Дата публикации: 14.01.2026

Приказ ФСТЭК № 117: Конец эпохи «бумажной» безопасности. Полный разбор новых требований и оценки защищенности

Рассчитайте свои показатели защищенности за 5 минут - бесплатно!

86dd3210-91e3-4cfc-90e0-67c5ccdeb754.png

В мире информационной безопасности (ИБ) России происходит тектонический сдвиг. Эпоха, когда защищенность измерялась толщиной папки с организационно-распорядительной документацией, уходит в прошлое. На смену ей приходит эпоха измеримых показателей, реальной результативности и цифровых метрик.

Главным драйвером этих изменений становится Приказ ФСТЭК России от 11.04.2025 № 117. Этот документ не просто вводит новые правила игры — он меняет саму парадигму контроля за состоянием государственных информационных систем (ГИС), объектов критической информационной инфраструктуры (КИИ) и систем персональных данных (ИСПДн).

В этой статье мы подробно разберем, что такое Приказ № 117, как теперь будет рассчитываться «коэффициент выживаемости» вашей инфраструктуры, какие риски несет игнорирование новых требований и, главное, — как подготовиться к вступлению приказа в силу, которое состоится уже 1 марта 2026 года.

Что такое Приказ ФСТЭК № 117?

Приказ ФСТЭК России № 117 от 11 апреля 2025 года — это нормативный акт, утверждающий Единую методику оценки показателя состояния защищенности информации (КЗИ).

Если раньше регулятор (ФСТЭК) задавал требования «что нужно сделать» (например, в рамках 17-го или 21-го приказа), то теперь он вводит инструмент для ответа на вопрос «насколько эффективно это сделано». Приказ № 117 не отменяет действующие нормы (например, знаменитый 17-й приказ по ГИС), но дополняет их жесткой математической моделью оценки.

Ключевая новация: Показатель КЗИ

Центральный элемент приказа — это Показатель защищенности (КЗИ). Это числовое значение в диапазоне от 0 до 1, которое характеризует реальный уровень защищенности информационной системы.

0 — защита отсутствует полностью.

1 — эталонный уровень защиты.

Регулятор устанавливает жесткий порог: минимально допустимый уровень КЗИ ≥ 0.9. Все, что ниже этой планки, считается сигналом о проблемах в системе безопасности, требующим немедленного вмешательства.

На кого распространяется приказ?

Охват документа максимально широк. Под его действие попадают три ключевые категории организаций:

  1. Операторы ГИС (Государственных информационных систем) — федерального, регионального и муниципального уровней.

  2. Субъекты КИИ (Критической информационной инфраструктуры) — причем всех категорий значимости, а также значимые объекты.

  3. Операторы ИСПДн (Информационных систем персональных данных) — в части систем 1-го и 2-го уровня защищенности.

Это означает, что практически любой крупный бизнес, промышленность, госсектор и медицина оказываются в поле действия нового регулирования.

Из чего складывается оценка защищенности?

Методика ФСТЭК, утвержденная 117-м приказом, уходит от абстракций. Оценка строится на проверке 17 конкретных критериев, которые сгруппированы в четыре фундаментальных направления (домена) информационной безопасности.

Давайте разберем их подробнее, чтобы понять логику регулятора.

Группа 1: Организация защиты информации

Здесь оценивается фундамент ИБ. Нельзя построить безопасную систему в хаосе.

  • Назначение ответственных. Есть ли конкретные люди, головой отвечающие за ИБ?
  • Документация. Утверждены ли политики, регламенты и инструкции? Актуальны ли они?
  • Осведомленность (Security Awareness). Проводится ли обучение сотрудников?
  • Знают ли они, что нельзя открывать фишинговые письма?
Контроль. Проверяется ли исполнение требований на практике, а не только на бумаге?

Группа 2: Управление уязвимостями (Vulnerability Management)

Это переход к проактивной защите. Система не может быть защищена, если она «дырявая».

  • Инвентаризация. Знаете ли вы все свои активы? Нельзя защитить то, о существовании чего вы не подозреваете (Shadow IT).
  • Сканирование. Используются ли сканеры уязвимостей? Как часто?
  • Устранение (Патч-менеджмент). Как быстро накатываются обновления безопасности? Есть ли процесс приоритизации патчей?

Группа 3: Мониторинг информационной безопасности

ФСТЭК четко дает понять: «слепая» защита больше не работает. Вы должны видеть, что происходит в вашей сети.

  • Сбор событий. Собираются ли логи с серверов, межсетевых экранов, АРМ?
  • SIEM и анализ. Используются ли средства централизованного мониторинга и корреляции событий?
  • Выявление инцидентов. Способна ли система обнаружить атаку в реальном времени?

Группа 4: Реагирование на инциденты (Incident Response)

Инциденты неизбежны. Вопрос в том, как вы на них реагируете.

  • Процедуры реагирования. Есть ли четкие плейбуки (playbooks) на случай взлома, DDoS или вируса-шифровальщика?
  • Взаимодействие с ГосСОПКА. Налажен ли канал передачи данных в Национальный координационный центр по компьютерным инцидентам?
  • Восстановление. Как быстро вы можете поднять инфраструктуру из бэкапов?

17-й и 117-й приказы: В чем разница?

Многие специалисты путают эти документы. Давайте внесем ясность.

img-2026-01-15-16-58-47.png

Важно: 117-й приказ не отменяет 17-й. Они работают в тандеме. 17-й говорит «построй стену», а 117-й говорит «измерь прочность этой стены по шкале от 0 до 1».

Риски: Что будет, если проигнорировать Приказ № 117?

Вступление приказа в силу с 1 марта 2026 года создает для организаций три группы серьезных рисков.

1. Регуляторные и правовые риски

Это самый очевидный пласт. Организации обязаны проводить оценку не реже одного раза в 6 месяцев (или ежегодно, в зависимости от типа системы) и отправлять отчеты регулятору.

  • Низкий показатель КЗИ (< 0.9): Это «красная тряпка» для ФСТЭК. Если вы отправляете отчет с показателем 0.5, вы фактически расписываетесь в собственной некомпетентности. Это может инициировать внеплановые проверки.
  • Отсутствие отчета: Игнорирование требования о предоставлении данных — прямое нарушение законодательства, влекущее административную ответственность для должностных и юридических лиц.

2. Операционные риски и реальная безопасность

Шкала КЗИ придумана не просто так. Она коррелирует с реальной способностью противостоять хакерам.

  • КЗИ < 0.5 (Низкий уровень): Критическая зона. Ваша система — проходной двор. Вероятность успешной кибератаки близка к 100%. Риски остановки бизнеса, кражи баз данных и шифрования инфраструктуры максимальны.
  • КЗИ 0.5 – 0.7 (Недостаточный уровень): Необходимы срочные меры. Защита фрагментарна, мониторинг неэффективен.
  • КЗИ 0.7 – 0.9 (Средний уровень): Требуются улучшения. База есть, но процессы (например, патч-менеджмент или реагирование) могут давать сбои.

3. Репутационные риски

Для субъектов КИИ и операторов ГИС утечка данных или остановка сервисов из-за кибератаки — это публичный скандал. В условиях прозрачной отчетности по 117-му приказу скрыть низкий уровень подготовки будет невозможно.

Как избежать рисков: Пошаговый план действий

До вступления приказа в силу (март 2026) осталось не так много времени, как кажется. Процессы ИБ инертны, и внедрение SIEM или выстраивание процесса управления уязвимостями занимает месяцы. Начинать нужно сейчас.

Вот план мероприятий (Roadmap) для подготовки:

Шаг 1: Тотальная инвентаризация

Вы не можете оценить то, что не контролируете. Составьте полный реестр своих информационных систем. Определите, какие из них являются ГИС, какие — объектами КИИ, а какие — ИСПДн высоких уровней защищенности.

Шаг 2: Первичная самооценка (GAP-анализ)

Не ждите марта 2026 года. Проведите «репетицию» оценки уже сегодня. Это покажет ваш текущий КЗИ. Если он окажется 0.4 — у вас будет год на исправление ситуации. Если вы узнаете об этом только в 2026-м — будет поздно.

Шаг 3: Разработка плана устранения несоответствий

На основе GAP-анализа выделите «проседающие» домены.

  • Если проседает Группа 2 (Уязвимости) — внедряйте сканеры и регламент обновлений.
  • Если проседает Группа 3 (Мониторинг) — бюджетируйте внедрение SIEM-системы или подключение к коммерческому SOC.

Шаг 4: Внедрение и документирование

Реализуйте технические меры и, что не менее важно, задокументируйте их. Помните: для проверки 117-го приказа важно не только наличие процесса, но и его подтверждение (логи, отчеты сканирований, акты учений).

Шаг 5: Финальная оценка и отчетность

К 1 марта 2026 года проведите чистовую оценку. Сформируйте пакет документов для отправки в ФСТЭК.

Сложности самостоятельной оценки

Многие специалисты по ИБ, открыв методику, хватаются за голову.

  • Сложность расчетов: Формулы коэффициентов, весовые значения критериев, зависимость итогового балла от худшего показателя в группе — всё это сложно считать в Excel вручную.
  • Формат отчета: ФСТЭК требует отчетность в строго определенном формате. Ошибка в оформлении может привести к отказу в приеме документов.
  • Траты времени: Ручной сбор данных и заполнение таблиц по 17 критериям для нескольких систем может занять недели работы квалифицированного специалиста.

Решение: Автоматизация оценки с КРЕДО-С

Чтобы снять нагрузку со специалистов по ИБ и исключить математические ошибки, эксперты компании «КРЕДО-С» (лицензиата ФСТЭК и ФСБ) разработали специализированный инструмент.

Это бесплатный онлайн-калькулятор показателя защищенности по Приказу № 117.

Почему это стандарт де-факто для подготовки к 2026 году?

  1. Скорость: Полная оценка занимает около 5-10 минут. Вы просто отвечаете на вопросы анкеты, где каждый пункт снабжен понятными подсказками и ссылками на нормативку.

  2. Точность: Алгоритмы калькулятора строго соответствуют официальной методике ФСТЭК. Человеческий фактор при расчетах исключен.

  3. Готовые документы для регулятора: Это главная «киллер-фича». По итогам оценки сервис автоматически генерирует:

    - Таблицу оценки в формате Excel.

    - Сопроводительное письмо и отчет в формате Word.

    Эти файлы полностью готовы к печати, подписанию и отправке в ФСТЭК.

  4. Визуализация: Вы получаете наглядную диаграмму, где видно, какой из 4 доменов (Организация, Уязвимости, Мониторинг, Инциденты) тянет ваш рейтинг вниз. Это готовое обоснование бюджета перед руководством: «Смотрите, у нас провал в мониторинге, нам нужен SIEM, иначе мы не пройдем порог 0.9».

  5. Безопасность и анонимность: Базовый расчет не требует регистрации. Вы можете оценить свои системы инкогнито.

Не ждите дедлайна

1 марта 2026 года наступит быстрее, чем кажется. Те организации, которые начнут приводить свои системы в соответствие с Приказом № 117 в последний момент, столкнутся с ростом цен на СЗИ и риском штрафов.

Займите проактивную позицию. Узнайте свой реальный уровень защищенности прямо сейчас. Это бесплатно, быстро и профессионально.

Рассчитайте свои показатели защищенности за 5 минут - бесплатно!



Часто задаваемые вопросы

Что такое показатель КЗИ согласно Приказу ФСТЭК № 117 и каково его минимальное значение?
Показатель состояния защищенности информации (КЗИ) — это цифровой коэффициент, оценивающий реальный уровень безопасности информационной системы по шкале от 0 до 1 (где 0 — отсутствие защиты, а 1 — эталон). Согласно требованиям регулятора, минимально допустимый уровень КЗИ составляет 0.9. Показатель ниже этой отметки является критическим и требует немедленного устранения уязвимостей.
На какие типы информационных систем распространяются требования Приказа № 117?
Документ охватывает максимально широкий спектр систем. Его требования обязательны для операторов Государственных информационных систем (ГИС) любого уровня, субъектов Критической информационной инфраструктуры (КИИ) всех категорий значимости, а также для операторов Информационных систем персональных данных (ИСПДн), которым присвоен 1-й или 2-й уровень защищенности.
В чём ключевое отличие Приказа ФСТЭК № 117 от утратившего силу Приказа № 17 (с 01.03.2026)?
Приказ № 17 (действовал до 01.03.2026) устанавливал требования к защите ГИС по классам К1–К3. Приказ № 117 (вступил в силу 01.03.2026) заменил его: вводит числовой показатель КЗИ от 0 до 1 и обязывает проводить оценку не реже раза в 6 месяцев. Рассчитать КЗИ и скачать чек-лист перехода — <a href="https://117fstec.credos.ru/" target="_blank" rel="noopener">117fstec.credos.ru</a>.
По каким группам критериев рассчитывается показатель защищенности?
Методика ФСТЭК подразумевает оценку по 17 строгим критериям, которые разделены на 4 основных домена информационной безопасности: организация защиты информации (документация и кадры), управление уязвимостями (сканирование и патч-менеджмент), непрерывный мониторинг ИБ (использование SIEM-систем) и реагирование на киберинциденты (плейбуки, взаимодействие с ГосСОПКА, восстановление из бэкапов).
Какие санкции и риски грозят организации, если показатель КЗИ окажется ниже 0.9?
Значение КЗИ ниже 0.9 не только сигнализирует о высокой вероятности успешной кибератаки (операционный риск), но и является триггером для регулятора. Отправка отчета с низкими показателями расценивается как некомпетентность в вопросах ИБ и может стать основанием для проведения внеплановой проверки ФСТЭК. Полное игнорирование отчетности влечет административную ответственность. Совет эксперта: Чтобы не получить отказ в приеме документов от ФСТЭК из-за математических ошибок в расчетах 17 критериев, рекомендуется использовать автоматизированные средства оценки защищенности и онлайн-калькуляторы КЗИ до наступления дедлайна 1 марта 2026 года.
Колесник Дмитрий Николаевич
Колесник Дмитрий Николаевич
Директор по информационной безопасности
Приказ №117 закрывает эпоху бумажной безопасности: теперь защищённость измеряется конкретной цифрой КЗИ, и всё ниже 0,9 — это уже повод для разговора с регулятором.