Информационная безопасность сегодня — это условие устойчивости государства. Новый приказ ФСТЭК России от 11 апреля 2025 года № 117 кардинально меняет правила игры, переводя фокус с эпизодических формальных проверок на непрерывный процесс подтверждения реальной защищенности и оценки зрелости процессов информационной безопасности. О ключевых новациях документа и их практическом значении для операторов государственных информационных систем (ГИС), а также иных информационных систем рассказывает эксперт в области цифровых решений и кибербезопасности, руководитель международных проектов, топ-менеджер группы компаний «Кейсистемс» Сергей Николаевич Сергеев.
Введение
Задача достижения технологического суверенитета через импортозамещение призвана существенно снизить риски, связанные с использованием иностранного программного обеспечения (ПО). Однако непрекращающийся поток кибератак усиливает риски негативных последствий, особенно при использовании нового отечественного ПО, которое функционально сопоставимо с западными аналогами, но пока уступает по стабильности и опыту эксплуатации. Также при совместном применении компонентов часто возникают проблемы совместимости и новые уязвимости, а каждое обновление или перенастройка требуют дополнительных проверок, что увеличивает сроки и затраты на проекты.
На этом фоне особое значение приобретает новый приказ ФСТЭК России № 117, который вступает в силу с 1 марта 2026 года и отменяет приказ № 17. Документ стал ключевым шагом к прагматичному подходу в защите ГИС (таблица). Его действие распространяется не только на системы, официально получившие статус ГИС, но и на иные информационные системы органов власти, государственных унитарных предприятий и учреждений. Теперь требования распространяются на большее число организаций, которые обязаны внедрять меры защиты и подтверждать их эффективность.
Таблица. Изменения по приказу ФСТЭК № 117 и их практическое значение для организации
|
Изменения по приказу ФСТЭК № 117 |
Практическое значение для организации |
|
Действительность ранее выданных аттестатов соответствия на ГИС, но обязательная защита всех информационных систем |
Плавный переход в первые месяцы после вступления приказа в силу, однако масштаб задач по информационной безопасности растет |
|
Переход от эпизодических проверок к непрерывному обеспечению информационной безопасности и оценке показателей защищенности и зрелости |
Защита обеспечивается 24×7, включая непрерывный мониторинг объектов и отработку инцидентов. Информационная безопасность становится управляемой и прозрачной для руководства |
|
Особая важность и повышение надежности механизмов идентификации, фиксации действий и журналирования операций |
Обеспечивает доказуемость соблюдения требований, юридическое обеспечение ГИС, снижение репутационных и операционных рисков |
|
Учет современных технологий: облака, виртуализация, контейнеры, искусственный интеллект и др. |
Безопасность встроена в каждый элемент ИТ-архитектуры, необходимо учитывать риски новых технологий, в том числе искусственного интеллекта |
|
Правила взаимодействия с поставщиками и подрядчиками по вопросам безопасности ПО и выполняемых работ |
Требования по безопасности услуг в ТЗ, учет безопасности разработки ПО, регулярные проверки уязвимостей, тестирование обновлений ПО |
|
Усиление требований к квалификации персонала по информационной безопасности и осведомленности иных сотрудников |
Непрерывное обучение персонала: киберучения, антифишинговые тренировки и др. Необходима новая кадровая стратегия из-за дефицита профильных специалистов |
Новая управленческая логика: от списка мер к показателям эффективности
Приказ № 117 подтверждает ключевой принцип: ответственность за безопасность государственных информационных систем несет их оператор (обладатель информации). Например, для региональной информационной системы здравоохранения оператором является Минздрав, даже если техническую эксплуатацию ведет МИАЦ.
Новый документ меняет саму логику классификации. Раньше класс ГИС задавал лишь фиксированный набор мер защиты. Теперь он определяет периодичность расчета показателей защищенности (КЗИ) и зрелости (ПЗИ), а уже через них формируются требования и приоритеты. Это фундаментальный сдвиг: безопасность перестает быть статичной галочкой и превращается в измеряемую управленческую дисциплину, встроенную в систему управления.
Периодичность расчета показателей и их направления во ФСТЭК России (например, раз в полгода или раз в год для КЗИ) определяется классом защищенности ГИС. Это заставляет оператора сначала правильно классифицировать систему, а уже потом выстраивать подходящий график контроля, а также план мероприятий по совершенствованию защиты информации. И это уже управленческий инструмент: он позволяет видеть динамику, выявлять слабые места и заранее планировать бюджет на защиту с учетом реальных рисков. Для руководителей и финансистов это полноценная система метрик, которая делает безопасность прозрачной и напрямую связывает вложения в информационную безопасность с конкретными результатами.
Важно понимать: невыполнение новых требований — это не просто риск штрафов. Для руководителя это означает угрозу операционных сбоев, утраты доверия граждан, клиентов и контролирующих органов. В конечном счете репутационный ущерб и потеря доверия обходятся дороже любых затрат на соблюдение требований.
Одновременно приказ учитывает, что современные государственные и муниципальные системы уже не ограничиваются классическими дата-центрами. Сегодня они строятся на основе облаков, виртуализации, контейнерных технологий, мобильных приложений и сервисов обмена сообщениями, и именно эти компоненты становятся целями атак. Появилось и отдельное требование: обеспечить защиту информации при использовании технологий искусственного интеллекта.
В результате система показателей и охват современных технологий задают новые рамки: безопасность должна обеспечиваться не только для традиционных информационных систем, но и для цифровых экосистем в целом. Это делает приказ № 117 практико-ориентированным и актуальным в горизонте ближайших лет.
В одной связке с поставщиками
Приказ № 117 закрепляет требования к поставщикам: они обязаны соблюдать комплексные меры информационной безопасности и следовать установленным оператором процедурам и регламентам. Основная причина в том, что атаки через цепочку поставок (SSC, Software Supply Chain Attacks) за последние годы стали одним из ключевых каналов проникновения и привели к серьезным последствиям. ФСТЭК России активизировала работу по разъяснению обязанностей поставщиков, а заказчики начинают включать соответствующие разделы в технические задания и договоры. Вероятно, точные механизмы их исполнения будут дополнительно определены в методических рекомендациях регулятора. Подрядчики обязаны защищать собственную инфраструктуру и создавать программное обеспечение с соблюдением требований безопасной разработки (РБПО), используя отечественные инструменты анализа уязвимостей и качества кода для минимизации рисков проникновения через «дыры» в их продуктах.
Кроме того, внимание уделяется и системам искусственного интеллекта (ИИ): их необходимо проверять на безопасность с учетом того, что алгоритмы часто работают как «черный ящик» даже для своих разработчиков. Требования к доверенному ИИ в России активно развиваются на фоне общемирового тренда регуляторного ужесточения в этой сфере.
Особое внимание уделено обновлению программного обеспечения: все будущие модификации ГИС должны проходить проверку на безопасность, минимизацию уязвимостей и совместимость в тестовых средах. Такой подход может удлинить сроки поставки, но повышает качество продукта — отсутствие ошибок теперь рассматривается как элемент информационной безопасности, а не только как удобство. Подрядчик обязан формально подтверждать качество ПО перед передачей заказчику, обеспечивая доказуемость соответствия и функциональным требованиям, и требованиям безопасности.
Новый приказ меняет модель взаимодействия с поставщиками: организациям теперь важно выстраивать долгосрочные доверительные отношения только с теми партнерами, кто действительно применяет зрелые практики разработки и предоставления безопасных ИТ-услуг, обеспечивая качество и минимизацию рисков на всех этапах.
Экосистема цифрового доверия
Любая государственная информационная система работает не изолированно, а в составе многоуровневой экосистемы — федеральной, региональной и муниципальной. Федеральные сервисы (ЕСИА, СМЭВ, НСУД, ЦХЭД и т. п.) обеспечивают взаимодействие множества прикладных решений. На региональном уровне формируются собственные цифровые платформы, объединяющие ГИС, сервисы, ЦОДы и средства защиты. Аналогичные модели развиваются и в отраслевых системах — закупках, управлении имуществом, госфинансах и т. д.
Надежность цифровой экосистемы зависит не только от технологий, но и от согласованности процессов и юридической определенности действий. Часто техническая и правовая стороны говорят на «разных языках», что затрудняет как правовую поддержку, так и цифровое развитие. С одной стороны, юристам необходимы четкие доказательства того, что действия ИТ и ИБ выполнены корректно и в соответствии с регламентами, чтобы их можно было защитить «даже в суде». Пренебрежение этой задачей повышает риск юридических претензий и репутационных потерь для организации. С другой стороны, юрист должен не просто владеть цифровым правом, но и точно фиксировать в своих документах все происходящее в цифровой экосистеме, учитывая технические нюансы. Даже если он едва понимает, как работает механизм электронной подписи или что подразумевается под надежностью ГИС, цифровые действия должны корректно фиксироваться в договорах, регламентах или хотя бы согласовываться с ИТ. Ограничиваться лишь юридическими формулировками недопустимо — только так организация сможет подтвердить соблюдение требований и защитить себя при проверках, юридических претензиях или последующей технической экспертизе.
На практике все это требует полной прослеживаемости действий в цифровой среде с использованием цифровых следов и специализированных инструментов, таких как средства контроля за действиями подрядчиков, журналирование операций, фиксация технических процедур и других средств. Эти цифровые доказательства служат основой для защиты организации и подтверждения соблюдения требований, включая риски, связанные с цифровыми транзакциями и ЭДО. При этом новые технологические инициативы, например внедрение цифрового рубля, добавляют дополнительный уровень сложности, требующий адаптации процессов и усиленного контроля безопасности.
Ключевое звено любой ГИС — идентификация пользователей, что также отражено в приказе № 117. Уровень доверия к системе определяется не только техническими средствами, но и персональной ответственностью: каждый доступ закреплен за конкретным лицом. Сейчас этому часто не уделяют должного внимания, а значимость процесса недооценивается, что повышает риски инцидентов. Будет лучше, если, например, вход в систему осуществляется через ЕСИА с многофакторной аутентификацией, а заявки на доступ подписывает руководитель подразделения, такие меры делают процессы прозрачными и юридически значимыми, обеспечивая контроль и доказуемость действий при проверках и инцидентах.
Исторически информационная безопасность рассматривалась как отдельная профессиональная область, выполняемая «сбоку» от ИТ и юриспруденции. Сегодня ИБ — неотъемлемая часть архитектуры информационной системы. Она опирается на технологии и юридические процессы, а границы между ИБ, ИТ и цифровым правом должны быть интегрированными. Для руководителей это означает, что безопасность, ИТ и правовые аспекты — единый, взаимосвязанный процесс, где каждая часть влияет на общий результат.
Человеческий фактор и кадровый дефицит
Люди — ключ к информационной безопасности. Приказ № 117 подчеркивает, что защита информации требует квалифицированных специалистов и осведомленных пользователей ГИС. Не менее 30% сотрудников подразделений по информационной безопасности должны иметь профильное образование или пройти переподготовку, а регулярные тренировки и киберучения помогают отрабатывать навыки на инфраструктуре, максимально приближенной к реальной.
Человеческий фактор остается главным источником рисков: по данным отраслевых исследований, до
Актуальный сегодня, как никогда, кадровый дефицит заставляет руководителей делать стратегический выбор. Можно развивать внутренние ресурсы, но это долго и дорого. Более эффективные варианты: создание региональных (отраслевых) центров компетенций или использование аутсорсинга. Такой подход позволит обеспечить круглосуточный мониторинг и реагирование на инциденты, закрывая критические потребности, которые командой одной госорганизации выполнить невозможно.
Подготовка к исполнению приказа № 117 требует не просто выполнения формальных требований, а построения динамичной системы обучения и контроля, где люди, процессы и технологии работают вместе. Только так организация сможет снизить риски и превратить информационную безопасность в управляемый и измеримый ресурс.
Пошаговая подготовка к исполнению приказа № 117
Этап 1. Действия, которые можно начать сразу:
- инвентаризация и классификация всех систем;
- проверка действующих аттестаций;
- включение требований приказа № 117 в ТЗ и договоры с подрядчиками;
- налаживание работы с поставщиками ИБ в сервисной модели;
- запуск антифишинговых тренировок и программы повышения осведомленности;
- определение задач, которые можно передать внешним провайдерам при дефиците кадров.
Этап 2. В ближайшее время и до конца 2026 года:
- планирование бюджета на выполнение требований приказа с привязкой к конкретным рискам;
- использование проектных планов совершенствования защиты (по итогам будущих КЗИ/ПЗИ) для распределения ресурсов заранее;
- отслеживание методических рекомендаций ФСТЭК России и адаптация процессов под них.
Этап 3. Дальнейшие задачи:
- развитие внутренних или внешних сервисов для мониторинга событий безопасности;
- формирование региональных или отраслевых центров компетенций для закрытия кадрового дефицита;
- регулярная работа с уязвимостями и обновлениями ПО: тестирование в изолированных контурах, контроль целостности и отчетность.
Заключение
Информационная безопасность становится фундаментом цифровой трансформации: она укрепляет доверие между организациями, ускоряет работу и формирует единое пространство ответственности и взаимодействия. Такая интеграция напрямую связывает защиту информации с управленческой практикой и финансовым планированием. В итоге информационная безопасность превращается в стратегический ресурс развития.
При этом практическая реализация новых требований потребует значительных организационных усилий. Многие положения приказа пока остаются без детальной расшифровки и будут уточняться в методических рекомендациях ФСТЭК России. Операторам и заказчикам важно внимательно следить за их выходом и заранее адаптировать процессы. Реализация этих мер потребует накопления опыта, обмена лучшими практиками и постоянного диалога между государством, бизнесом и экспертным сообществом.
Поделиться:
