С 1 марта 2026 года начинают действовать новые требования ФСТЭК, утвержденные приказом №117. Александр Хонин, директор Центра консалтинга Angara Security, рассказал, что конкретно меняется с 1 марта 20206 года и на что обратить внимание в первую очередь.

Кого касаются новые требования

Приказ №117 распространяется на государственные информационные системы, а также на иные информационные системы госорганов, государственных унитарных предприятий и государственных учреждений.

! Важно: на объекты КИИ документ не ориентирован — для них действуют отдельные нормативные акты.

Что нужно знать

Аттестаты соответствия, выданные до 1 марта 2026 года, продолжают действовать. Но если вы планируете создание новой ГИС или модернизацию существующей - проектировать систему защиты информации придется уже по новым требованиям.

Главные изменения

• Подход к созданию систем защиты стал шире и практико-ориентированнее. Расширен перечень обязательных средств защиты информации, добавлены требования к процессной части. Просто установить СЗИ и забыть — больше не работает, нужно выстраивать регламенты.
• Что касается новых методик ФСТЭК по анализу защищенности и тестированию на проникновение, выпущенных в 2025 году. Помимо анализа уязвимостей добавился пентест, который становится обязательным этапом для ГИС и систем госорганов 1 и 2 классов защищенности, если они имеют выход в интернет или взаимодействуют с внешними системами.
• Взаимодействие с ГосСОПКА теперь становится обязательным для ГИС.

Что делать

• изучить новые требования;
• для существующих систем — оценить объем изменений, которые требуются для модернизации системы защиты информации с учетом требования приказа №117;
• для новых систем и модернизируемых проектов — при создании/модернизации системы защиты информации учитывать требования уже новго приказа №117.

Риски переходного периода

Основная сложность — возможные разночтения в применении новых требований на практике. Методические рекомендации «Мероприятия и меры по защите информации, содержащейся в ИС» еще разрабатываются, и соответственно практика их применения еще не сформирована. В первое время стоит опираться на официальные разъяснения ФСТЭК и консультации с экспертами.

Если у вас остаются вопросы по применению приказа №117 с 1 марта — напишите нам, разберем конкретные ситуации.

Источник: Angara Security