Приказ ФСТЭК России №117 от 11.04.2025 «Об утверждении Требований о ЗИ, содержащейся в ГИС, иных ИС госорганов, ГУП, госучреждений»

Приказ Федеральной службы по техническому и экспортному контролю от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»

Внимание

Начало действия документа - 01.03.2026.

Ссылки

• Публикация на Официальном интернет-портале правовой информации (PDF-файл)
• Сохранённый текст в формате PDF
• Консультант+
• Гарант

Дополнительная информация

• Обзор ключевых изменений в требованиях к защите информации согласно Приказу ФСТЭК России № 117

Изменяемые документы

• Приказ ФСТЭК России №17 от 11.02.2013 «Об утверждении Требований о ЗИ, не составляющей гостайну, содержащейся в ГИС»

Обзоры документа

Аналитический центр УЦСБ

17 июня 2025 года официально опубликованы Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений (утв. приказом ФСТЭК России от 11.04.2025 № 117), которыми будут заменены Требования о защите информации, не составляющей государственную тайну, содержащейся в ГИС (утв. приказом ФСТЭК России от 11.02.2013 № 17) (далее – приказ ФСТЭК России № 17).

Новые Требования разработаны с целью защиты информации (в том числе ограниченного доступа), содержащейся в ГИС, иных ИС, функционирующих на территории РФ, оператором которых являются государственные органы, государственные учреждения и унитарные предприятия, также Требования могут применяться для муниципальных ИС, если иное не установлено законодательством. Требования не распространяются на ряд ИС, в том числе на ИС, находящиеся в ведении Администрации Президента РФ, аппарата Совета Безопасности РФ, Федерального Собрания РФ и иные.

См. ПП-1119 от 01.11.2012, 187-ФЗ от 26.07.2017, Приказ ФСБ России №524 от 24.10.2022

Требования применяются для обеспечения защиты информации некриптографическими методами. Требования необходимо применять совместно с:

• требованиями к защите ПДн при их обработке в ИСПДн (утв. постановлением Правительства РФ от 01.11.2012 № 1119) при обработке ПДн;
• требованиями Федерального закона от 27.07.2017 № 187-ФЗ «О безопасности КИИ РФ», если ИС является значимым объектом КИИ;
• требованиями о защите информации, содержащейся в ГИС, с использованием шифровальных (криптографических) средств (утв. приказом Федеральной службы безопасности РФ (далее – ФСБ России) от 24.10.2022 № 524) в случае использования средств криптографической защиты информации (далее – СКЗИ).

Требования определяют следующий порядок организации деятельности по защите информации:

• утверждение политики защиты информации, содержащей: 
  • область действия;
  • цели и задачи защиты информации;
  • принципы защиты информации;
  • перечни объектов защиты, включая программные, программно-аппаратные средства, ИС, сети и подсети, образующие информационно-телекоммуникационную инфраструктуру;
  • категории лиц, участвующих в защите информации, их права и обязанности;
  • состав организационной системы управления деятельностью по защите информации и схему взаимодействия ее элементов;
  • ответственность работников за нарушения требований и установленных оператором правил обработки информации;
• определение лиц, ответственных за защиту информации;
• применение программных, программно-аппаратных средств, предназначенных для защиты информации;
• разработку и утверждение внутренних стандартов и регламентов по защите информации, среди которых:
  • требования к первичной идентификации пользователей, обладающих правами доступа к ИС;
  • требования к применяемым моделям доступа пользователей;
  • перечень разрешенного (запрещенного) для использования программного обеспечения (далее – ПО);
  • требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств;
  • требования к непрерывности функционирования ИС;
  • требования к резервному копированию информации и ПО в ИС;
  • порядок повышения уровня знаний и информированности работников подразделений оператора по вопросам защиты информации;
  • иные регламенты и стандарты;
• выделение организационных, технических и иных ресурсов, необходимых для защиты информации. 

Требования описывают проведение оценки состояния защиты информации на основе определения:

• показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации. Расчет показателя должен производиться не реже 1 раза в 6 месяцев;
• показателя, который определяет достаточность и эффективность проведения мероприятий по защите информации. Расчет показателя должен производиться не реже 1 раза в 2 года.

Результаты оценки необходимо будет направлять в ФСТЭК России.

Также в Требованиях представлены разъяснения к проведению мероприятий по защите информации, среди которых:

• выявление и оценка угроз безопасности информации;
• контроль конфигураций ИС;
• управление уязвимостями и обновлениями;
• обеспечение защиты информации при использовании конечных и мобильных устройств;
• обеспечение разработки безопасного ПО;
• обеспечение физической защиты ИС;
• повышение уровня знаний и информированности работников оператора по вопросам защиты информации;
• обеспечение защиты от атак, направленных на отказ в обслуживании и иные мероприятия.

Появились новые базовые меры защиты, которые не входили в перечень мер приказа ФСТЭК России № 17:

• защита технологий контейнерных сред и их оркестрации;
• защита сервисов электронной почты;
• защита веб-технологий;
• защита программных интерфейсов взаимодействия приложений;
• защита технологий интернета вещей и другие.

Требованиями устанавливается соответствие применяемых сертифицированных СрЗИ и класса защищенности ИС. Для защиты ИС:

• 1 класса защищенности необходимо применять СрЗИ не ниже 4 класса защиты и уровня доверия;
• 2 класса защищенности необходимо применять СрЗИ не ниже 5 класса защиты и уровня доверия;
• 3 класса защищенности необходимо применять СрЗИ 6 класса защиты и уровня доверия.

Приказ вступает в силу 1 марта 2026 года. С этой даты приказ ФСТЭК России № 17 признается утратившим силу.

Гарант ПРАЙМ

ФСТЭК определила новые требования к защите данных, содержащихся в ГИС. Это касается и иных информсистем госорганов, ГУПов и госучреждений.

Помимо прочего, предусмотрена разработка политики защиты информации. Требуется, чтобы не менее 30% работников структурного подразделения по защите информации имели профессиональное образование по специальности или направлению подготовки в области информационной безопасности или прошли обучение по программе профессиональной переподготовки в области информационной безопасности.

Прежние требования утратят силу.

Приказ вступает в силу с 1 марта 2026 г. Выданные до этой даты аттестаты соответствия информсистем считаются действительными.

Горячие документы Консультант+

С 1 марта 2026 г. обновляются Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений.

Требования применяются для обеспечения защиты (некриптографическими методами) информации, предотвращения несанкционированного доступа к информации, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения, блокирования доступа к информации, содержащейся в функционирующих на территории РФ информационных системах.

Признается утратившим силу приказ ФСТЭК России от 11 февраля 2013 г. N 17, которым утверждены аналогичные требования, с внесенными в него изменениями.

Предусматривается, что аттестаты соответствия на государственные информационные системы и иные информационные системы, выданные до дня вступления в силу настоящего приказа, то есть до 1 марта 2026 г., считаются действительными.

Текст документа

Быстрый просмотр сохранённой копии