Приказ ФСТЭК № 117: что изменилось и как теперь выполнять требования

С 1 марта 2026 года вступил в силу приказ ФСТЭК № 117. Для многих компаний это означает не просто обновление требований, а необходимость пересобрать подход к защите информации.

Если раньше можно было ограничиться выполнением базовых мер и пройти аттестацию информационной системы, то теперь этого недостаточно. Регулятор ожидает, что безопасность станет управляемым процессом: с постоянным мониторингом, контролем уязвимостей и регулярной оценкой состояния защищенности, а не только разовой аттестацией.

При этом в требования прямо включается работа с сотрудниками — обучение, оценка знаний и регулярные тренировки. И это меняет практику: формальное прохождение курсов больше не закрывает задачу.

В этой статье разберем, что именно изменилось в приказе ФСТЭК № 117, и как выполнить требования так, чтобы снизить риски, а не просто пройти проверку.

Приказ ФСТЭК № 117 — документ, который задает требования к защите информации в государственных информационных системах (ГИС) и всех информационных системах, которые с ними взаимодействуют или обрабатывают связанные данные.

Его задача: снизить риск инцидентов — утечек данных, сбоев в работе сервисов и других проблем, которые могут повлиять на государственные системы и критическую инфраструктуру.

Внутри — базовые вещи, которые должны быть выстроены в любой компании:

• единый подход к защите информации;
• контроль выполнения мер безопасности;
• мониторинг;
• ответственность за инциденты.

При этом требования касаются не только госсектора.

Приказ распространяется на:

• государственные органы и подведомственные учреждения;
• государственные информационные системы (ГИС);
• компании, которые подключены к ГИС и обмениваются с ними данными;
• объекты критической инфраструктуры — банки, телеком, промышленность;
• подрядчики, которые работают с такими системами или получают доступ к данным ГИС.

То есть приказ затрагивает не только государственные организации, но и бизнес — если он работает с государственными данными или интегрируется с государственными сервисами.

Главное изменение — переход от разовой аттестации к непрерывному управлению безопасностью.

Если раньше защита оценивалась по принципу «выполнено / не выполнено», то теперь вводится количественный показатель — коэффициент защищенности информации (КЗИ), который позволяет оценить уровень защиты по шкале от 0 до 1. 

При этом оценка становится регулярной: КЗИ пересчитывается каждые 6 месяцев, независимо от изменений в системе. 

Это означает, что безопасность больше не воспринимается как разовое состояние — ее нужно поддерживать и контролировать постоянно.

Еще одно важное изменение — расширение периметра требований.

Раньше требования касались только государственных информационных систем, сейчас — всех информационных систем госорганов, учреждений, а также подрядчиков, которые получают или обрабатывают данные из ГИС. 

Меняется и сама структура требований.

Вместо ~150 разрозненных мер вводится система из 16 критериев, сгруппированных в четыре блока: организационные, технические, контроль и реагирование. 

Это упрощает формальную структуру требований, но одновременно усиливает требования к их регулярному выполнению и контролю.

Дополнительно требования становятся более конкретными и измеримыми.

Устанавливаются четкие сроки реагирования на уязвимости:

• критические — до 24 часов;
• высокого уровня — до 7 календарных дней;
• для остальных — в рамках внутренних регламентов. 

Усиливаются требования к безопасной разработке: безопасность должна учитываться на всех этапах жизненного цикла ПО — от проектирования до вывода из эксплуатации. 

Вводятся технологические ограничения: запрещено использование иностранного ПО и публичных облачных сервисов для обработки критически важной информации, а средства защиты должны быть сертифицированы. 

Отдельно усиливаются требования к персоналу.

Для специалистов по информационной безопасности вводятся конкретные требования — не менее 30% сотрудников ИБ-подразделения должны иметь профильное образование или переподготовку;

Для сотрудников закрепляются требования к обучению:

• оценка знаний проводится не реже одного раза в 3 года;
• после инцидентов требуется внеочередное обучение.

И, наконец, важное изменение — в требования прямо включается работа с сотрудниками.

Компания должна:

• обучать сотрудников;
• информировать их об угрозах;
• оценивать уровень знаний;
• проводить регулярные тренировки.

Это уже не рекомендация, а обязательная мера защиты.

На практике это меняет сам подход к обучению.

В большинстве компаний обучение по информационной безопасности до сих пор выглядит как формальная процедура: сотрудники проходят курс, отвечают на тест и получают отметку о прохождении.

Но в реальной работе решения принимаются иначе. Сотрудник не вспоминает курс в момент атаки. Он действует в контексте срочных задач, давления, большого количества сообщений и привычных рабочих сценариев.

Поэтому знание правил само по себе не снижает риск. Риск снижается только тогда, когда меняется поведение. И это как раз закреплено в приказе: обучение должно включать не только передачу знаний, но и тренировки.

Мы подробно разбирали это на реальных кейсах и исследованиях в статье «Почему обучение по ИБ не работает и что с этим делать в 2026» — почему сотрудники могут знать правила, но действовать иначе в реальной работе.

Также в требованиях закрепляется обязательное взаимодействие с ГосСОПКА — системой обнаружения и предупреждения компьютерных атак. Это означает, что мониторинг инцидентов должен быть непрерывным и встроенным в процессы безопасности. 

Даже при выполнении требований приказа компания может оставаться уязвимой.

Формально — все настроено: внедрены меры защиты, подготовлена документация, сотрудники прошли обучение. Система проходит проверку, показатели соответствуют требованиям.

Но инциденты все равно происходят. Причина в том, что значительная часть атак начинается не с технической уязвимости, а с действий сотрудников — например, с фишингового письма или сообщения от злоумышленника.

В таких ситуациях решающим становится не наличие мер, а то, как система ведет себя в реальной работе:

• как быстро обнаруживается атака;
• как реагируют сотрудники;
• как обрабатывается инцидент;
• повторяются ли те же ошибки.

Если эти процессы не выстроены, формальное соответствие не снижает риск.

Именно здесь становится видно, как требования работают на практике.

Проверка больше не ограничивается фактом наличия мер. Важен результат:

• снижается ли количество инцидентов;
• сокращается ли время реакции;
• меняется ли поведение сотрудников.

Это означает, что безопасность нельзя закрыть один раз — ее нужно поддерживать и проверять в реальной работе.

Чтобы выполнить требования приказа ФСТЭК № 117, недостаточно внедрить только технические меры. Безопасность нужно выстраивать как систему, в которой есть три уровня: технологии, процессы и поведение сотрудников.

Технические меры

Это базовый контур защиты, без которого система не пройдет аттестацию:

• управление уязвимостями и обновлениями;
• сегментация сети;
• контроль доступа и аутентификация;
• мониторинг информационной безопасности;
• учет модели угроз и ее актуализация;
• настройка конфигурации систем.

В требованиях также закреплено, что безопасность должна учитываться на всех этапах жизненного цикла систем — от проектирования и закупки до эксплуатации и вывода из эксплуатации.

Отдельно усиливаются требования к обработке инцидентов: их необходимо документировать, локализовывать и учитывать, чтобы предотвращать повторения.

Эти меры влияют на коэффициент защищенности (КЗИ) и остаются основой защиты.

Организационные меры

Следующий уровень — процессы и документация:

• разработка и актуализация документации;
• внедрение регламентов;
• подготовка к аттестации информационной системы;
• контроль подрядчиков.

Этот блок позволяет формально подтвердить выполнение требований.

Но в новой модели этого недостаточно. Документация и регламенты должны не просто существовать, а регулярно пересматриваться и использоваться в работе — в том числе в рамках оценки защищенности.

Работа с сотрудниками

Третий уровень — поведение сотрудников. Именно здесь чаще всего ломается защита, даже если технические и организационные меры выстроены.

В приказе этот блок описан как обучение, информирование, оценка знаний и регулярные тренировки. Но на практике это не про курсы и тесты.

Задача — понять, как сотрудники действуют в момент атаки.

Поэтому компании переходят к тренировкам на реалистичных сценариях: моделируют фишинговые атаки, отслеживают реакции, фиксируют ошибки и на их основе меняют процессы и коммуникации.

Это единственный уровень, где можно увидеть, как требования проявляются в реальной работе, а не в отчетах.

В этом блоке важно не наличие обучения, а его результат — как меняется поведение сотрудников, снижается количество ошибок и сокращается время реакции на инциденты.

Именно здесь требования приказа начинают влиять на реальный уровень защищенности.

Чтобы оценить уровень защиты, в приказе используется коэффициент защищенности информации (КЗИ) — показатель, который отражает, насколько система соответствует требованиям.

КЗИ рассчитывается на основе критериев, которые отражают, внедрены ли меры и выстроены ли процессы:

• технические меры;
• процессы;
• организационные практики.

Но поведение сотрудников в этой модели почти не выделено.

В КЗИ фиксируется, внедрены ли меры и соблюдаются ли процессы, но не отражается, как система ведет себя в реальной работе — в том числе в ситуациях атаки.

В результате возникает разрыв. С одной стороны, приказ прямо требует обучать сотрудников и проводить регулярные тренировки. С другой — результат этих мер почти не влияет на показатель защищенности.

Компания может формально соответствовать требованиям и иметь высокий КЗИ — и при этом оставаться уязвимой.

Чтобы закрыть этот разрыв, компании дополняют формальные показатели поведенческими метриками.

Они позволяют связать требования с реальным уровнем защиты и учитывать человеческий фактор как часть системы, а не как отдельный блок.

В этом случае безопасность оценивается не только по наличию мер, но и по их результату — тому, как система выдерживает реальные атаки.

Требования приказа можно формально закрыть документами и курсами, но реальное снижение рисков начинается там, где поведение сотрудников становится частью модели оценки защищенности.

Приказ ФСТЭК № 117 меняет не только требования, но и сам подход к безопасности.

Теперь недостаточно внедрить меры и подтвердить соответствие. Важно, как система выдерживает реальные атаки.

Это означает, что безопасность становится непрерывным процессом, в котором учитываются не только технологии и процессы, но и поведение сотрудников.

Именно здесь чаще всего возникает риск — и именно здесь требования начинают влиять на реальный уровень защищенности.

Поэтому задача компании — не закрыть требования, а встроить их в работу: регулярно проверять, как ведет себя система, фиксировать результат и на его основе управлять рисками.

В Start AWR мы выстраиваем этот процесс системно: через тренировки на реалистичных сценариях, поведенческие метрики и связь этих данных с уровнем защищенности.

Запишитесь на демо — покажем, как это устроено.