показателя Кзи в вашей структуре следующим образом:
1.Разработать внутренний регламент сбора данных, где 2 подразделение передает свои расчеты 1 (или специально назначенному координатору) для формирования единого отчета для отправки во ФСТЭК России.
2.Включить в расчет Кзи все системы, в которых юридическое лицо выполняет функции оператора, независимо от того, является оно их владельцем или нет.
Если по результатам расчета показателей получены различные значения по одной и той же группе частных показателей, то при расчете показателя защищенности Кзи необходимо учитывать минимальное значение частных показателей.
4. Выставить итоговые оценки показателя защищенности Кзи.
5. Отправить результаты оценки показателя Кзи во ФСТЭК России в срок не позднее 5 рабочих дней после дня расчета.
Предлагаем организовать процесс расчета показателя Кзи в вашей структуре следующим образом:
1.Разработать внутренний регламент сбора данных, где 2 подразделение передает свои расчеты 1 (или специально назначенному координатору) для формирования единого отчета для отправки во ФСТЭК России.
2.Включить в расчет Кзи все системы, в которых юридическое лицо выполняет функции оператора, независимо от того, является оно их владельцем или нет.
- 1 подразделение: рассчитывает показатели для систем «Владелец + Оператор».
- 2 подразделение: рассчитывает показатели для систем «Только оператор» и перелает результаты расчета в 1 подразделение.
Если по результатам расчета показателей получены различные значения по одной и той же группе частных показателей, то при расчете показателя защищенности Кзи необходимо учитывать минимальное значение частных показателей.
4. Выставить итоговые оценки показателя защищенности Кзи.
5. Отправить результаты оценки показателя Кзи во ФСТЭК России в срок не позднее 5 рабочих дней после дня расчета.
Расчет Кзи должен проводиться отдельно по каждой информационной системе или в целом по организации?
Расчет показателя Кзи необходим для ИС, на которые распространяются Требования, утвержденные приказом ФСТЭК России № 117, а именно:
В соответствии с п. 28 Методики оценки показателя состояния технической ЗИ в ИС для оценки показателя защищенности КЗИ определяются значения частных показателей безопасности.
В соответствии с п. 31 Методики оценки показателя состояния технической ЗИ в ИС в случае если в информационной инфраструктуре органа (организации) функционирует несколько ИС, подлежащих защите в соответствии с нормативными правовыми актами РФ, и по результатам расчета для указанных систем получены различные значения по одной и той же группе частных показателей, то при расчете показателя защищенности КЗИ необходимо учитывать минимальное значение частных показателей.
Из этого следует, что расчет частных показателей выполняется по всем ИС, на которые распространяются Требования, утвержденных приказом ФСТЭК России № 117. Однако в итоговую оценку показателя защищенности КЗИ для всей инфраструктуры оператора должны быть включены минимальные значения частных показателей. В итоге расчета должно быть получено одно значение, характеризующее текущее состояние защиты информации
- ГИС;
- иные ИС государственных органов, государственных унитарных предприятий, государственных учреждений (п. 1 Требований, утвержденных приказом ФСТЭК России № 117);
- МИС, если иное не установлено законодательством РФ (п.3 Требований, утвержденных приказом ФСТЭК России № 117).
В соответствии с п. 28 Методики оценки показателя состояния технической ЗИ в ИС для оценки показателя защищенности КЗИ определяются значения частных показателей безопасности.
В соответствии с п. 31 Методики оценки показателя состояния технической ЗИ в ИС в случае если в информационной инфраструктуре органа (организации) функционирует несколько ИС, подлежащих защите в соответствии с нормативными правовыми актами РФ, и по результатам расчета для указанных систем получены различные значения по одной и той же группе частных показателей, то при расчете показателя защищенности КЗИ необходимо учитывать минимальное значение частных показателей.
Из этого следует, что расчет частных показателей выполняется по всем ИС, на которые распространяются Требования, утвержденных приказом ФСТЭК России № 117. Однако в итоговую оценку показателя защищенности КЗИ для всей инфраструктуры оператора должны быть включены минимальные значения частных показателей. В итоге расчета должно быть получено одно значение, характеризующее текущее состояние защиты информации
Если требуется аттестация нескольких автономных АРМ ДСП, необходимо ли учитывать КЗИ для всех информационных систем организации, если эти АРМ не связаны с остальной сетевой инфраструктурой?
Несмотря на то, что аттестации подлежат только АРМ для обработки информации «Для служебного пользования» (ДСП), при расчете показателя Кзи для организации необходимо учитывать все ИС организации.
Показатель Кзи для АРМ ДСП может существенно отличаться от показателей для остальных ИС, так как влияние внешних систем минимально.
Тем не менее, цель оценки показателя Кзи – принятие в организации управленческих решений в части необходимости реализации первоочередных мер по защите информации от актуальных угроз безопасности информации и их приоритетности.
Мы рекомендуем рассчитывать показатель Кзи, учитывая все ИС организации.
Показатель Кзи для АРМ ДСП может существенно отличаться от показателей для остальных ИС, так как влияние внешних систем минимально.
Тем не менее, цель оценки показателя Кзи – принятие в организации управленческих решений в части необходимости реализации первоочередных мер по защите информации от актуальных угроз безопасности информации и их приоритетности.
Мы рекомендуем рассчитывать показатель Кзи, учитывая все ИС организации.
Какой сертификат соответствия по защите информации требуется? Подойдёт ли сертификат по ГОСТ Р 57580.1?
Процедура сертификации проводится в отношении средств ЗИ (СрЗИ). В соответствии с п. 71 Требований, утвержденным приказом ФСТЭК России № 117, для ЗИ должны применяться сертифицированные СрЗИ. В соответствии с п. 72 Требований, утвержденным приказом ФСТЭК России № 117, применяемые сертифицированные СрЗИ должны соответствовать определенному классу защиты и уровню доверия.
Порядок проведения сертификации СрЗИ регламентирован приказом ФСТЭК России от 03.04.2018 № 55 «Об утверждении положения о системе сертификации средств защиты информации». Уровни, характеризующие безопасность применения средств для обработки и ЗИ, устанавливаются в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической ЗИ и средствам обеспечения безопасности информационных технологий, утвержденными приказом ФСТЭК России от 02.06.2020 № 76. В результате процедуры сертификации ФСТЭК России и (или) ФСБ России, в зависимости от выбранной системы сертификации, выдают сертификат соответствия определенным требованиям, а также делают запись в следующих реестрах:
В отношении ИС может быть проведена процедура аттестации на соответствие каким-либо требованиям. Аттестация по Требованиям, утвержденным приказом ФСТЭК России № 117, проводится для подтверждения достаточности принятых мер защиты ИС и содержащейся в них информации до начала обработки и (или) хранения информации в государственных ИС (ГИС) (п. 65 Требований, утвержденным приказом ФСТЭК России № 117). Аттестация объектов информатизации проводится в соответствии с приказом ФСТЭК России от 29.04.2021 № 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не содержащей государственную тайну». В результате процедуры аттестации в отношении ИС, орган по аттестации выдает аттестат соответствия заявленным при аттестации требованиям.
Если ИС применяется для реализации функций финансовой организации, обрабатывает чувствительные сведения о финансовых операциях, но при этом не является ГИС, иной ИС государственных органов, государственных унитарных предприятий, государственных учреждений; объектом критической информационной инфраструктуры; информационной системой персональных данных, то будет достаточно, чтобы система соответствовала только требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (ГОСТ Р 57580.1-2017). Подтверждение реализации требований ГОСТ Р 57580.1-2017 осуществляется в форме оценки соответствия ЗИ согласно ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Процедура реализации оценки соответствия ЗИ может быть проведена по форме аттестации, то есть может сопровождаться разработкой программы и методики испытаний, формирования протоколов и заключения по результатам проведения оценки соответствия ЗИ. В данном случае результирующим документом будет именно заключение по результатам проведения оценки соответствия ЗИ, а не аттестат соответствия.
Порядок проведения сертификации СрЗИ регламентирован приказом ФСТЭК России от 03.04.2018 № 55 «Об утверждении положения о системе сертификации средств защиты информации». Уровни, характеризующие безопасность применения средств для обработки и ЗИ, устанавливаются в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической ЗИ и средствам обеспечения безопасности информационных технологий, утвержденными приказом ФСТЭК России от 02.06.2020 № 76. В результате процедуры сертификации ФСТЭК России и (или) ФСБ России, в зависимости от выбранной системы сертификации, выдают сертификат соответствия определенным требованиям, а также делают запись в следующих реестрах:
- Государственный реестр сертифицированных СрЗИ в системе сертификации ФСТЭК России;
- Выписка из перечня СрЗИ, сертифицированных ФСБ России.
В отношении ИС может быть проведена процедура аттестации на соответствие каким-либо требованиям. Аттестация по Требованиям, утвержденным приказом ФСТЭК России № 117, проводится для подтверждения достаточности принятых мер защиты ИС и содержащейся в них информации до начала обработки и (или) хранения информации в государственных ИС (ГИС) (п. 65 Требований, утвержденным приказом ФСТЭК России № 117). Аттестация объектов информатизации проводится в соответствии с приказом ФСТЭК России от 29.04.2021 № 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не содержащей государственную тайну». В результате процедуры аттестации в отношении ИС, орган по аттестации выдает аттестат соответствия заявленным при аттестации требованиям.
Если ИС применяется для реализации функций финансовой организации, обрабатывает чувствительные сведения о финансовых операциях, но при этом не является ГИС, иной ИС государственных органов, государственных унитарных предприятий, государственных учреждений; объектом критической информационной инфраструктуры; информационной системой персональных данных, то будет достаточно, чтобы система соответствовала только требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (ГОСТ Р 57580.1-2017). Подтверждение реализации требований ГОСТ Р 57580.1-2017 осуществляется в форме оценки соответствия ЗИ согласно ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Процедура реализации оценки соответствия ЗИ может быть проведена по форме аттестации, то есть может сопровождаться разработкой программы и методики испытаний, формирования протоколов и заключения по результатам проведения оценки соответствия ЗИ. В данном случае результирующим документом будет именно заключение по результатам проведения оценки соответствия ЗИ, а не аттестат соответствия.
Если ГИС одновременно является значимым объектом критической информационной инфраструктуры, и оператор использует услуги внешнего центра ГосСОПКА, требуется ли аттестация инфраструктуры этого центра с учётом новых требований о непрерывном взаимодействии с ГосСОПКА?
Если оператор ГИС, которая одновременно является значимым объектом критической информационной инфраструктуры (ЗОКИИ), использует услуги внешнего центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), требуется аттестация его инфраструктуры. Аттестацию инфраструктуры внешнего центра ГосСОПКА проводят не операторы ГИС/ЗОКИИ, а сам центр ГосСОПКА- компания, которая им владеет. Данная аттестация осуществляется в рамках процесса получения лицензии на деятельность по технической защите информации, в частности на деятельность по мониторингу информационной безопасности средств и систем информатизации.
Стоит помнить, что при взаимодействии с внешним центром ГосСОПКА процесс аттестации ГИС и выбор партнера дожен соответствовать следующим условиям:
Стоит помнить, что при взаимодействии с внешним центром ГосСОПКА процесс аттестации ГИС и выбор партнера дожен соответствовать следующим условиям:
- внешний центр ГосСОПКА имеет действующее соглашение с НКЦКИ и соответствует требованиям ФСБ к центрам ГосСОПКА;
- провайдер обязан иметь лицензии на деятельность по технической защите конфиденциальной информации (ТЗКИ), включая мониторинг ИБ.
Если ГИС одновременно является значимым объектом критической информационной инфраструктуры, и оператор использует услуги внешнего центра ГосСОПКА, требуется ли аттестация инфраструктуры этого центра с учётом новых требований о непрерывном взаимодействии с ГосСОПКА?
Если оператор ГИС, которая одновременно является значимым объектом критической информационной инфраструктуры (ЗОКИИ), использует услуги внешнего центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), требуется аттестация его инфраструктуры. Аттестацию инфраструктуры внешнего центра ГосСОПКА проводят не операторы ГИС/ЗОКИИ, а сам центр ГосСОПКА- компания, которая им владеет. Данная аттестация осуществляется в рамках процесса получения лицензии на деятельность по технической защите информации, в частности на деятельность по мониторингу информационной безопасности средств и систем информатизации.
Стоит помнить, что при взаимодействии с внешним центром ГосСОПКА процесс аттестации ГИС и выбор партнера дожен соответствовать следующим условиям:
Стоит помнить, что при взаимодействии с внешним центром ГосСОПКА процесс аттестации ГИС и выбор партнера дожен соответствовать следующим условиям:
- внешний центр ГосСОПКА имеет действующее соглашение с НКЦКИ и соответствует требованиям ФСБ к центрам ГосСОПКА;
- провайдер обязан иметь лицензии на деятельность по технической защите конфиденциальной информации (ТЗКИ), включая мониторинг ИБ.
Требуется ли проведение модернизации системы в соответствии с требованиями приказа ФСТЭК России № 117, если у организации уже имеется аттестат соответствия, выданный по требованиям приказа ФСТЭК России № 17, с учётом Информационного сообщения ФСТЭК России от 12 марта 2026 г. № 240/22/1492?
При наличии аттестата соответствия Требованиям, утвержденным приказом ФСТЭК России № 17, работы по модернизации рекомендуем проводить по Требованиям, утвержденным приказом ФСТЭК России № 117. Возможно, в ближайшее время стоит ожидать пояснения по этому вопросу от ФСТЭК России.
Обращаем внимание, что в соответствии с п. 2 приказа ФСТЭК России № 117, приказ ФСТЭК России № 17 признан утратившим силу.
Обращаем внимание, что в соответствии с п. 2 приказа ФСТЭК России № 117, приказ ФСТЭК России № 17 признан утратившим силу.
Легитимно ли проводить контроль защищённости в соответствии с приказом ФСТЭК России № 77 для уже аттестованных ГИС по мерам, установленным приказом ФСТЭК России № 17?
Официальных разъяснений от ФСТЭК России по данному вопросу в настоящий момент нет. Однако в соответствии с информационным сообщением ФСТЭК России от 12.03.2026 № 240/22/1492 рекомендуем сформировать план приведения внутренних процессов на в соответствие Требованиям, утвержденным приказом ФСТЭК России № 117 и проводить контроль защищенности ГИС, аттестованных по Требованиям, утвержденным приказом ФСТЭК России № 17, согласно Требованиям, утвержденным приказом ФСТЭК России № 117.
Где установлены требования к аттестации центра обработки данных (ЦОД) по приказу ФСТЭК России № 117 для размещения информационной системы, уже аттестованной по данному приказу?
Напрямую требования к аттестации ЦОД не предъявляются. Однако обращаем внимание на то, что согласно п. 8 Требований, утвержденных приказом ФСТЭК России № 117, функционирование ИС на базе информационно-телекоммуникационной инфраструктуры допускается при условии защиты информационно-телекоммуникационной инфраструктуры в соответствии с Требованиями, утвержденными приказом ФСТЭК России № 117.
Соответственно владельцы ЦОД при оказании услуг должны предоставлять сведения, подтверждающие соответствие установленным требованиям. Одним из способов подтверждения соответствия реализованных мер и мероприятий по ЗИ является аттестация.
Также по информации, озвученной представителем ФСТЭК России в рамках Форума «Технологии и безопасность» 2026 г., ИС, аттестованная по Требованиям, утвержденным приказом ФСТЭК России № 117, может размещаться только в инфраструктуре (ЦОД), аттестованной по Требованиям приказа ФСТЭК России № 117
Соответственно владельцы ЦОД при оказании услуг должны предоставлять сведения, подтверждающие соответствие установленным требованиям. Одним из способов подтверждения соответствия реализованных мер и мероприятий по ЗИ является аттестация.
Также по информации, озвученной представителем ФСТЭК России в рамках Форума «Технологии и безопасность» 2026 г., ИС, аттестованная по Требованиям, утвержденным приказом ФСТЭК России № 117, может размещаться только в инфраструктуре (ЦОД), аттестованной по Требованиям приказа ФСТЭК России № 117
Как определяется «профильное образование» — существует ли утвержденный перечень специальностей?
В соответствии с п. 20 Требований о защите информации (ЗИ), содержащейся в государственных информационных системах (ИС), иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11.04.2025 № 117, не менее 30 процентов работников структурного подразделения по ЗИ должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности (ИБ) или пройти обучение по программе профессиональной переподготовки в области ИБ.
- Перечень видов специальностей с указанием их принадлежности к тому или иному направлению представлен в Общероссийском классификаторе специальностей по образованию.
- Перечни профессий, специальностей и направлений подготовки утверждаются Министерством науки и высшего образования Российской Федерации (Минобрнауки России). При утверждении новых перечней Минобрнауки России может устанавливать соответствие между утвержденными перечнями и ранее действующими перечнями специальностей (Письмо Минобрнауки России от 22.02.2019 № МН-2.1/729 «Об ОКСО и перечнях специальностей и направлений подготовки»). С целью упрощения применения установленных соответствий новых и старых перечней Министерство направляет для использования в работе единый переходник – приложение к письму Минобрнауки России от 24.06.2014 N АК-1666/05 «Об установлении соответствий при утверждении новых перечней профессий, специальностей и направлений подготовки указанным в предыдущих перечнях профессий, специальностей и направлений подготовки». Если есть сомнения в правильности определения соответствия предыдущего кода профессии, специальности или направления подготовки с новым кодом можно направить соответствующий запрос в Минобрнауки России.
- В случае, когда в дипломе указан общий или некорректный код специальности, необходимо подтвердить фактическую подготовку профильному уровню в области ИБ, например, следующими способами:
- дополнительные документы: можно предоставить документы, подтверждающие профильную подготовку. Например, выписки из учебных планов, сертификаты, свидетельства о прохождении профильных курсов, подтверждающие специализацию в ИБ;
- академические справки или выписки: получить от учебного заведения справку или выписку, где указана конкретная специализация или профиль подготовки, несмотря на общий код диплома.
Может ли организация самостоятельно проводить оценку эффективности неаттестованных объектов, или для этого необходимо привлекать лицензиата?
Работы по оценке эффективности неаттестованных ИС допускается провести самостоятельно. Привлечение лицензиата для выполнения таких работ согласно Требованиям, утвержденным приказом ФСТЭК России № 117, не обязательно.
В организации близкий подрядчик выполняет администрирование сети и серверов, в том числе с системой 1С. Как корректно возложить на подрядчика обязанности по соблюдению требований информационной безопасности и разработке мер по защите информации?
Для выполнения подрядными организациями обязанностей по соблюдению требований ИБ и разработке мер по ЗИ рекомендуем выполнить следующие действия:
- Включить в договор требования по обеспечению ИБ. При этом, в случае обработки информации в инфраструктуре подрядной организации, ресурсы подрядчика должны быть защищены по классу не ниже, чем у оператора. Также подрядная организация и ее работники должны быть осведомлены о требованиях, зафиксированных в ОРД оператора в части выполняемых работ.
- Обеспечить контроль копирования информации. Рекомендуем ограничить возможность копирования информации подрядчиком техническими средствами или посредством включения соответствующих формулировок в договор с подрядной организацией.
- Обеспечить запрет на разработку и тестирование ПО в промышленном контуре. Требования, утвержденные приказом ФСТЭК России № 117, прямо запрещают разработку и тестирование ПО в эксплуатируемых ИС оператора. Необходимо использовать для этих целей только изолированные стенды.
Если ГИС размещена в облачной инфраструктуре, требуется ли запрашивать у облачного провайдера аттестат соответствия требованиям, утвержденным приказом ФСТЭК России № 117?
В случае, если у ГИС есть действующий аттестат соответствия требованиям, утвержденным приказом ФСТЭК России № 17, наличие аттестата у облачного провайдера не является обязательным. Однако в соответствии с информационным сообщением ФСТЭК России от 12.03.2026 № 240/22/1492 у облачного провайдера все же следует проверять наличие плана приведения внутренних процессов на в соответствие Требованиям, утвержденным приказом ФСТЭК России № 117.
Так как применяемые системы периодически модернизируются и переход на Требования, утвержденные приказом ФСТЭК России №117 больше вопрос времени, чем процесс, который можно рассматривать как однозначно применимый или не применимый к операторам облачных провайдеров.
Также согласно п. 58 Требований, утвержденных приказом ФСТЭК России № 117, «оператором (обладателем информации) в отношении подрядной организации должны быть установлены требования по обеспечению защиты информации, к которой получен доступ». Соответственно оператор (обладатель информации) вправе запросить у облачного провайдера аттестат соответствия требованиям по защите информации.
В соответствии с п. 8 приложения к Требованиям, утвержденным приказом ФСТЭК России № 117, «классы защищенности информационных систем, функционирующих на базе информационно-телекоммуникационной инфраструктуры, не должны быть выше класса защищенности этой информационно-телекоммуникационной инфраструктуры».
Обращаем внимание, что по информации, озвученной представителем ФСТЭК России в рамках Форума «Технологии и безопасность» 2026 г., ИС, аттестованная по Требованиям, утвержденным приказом ФСТЭК России № 117, может размещаться только в инфраструктуре (центре обработки данных, аттестованной по Требованиям, утвержденными приказом ФСТЭК России № 117.
Так как применяемые системы периодически модернизируются и переход на Требования, утвержденные приказом ФСТЭК России №117 больше вопрос времени, чем процесс, который можно рассматривать как однозначно применимый или не применимый к операторам облачных провайдеров.
Также согласно п. 58 Требований, утвержденных приказом ФСТЭК России № 117, «оператором (обладателем информации) в отношении подрядной организации должны быть установлены требования по обеспечению защиты информации, к которой получен доступ». Соответственно оператор (обладатель информации) вправе запросить у облачного провайдера аттестат соответствия требованиям по защите информации.
В соответствии с п. 8 приложения к Требованиям, утвержденным приказом ФСТЭК России № 117, «классы защищенности информационных систем, функционирующих на базе информационно-телекоммуникационной инфраструктуры, не должны быть выше класса защищенности этой информационно-телекоммуникационной инфраструктуры».
Обращаем внимание, что по информации, озвученной представителем ФСТЭК России в рамках Форума «Технологии и безопасность» 2026 г., ИС, аттестованная по Требованиям, утвержденным приказом ФСТЭК России № 117, может размещаться только в инфраструктуре (центре обработки данных, аттестованной по Требованиям, утвержденными приказом ФСТЭК России № 117.
Какие предусмотрены штрафы за несоблюдение требований приказа ФСТЭК России № 117?
За несоблюдение Требований, утвержденных приказом ФСТЭК России № 117, предусмотрена ответственность согласно КоАП РФ. Так, может применяться ч. 6. ст. 13.12 КоАП РФ Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РclФ, которая влечет наложение административного штрафа для:
- должностных лиц: от 10 до 50 тыс. руб.;
- юридических лиц: от 50 до 100 тыс. руб.
- должностных лиц: от 40 до 50 тыс. руб. или дисквалификацию на срок до трех лет;
- юридических лиц: от 100 до 200 тыс. руб.
Какие меры будет применять ФСТЭК России в случае, если организация не предоставляет значение КЗИ для аттестованной системы в установленные сроки — два раза в год?
В соответствии с п. 32 Требований, утвержденных приказом ФСТЭК России № 117, расчет и оценка показателя защищенности Кзи должны проводиться оператором (обладателем информации) не реже одного раза в шесть месяцев. Также в соответствии с указанным пунктом результаты оценки показателя защищенности Кзи в срок не позднее 5 рабочих дней после дня их расчета должны направляться оператором (обладателем информации) в ФСТЭК России.
ФСТЭК России осуществляет надзор за выполнением Требований, утвержденных приказом ФСТЭК России № 117. Если информация не поступает в ФСТЭК России в установленный срок, это становится основанием для подозрения оператора (обладателя информации) в нарушении Требований, утвержденных приказом ФСТЭК России № 117. ФСТЭК России имеет полномочия на ведение учета поступивших данных и может фиксировать отсутствие отчетов в своих системах мониторинга (п.8 п.п. 6(1) Положения о ФСТЭК России, утвержденным Указом Президента РФ от 16.08.2004 №1085 «Вопросы Федеральной Службы по техническому и экспортному контролю».
Это позволяет выявлять организации, не выполняющие обязательства по предоставлению информации, однако правоприменительная практика не известна.
Также ФСТЭК России может проводить проверки в соответствии с п. 4 Положения о ФСТЭК России, утвержденным Указом Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю», в ходе которых оценивается выполнение установленных требований.
Поскольку указанная в вопросе система имеет аттестат соответствия, то в отношении нее должны проводиться работы по периодическому контролю уровня защиты, включающие проверку реализации мер и мероприятий по ЗИ, в числе которых есть и расчет Кзи и Пзи. Отсутствие процесса расчета Кзи и Пзи или систематическое нарушение требований по расчету Кзи и Пзи может привести к выявлению нарушений органом по аттестации в рамках проведения периодического контроля. На основании отправленного во ФСТЭК России отчета о проведении периодического контроля с зафиксированными выявленными недостатками в отношении организации может быть сформировано уведомлении о приостановлении действия аттестата соответствия с возможностью предоставления сведений, подтверждающих устранение недостатков. При непредоставлении ведений об устранении недостатков ФСТЭК России может приостановить действие аттестата соответствия.
Отметим, что согласно п.17 Методики оценки показателя состояния технической ЗИ в ИС в случае, если оператор (обладатель информации) направил результаты оценки показателя защищенности Кзи в ФСТЭК России, но по запросу ФСТЭК России не предоставил в течении 30 дней материалы (часть материалов), используемые для оценки частных показателей, то показателю КЗИ и (или) соответствующим частным показателям безопасности kji присваивается значение 0.
Также за несоблюдение Требований, утвержденных приказом ФСТЭК России № 117, предусмотрена административная ответственность в соответствии КоАП РФ.
ФСТЭК России осуществляет надзор за выполнением Требований, утвержденных приказом ФСТЭК России № 117. Если информация не поступает в ФСТЭК России в установленный срок, это становится основанием для подозрения оператора (обладателя информации) в нарушении Требований, утвержденных приказом ФСТЭК России № 117. ФСТЭК России имеет полномочия на ведение учета поступивших данных и может фиксировать отсутствие отчетов в своих системах мониторинга (п.8 п.п. 6(1) Положения о ФСТЭК России, утвержденным Указом Президента РФ от 16.08.2004 №1085 «Вопросы Федеральной Службы по техническому и экспортному контролю».
Это позволяет выявлять организации, не выполняющие обязательства по предоставлению информации, однако правоприменительная практика не известна.
Также ФСТЭК России может проводить проверки в соответствии с п. 4 Положения о ФСТЭК России, утвержденным Указом Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю», в ходе которых оценивается выполнение установленных требований.
Поскольку указанная в вопросе система имеет аттестат соответствия, то в отношении нее должны проводиться работы по периодическому контролю уровня защиты, включающие проверку реализации мер и мероприятий по ЗИ, в числе которых есть и расчет Кзи и Пзи. Отсутствие процесса расчета Кзи и Пзи или систематическое нарушение требований по расчету Кзи и Пзи может привести к выявлению нарушений органом по аттестации в рамках проведения периодического контроля. На основании отправленного во ФСТЭК России отчета о проведении периодического контроля с зафиксированными выявленными недостатками в отношении организации может быть сформировано уведомлении о приостановлении действия аттестата соответствия с возможностью предоставления сведений, подтверждающих устранение недостатков. При непредоставлении ведений об устранении недостатков ФСТЭК России может приостановить действие аттестата соответствия.
Отметим, что согласно п.17 Методики оценки показателя состояния технической ЗИ в ИС в случае, если оператор (обладатель информации) направил результаты оценки показателя защищенности Кзи в ФСТЭК России, но по запросу ФСТЭК России не предоставил в течении 30 дней материалы (часть материалов), используемые для оценки частных показателей, то показателю КЗИ и (или) соответствующим частным показателям безопасности kji присваивается значение 0.
Также за несоблюдение Требований, утвержденных приказом ФСТЭК России № 117, предусмотрена административная ответственность в соответствии КоАП РФ.
Как действовать специалисту по защите информации в следующей ситуации без увольнения?
Действительно, возникают ситуации, когда специалисту по защите информации сложно обосновать руководству необходимость инвестиций в обеспечение ИБ. Мы предлагаем варианты, которые позволят более эффективно аргументировать целесообразность выделения бюджета в обеспечение ИБ.
1. Предоставьте руководству аргументированное обоснование необходимости выделения ресурсов для обеспечения ИБ, включающее:
Если руководство отклонит ваши предложения, например, по приобретению межсетевого экрана, а после будет выявлен инцидент ИБ, вы сможете доказать свою невиновность или обосновать выполнение всех возможных действий по ЗИ. В данном случае доказательствами будут ранее представленные и официально задокументированные предложения о выделении необходимых ресурсов.
3. В соответствии с п. 32 Требований, утвержденных приказом ФСТЭК России № 117, необходимо информировать:
Также отметим, что выполнение данного требования необходимо осуществлять на регулярной основе:
1. Предоставьте руководству аргументированное обоснование необходимости выделения ресурсов для обеспечения ИБ, включающее:
- перечень потенциальных негативных последствий (инцидентов), которые могут возникнуть в случае недостаточного применения мер по ЗИ;
- перечень выявленных в ходе внутреннего аудита недостатков системы ЗИ с обоснованием их критичности для организации;
- отчет о проведенном анализе рисков в области ИБ и оценке возможных последствий их реализации;
- обоснование необходимости соблюдения требований законодательства в области ЗИ с юридической и регуляторной точки зрения;
- сравнительный анализ потенциального ущерба (недополучению прибыли, нарушения основных производственных процессов) от реализации рисков ИБ и стоимости внедрение мер защиты на их нейтрализацию;
- сведения о штрафных санкциях, возможных в результате невыполнения требований;
- сведения о возможных проверках регулирующих органов: ФСТЭК России, ФСБ, России, прокуратуры (в случае выявления инцидентов ИБ).
Если руководство отклонит ваши предложения, например, по приобретению межсетевого экрана, а после будет выявлен инцидент ИБ, вы сможете доказать свою невиновность или обосновать выполнение всех возможных действий по ЗИ. В данном случае доказательствами будут ранее представленные и официально задокументированные предложения о выделении необходимых ресурсов.
3. В соответствии с п. 32 Требований, утвержденных приказом ФСТЭК России № 117, необходимо информировать:
- руководство о результатах оценки показателей защищенности Кзи и показателя уровня зрелости Пзи для принятия решения о проведении мероприятий по совершенствованию ЗИ и принятии мер по повышению уровня защищенности информации, содержащейся в ИС;
- ФСТЭК России в целях мониторинга текущего состояния технической защиты информации и оценки эффективности деятельности по технической защите информации.
Также отметим, что выполнение данного требования необходимо осуществлять на регулярной основе:
- расчет и оценка показателя защищенности Кзи должны проводиться не реже одного раза в шесть месяцев;
- расчет и оценка показателя уровня зрелости Пзи должны проводиться не реже одного раза в два года.
Логи информационных систем могут содержать ПДн (например, идентификаторы). Если организация является объектом КИИ, то по закону она обязана хранить логи 6 месяцев, однако для целей расследования инцидентов они часто хранятся дольше.
На каком законном основании допускается обработка таких логов, включая хранение свыше 6 месяцев, в том числе в отношении ПДн как действующих, так и бывших работников?
Требования по фиксации сведений о событиях и инцидентах ИБ для объектов критической информационной инфраструктуры (далее – КИИ) установлены приказом ФСТЭК России № 239 и приказом ФСТЭК России № 235.
В соответствии со ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ, субъекты КИИ обязаны незамедлительно информировать ФСБ России о компьютерных инцидентах. Согласно п. 5 Перечня информации, представляемой в ГосСОПКА, утвержденный приказом ФСБ России от 24.07.2018 № 367, субъект КИИ обязан предоставить информацию о компьютерных инцидентах, связанных с функционированием объектов КИИ, в том числе о составе технических параметров компьютерного инцидента. Данная информация может быть получена из сведений о событиях ИБ. Процесс выявления и анализа компьютерных инцидентов может занимать довольно значительный период времени. Необходимо обеспечить хранение зарегистрированных событий ИБ за данный период.
В случае, если субъект КИИ в рамках установленного ФСБ России порядка осуществляет эксплуатацию средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства ГосСОПКА), в соответствии с Требованиями к средствам ГосСОПКА, утвержденными приказом ФСБ России от 26.12.2025 № 554, для таких средств установлен срок хранения агрегированных событий ИБ не менее шести месяцев для анализа ранее зарегистрированных событий ИБ.
Таким образом, исходя из необходимости анализа ранее зарегистрированных событий ИБ, рекомендуемый срок хранения информации о зарегистрированных событиях ИБ составляет не менее шести месяцев.
Для организаций банковской сферы рекомендуемые сроки хранения информации о событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, составляют не менее пяти лет, а об иных событиях ИБ – не менее трех лет, в соответствии с п. 6.4.8 Рекомендаций в области стандартизации Банка России РС БР ИББС-2.5-2014 (приняты и введены в действие распоряжением Банка России от 17 мая 2014 г. № Р-400).
Указанный срок «не менее 6 месяцев» является минимальным, организация может устанавливать более длительный срок хранения сведений о событиях безопасности.
Что делать если события безопасности содержат ПДн работников, бывших работников?
В соответствии со ст. 6 Федерального закона от 27.07.2006 152-ФЗ обработка персональных данных (далее – ПДн) допускается, в том числе, в случаях:
Также одним из допустимых способов хранения ПДн, содержащихся в сведениях о событиях безопасности, является их обработка в обезличенной форме. В данном случае важно обеспечить хранение обезличенных данных в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19.06.2025 № 140
В соответствии со ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ, субъекты КИИ обязаны незамедлительно информировать ФСБ России о компьютерных инцидентах. Согласно п. 5 Перечня информации, представляемой в ГосСОПКА, утвержденный приказом ФСБ России от 24.07.2018 № 367, субъект КИИ обязан предоставить информацию о компьютерных инцидентах, связанных с функционированием объектов КИИ, в том числе о составе технических параметров компьютерного инцидента. Данная информация может быть получена из сведений о событиях ИБ. Процесс выявления и анализа компьютерных инцидентов может занимать довольно значительный период времени. Необходимо обеспечить хранение зарегистрированных событий ИБ за данный период.
В случае, если субъект КИИ в рамках установленного ФСБ России порядка осуществляет эксплуатацию средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средства ГосСОПКА), в соответствии с Требованиями к средствам ГосСОПКА, утвержденными приказом ФСБ России от 26.12.2025 № 554, для таких средств установлен срок хранения агрегированных событий ИБ не менее шести месяцев для анализа ранее зарегистрированных событий ИБ.
Таким образом, исходя из необходимости анализа ранее зарегистрированных событий ИБ, рекомендуемый срок хранения информации о зарегистрированных событиях ИБ составляет не менее шести месяцев.
Для организаций банковской сферы рекомендуемые сроки хранения информации о событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, составляют не менее пяти лет, а об иных событиях ИБ – не менее трех лет, в соответствии с п. 6.4.8 Рекомендаций в области стандартизации Банка России РС БР ИББС-2.5-2014 (приняты и введены в действие распоряжением Банка России от 17 мая 2014 г. № Р-400).
Указанный срок «не менее 6 месяцев» является минимальным, организация может устанавливать более длительный срок хранения сведений о событиях безопасности.
Что делать если события безопасности содержат ПДн работников, бывших работников?
В соответствии со ст. 6 Федерального закона от 27.07.2006 152-ФЗ обработка персональных данных (далее – ПДн) допускается, в том числе, в случаях:
- Наличия согласия субъекта ПДн.
- Для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
- Для исполнения полномочий федеральных органов исполнительной власти.
Также одним из допустимых способов хранения ПДн, содержащихся в сведениях о событиях безопасности, является их обработка в обезличенной форме. В данном случае важно обеспечить хранение обезличенных данных в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19.06.2025 № 140
Допустимо ли использование C# на объектах КИИ, или требуется переход на Java для соответствия требованиям?
Использование C# на объектах КИИ не запрещено, переход на Java для соответствия требованиям 187-ФЗ и его подзаконным актам не требуется. Если объект информатизации является объектом КИИ и ГИС одновременно, переход на Java не является обязательным.
Необходимость миграции с C# на Java определяется составом технологического стека. Требования законодательства ориентированы на преимущественное использование доверенных ПАК, а не на конкретный язык программирования.
Необходимость миграции с C# на Java определяется составом технологического стека. Требования законодательства ориентированы на преимущественное использование доверенных ПАК, а не на конкретный язык программирования.
Как в рамках требований приказа ФСТЭК России № 117 рассматривается использование базовых компонентов технологического стека, таких как среда исполнения Java (JDK), с точки зрения необходимости применения сертифицированных решений?
Требованиями, утвержденными приказом ФСТЭК России № 117, не предусмотрено обязательство по использованию сертифицированных сред исполнения.
В соответствии с п. 71 Требований, утвержденных приказом ФСТЭК России № 117, требуется применять лишь сертифицированные средства защиты информации.
Несмотря на то, что Java (Java Development Kit, JDK) является средой исполнения, фактически она функционирует на основе архитектуры Java Cryptography Architecture (JCA), обеспечивающей реализацию криптографических функций защиты информации. Таким образом для соответствия Требованиям, утвержденным приказом ФСТЭК России № 117, необходимо использовать сертифицированную версию среды исполнения Java (JDK).
При построении ГИС, особенно в защищенных контурах, использование несертифицированной JDK действительно может создавать риски с точки зрения соответствия требованиям безопасности и уровня доверия к платформе.
В соответствии с п. 71 Требований, утвержденных приказом ФСТЭК России № 117, требуется применять лишь сертифицированные средства защиты информации.
Несмотря на то, что Java (Java Development Kit, JDK) является средой исполнения, фактически она функционирует на основе архитектуры Java Cryptography Architecture (JCA), обеспечивающей реализацию криптографических функций защиты информации. Таким образом для соответствия Требованиям, утвержденным приказом ФСТЭК России № 117, необходимо использовать сертифицированную версию среды исполнения Java (JDK).
При построении ГИС, особенно в защищенных контурах, использование несертифицированной JDK действительно может создавать риски с точки зрения соответствия требованиям безопасности и уровня доверия к платформе.
Изменилась ли процедура приведения в соответствие новым требованиям сегментов ИС?
В пп. 9-11 приложения к Требованиям, утвержденных приказом ФСТЭК России № 117, описаны процедуры по приведению в соответствие сегментов ИС. На текущий момент как и в п. 14.2 Требований, утвержденных приказом ФСТЭК России № 17 сохранена возможность назначения разных классов защищенности сегментам (составным частям) ИС. При этом меры по ЗИ сегментов ИС должны приниматься в соответствии с присвоенными им классами защищенности.
Отметим, что по сравнению с Требованиями, утвержденными приказом ФСТЭК России № 17, новые требования не содержат условий по распространению аттестатов соответствия на типовые сегменты ИС. Однако на текущий момент на рассмотрении находится проект приказа о внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29.04.2021 № 77, в соответствии с которым «допускается аттестация объекта информатизации на основе результатов аттестационных испытаний выделенного набора сегментов объекта информатизации, реализующих полную технологию обработки информации, при условии реализации мер по управлению деятельностью по защите информации и мониторинга информационной безопасности на конечных устройствах с применением сертифицированных средств защиты информации.
В этом случае распространение аттестата соответствия на другие сегменты объекта информатизации осуществляется при условии их соответствия сегментам объекта информатизации, прошедшим аттестационные испытания». Таким образом после утверждения изменений в Приказ России №77 процесс распространения аттестатов соответствия на типовые сегменты систем будет регламентирован.
Отметим, что по сравнению с Требованиями, утвержденными приказом ФСТЭК России № 17, новые требования не содержат условий по распространению аттестатов соответствия на типовые сегменты ИС. Однако на текущий момент на рассмотрении находится проект приказа о внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29.04.2021 № 77, в соответствии с которым «допускается аттестация объекта информатизации на основе результатов аттестационных испытаний выделенного набора сегментов объекта информатизации, реализующих полную технологию обработки информации, при условии реализации мер по управлению деятельностью по защите информации и мониторинга информационной безопасности на конечных устройствах с применением сертифицированных средств защиты информации.
В этом случае распространение аттестата соответствия на другие сегменты объекта информатизации осуществляется при условии их соответствия сегментам объекта информатизации, прошедшим аттестационные испытания». Таким образом после утверждения изменений в Приказ России №77 процесс распространения аттестатов соответствия на типовые сегменты систем будет регламентирован.
Напишите нам на cybersec@ussc.ru или оставьте заявку
Нужна консультация
по внедрению безопасной разработки?
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных