С 1 марта 2026 официально вступает в силу приказ ФСТЭК России № 117, пришедший на замену приказу № 17 от 11.02.2013.

Среди основных нововведений можно выделить следующее:

1. Расширение сферы действия

Теперь действие приказа распространяется не только на государственные информационные системы (далее – ГИС), но и на другие информационные системы (далее - ИС), а именно:

• ИС любых государственных органов;
• ИС государственных унитарных предприятий;
• ИС государственных учреждений;
• Муниципальные ИС.

Указанные в приказе требования также распространяются и на ИС, которые получают информацию ограниченного доступа из ГИС, и могут не являться ИС из вышеописанного перечня.

2. Организация деятельности по защите информации

В качестве первоначальных мероприятий по защите информации выступают организационные мероприятия, а именно:

• Разработка и утверждение политики защиты информации с описанными в ней целями и задачами защиты информации, принципами защиты информации, перечнями объектов защиты и т. д.
• Определение ответственных лиц за защиту информации.
• Применение программных и программно-аппаратных средств защиты информации.
• Разработка и утверждение внутренних регламентов и стандартов по защите информации.

3. Управление деятельностью по защите информации

Наиболее значительным изменением в новом приказе стало введение более системного подхода по защите информации. В обязательные меры по выполнению данного требования входят:

• Разработка, планирование, проведение и дальнейшее совершенствование мероприятий и мер по защите информации. Список мероприятий и мер также претерпел изменения. Их стало больше, и они стали более предметными. В качестве новых мероприятий по защите информации выделяются:
  • обеспечение разработки безопасного программного обеспечения;
  • обеспечение защиты информации при использовании искусственного интеллекта;
  • непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА);
  • устранение уязвимостей в конкретные сроки в зависимости от уровня опасности:
    • критического – не более 24 часов;
    • высокого – не более 7 календарных дней;
    • среднего и низкого – определяются во внутреннем регламенте по защите информации.
• При выявлении уязвимостей, которые не внесены в банк данных угроз безопасности информации ФСТЭК России (далее – БДУ), обладатель информации должен направить во ФСТЭК России информацию о данных уязвимостях в срок не более 5 рабочих дней со дня выявления
  • обеспечение защиты информации при взаимодействии с подрядными организациям. Приказ вводит новые требования по безопасности информации при работе с внешними организациями, которым предоставляется доступ к информационным системам обладателя информации:
    • закрепление во внутренних документах обладателя информации обязательств подрядных организаций по выполнению положений политики защиты информации. Данные документы также в обязательном порядке доводятся до подрядных организаций в части, их касающейся
    • подрядные организации также обязаны выполнять требования настоящего приказа по защите информации
  • В качестве новых мер по защите информации выделяются:
    • защита виртуализации и облачных вычислений;
    • защита технологий контейнерных сред и их оркестрации;
    • защита веб-технологий;
    • защита технологий интернета вещей.
• Проведение оценки состояния защиты информации
  • Автоматизированное и (или) ручное выявление уязвимостей ИС с последующим экспертным анализом.
  • Отчетность во ФСТЭК по результатам оценки значений показателей защиты информации:
    • показатель защищенности Кзи – не реже 1 раза в 6 месяцев;
    • показатель уровня зрелости Пзи – не реже 1 раза в 2 года.

ПК «Ассистент» соответствует требованиям нового приказа ФСТЭК России, в частности, для обеспечения защиты информации при удаленном доступе пользователей в части исключения возможности несанкционированного доступа к ИС (ст. 46), а также в части применения для удаленного доступа сертифицированных средств обеспечения безопасной дистанционной работы (ст. 71) и применения сертифицированных средств (для защиты информационных систем 1 класса защищенности) не ниже 4 уровня доверия (ст. 72) (Сертификат ФСТЭК России № 4162 от 26.08.2019)

Полный текст приказа № 117 от 11.04.2025 доступен на сайте регулятора.