Приказ ФСТЭК № 117: что поменялось в защите информации

1 марта 2026 года вступил в силу новый приказ ФСТЭК России № 117. Он заменил старый 17-й приказ, который действовал больше десяти лет. Если вы работаете с госсистемами или в госучреждениях, это касается вас напрямую. 

Кто подпадает под требования

Теперь под регулирование подпадают не только государственные информационные системы, но и любые информационные системы госорганов, госпредприятий, госучреждений и даже муниципальных структур. 

Если ваша система уже подпадает под другие требования (например, по персональным данным или КИИ), 117-й приказ действует вместе с ними, а не вместо.

Об актуальных изменениях в законодательстве о КИИ мы рассказали в статье Новые правила для КИИ. Разбор Постановления Правительства РФ №1762 от 7 ноября 2025 г.

Процессный подход

Раньше организации могли подходить к безопасности формально: написать документы, поставить средства защиты и забыть об этом. Теперь придется работать по формуле «сделал, проверил, поправил, повторил». По новым правилам ФСТЭК, защита информации должна строиться по принципу цикла PDCA: сначала планируем меры (Plan), потом внедряем их (Do), затем проверяем эффективность (Check) и вносим улучшения (Act). 

Эти же принципы непрерывного улучшения (PDCA) заложены в основу ГОСТ Р 57580.1 – базового стандарта ИБ для финансового рынка. О том, почему требования регулятора к его исполнению ужесточились в 2026 году, мы подробно рассказали в статье ГОСТ Р 57580.1 в 2026 году. Почему стандарт снова в фокусе регулятора?

Новые документы: пирамида из трех уровней

Появляется четкая структура документов по информационной безопасности. 

• Верхний уровень – политика по защите информации: цели, принципы, кто за что отвечает.
• Средний уровень – стандарты: какое ПО можно ставить, как настраивать системы, как делать резервные копии. 
• Нижний уровень – регламенты, или пошаговые инструкции для сотрудников: как создать учетную запись, как дать доступ в интернет, как реагировать на инциденты.

ФСТЭК обещает выпустить типовые шаблоны этих документов во второй половине 2026 года. 

Кадровое обеспечение ИБ

В организации должно быть структурное подразделение по информационной безопасности, причем не менее 30% сотрудников этого подразделения должны иметь профильное образование или пройти переподготовку по программам, согласованным с ФСТЭК. 

Все обязанности по ИБ должны быть прописаны в должностных инструкциях – от заместителя руководителя до рядового специалиста.

Формально можно возложить все обязанности на одного человека, но на практике это рискованно, потому что один специалист физически не закроет весь спектр задач.

Два новых показателя: Кзи и Пзи

Введены два новых показателя: Кзи – показатель защищенности, который отражает, насколько вы закрыты от базовых угроз, и Пзи – показатель зрелости процессов управления безопасностью. Показатель Кзи нужно рассчитывать не реже раза в полгода и направлять отчет во ФСТЭК. 

Первый отчет предстоит сдавать уже в августе 2026 года. Будьте готовы к тому, что ФСТЭК может запросить подтверждающие документы: не только бумаги, но и скриншоты, логи, настройки. 

Сроки восстановления после сбоев

Системы первого класса должны возвращаться в строй не более чем за 24 часа, второго класса – за семь дней, третьего – за четыре недели. 

Раз в два года нужно будет проводить учения по восстановлению из резервных копий с привлечением реальных сотрудников.

Дедлайны устранения уязвимостей

Критические уязвимости нужно устранять в течение 24 часов, высокие – за семь календарных дней, а средние и низкие – по вашим внутренним регламентам. 

Все инциденты теперь нужно передавать в ГосСОПКА – государственную систему мониторинга кибератак. 

Если вы обнаружили уязвимость, которой нет в базе ФСТЭК, вы обязаны сообщить об этом регулятору в течение пяти рабочих дней.

Легализация использования ИИ 

117-й приказ – один из первых документов, который официально разрешает использовать ИИ-решения, в том числе на базе больших языковых моделей, в госсистемах. При этом необходимо защищать данные от несанкционированного доступа, исключать вмешательство в работу системы и не допускать нецелевого использования ИИ.

Запрещено использовать конфиденциальные данные из госсистем для обучения моделей.

О том, с чего начинается безопасность ИИ, мы рассказали в статье Кибербезопасность и нейросети

Меры защиты

Вместо таблицы с мерами, как в старом 17-м приказе, ФСТЭК выпустил проект методического документа, в котором выделено 19 обязательных мероприятий – это процессы, которые должны работать в любой системе, и 18 групп мер защиты, которые подбираются в зависимости от класса системы и актуальных угроз.

Документ учитывает современные архитектуры: облака, микросервисы, удаленную работу, и делает акцент на том, что техническая защита должна адаптироваться под реальные условия эксплуатации.

Что делать бизнесу в новых условиях

Изучите проект методических рекомендаций к 117-му приказу, особенно в части процессов. Проанализируйте архитектуру своих систем и оцените, справляются ли ваши текущие средства защиты с новыми требованиями.

Обновите документацию. Настройте учет инцидентов и уязвимостей. Внедрите регламенты реагирования, чтобы укладываться в сроки.

Не забывайте мониторить нормативные требования, чтобы вовремя корректировать внутренние процессы. Требования к защите информации ужесточаются, поэтому важно оперативно отслеживать любые изменения законодательства.