Заявка принята
В этой статье вы узнаете:
- Что такое 117 Приказ ФСТЭК: полная версия
- На кого распространяется 117 Приказ ФСТЭК
- Чем новый порядок отличается от подхода по Приказу №17
- Какие требования 117 Приказа нужно выполнить организации
- Почему учреждения чаще ошибаются не в технике, а в организации проекта
- Пошаговая инструкция по реализации 117 Приказа ФСТЭК
- Шаг 1. Определите, какие системы реально попадают в контур
- Шаг 2. Назначьте ответственных и закрепите полномочия
- Шаг 3. Разработайте внутренние стандарты и регламенты
- Шаг 4. Проведите инвентаризацию инфраструктуры и каналов
- Шаг 5. Решите, что остается локально, а что имеет смысл вынести в аттестованную среду
- Шаг 6. Настройте технические меры и контроль
- Шаг 7. Организуйте регулярную оценку Кзи и Пзи
- Какая ответственность грозит, если подойти к 117 Приказу формально
- Почему ООО «Бизнес Навигатор» гарантированно поможет выполнить 117 Приказ
- Что делать прямо сейчас
С 1 марта 2026 года защита информации в госсекторе перестала быть темой «только для ИБ-специалиста». 117 Приказ ФСТЭК требует от учреждения не разовой настройки, а постоянной системы управления защитой: с ответственными, внутренними регламентами, контролем инфраструктуры, регулярной оценкой показателя защищенности (Кзи) и показателя уровня зрелости (Пзи), а также планом улучшений, если результаты не дотягивают до нормированных значений. Приказ утвержден 11 апреля 2025 года и вступил в силу с 1 марта 2026 года.
Для руководителей государственных органов, ГУПов или гос. учреждений это означает простую вещь: вопрос уже нельзя закрыть фразой «пусть ИТ или безопасники разберутся».
Свяжитесь с нами, Андрей или Анна перезвонят вам в ближайшее время и ответят на все интересующие вопросы.
Задать вопрос
Что такое 117 Приказ ФСТЭК: полная версия
Приказ ФСТЭК России от 11.04.2025 №117 утвердил новые требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий и государственных учреждений. Одновременно прежний приказ №17 признан утратившим силу.
Аттестаты соответствия, выданные до вступления нового приказа в силу, сохраняют действие.
Поэтому безопаснее использовать этот период заранее: спокойно обновить документы, меры защиты и процессы, чтобы потом не входить в проект в авральном режиме и не переплачивать за срочные работы.
Прочитать полностью текст 117 Приказа вы можете здесь (нажмите, чтобы открыть полную версию).
На кого распространяется 117 Приказ ФСТЭК
Самое важное заблуждение вокруг приказа звучит так: «это только для классических ГИС, а у нас просто бухгалтерия, кадры и внутренняя 1С». Новый приказ написан шире. Он распространяется не только на государственные информационные системы, но и на иные информационные системы государственных органов, ГУПов и государственных учреждений.
Есть еще один критичный момент. Если из ГИС передается информация ограниченного доступа в другую систему, то эта принимающая система тоже должна соответствовать установленным требованиям защиты информации. Иначе говоря, нельзя считать безопасной только «главную» систему, а все соседние контуры оставить на удачу.
Именно поэтому для бюджетных учреждений/организаций и ГУПов недостаточно спросить «у нас есть ГИС или нет». Правильный вопрос другой: какие системы участвуют в обработке, передаче и хранении значимой информации, где проходят интеграции, кто имеет доступ, какие каналы используются и какие рабочие места реально входят в контур.
Чем новый порядок отличается от подхода по приказу №17
Главное изменение — защита информации больше не выглядит как разовый проект с длинным списком мер и финальной галочкой. Приказ №117 требует регулярно оценивать состояние защиты через показатель защищенности Кзи и показатель уровня зрелости Пзи. Кзи рассчитывается не реже одного раза в шесть месяцев, Пзи — не реже одного раза в два года. Если значения не соответствуют нормированным, руководителя нужно уведомить в течение 3 календарных дней, а результаты направить в ФСТЭК не позднее 5 рабочих дней после расчета.
То есть безопасность теперь — это не «подготовка к проверке», а постоянный управленческий цикл. Сначала учреждение определяет контур и меры защиты, затем поддерживает их в рабочем состоянии, оценивает результат, а если видит разрыв — утверждает план улучшений с конкретными сроками и ответственными.
Какие требования 117 Приказа нужно выполнить организации
На практике приказ собирается из трех крупных блоков: документы, процессы и технические меры. Учреждению нужно определить ответственных, разработать внутренние стандарты и регламенты по защите информации, довести их до работников и подрядчиков, организовать взаимодействие между ИТ, ИБ и подразделениями, которые используют информационные системы.
Дальше начинается уже не теория, а эксплуатация. В контуре должны быть закрыты вопросы защиты конечных устройств, мобильных устройств, точек беспроводного доступа, каналов передачи данных, веб-технологий, программных интерфейсов, антивирусной защиты, обнаружения и предотвращения вторжений, сегментации и межсетевого экранирования. Это очень важный сдвиг: приказ смотрит не только на серверную, а на реальную повседневную инфраструктуру учреждения.
И вот здесь у многих учреждений возникает развилка. Первый путь — строить весь защищенный контур под 1С и смежные сервисы полностью своими силами. Второй — вынести тяжелую инфраструктурную часть в уже аттестованную среду и сосредоточиться на локальных мерах, доступах, рабочих местах и внутренних процессах. Для систем на 1С второй путь часто оказывается быстрее и предсказуемее по бюджету. Например, можно использовать сервис «Аттестованный 1С:Фреш» — отдельное облако, предназначенное для учреждений с повышенными требованиями к защите информации.
При этом здесь нельзя врать самим себе: переход в «Аттестованный 1С:Фреш» не делает учреждение автоматически полностью соответствующим 117 Приказу. На стороне учреждения все равно остаются организационные меры, локальная инфраструктура, рабочие места, учетные записи, процессы и обучение пользователей. Но такой сервис действительно помогает закрыть один из самых затратных блоков — размещение и эксплуатацию 1С в защищенной аттестованной среде.
Почему учреждения чаще ошибаются не в технике, а в организации проекта
Слабое место большинства проектов по 117 Приказу — не отсутствие красивой презентации и не нехватка терминов. Слабое место — разрыв между людьми и зонами ответственности. ИТ занимается инфраструктурой, ИБ пишет замечания, бухгалтерия хочет, чтобы 1С просто работала, а руководитель получает на стол не проект, а набор разрозненных задач без общего маршрута.
Из-за этого учреждения часто идут по самому дорогому сценарию. Сначала долго спорят, касается ли их приказ. Потом срочно исправляют уязвимости, доступы и каналы. Затем выясняется, что 1С стоит в локальном контуре, который тяжело и дорого доводить до нужного состояния. После этого начинается гонка: перенос баз, криптозащита, VPN, интеграции, регламенты, обучение, расчет Кзи и Пзи. Это именно тот момент, где нужен подрядчик, который умеет связывать 1С, защищенные каналы, локальную инфраструктуру и требования ФСТЭК в один проект.
Свяжитесь с нами, Андрей или Анна перезвонят вам в ближайшее время и ответят на все интересующие вопросы.
Получить консультацию
Пошаговая инструкция по реализации 117 Приказа ФСТЭК
Шаг 1. Определите, какие системы реально попадают в контур
Начинать нужно не с покупки средств защиты и не с заказа справки «у нас все хорошо». Сначала учреждение должно собрать перечень информационных систем, понять состав данных, маршруты обмена, интеграции, точки подключения, рабочие места, удаленный доступ и подрядчиков. Особое внимание — системам, которые получают информацию ограниченного доступа из ГИС. Они автоматически перестают быть «второстепенными».
Шаг 2. Назначьте ответственных и закрепите полномочия
По новому порядку тему нельзя держать на уровне «кто-нибудь из ИТ посмотрит». Нужны ответственные лица, понятная роль ИБ-подразделения или специалистов по защите информации и реальное право влиять на доступы, конфигурации, подрядчиков, обновления и контроль. Если полномочий нет, формальное назначение должности не создает систему защиты.
Шаг 3. Разработайте внутренние стандарты и регламенты
Учреждению нужны не «бумажки для галочки», а рабочие правила: порядок доступа, настройки и эксплуатации, работа подрядчиков, мониторинг событий, реагирование на инциденты, обновления, резервное копирование, обучение пользователей. Приказ требует, чтобы внутренние документы были утверждены и доведены до тех, кого они касаются.
Шаг 4. Проведите инвентаризацию инфраструктуры и каналов
На этом этапе обычно вскрывается реальная картина: старые учетные записи, постоянный доступ у подрядчиков, беспроводные сегменты без должного контроля, неучтенные точки обмена, разный уровень защиты на рабочих местах. Для 117 Приказа это уже не мелочи, а прямой контур требований. Приказ отдельно акцентирует защиту каналов передачи данных, точек беспроводного доступа, конечных и мобильных устройств, а также API и веб-технологий.
Шаг 5. Решите, что остается локально, а что имеет смысл вынести в аттестованную среду
Если учреждение использует 1С:БГУ КОРП, 1С:ЗКГУ КОРП, 1С-КАМИН:ЗБУ ЦБ и смежные решения, имеет смысл отдельно рассмотреть вариант с «Аттестованным 1С:Фреш». Это позволяет не строить с нуля собственный защищенный облачный контур для 1С.
Именно здесь логично обращаться за помощью не к абстрактному «интегратору вообще», а к подрядчику, который умеет вести одновременно 1С- и ИБ-проект. У ООО «Бизнес Навигатор» есть все необходимые лицензии по ИБ и компетенции по бюджетному учету на базе 1С. Это сводит к нулю риск сценария, когда один подрядчик переносит базу, второй потом пытается защищать каналы, а третий спустя месяц обнаруживает, что архитектуру нужно было строить иначе.
Шаг 6. Настройте технические меры и контроль
После определения архитектуры нужно реализовать технические меры защиты в локальном контуре и для тех сегментов, которые остаются на стороне учреждения. Приказ прямо указывает на защиту конечных устройств, мобильных устройств, веб-технологий, программных интерфейсов, антивирусную защиту, обнаружение и предотвращение вторжений, сегментацию и межсетевое экранирование, защиту каналов связи. То есть логика «у нас надежный сервер, значит все нормально» уже не работает.
Шаг 7. Организуйте регулярную оценку Кзи и Пзи
Показатель защищенности Кзи должен оцениваться не реже одного раза в шесть месяцев, показатель уровня зрелости Пзи — не реже одного раза в два года. Если они не соответствуют нормированным значениям, руководителя учреждения информируют в течение 3 календарных дней. Затем результаты направляются в ФСТЭК, а по решению руководителя разрабатывается план мероприятий по совершенствованию защиты информации.
Это очень важный управленческий рубеж. После него проблема уже не прячется на уровне технических исполнителей. Она официально выходит на уровень руководства. Поэтому учреждению нужен не просто исполнитель, который «что-то настроит», а команда, которая поможет дойти до проверяемого результата и поддерживать его дальше.
Какая ответственность грозит, если подойти к 117 Приказу формально
Сам 117 Приказ не вводит отдельный «специальный штраф по приказу №117». Но если при проверке или после инцидента выясняется, что требования по защите информации не выполнялись, вступают в силу общие нормы административной ответственности.
Еще серьезнее становится ситуация, если проблема выходит в зону персональных данных.
Когда инцидент затрагивает персональные данные, ответственность зависит от состава нарушения и масштаба утечки. За неуведомление Роскомнадзора о факте утечки для юридических лиц предусмотрен штраф от 1 млн. до 3 млн. рублей. За утечку персональных данных штрафы для юридических лиц составляют от 3 млн. до 5 млн. рублей, от 5 млн. до 10 млн. рублей или от 10 млн. до 15 млн. рублей — в зависимости от масштаба утечки. За утечку специальных категорий персональных данных штраф для юридических лиц составляет от 10 млн. до 15 млн. рублей, за утечку биометрических персональных данных — от 15 млн. до 20 млн. рублей. За повторную утечку возможен оборотный штраф: от 1% до 3% выручки, но не менее 20 млн. и не более 500 млн. рублей.
Отдельно действует обязанность уведомления Роскомнадзора об инциденте с персональными данными. Оператор, допустивший утечку персональных данных, обязан уведомить Роскомнадзор в течение 24 часов с момента выявления инцидента, а в течение 72 часов направить результаты внутреннего расследования и сведения о лицах, действия которых стали причиной инцидента, если такие лица установлены. Даже если история не закончится крупным штрафом, она почти всегда заканчивается авральной мобилизацией ИТ, ИБ, юристов и руководства.
Но штрафы — это не единственный риск. Формальный подход обычно приводит к гораздо более дорогому сценарию: внеплановая закупка средств защиты, срочная настройка каналов, пересборка прав доступа, миграция в сжатые сроки, переписывание регламентов и повторная перепроверка всего контура. Поэтому правильный расчет здесь простой: 117 Приказ дешевле выполнять по плану, чем героически латать после инцидента или замечаний контролирующих органов.
Почему ООО «Бизнес Навигатор» гарантированно поможет выполнить 117 Приказ
Если смотреть на задачу трезво, учреждению нужны не «советы вообще», а понятный маршрут: определить контур, решить архитектуру 1С, понять целесообразность перехода в «Аттестованный 1С:Фреш», закрыть вопросы защищенных каналов, доступов, локальной инфраструктуры, документов и сопровождения. Именно в такой связке обращение в ООО «Бизнес Навигатор» —простой логичный шаг для практически любого государственного учреждения и организации.
Во-первых, у компании есть все необходимые лицензии ФСБ и ФСТЭК, а также статусы и компетенции 1С, включая направление бюджетного учета. Во-вторых, компания берёт на себя все задачи под ключ как исполнитель полного проекта: от аудита и миграции до защищенных каналов, интеграций и сопровождения. В-третьих, такой подход снижает риск распада проекта между несколькими подрядчиками, где каждый отвечает только за свой кусок, а за итоговый результат — как обычно, никто.
Это и есть главный практический вывод для руководителя учреждения. Не нужно ждать, пока тема «всплывет» сама в виде инцидента, спешной проверки или неприятного расчета бюджета. Намного разумнее заранее пройти аудит готовности, определить, какие системы попадают под действие приказа, что целесообразно вынести в «Аттестованный 1С:Фреш», а что оставить локально, и получить поэтапный план внедрения.
Все обязательства мы указываем в договоре и несём полную юридическую ответственность за его выполнение.
Что делать прямо сейчас
Внутри своей организации вы можете начать с короткого практического маршрута. Составьте перечень систем и контуров, определите, какие из них подпадают под 117 Приказ, проверьте интеграции и каналы, назначьте ответственных, оцените, имеет ли смысл перевод 1С в «Аттестованный 1С:Фреш», и после этого переходите к детальному плану технических и организационных мер. Если сделать это сейчас, проект можно вести как управляемую работу. Если тянуть до последнего, он почти неизбежно превратится в нервный ремонт на ходу.
Вы можете делегировать один из этих этапов или весь комплекс работ по выполнению 117 Приказа ФСТЭК компании «Бизнес Навигатор». Для того, чтобы получить бесплатную первичную консультацию, оставьте заявку на нашем сайте.
Отправьте заявку, Андрей или Анна перезвонят вам в ближайшее время и ответят на все интересующие вопросы.
Получить консультацию