Ранее мы делали разбор проекта нового приказа, заменяющего приказ ФСТЭК России № 17 от 11 февраля 2013 года «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
17 июня 2025 опубликован принятый вариант приказа — приказ Федеральной службы по техническому и экспортному контролю от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений».
Рассмотрим отличия утвержденного приказа от опубликованного ранее проекта:
1. Поскольку приказ расширяет сферу действия с ГИС и на иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений, вероятно, изначально планировалось описать некоторый переходный этап для таких систем. До вступления в силу приказа для защиты информации, содержащейся в иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, нужно было применение Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 13 февраля 2013 г. № 17. В текущей редакции этого требования нет.
Описано, что аттестаты соответствия на государственные информационные системы и иные информационные системы, выданные до дня вступления в силу настоящего приказа, считаются действительными.
Однако, как мы писали ранее, поскольку появились новые требования и необходимость постоянного мониторинга состояния защиты информации, система защиты потребует модернизации, приводящей к повторной аттестации на соответствие новым требованиям.
2. Удалён пункт 52 проекта приказа, описывающий мероприятия по обеспечению доверия при взаимодействии субъектов и объектов доступа в распределенных информационных системах 1 класса защищенности, имеющих доменную архитектуру.
Необходимость применения строгой аутентификации описывается в мероприятиях при применении мобильных устройств, при удаленном доступе пользователей и при предоставлении привилегированного доступа.
3. Уточняется зона ответственности при передаче из государственной информационной системы информации ограниченного доступа в другие информационные системы. Состав передаваемой информации ограниченного доступа, цели ее защиты и уровень защищенности должны устанавливаться обладателем информации, заказчиком, заключившим контракт на создание информационных систем, оператором информационных систем (далее — оператор (обладатель информации)).
4. Обязательная аттестация осталась только для государственных информационных систем на соответствие требованиям в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. № 77.
Решение о необходимости аттестации иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений принимается руководителем оператора (обладателя информации), ответственным лицом.
При этом подробнее описан контроль уровня защищенности информации, содержащейся в информационных системах.
Обозначена периодичность — не реже одного раза в три года или после компьютерного инцидента, произошедшего у оператора (обладателя информации). Методы контроля уровня защищенности информации и периодичность его проведения определяются оператором (обладателем информации) во внутреннем регламенте.
По результатам проведения контроля уровня защищенности информации разрабатывается отчет, который подписывается лицами, проводившими контроль. Отчет должен быть представлен в течение 3 рабочих дней с даты завершения контроля уровня защищенности информации руководителю оператора (обладателя информации), ответственному лицу для принятия при необходимости решения руководителя оператора (обладателя информации) о выделении ресурсов с целью повышения уровня защищенности информации. Отчет направляется оператором (обладателем информации) в ФСТЭК России в течение 5 рабочих дней с даты завершения контроля уровня защищенности информации в целях мониторинга текущего состояния технической защиты информации.
5. Как и говорили на ТБ-Форуме представители ФСТЭК России, добавлено требование — не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности или пройти обучение по программе профессиональной переподготовки в области информационной безопасности.
6. Добавлена возможность применения пользователями личных мобильных устройств для доступа к информационным системам и содержащейся в них информации с целью выполнения своих обязанностей (функций) — допускается в случае соответствия мобильных устройств требованиям и наличия у оператора (обладателя информации) возможности контроля использования мобильных устройств.
7. Подробнее расписаны мероприятия по обеспечению защиты информации при удаленном доступе. Удаленный доступ пользователей к информационным системам в целях выполнения своих обязанностей (функций) должен осуществляться с использованием сетей связи, расположенных на территории Российской Федерации посредством применения средств защиты канала передачи данных и строгой аутентификации пользователей.
Не стали ограничиваться сертифицированными средствами обеспечения безопасной дистанционной работы и средствами антивирусной защиты, добавили «и иных средств защиты информации, исключающих угрозы безопасности информации, связанные с удаленным доступом».
8. Привилегированный доступ должен осуществляться с применением строгой аутентификации, а в случае технической невозможности применения строгой аутентификации — с использованием усиленной многофакторной аутентификации.
9. Выделены мероприятия по обеспечению защиты информации при беспроводном доступе пользователей к информационным системам. Важно разграничить беспроводные сети связи, используемые для доступа пользователей к информационным системам и содержащейся в них информации в целях выполнения ими своих обязанностей (функций), от беспроводных сетей связи, предназначенных для доступа к сети «Интернет» и (или) общедоступной информации оператора (обладателя информации).
10. В случае привлечения оператором (обладателем информации) для разработки программного обеспечения подрядной организации отменено требование к наличию у нее сертификата соответствия, выданного ФСТЭК России в соответствии с Порядком проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденным приказом ФСТЭК России от 1 декабря 2023 г. № 240.
11. Однако остались требования по наличию мер, предусмотренных разделами 4 и 5 ГОСТ Р 56939-2024, а это означает, что сохраняется необходимость во внедрении процессов разработки безопасного программного обеспечения, ФСТЭК России лишь смягчил условия подтверждения реализации данных процессов, и проходить процедуру сертификации процессов безопасной разработки в настоящее время не требуется.
12. Чуть подробнее описаны мероприятия по защите информации при обработке, хранении и обращении с информацией ограниченного доступа. Проводимые мероприятия должны включать определение информации ограниченного доступа и предназначенных для ее хранения программно-аппаратных средств, а также контроль и регистрацию всех фактов доступа пользователей к программно-аппаратным средствам, в которых хранится информация ограниченного доступа.
13. Добавили возможность присвоения отдельным сегментам информационной системы разных классов защищенности. В этом случае меры по защите информации сегментов информационной системы и содержащейся в них информации должны приниматься в соответствии с присвоенными им классами защищенности.
Мы представили основные отличия нового утвержденного приказа ФСТЭК России № 117 от приказа № 17. Следующий этап — дождаться методических рекомендаций к приказу. Надеемся, они внесут ясность и облегчат правильное исполнение требований.
Главное, помните, чтобы полностью разобраться в новых правилах и грамотно их применять, обязательно изучите официальные документы и проконсультируйтесь с экспертами.