17.06.2025 был официально опубликован приказ ФСТЭК России № 117 от 11 апреля 2025 года

17.06.2025 был официально опубликован приказ ФСТЭК России № 117 от 11 апреля 2025 года «Об утверждении Требований о защите информации, содержащейся в государственных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», который вступает в силу 1 марта 2026 года.

 

Новый приказ отменит существовавший более 10 лет приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также все его последующие редакции и дополнения.

1. Существенно расширена область регулирования — теперь требования касаются не только государственных информационных систем (как это было в приказе ФСТЭК России от 11.02.2013 № 17), но и иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений.

 

2.  Защита информационных систем, которые являются значимым объектом критической информационной инфраструктуры, должна обеспечиваться в соответствии с 187-ФЗ «О безопасности КИИ» совместно с требованиями нового приказа.

 

3. Изменение набора мер, в частности, появились новые, ранее не выделяемые в 17 приказе блоки мер:

- защита технологий контейнерных сред и их оркестрации;

- защита программных интерфейсов взаимодействия приложений;

- защита веб-приложений;

- защита электронной почты;

- защита конечных устройств (точек);

- защита устройств «интернета вещей».

 

4. Устанавливаются требования к кадровому составу подразделений по защите информации — не менее 30 процентов работников структурного подразделения по ИБ должны иметь профессиональное образование в области ИБ или пройти обучение по программе профессиональной переподготовки в области ИБ.

 

5. Установлены требования к проведению регулярной оценки защищённости (раз в полгода) и регулярной оценки уровня зрелости (не реже одного раза в два года).

 

6. Определены временные интервалы устранения уязвимостей информационных систем (их сегментов): критических — до 24 часов, высоких — до 7 дней.

 

7. Подрядчики обязаны соблюдать внутреннюю политику информационной безопасности и подтверждать это документально.

 

8.  Применение ИИ в информационной безопасности.

Новый приказ описывает, как можно использовать искусственный интеллект в рамках обеспечения защиты информации с отсылкой на Национальную стратегию развития искусственного интеллекта.

 

Конечно, до конца года ещё ожидается публикация методических рекомендаций по выполнению требований нового приказа, но уже сейчас Вы можете начинать проводить оценку соответствия новым требованиям в SECURITM.