Как подготовиться к исполнению приказа ФСТЭК № 117

С 1 марта 2026 года вступают в силу новые требования ФСТЭК № 117, которые кардинально меняют подход к защите информации в государственном и муниципальном секторе. Приказ вводит новый процессный подход к защите информации, расширяет сферу регулирования и усиливает требования к техническим, организационным и кадровым мерам.

Эффективная подготовка требует системного подхода, разбитого на этапы: аудит, планирование, внедрение и эксплуатация.

В предыдущих статьях подробно разобрали изменения в защите ИТ‑инфраструктуры в 2026 году и каких организаций они касаются. А в этой статье дадим практический план действий для ИТ- и ИБ-отделов, а также рекомендации для партнеров сети «1С», которые работают с государственными и муниципальными заказчиками.

Приказ ФСТЭК № 117 вводит в основу элементы цикла Деминга-Шухарта для управления деятельностью по защите информации. Это означает переход от разовых мероприятий к системному процессу непрерывного совершенствования:

Цикл Деминга-Шухарта (Планируй-Внедряй-Проверяй-Улучшай)

Практический план подготовки для ИТ и ИБ‑отделов

Этап 1: Аудит и оценка информационных систем (ИС)

Инвентаризация систем

Проведите полную инвентаризацию всех информационных систем в организации — не только ГИС, но и систем электронного документооборота, кадровых, бухгалтерских и учетных систем.

Особое внимание уделите системам, которые:

• Обрабатывают информацию ограниченного доступа.
• Взаимодействуют с государственными системами.
• Имеют удаленный доступ или мобильные интерфейсы.

Также важно определить:

• Какие системы и их сегменты обрабатывают какую информацию.
• Реальный масштаб ИС (федеральный, региональный, объектовый).
• Уровень значимости информации (низкий, средний, высокий) по критериям возможного ущерба.

На основе этих параметров выстраивается классификация по классам защищенности К1—К3 и формируется план защиты.

Оценка текущего состояния

Проанализируйте текущий уровень защиты по новым требованиям:

• Наличие и состояние средств защиты конечных точек (EDR);
• Системы мониторинга и управления инцидентами (SIEM);
• Средства защиты удаленного доступа;
• Квалификация персонала по ИБ;
• Соответствие ПО требованиям о запрете иностранного софта и по уровню защиты.

Этап 2: Планирование и подготовка

Назначение ответственных лиц и организационная структура

Назначьте ответственных за защиту информации и четко определите их обязанности. Это важный шаг, поскольку приказ требует наличие соответствующих структурных полномочий и документального закрепления ответственности.

Кадровая подготовка:

1. Оцените квалификацию сотрудников ИБ-подразделения.
2. Составьте план обучения для достижения нормы в 30% специалистов с профильным образованием.
3. Запланируйте регулярные тренировки по кибербезопасности для всех пользователей информационных систем.

Разработка документации: обновление политик и регламентов по ИБ

Приказ требует построения информационной безопасности на основе цикла «планируй-делай-проверяй-улучшай», поэтому документы должны описывать процессы, а не только меры.

Актуализируйте внутренние документы:

• Политики защиты информации.
• Регламенты управления доступом, обновлениями, уязвимостями и инцидентами.
• Требования к мониторингу событий, резервному копированию и восстановлению.
• Регламенты безопасной разработки ПО.
• Включите требования приказа ФСТЭК № 117 во все новые договоры с подрядчиками и в технические задания.

Оценка рисков, угроз и моделей угроз

Определите события, угрозы и риски, актуальные для каждой информационной системы, включая современные угрозы для API, облачных и контейнерных сред, конечных устройств и ИИ-компонентов. Эти оценки станут основой для выбора защитных мер и расчета показателей защищенности (КЗИ и ПЗИ).

Планирование бюджета

Приказ требует от ИБ-служб обосновать распределение ресурсов — финансовых, кадровых и технических — для выполнения ИБ-мероприятий в полном объеме. Руководство, в свою очередь, должно выделить необходимые ресурсы в рамках бюджета.

На основе аудита подготовьте обоснование для руководства о необходимых ресурсах, указав:

• Цели защиты информации.
• Планирование бюджета и риски при недостаточном финансировании.
• Необходимость обучения или найма специалистов по ИБ.
• Конкретные решения и их стоимость.
• Последствия для деятельности организации в случае нехватки ресурсов.

Этап 3: Внедрение и интеграция мер защиты

Внедрите обязательные технические решения по основным элементам защиты на базе российского ПО:

• Мониторинг ИБ: сбор, обработка и анализ событий безопасности по стандартам ГОСТ Р 59547-2021 и внутренним регламентам.
• EDR и PAM: системы для контроля конечных систем и привилегированных доступов.
• SIEM-решения: централизованный анализ логов и корреляция безопасности.
• Контроль конфигураций и управление уязвимостями: процессы фиксации изменений и устранения уязвимостей в жесткие регламентированные сроки.
• Безопасная разработка ПО: применение ГОСТ Р 56939-2024 при самостоятельной разработке и при работе с подрядчиками.
• Криптозащита: использование сертифицированных СКЗИ для данных и каналов.
• Защита сетей и доступов: изоляция сетей, контроль удаленного доступа, защита API и контейнерных сред.

Организуйте интеграцию с ГосСОПКА для передачи в ФСБ сведений о компьютерных инцидентах и итогах внутренних расследований. Это требование теперь обязательны для всех государственных информационных систем (ГИС).

Настройте процессы управления уязвимостями с учетом предписанных сроков:

• Критические уязвимости — 24 часа.
• Высокий риск — до 7 суток.

Реализуйте программы обучения, развития и осведомленности сотрудников:

• Запустите программу регулярного обучения сотрудников. Специалисты по информационной безопасности должны проходить повышение квалификации не реже одного раза в 3 года;
• Проведите антифишинговые тренировки.
• Организуйте киберучения для отработки реакции на инциденты.
• Введите внеочередные обучения после инцидентов.

Этап 4: Эксплуатация, контроль и совершенствование ИС

Постоянный мониторинг и отчетность

С началом эксплуатации необходимо наладить непрерывный мониторинг показателей и регулярные отчеты по состоянию информационных систем:

• расчет КЗИ не реже раза в 6 месяцев;
• оценка ПЗИ — не реже раза в 2 года;
• контроль уровня защищенности — не реже раза в 3 года или после инцидента;
• отчеты по результатам оценки показателей в ФСТЭК не позднее 5 рабочих дней с даты расчета.

Управление инцидентами и уязвимостями

Необходимо обеспечить:

• автоматизированное выявление и расследование инцидентов;
• устранение критических уязвимостей в течение 24 часов, высокого риска — до 7 дней;
• регулярное тестирование восстановления ИС из резервных копий.

Завершающий этап — непрерывное совершенствование выстроенной системы защиты: необходимо отслеживать актуальные методические рекомендации ФСТЭК и своевременно адаптировать внутренние процессы под требования регулятора. Важно систематически пересматривать и донастраивать внедренные меры защиты, а также проводить систематический анализ их эффективности.

Как действовать партнерам сети «1С» с нововведением законодательства

Для партнеров сети «1С» новые требования открывают возможность реализовывать более маржинальные проекты, расширять продуктовый портфель и предлагать заказчику комплексные решения, а не разрозненные поставки ПО по запросам.

Став экспертами в вопросах соответствия ФСТЭК № 117, можно занять новую нишу на рынке и построить долгосрочные отношения с государственными и муниципальными заказчиками.

Партнеры сети «1С» могут стать ключевым поставщиком решений для государственных и муниципальных организаций, помогая им:

• Проводить предварительный аудит систем на соответствие требованиям.
• Разрабатывать планы перехода на новые стандарты.
• Подбирать и внедрять соответствующие решения.

Даже если собственных компетенций пока недостаточно, партнер может закрывать сложные проекты совместно с дистрибьютором «1С‑Рарус» и техническими специалистами.

По вопросам приобретения продуктов обращайтесь в отдел продаж системного программного обеспечения:

• эл. почта: soft@rarus.ru;
• тел.: +7 (495) 642‑78‑78;
• или в ваше региональное представительство компании «1С‑Рарус».