ФСТЭК №117: изменения в защите информации с 1 марта 2026

Что изменится в защите информации с 1 марта 2026 года и как бизнесу подготовиться

С 1 марта 2026 года в России вступает в силу приказ ФСТЭК №117, который меняет не отдельные требования к защите информации, а саму модель регулирования в области информационной безопасности. Вместо привычной логики «подготовились к проверке — прошли аттестацию — живём дальше» регулятор вводит режим постоянного контроля, мониторинга и регулярной отчетности.
Это означает, что ИБ окончательно перестаёт быть разовым проектом и становится непрерывным управляемым процессом.

Формально документ адресован государственным информационным системам и организациям госсектора. Однако рассматривать его как «узкоспециальный» нормативный акт — ошибка. Требования распространяются и на подрядчиков, интеграторов, разработчиков и всех, кто участвует в создании и сопровождении таких систем. На практике это означает, что значительная часть ИТ и ИБ рынка столкнётся с новыми правилами уже в ближайшие месяцы — через контракты, требования заказчиков и условия допуска к проектам.

Главное концептуальное изменение, которое приносит приказ №117, — переход к так называемой модели активного надзора. Если раньше контроль со стороны ФСТЭК был сосредоточен вокруг процедур аттестации и отдельных проверок, то теперь вводится регулярный цикл оценки состояния защищённости и предоставления данных регулятору. Иными словами, важно не только один раз «доказать соответствие», но и постоянно подтверждать, что система действительно остаётся защищённой.

Это сближает требования регулятора с логикой операционного управления рисками. Безопасность больше не воспринимается как набор формальных документов и регламентов — в центре внимания оказывается реальное состояние инфраструктуры, процессов и людей. Для многих организаций это будет болезненным, но неизбежным переходом от «бумажной ИБ» к прикладной и измеряемой.

Что именно закрепляет приказ №117

1) Обновленные требования к защите информации для ГИС и ИС госсектора

Приказ утверждает требования к защите информации, содержащейся в ГИС и иных ИС госорганов/ГУП/госучреждений, и определяет, что они применяются для предотвращения несанкционированного доступа и иных воздействий на информацию в этих системах.

2) Жесткие сроки устранения уязвимостей (и обязанность сообщать регулятору)

В тексте требований прямо указаны сроки устранения уязвимостей: критические — до 24 часов, высокой степени опасности — до 7 календарных дней. Также предусмотрено направление сведений в ФСТЭК в определенных случаях (например, по неизвестным уязвимостям — в установленный срок).

3) Контроль использования ИИ в ИС госсектора

Приказ вводит требования к безопасному применению ИИ в информационных системах госсектора: в частности, речь идет о регламентации запросов/ответов, контроле результатов и ограничениях на использование недоверенных технологий ИИ, а также о запрете передавать разработчику ИИ информацию ограниченного доступа.

Одновременно в отраслевых материалах отмечают, что ИИ рассматривается и как инструмент усиления мониторинга и анализа событий безопасности — но это уже трактовка на уровне практики применения, а не единственная “обязательная” модель.

4) Дата, статус и официальная регистрация

Приказ — от 11.04.2025 №117, зарегистрирован в Минюсте 16.06.2025 и вступает в силу 01.03.2026

Кого это затронет в бизнесе

Юридически приказ регулирует требования к защите информации в ИС госсектора (как указано в самом документе). При этом бизнес часто вовлекается в выполнение этих требований через договоры и контуры поставки: если вы разрабатываете, внедряете или сопровождаете системы для госсектора, заказчики будут закреплять требования ИБ в ТЗ, SLA и контрактных обязательствах. Это распространенная практика и позиция отраслевых экспертов/обзоров, а не отдельная строка “про всех подрядчиков” в тексте приказа.

Что в итоге меняется для рынка

Приказ ФСТЭК №117 — это переход от «бумажной безопасности» к операционной, измеряемой и управляемой ИБ.

Организации должны быть готовы:

к постоянному контролю, а не к редким проверкам,
к интеграции ИБ и ИТ,
к ответственности за всю экосистему включая подрядчиков,
к работе с данными и метриками, а не только с регламентами.

Игнорировать эти изменения — значит закладывать риски срыва проектов, штрафов, репутационных потерь и проблем с регулятором.

Как бизнесу подготовиться: практический план

Шаг 1. Провести разрыв-анализ (gap analysis)

Начните с инвентаризации того, как ИБ реально работает сейчас — не «по документам», а по факту. Обычно это делается в формате внутреннего аудита или проектного обследования.

На практике стоит проверить:

есть ли постоянный мониторинг событий безопасности или контроль включается только перед аудитами;
существует ли формальный процесс управления уязвимостями: кто получает информацию об уязвимостях, кто принимает решение о приоритете, кто и в какие сроки их закрывает (с учетом требований 24 часа / 7 дней);
ведется ли учет конфигураций и изменений в системах, и можно ли восстановить картину «что и когда менялось»;
описаны ли для бизнеса недопустимые последствия (простой критичных систем, утечка данных, остановка процессов) и связаны ли они с мерами защиты;
готовы ли вы формировать отчеты о состоянии защищенности и подтверждать их данными из систем мониторинга и учета.

Результатом этого шага должен стать не общий вывод «у нас всё плохо/хорошо», а конкретный список разрывов: каких процессов не хватает, какие есть только формально и где нет инструментальной поддержки.

Шаг 2. Встроить ИБ в ИТ-процессы

Один из ключевых сдвигов в логике приказа №117 — безопасность перестает быть «отдельной зоной ответственности» и становится частью эксплуатации ИТ.

На практике это означает:

процесс управления изменениями должен учитывать требования ИБ: каждое изменение в системе должно быть зафиксировано, согласовано и проверяемо;
должен существовать актуальный учет активов и ПО: что установлено, где, в какой версии и кто за это отвечает;
управление уязвимостями должно быть оформлено как регулярный цикл: выявление → оценка критичности → план устранения → контроль факта закрытия;
процесс реагирования на инциденты должен иметь измеримые SLA: кто и за какое время обнаруживает инцидент, кто принимает решение, кто отвечает за восстановление и как это проверяется на учениях.

В идеале все эти процессы должны быть связаны между собой: изменение в системе → проверка влияния на безопасность → обновление конфигураций → контроль в мониторинге.

Шаг 3. Пересмотреть работу с подрядчиками

Если в инфраструктуре участвуют внешние подрядчики, требования к ИБ должны быть зафиксированы не только во внутренних регламентах, но и в договорах.

Практически это выглядит так:

в договорах и ТЗ появляются требования к процессам ИБ (например, порядок работы с уязвимостями, доступами, инцидентами);
прописываются обязательства по срокам реагирования и устранения уязвимостей, синхронизированные с вашими внутренними требованиями;
определяется, какими документами или отчетами подрядчик подтверждает выполнение требований (акты, отчеты о работах, журналы изменений, выгрузки из систем учета);
закрепляется ответственность за нарушения и порядок эскалации инцидентов.

Без этого даже хорошо выстроенные внутренние процессы будут «ломаться» на границе с внешними исполнителями.

Шаг 4. Автоматизировать контроль и учет

Ручной контроль в модели постоянного мониторинга почти всегда оказывается слишком дорогим и ненадежным. Поэтому ключевой упор — на автоматизацию.

В реальной практике это обычно включает:

централизованный сбор событий безопасности и технических журналов;
инструменты контроля конфигураций и изменений в системах;
средства мониторинга активности и инцидентов, которые позволяют не только обнаруживать события, но и восстанавливать цепочку происходящего;
системы или отчётные контуры, которые позволяют формировать подтверждающие отчеты для руководства, заказчиков и проверок.

Именно поэтому в отраслевых обзорах часто отдельно подчеркивается рост роли SIEM и централизованного мониторинга в логике исполнения требований приказа №117: без единого источника данных управляемость быстро теряется.

Шаг 5. Запустить программу обучения и тренировок

Технические меры не работают без людей, которые понимают, что и зачем они делают. Поэтому обучение должно быть не разовой лекцией, а постоянным процессом.

На практике это означает:

регулярные тренинги для сотрудников по базовым сценариям угроз и инцидентов;
обучение ИТ- и ИБ-специалистов процедурам реагирования и восстановления;
проведение учебных инцидентов и проверок (включая имитации фишинга и разбор реальных кейсов);
обновление программ обучения при изменении инфраструктуры и процессов.

Цель этого шага — чтобы в момент реального инцидента система защиты не «зависела» на человеческом факторе, а отрабатывала по понятному и отрепетированному сценарию.

Приказ ФСТЭК №117, вступающий в силу с 1 марта 2026 года, фиксирует не столько новые «галочки» для ИБ-служб, сколько переход к постоянному, подтверждаемому на практике контролю защищённости. Теперь ценится не разовое соответствие требованиям, а способность организации поддерживать управляемое состояние безопасности и подтверждать его процессами и данными.

Для бизнеса это означает сдвиг фокуса от формальных регламентов к реально работающим процессам — от управления уязвимостями и изменениями до мониторинга и реагирования на инциденты. В этой логике особое значение приобретает и контроль доступов: использование корпоративных инструментов вроде BearPass позволяет сделать этот контур прозрачным и управляемым, а не зависящим от ручных процедур и «человеческого фактора».

Подготовка к новым требованиям — это не разовая кампания «под 2026 год», а планомерный переход к более устойчивой и предсказуемой модели работы ИТ и ИБ, который снижает зависимость от авралов и срочных проверок.

Требования ФСТЭК №117 делают управление доступами и учет секретов частью операционной ИБ. BearPass — корпоративный парольный менеджер, который помогает навести порядок в доступах, сократить риски утечек и упростить контроль. Оставьте заявку и мы покажем, как это работает в вашей инфраструктуре.

2026-02-05 18:00 Новости Экспертиза