Изменения в требованиях к информационной безопасности. Приказ ФСТЭК №117 от 11.04.2025 г. Аналитическая записка

Изменения в требованиях к информационной безопасности. Приказ ФСТЭК №117 от 11.04.2025 г. Аналитическая записка
19 июня 2025

ФСТЭК России официально опубликовал Приказ №117 от 11 апреля 2025 года о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений. Документ вступает в силу с 1 марта 2026 года. 

Мы изучили документ и приготовили для вас главные тезисы и требования, которые в нем описаны.


1.      Кадры и образование специалистов

Специалисты служб и отделов защиты информации должны иметь навыки и компетенции для выполнения обязанностей и задач в сфере информационной безопасности. От 30% сотрудников должны иметь образование специальности в сфере ИБ или пройти профессиональную переподготовку.


2.      Аттестаты соответствия

Установлено, что аттестаты соответствия на государственные информационные системы, выданные до дня вступления в силу Приказа ФСТЭК №117, считаются действительными. Документ вступает в силу с 1 марта 2026 года.


3.      Личные гаджеты сотрудников

Использование личных мобильный устройств сотрудников для доступа к информационным системам для выполнения рабочих задач обязывает применять меры по защите этих информационных систем и каналов передачи данных с применением строгой аутентификации.


4.      Удаленный доступ к ГИС

При подключении к ГИС удаленно должны быть обеспечены должные меры по защите информационных систем. Удаленный доступ должен быть разрешен исключительно сетям связи в РФ.


5.      Сроки устранения уязвимостей

Установлен срок в 24 часа на устранение критических уязвимостей и до 7 дней – для уязвимостей высокого уровня опасности.


6.      Контроль съемных носителей

Съемные носители информации подлежат учету и контролю.


7.      Сроки и методы проведения контроля

Контроль уровня защищенности информации следует проводить 1 раз в 3 года или сразу после инцидента. Методы контроля уровня защищенности в период его проведения устанавливаются оператором самостоятельно на основе внутреннего документа.

 

Сейчас действует Приказ ФСТЭК №17 и у государственных учреждений есть меньше года для соответствия новым требованиям. За это время необходимо провести аудит, а также комплекс мер для подготовки кадров и укрепления системы защиты информации.

В связи с тем, что Приказ №117 затрагивает не только имеющиеся государственные информационные системы, а практически любые, операторами которых являются государственные учреждения, предлагаем произвести предварительные расчеты для планирования бюджетов в части обеспечения информационной безопасности на 2026 год.


Свяжитесь с нами по единому номеру 8-800-511-82-81 или оставьте заявку на звонок