В мире информационной безопасности (ИБ) России происходит тектонический сдвиг. Эпоха, когда защищенность измерялась толщиной папки с организационно-распорядительной документацией, уходит в прошлое. На смену ей приходит эпоха измеримых показателей, реальной результативности и цифровых метрик.
Главным драйвером этих изменений становится Приказ ФСТЭК России от 11.04.2025 № 117. Этот документ не просто вводит новые правила игры — он меняет саму парадигму контроля за состоянием государственных информационных систем (ГИС), объектов критической информационной инфраструктуры (КИИ) и систем персональных данных (ИСПДн).
В этой статье мы подробно разберем, что такое Приказ № 117, как теперь будет рассчитываться «коэффициент выживаемости» вашей инфраструктуры, какие риски несет игнорирование новых требований и, главное, — как подготовиться к вступлению приказа в силу, которое состоится уже 1 марта 2026 года.
Приказ ФСТЭК России № 117 от 11 апреля 2025 года — это нормативный акт, утверждающий Единую методику оценки показателя состояния защищенности информации (КЗИ).
Если раньше регулятор (ФСТЭК) задавал требования «что нужно сделать» (например, в рамках 17-го или 21-го приказа), то теперь он вводит инструмент для ответа на вопрос «насколько эффективно это сделано». Приказ № 117 не отменяет действующие нормы (например, знаменитый 17-й приказ по ГИС), но дополняет их жесткой математической моделью оценки.
Центральный элемент приказа — это Показатель защищенности (КЗИ). Это числовое значение в диапазоне от 0 до 1, которое характеризует реальный уровень защищенности информационной системы.
0 — защита отсутствует полностью.
1 — эталонный уровень защиты.
Регулятор устанавливает жесткий порог: минимально допустимый уровень КЗИ ≥ 0.9. Все, что ниже этой планки, считается сигналом о проблемах в системе безопасности, требующим немедленного вмешательства.
Охват документа максимально широк. Под его действие попадают три ключевые категории организаций:
Операторы ГИС (Государственных информационных систем) — федерального, регионального и муниципального уровней.
Субъекты КИИ (Критической информационной инфраструктуры) — причем всех категорий значимости, а также значимые объекты.
Операторы ИСПДн (Информационных систем персональных данных) — в части систем 1-го и 2-го уровня защищенности.
Это означает, что практически любой крупный бизнес, промышленность, госсектор и медицина оказываются в поле действия нового регулирования.
Методика ФСТЭК, утвержденная 117-м приказом, уходит от абстракций. Оценка строится на проверке 17 конкретных критериев, которые сгруппированы в четыре фундаментальных направления (домена) информационной безопасности.
Давайте разберем их подробнее, чтобы понять логику регулятора.
Здесь оценивается фундамент ИБ. Нельзя построить безопасную систему в хаосе.
Это переход к проактивной защите. Система не может быть защищена, если она «дырявая».
ФСТЭК четко дает понять: «слепая» защита больше не работает. Вы должны видеть, что происходит в вашей сети.
Инциденты неизбежны. Вопрос в том, как вы на них реагируете.
Многие специалисты путают эти документы. Давайте внесем ясность.

Важно: 117-й приказ не отменяет 17-й. Они работают в тандеме. 17-й говорит «построй стену», а 117-й говорит «измерь прочность этой стены по шкале от 0 до 1».
Вступление приказа в силу с 1 марта 2026 года создает для организаций три группы серьезных рисков.
Это самый очевидный пласт. Организации обязаны проводить оценку не реже одного раза в 6 месяцев (или ежегодно, в зависимости от типа системы) и отправлять отчеты регулятору.
Шкала КЗИ придумана не просто так. Она коррелирует с реальной способностью противостоять хакерам.
Для субъектов КИИ и операторов ГИС утечка данных или остановка сервисов из-за кибератаки — это публичный скандал. В условиях прозрачной отчетности по 117-му приказу скрыть низкий уровень подготовки будет невозможно.
До вступления приказа в силу (март 2026) осталось не так много времени, как кажется. Процессы ИБ инертны, и внедрение SIEM или выстраивание процесса управления уязвимостями занимает месяцы. Начинать нужно сейчас.
Вот план мероприятий (Roadmap) для подготовки:
Вы не можете оценить то, что не контролируете. Составьте полный реестр своих информационных систем. Определите, какие из них являются ГИС, какие — объектами КИИ, а какие — ИСПДн высоких уровней защищенности.
Не ждите марта 2026 года. Проведите «репетицию» оценки уже сегодня. Это покажет ваш текущий КЗИ. Если он окажется 0.4 — у вас будет год на исправление ситуации. Если вы узнаете об этом только в 2026-м — будет поздно.
На основе GAP-анализа выделите «проседающие» домены.
Реализуйте технические меры и, что не менее важно, задокументируйте их. Помните: для проверки 117-го приказа важно не только наличие процесса, но и его подтверждение (логи, отчеты сканирований, акты учений).
К 1 марта 2026 года проведите чистовую оценку. Сформируйте пакет документов для отправки в ФСТЭК.
Многие специалисты по ИБ, открыв методику, хватаются за голову.
Чтобы снять нагрузку со специалистов по ИБ и исключить математические ошибки, эксперты компании «КРЕДО-С» (лицензиата ФСТЭК и ФСБ) разработали специализированный инструмент.
Это бесплатный онлайн-калькулятор показателя защищенности по Приказу № 117.
Скорость: Полная оценка занимает около 5-10 минут. Вы просто отвечаете на вопросы анкеты, где каждый пункт снабжен понятными подсказками и ссылками на нормативку.
Точность: Алгоритмы калькулятора строго соответствуют официальной методике ФСТЭК. Человеческий фактор при расчетах исключен.
Готовые документы для регулятора: Это главная «киллер-фича». По итогам оценки сервис автоматически генерирует:
- Таблицу оценки в формате Excel.
- Сопроводительное письмо и отчет в формате Word.
Эти файлы полностью готовы к печати, подписанию и отправке в ФСТЭК.
Визуализация: Вы получаете наглядную диаграмму, где видно, какой из 4 доменов (Организация, Уязвимости, Мониторинг, Инциденты) тянет ваш рейтинг вниз. Это готовое обоснование бюджета перед руководством: «Смотрите, у нас провал в мониторинге, нам нужен SIEM, иначе мы не пройдем порог 0.9».
Безопасность и анонимность: Базовый расчет не требует регистрации. Вы можете оценить свои системы инкогнито.
1 марта 2026 года наступит быстрее, чем кажется. Те организации, которые начнут приводить свои системы в соответствие с Приказом № 117 в последний момент, столкнутся с ростом цен на СЗИ и риском штрафов.
Займите проактивную позицию. Узнайте свой реальный уровень защищенности прямо сейчас. Это бесплатно, быстро и профессионально.
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года