Оценка защищённости по Приказу ФСТЭК №117

Что такое приказ ФСТЭК №117: требования к защите информации в ГИС и информационных системах госорганов

Приказ ФСТЭК России №117 от 11.04.2025 — это нормативный документ, который закрепляет, какие именно требования должны выполняться при защите информации некриптографическими методами.

В первую очередь он адресован государственным информационным системам (ГИС), но не ограничивается только ими: действие требований распространяется также на ряд иных информационных систем, которые используются и эксплуатируются государственными органами, государственными унитарными предприятиями и государственными учреждениями.

Отдельным акцентом в приказе обозначено, что установленный подход применяется не только на федеральном/региональном уровне: в документе прямо предусмотрено распространение требований и на муниципальные информационные системы — то есть на те ИС, за которые отвечают органы местного самоуправления и подведомственные структуры.

Если конкретная информационная система одновременно квалифицирована как значимый объект критической информационной инфраструктуры, то выстраивать защиту нужно уже не в отрыве, а в связке: с соблюдением нормативных правовых актов, принимаемых во исполнение 187-ФЗ, и с выполнением требований приказа №117.

На кого распространяются требования приказа ФСТЭК №117

Практически значимая часть применения приказа №117 сводится к корректной инвентаризации: какие системы являются ГИС, какие — «иные ИС» госорганов/ГУП/учреждений, какие — муниципальные, и какие узлы/подсистемы попадают в периметр взаимодействия между системами и сетью.

Неправильно определенный состав объектов приводит либо к формальному «частичному соответствию», либо к заведомо невыполнимым планам мероприятий.

Основные принципы защиты информации по приказу ФСТЭК №117: техническая защита информации, организационные меры

В приказе ФСТЭК России №117 в качестве базовой логики защиты информации выделяются два взаимодополняющих направления: техническая защита (то, что реализуется средствами и настройками инфраструктуры) и организационные меры (правила, регламенты, процессы и распределение ответственности).

Результат должен достигаться за счёт совместного применения организационных и технических решений, причём не разово, а в режиме постоянного поддержания.

Требования должны соблюдаться на всех этапах жизненного цикла информационной системы: при её создании и вводе в эксплуатацию, в ходе повседневной работы, при изменениях и модернизации, а также при последующем выводе из эксплуатации. Обязанность организовать и обеспечить такую защиту возлагается на оператора (обладателя) информации — в пределах его ответственности, полномочий и выполняемых функций.

Отдельным блоком в приказе №117 выделены требования к кадровому обеспечению работ по защите информации. Поэтому для профильного подразделения (или выделенных сотрудников) вводится минимальный порог: не менее 30% его состава должны либо иметь профильное образование в сфере информационной безопасности, либо подтвердить компетенции через прохождение профессиональной переподготовки по направлению ИБ.

Также следует учитывать, что при применении шифровальных (криптографических) средств круг обязательных требований расширяется: дополнительно подлежат выполнению нормы и правила, установленные ФСБ России, то есть ориентироваться нужно не только на приказ №117, но и на требования регулятора в области криптографической защиты.

Что требует ФСТЭК: оценка состояния защиты информации, показатели КЗИ и ПЗИ

С точки зрения контроля и подтверждения выполнения требований, приказ №117 предусматривает необходимость оценки состояния защиты информации.

В документе эта оценка формализуется через два показателя:

• КЗИ — показатель защищенности, который отражает текущее состояние защиты системы относительно базового (исходного) уровня угроз
• ПЗИ — показатель уровня зрелости, который характеризует, насколько мероприятия и процессы защиты являются достаточными и насколько они эффективны на практике

Пункт 32 приказа ФСТЭК России №117, по сути, задаёт регулярность контроля и описывает, как должен работать управленческий контур вокруг оценки защиты: как часто пересчитывать показатели, кого и когда информировать, и какие результаты нужно передавать регулятору.

Из пункта:

1. Устанавливается периодичность расчётов и оценивания
   КЗИ должен рассчитываться и оцениваться как минимум один раз в шесть месяцев, а ПЗИ — не реже одного раза в два года (то есть с установленным минимальным интервалом, который нельзя превышать)
2. Если по итогам оценки выявляется, что фактические значения не соответствуют нормированным, это не должно «оставаться внутри» исполнителей: руководитель обязан быть поставлен в известность в течение 3 календарных дней с даты завершения оценки
3. Приказ предусматривает обязанность направлять результаты выполненных расчётов в ФСТЭК России
   Сделать это нужно не позднее 5 рабочих дней после дня расчёта. Цель передачи формулируется как обеспечение возможности мониторинга текущего состояния технической защиты информации и последующей оценки эффективности деятельности по ТЗИ

Применение методики ФСТЭК от 11 ноября 2025 г. для оценки показателя защищенности КЗИ и оценки показателя состояния технической защиты информации

Для того чтобы расчёт показателей выполнялся единообразно, приказ №117 прямо предусматривает использование методических документов ФСТЭК России, которые утверждены регулятором и предназначены для практического применения.

В частности, методический документ «Методика оценки показателя состояния технической защиты информации…» (утверждён ФСТЭК России 11.11.2025) детально раскрывает, как именно должен определяться соответствующий показатель: что считается показателем, каким является его нормированное (целевое) значение, и по каким правилам выполняется порядок расчёта. Методика ориентирована на задачи защиты информации в информационных системах и, при необходимости, применяется также в контуре обеспечения безопасности значимых объектов КИИ.

На практике указанная методика используется как часть процедур оценки показателя защищённости — прежде всего применительно к той инфраструктуре, которая взаимодействует с государственными информационными системами и поэтому подпадает под требования соответствующего регулирования.

Этапы реализации требований приказа ФСТЭК №117: выполнение требований приказа 117

Типовая логика выполнения требований приказа №117 выглядит таким образом:

1. Аудит на соответствие требованиям приказа
   Инвентаризация систем и связей, определение границ периметра, анализ действующих локальных актов, регламентов, распределения ролей и ответственности, фактических мер защиты и их применимости к конкретным системам
2. Оценка рисков и угроз / модель угроз
   Приказ №117 увязывает работу по угрозам с регламентами жизненного цикла государственных ИС; в тексте требований упоминается постановление Правительства РФ №676 в контексте создания/эксплуатации ГИС и разработки моделей угроз
3. План мероприятий по внедрению мер защиты информации
   Формирование плана с конкретными сроками и ответственными, ориентированного на достижение нормированных значений показателей
4. Внедрение СЗИ и организационных мер защиты информации
   Настройка контуров доступа, регистрация событий, мониторинг, управление уязвимостями/обновлениями/конфигурациями, обеспечение защищенного удаленного доступа, работа с подрядчиками — в объеме, который требуется конкретной системой и закреплен внутренними документами
5. Подготовка документации и регламентов
   Политика защиты информации, внутренние стандарты и регламенты, распределение полномочий, подтверждение компетенций, формализация процедур контроля и отчетности

Оценка состояния защиты информации по приказу 117: расчет КЗИ, оценка ПЗИ, отчетность в ФСТЭК

Для многих организаций выполнение требований приказа №117 на практике тесно связано с подготовкой к аттестации (либо с поддержанием готовности к ней). При этом сам приказ №117 отдельно фиксирует, что аттестаты соответствия, выданные до даты вступления приказа в силу, продолжают действовать, то есть автоматически «аннулировать» ранее оформленные результаты он не требует.

Приказ ФСТЭК №117 выстраивает для оператора (обладателя) информации устойчивую систему управления защитой, рассчитанную на регулярное применение, а не на разовые действия.

Сначала требования переводятся в плоскость внутренних документов и управленческих решений, затем воплощаются в наборе организационных и технических мер, после чего их состояние и результативность должны подтверждаться на постоянной основе через оценку показателей Кзи и Пзи с установленной периодичностью.

Отдельным элементом выступает отчетность и направление результатов в ФСТЭК, что делает процесс не разовым мероприятием, а постоянным циклом контроля и улучшений.