• Главная
  • Новости
  • SECURITM для государственных учреждений: соответствие требованиям Приказа ФСТЭК №117

27.05.2026

SECURITM для государственных учреждений: соответствие требованиям Приказа ФСТЭК №117

blog picture detail

Новая регуляторная реальность: на смену 17-му пришёл 117-й

С 1 марта 2026 года вступил в силу Приказ ФСТЭК России от 11 апреля 2025 года №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Он пришёл на смену Приказу №17, который регулировал эту область более десяти лет.

Важно понимать: область применения нового документа шире, чем у предшественника. Если Приказ №17 формально распространялся лишь на государственные информационные системы (ГИС), то Приказ №117 охватывает государственные информационные системы и иные информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений - включая ведомственные, региональные, медицинские и иные прикладные системы (муниципальные ИС, системы документооборота, кадрового учета и т.д.), если они используются указанными субъектами. Это означает, что круг обязанных субъектов существенно расширился.

При этом, приказ №117 не отменяет специальные режимы регулирования. Добавить предложение: «При этом Приказ №117 не заменяет специальные требования по ПДн, КИИ и криптографической защите: если система одновременно является ИСПДн, значимым объектом КИИ или использует СКЗИ, параллельно применяются соответствующие требования ФСТЭК и ФСБ». Это прямо следует из пунктов 5-7 Требований №117.

По Информационному сообщению ФСТЭК России от 12.03.2026 №240/22/1492, опубликованному в марте 2026 года, переход на новые требования предполагает прежде всего актуализацию внутренней нормативной базы: разработку и утверждение политики защиты информации, внутренних стандартов и регламентов. При создании государственных и иных информационных систем после 1 марта 2026 года необходимо руководствоваться Требованиями №117. Для функционирующих систем, ранее аттестованных по №17, ФСТЭК рекомендует планировать приведение их в соответствие №117 в ходе модернизации; по результатам модернизации проводятся дополнительные аттестационные испытания.

Что от вас требует регулятор

Вариант: «Приказ №117 требует не только внедрить организационные и технические меры, но и выстроить управляемый процесс защиты информации по каждой системе: определить объекты защиты, назначить ответственных, вести учет активов, контролировать конфигурации, уязвимости, обновления, инциденты и регулярно оценивать состояние защиты. В числе ключевых направлений:

·Управление деятельностью по защите информации - разработка и утверждение политики ИБ, планирование мероприятий, ведение учёта всех объектов защиты;

·       

  • Идентификация и аутентификация - учёт идентификаторов доступа, контроль привилегий;

  • Защита информационных систем - применение технических средств защиты, контроль целостности;

  • Мониторинг и реагирование на инциденты - непрерывный контроль состояния защиты, документирование инцидентов;

  • Управление конфигурациями - инвентаризация программных и аппаратных средств, контроль изменений;

  • Управление уязвимостями и обновлениями;

  • Контроль удаленного, беспроводного и привилегированного доступа;

  • Защита конечных и мобильных устройств;

  • Взаимодействие с подрядчиками;

  • Повышение осведомленности пользователей;

  • Защита от DDoS; контроль применения ИИ;Взаимодействие с ГосСОПКА

Особую роль играет пункт 23 Приказа №117, который формирует нормативное основание для применения программных и программно-аппаратных средств, а также систем автоматизации и аналитической поддержки деятельности по защите информации. В этой логике SGRC-платформа может стать рабочим инструментом подразделения ИБ.

Отдельный практический блок связан с регулярной оценкой состояния защиты: расчетом показателя защищенности Кзи и показателя уровня зрелости Пзи по методическим документам ФСТЭК. Это превращает соответствие требованиям из разовой подготовки документов в регулярную измеримую процедуру. Показатель защищенности Кзи рассчитывается не реже одного раза в шесть месяцев, показатель уровня зрелости Пзи - не реже одного раза в два года. Результаты оценки направляются во ФСТЭК не позднее 5 рабочих дней после расчета, а подтверждающие материалы должны быть готовы к предоставлению.


SECURITM: единая система для исполнения требований №117

SECURITM – российская система управления ИБ, разработанная компанией ООО «СЕКЪЮРИТМ». Платформа объединяет 11 взаимосвязанных модулей и позволяет выстроить управление информационной безопасностью в единой точке, от инвентаризации активов до автоматизации рутинных операций.

В контексте Приказа №117 SECURITM выступает именно тем инструментом, который предписан пунктом 23: системой автоматизации и аналитической поддержки деятельности по защите информации.


Модуль Требования: оценка соответствия требованиям

В базе знаний SECURITM загружены и скоррелированы между собой свыше 200 стандартов и нормативных документов, включая Приказ ФСТЭК №117. Это позволяет специалисту службы ИБ проводить структурированную оценку соответствия отдельно по каждой информационной системе учреждения, не выходя из интерфейса платформы. Для каждой ИС можно сформировать отдельную область оценки, связать её с карточкой информационной системы, инфраструктурными активами, ответственными, защитными мерами и подтверждающими свидетельствами

Ключевое преимущество: корреляция требований помогает переиспользовать результаты оценки и свидетельства по связанным требованиям, сокращая дублирование ручной работы. При этом итоговую применимость подтверждает специалист.


Готовая база защитных мер

SECURITM содержит готовую библиотеку технических и организационных защитных мер, в том числе проекты документов по информационной безопасности. Для государственного учреждения это снижает стартовую нагрузку: типовые меры, структуры документов и связки с требованиями можно использовать как основу и адаптировать под конкретную ИС, класс защищенности и внутренние процессы.

Каждая защитная мера привязана к требованиям сразу нескольких нормативных документов, что обеспечивает так называемую «кросс-корреляцию»: выполнение одной меры одновременно закрывает пункты разных приказов и стандартов.


bottom picture detail bottom second picture detail

Модуль «Активы»: актуальная картина IT-инфраструктуры

Для выполнения №117 важно не только перечислить ИС, но и поддерживать модель объектов защиты: информационные системы, серверы, рабочие станции, БД, ПО, СЗИ, владельцев, администраторов, связи и зоны ответственности». Контроль конфигураций по №117 должен опираться на учет ИТ-активов и/или сведения из систем инвентаризации.

Благодаря автоматическому сбору данных платформа поддерживает актуальный реестр всех компонентов IT-инфраструктуры: серверов, рабочих станций, программных средств, СЗИ, с указанием их взаимосвязей. Карточка ИС становится центром связанной модели: к ней привязываются инфраструктурные активы, СЗИ, ПО, ответственные, требования, защитные меры, задачи, уязвимости, результаты оценки и свидетельства.


Метрики и дашборды: контроль готовности к расчету Кзи

Требования Приказа №117 предусматривают регулярный расчет показателя защищенности Кзи и показателя уровня зрелости Пзи по методическим документам ФСТЭК. Значение Кзи используется как количественный индикатор состояния защиты, например при значении КЗИ = 1 информационные системы организации считаются достигшими минимально необходимого уровня защиты, но это требует документального подтверждения исходных данных и свидетельств.

SECURITM может использоваться для автоматизации подготовки к расчету Кзи: сбора исходных данных, хранения свидетельств, контроля статусов мер, задач и результатов оценк, на основе данных об активах, реализованных мерах и результатах оценки соответствия платформа строит дашборды, которые могут показывать оперативное состояние исходных данных, реализованных мер, просроченных задач и готовности к очередной оценке Кзи. Руководитель подразделения ИБ видит текущий статус защищённости каждой системы в режиме реального времени и может оперативно принять управленческие решения.

Кроме того, SECURITM служит единым хранилищем подтверждающих документов и свидетельств: все материалы, собранные в ходе оценки, хранятся в системе и могут быть предоставлены регулятору по первому запросу.


Задачи и автоматизация (RPA)

Исполнение требований по защите информации - непрерывный операционный процесс, а не разовое мероприятие. SECURITM обеспечивает его ритмичность и непрерывность через модули управления задачами и автоматизации:

  • Планирование задач: для каждой защитной меры можно настроить регулярную постановку задачи ответственным исполнителям;

  • Автоматизация через RPA/SOAR: при наступлении заданного события - например, изменении статуса актива или обнаружении уязвимости - система автоматически запускает цепочку действий;

  • Снижение рутинной нагрузки: автоматизация высвобождает время специалистов службы ИБ для аналитической работы.


Конструктор документов

Приказ №117 требует разработки и ведения обширного комплекта организационно-распорядительной документации по ИБ. Конструктор документов SECURITM позволяет формировать эти материалы на базе готовых шаблонов и создавать кастомизаруемые шаблоны самостоятельно, при необходимости адаптируя их под фирменный стиль организации и актуальные нормативные формы. Актуальные данные из системы (состав активов, реализованные меры, результаты оценки) автоматически подставляются в документ при экспорте.


Практические шаги для государственного учреждения

Переход на требования Приказа №117 - задача комплексная, однако с правильным инструментом она становится управляемой. Рекомендуемая последовательность действий:

  1. Провести инвентаризацию информационных систем и зарегистрировать их в SECURITM как отдельные объекты защиты.

  2. Запустить оценку соответствия по Приказу №117 в модуле Требований в разрезе каждой ИС/области оценки, фиксируя статус требования, ответственного, комментарии и подтверждающие файлы.

  3. Сформировать план реализации защитных мер на основе готовой библиотеки системы с приоритизацией по результатам оценки.

  4. Настроить автоматический расчёт показателя КЗИ по Методике ФСТЭК и организовать регулярный мониторинг (не реже одного раза в полгода).

  5. Подготовить комплект ОРД с помощью конструктора документов и сформировать архив подтверждающих артефактов для регулятора.

ФСТЭК России прямо указывает, что переход к Приказу №117 означает что защита информации становится более процессной и измеримой: организация должна не только внедрить меры, но и регулярно оценивать состояние защиты, фиксировать результаты и подтверждать их документально. SECURITM, являясь системой автоматизации и аналитической поддержки деятельности по защите информации, позволяет государственным учреждениям выстроить именно такую модель - измеримую, воспроизводимую и готовую к проверке регулятором.