Дата публикации: 02.02.2026
Вступление в силу нового Приказа ФСТЭК не стало для организаций неожиданностью - утвержденный еще в апреле 2025 года, документ начинает действовать только с марта 2026 года. Такой запас времени законодатели предусмотрели не случайно - Приказ содержит ряд принципиальных изменений, и, чтобы соответствовать его требованиям, большинству организаций потребуется подготовка, которая займет не один день.

С чего начать подготовку и как не упустить что-нибудь важное - рассказываем.

5f3e8faf-80c5-4452-b8e2-f2fc34d2c3dd.png

Подготовка к подготовке или немного полезной бюрократии
Чтобы тщательно подготовиться к вступлению в силу новых требований и случайно не упустить из вида важные нюансы, придется потратить немного времени и сил на...подготовку к подготовке. Что понадобится на этом «нулевом» этапе:
  • Сформировать рабочую группу. В ее состав помимо сотрудников структурного подразделения по ИБ должны также войти ИТ-специалисты, сотрудники тендерного отдела и юристы. Последним потребуется пересмотреть действующие договоры с подрядчиками и подготовить новые типовые формы для заключения контрактов в будущем.
  • Определить перечень и объемы необходимых ресурсов (в том числе человеческих, технических, финансовых), учесть эти данные при формировании бюджета. Реализация некоторых мероприятий - например, сегментация, резервирование, мониторинг - требует обновления инфраструктуры, внесения изменений в штатное расписание и может оказаться весьма затратной.
  • Предусмотреть синхронизацию политики ИБ с реальной архитектурой имеющихся и / или внедряемых систем - чтобы соответствовать Приказу, недостаточно просто описать мероприятия, потребуется их выполнять и обязательно иметь подтверждение выполнения.
  • Также стоит подумать об интеграции дорожных карт цифровизации (при наличии) и мер, предусмотренных для обеспечения соответствия требованиям Приказа. Так можно избежать задвоения затрат на ИТ и ИБ направления.
Шаг №1 - привести в порядок локальные нормативные акты и назначить ответственных
Приказ содержит много изменений в части состава, содержания и сути ОРД. Чтобы внутренняя документация соответствовала требованиям регулятора, понадобится:
  • провести актуализацию политики ИБ согласно требований Приказа;
  • прописать порядок устранения уязвимостей, относящихся к низкому и среднему уровню опасности (особое внимание уделить определению сроков - они должны быть реалистичными);
  • Также нужно назначить ответственного за организацию защиты информации и обязательно четко, понятно и однозначно определить и зафиксировать его полномочия и обязанности.
Дополнительно может потребоваться организация профессиональной подготовки (или переподготовки) для специалистов отдела, занимающегося ИБ.

Шаг №2 - наладить работу с подрядчиками в части защиты информации
Безопасности данных при взаимодействии с подрядными организациями в Приказе уделено особое внимание. Чтобы соответствовать его требованиям, необходимо:
  • сформировать требования по защите информации для подрядчиков и включить их в договоры с контрагентами;
  • определить, как именно будет обеспечиваться защита данных, к которым предоставляется доступ специалистам подрядной организации.
  • Кроме того, необходимо предусмотреть организационные и технические меры по защите информации.
Стоит также проанализировать состояние ИБ у подрядчиков. Если контрагент не соответствует новым требованиям и не готов работать над этим, при прохождении аттестации он может стать «слабым звеном» с точки зрения регулятора.

Шаг №3 - выстроить ряд процессов и обеспечить их контроль.
В том числе необходимо:
  • управлять уязвимостями;
  • проводить тренировки и регулярно проверять наличие возможности восстановить важные функции ИС, используя при этом резервные копии;
  • проводить мероприятия по оценке защищенности информации.
  • Кроме того, потребуется уделять внимание повышение уровня знаний персонала в сфере ИБ, а также периодически оценивать осведомленность сотрудников в сфере защиты информации.
Шаг №4 - предусмотреть внедрение PAM и EDR-систем
Использование этих решений позволяет одновременно выполнить требования ФСТЭК и добиться повышения уровня защищенности информации.

Шаг №5 - не забыть вовремя уведомлять регулятора
В частности, в течение 5 рабочих дней с даты выполнения потребуется направить в адрес ФСТЭК данные о:
  • итогах оценки уровня защищенности данных;
  • выявленных уязвимостях, отсутствующих в банке угроз;
  • оценки показателей ПЗИ и КЗИ.
Важный нюанс: аттестаты соответствия на государственные и иные ИС, которые были выданы до 1 марта 2026 года, после вступления в силу Приказа №117 будут считаться действующими. Проводить для них повторные аттестационные мероприятия не нужно.

При подготовке к введению в действие нового Приказа ФСТЭК важно правильно оценить ресурсы и возможности организации. Если компания не располагает необходимым персоналом, техникой, технологиями, то разумно обратиться за помощью к сторонним экспертам - это позволит значительно упростить процесс подготовки, избежать досадных ошибок и недоразумений, а также меньше отвлекать собственный персонал от основных рабочих процессов.

Эксперты «Кредо-С» готовы взять на себя значительную часть подготовительных мероприятий и помочь компании привести свои процессы в соответствие с требованиями регулятора максимально быстро и эффективно.

Начните подготовку с самооценки: рассчитайте показатель защищённости (КЗИ) онлайн — бесплатно, по официальной методике ФСТЭК, с экспортом результата в Excel.

Часто задаваемые вопросы

Нужно ли проводить повторную аттестацию информационных систем в связи со вступлением в силу Приказа ФСТЭК №117?
Нет, проводить повторные аттестационные мероприятия не требуется. Согласно положениям нового документа, все аттестаты соответствия на государственные и иные информационные системы (ИС), выданные до вступления Приказа №117 в силу (до 1 марта 2026 года), признаются действующими до окончания их срока.
В какие сроки и о чем организации обязаны уведомлять ФСТЭК по новым правилам?
Новый Приказ вводит жесткие рамки для информирования регулятора. Организация обязана направить данные во ФСТЭК в течение 5 рабочих дней с момента выполнения соответствующих мероприятий. Уведомлять необходимо об итогах оценки уровня защищенности данных, о выявленных новых уязвимостях (которых еще нет в банке данных угроз ФСТЭК), а также о результатах оценки показателей ПЗИ и КЗИ.
Какие новые требования Приказ №117 предъявляет к работе с подрядчиками?
Регулятор ужесточает контроль за доступом третьих лиц. Организациям необходимо обновить типовые договоры, включив в них жесткие требования по защите информации для контрагентов. Также требуется определить порядок защиты данных, к которым подрядчик получает доступ, и предварительно анализировать состояние информационной безопасности (ИБ) самого подрядчика, чтобы он не стал причиной провала при аттестации системы.
Внедрение каких классов средств защиты (СЗИ) необходимо предусмотреть для соответствия Приказу ФСТЭК №117?
Для выполнения комплекса технических мер и повышения общего уровня защищенности инфраструктуры, документ прямо указывает на необходимость использования систем управления привилегированным доступом (PAM-систем) и систем обнаружения и реагирования на угрозы конечных точек (EDR-систем). Бюджет на их внедрение рекомендуется закладывать заранее.
С чего начать подготовку организационно-распорядительной документации (ОРД) к марту 2026 года?
В первую очередь необходимо актуализировать общую Политику информационной безопасности компании. Далее — четко прописать в локальных актах порядок и реалистичные сроки устранения уязвимостей (в том числе низкого и среднего уровня опасности). Кроме того, требуется выпустить приказы о назначении ответственных лиц за организацию защиты информации, однозначно зафиксировав их полномочия, обязанности и регламент проведения тренировок по восстановлению ИС из резервных копий.
Колесник Дмитрий Николаевич
Колесник Дмитрий Николаевич
Директор по информационной безопасности
Приказ ФСТЭК №117 требует не формальных отписок, а реальной перестройки процессов ИБ — и начинать эту работу нужно уже сейчас, а не в марте 2026.