На недавнем вебинаре, проведенном Александром Метальниковым, архитектором дивизиона консалтинга и развития практик кибербезопасности компании Softline, были обсуждены ключевые изменения в обеспечении безопасности информации в соответствии с новым 117 приказом ФСТЭК России. Участники мероприятия узнали о том, как новый приказ отличается от ныне действующего, на кого он распространяется, какие изменения в подходах к защите информации ожидаются, а также о позиции регулятора и ключевых действиях, которые будут актуальны в 2025 и 2026 годах.
Александр поделился важной информацией о новом приказе ФСТЭК России Nº 117, который был подписан 11 апреля 2025 года и опубликован 16 июня 2025 года. Этот приказ вступает в силу с 1 марта 2026 года и полностью заменит ранее действующий приказ ФСТЭК Nº 17.Как отметил спикер, «кардинально расширяется перечень организаций, на которых распространяется действие приказа». Если раньше приказ Nº 17 касался в основном государственных и муниципальных информационных систем, то новый охватывает все информационные системы государственных органов, унитарных предприятий и учреждений. Кроме того, под действие 117 приказа попадают муниципальные информационные системы, а также подрядные организации, взаимодействующие с этими системами.
Важно отметить, что расширяется область применения внутри организации. Теперь в приказе вводится понятие «иные информационные системы», что значительно увеличивает количество организаций, подпадающих под его действие. Ранее же 17 приказ касался в первую очередь государственных информационных систем, что создавало определенные ограничения.
Ключевым изменением является трансформация подхода к защите информации от «бумажной» к более эффективной системе. Как подчеркнул Александр, подход к защите информации меняется и становится направленным не только на выполнение каких-то бумажных требований, но и на обеспечение эффективной защиты. Это связано с растущей необходимостью нейтрализации возможных негативных последствий, о чем все чаще упоминают регуляторы, такие как Минцифры и ФСБ.
Эксперт также обратил внимание на изменения в мерах защиты. «На данный момент поменялись только группы мер защиты»- рассказал эксперт, и ожидается появление новых, которые будут конкретизированы в документе, обещанном ФСТЭК до конца года. Однако на данный момент этот документ еще не вышел.
Не менее важно, что приказ распространяется на государственные театры, музеи, образовательные учреждения и лечебные организации. Стоит отметить, что новый приказ охватывает и все муниципальные информационные системы, то есть администрации городов и районов также подпадают под его действие.
Александр выразил интерес к тому, как регулятор будет проверять соблюдение нового законодательства в столь широком круге организаций. Докладчик вспомнил о том, как это происходило ранее с 17 приказом, когда государственные информационные системы часто сосредотачивались в одном центре обработки данных и управлялись местными министерствами информационных технологий. Теперь же количество информационных систем значительно возросло, и регуляторам предстоит справиться с этой задачей.
Кроме того, спикер отметил изменения в подходах к защите информации. 117 приказ стал более современным и учитывает новые технологии, такие как искусственный интеллект, интернет вещей и облачные технологии. Учитывая, что удаленная работа стала неотъемлемой частью нашей жизни после пандемии COVID-19, эти изменения особенно актуальны.
«Если мы говорим про персонал, то появляются обязательные требования именно к квалификации специалистов, которые участвуют в обеспечении защиты информации. В частности, что 30% специалистов подразделения по защите информации должны иметь либо профессиональное образование, либо пройти курсы повышения квалификации или подготовки. Теперь то, что касается документации. И на самом деле, вот лично на мой взгляд, это огромный плюс. Сейчас в 117 приказе достаточно детально расписана вся документация, которая должна быть.» — рассказал Александр Метальников.
Александр затронул тему требований к безопасной разработке программного обеспечения. В частности, спикер отметил, что ГОСТ Р 56939-2024 включает в себя 24 процесса, охватывающих почти весь жизненный цикл разработки ПО. Кроме того, приказ № 117 дополняет требования ГОСТа, акцентируя внимание на защите технологий контейнерных сред и их оркестрации, а также на использовании веб-аппликационных фаерволов (WAF). Важно отметить, что ГОСТ Р 56939-2024 также содержит методику оценки соответствия установленным требованиям, что позволяет более эффективно контролировать безопасность разработки программного обеспечения.
Эксперт также поделился информацией о ключевых действиях, которые будут актуальны в 2025 и 2026 годах в сфере информационной безопасности.
В 2025 году планируется провести обследование информационных систем, что позволит выявить их текущее состояние. На основе этого обследования будет сформирован перечень негативных последствий, а также оценено состояние защиты информации. Кроме того, необходимо провести ревизию подрядчиков, чтобы убедиться в их соответствии современным требованиям. Завершит год разработка плана мероприятий по совершенствованию защиты информации и создание дорожной карты для его реализации.
В 2026 году акцент будет сделан на разработку политики, стандартов и регламентов в области информационной безопасности. Важным шагом станет закупка, внедрение и настройка дополнительных средств защиты информации. Также планируется внедрение процессов управления информационной безопасностью, включая процесс обеспечения непрерывности и процесс безопасной разработки программного обеспечения. Для повышения уровня знаний пользователей информационных систем будут организованы специальные тренинги. Необходимо будет подтвердить достаточность принятых мер защиты информационных систем через аттестацию или контроль уровня защищенности информации.
Переход от приказа Nº 17 к Nº 117 обозначает не только обновление требований к безопасности, но и необходимость адаптации организаций к новым условиям. Важно, чтобы все заинтересованные стороны внимательно изучили изменения и подготовились к их внедрению, что позволит обеспечить эффективную защиту информации в условиях растущих угроз кибербезопасности.
