Приказ ФСТЭК № 117 от 11.04.2025 (действует с 1 марта 2026 года) значительно расширяет круг организаций, обязанных выполнять требования по защите информации. Если раньше правила касались в основном государственных информационных систем (ГИС), то теперь требования распространяются на все информационные системы государственных органов, государственных унитарных предприятий (ГУП) и государственных учреждений.
Ниже представлен подробный список организаций и их сотрудников, для которых необходимо проводить работы по выполнению требований 117-го приказа.
Для каких организаций обязателен Приказ № 117
Новые требования в обязательном порядке должны выполнять:

1. Федеральные и региональные органы государственной власти — все министерства, службы, агентства и их территориальные подразделения.
2. Органы местного самоуправления — администрации городов, районов, муниципальных образований .
3. Государственные и муниципальные учреждения — больницы, школы, библиотеки, центры социального обслуживания, а также любые другие бюджетные организации.
4. Государственные унитарные предприятия (ГУПы)— предприятия, которые не имеют права собственности на закрепленное за ними имущество.
5. Организации, получающие информацию ограниченного доступа из ГИС — даже если ваша собственная система не является государственной, но она принимает из ГИС информацию с ограниченным доступом, она также должна соответствовать требованиям.

Что необходимо реализовать в соответствии с Приказом 117 ФСТЭК России:

1. В соответствии с приказом, мероприятия по защите информации должны быть направлены на достижение следующих целей:

• Недопущение нарушения конфиденциальности информации (доступ к которой ограничен федеральными законами) и нарушения функционирования информационных систем.

Для этого оператор (обладатель информации) обязан:

• Назначить структурное подразделение или ответственных специалистов по защите информации.
• Разработать и утвердить политику защиты информации, а также внутренние стандарты и регламенты, учитывающие особенности деятельности оператора.
• Обеспечить выделение организационных, материальных и технических ресурсов, необходимых для реализации мер защиты.

2. Мероприятия по защите информации (Пункт 34)
Приказ предписывает проведение 21 мероприятия.
Ключевые из них:

• Обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа.
• Обеспечение защиты информации при применении конечных устройств, в том числе мобильных.
• Обеспечение защиты информации при удаленном и беспроводном доступе пользователей к информационным системам.
• Осуществление мониторинга информационной безопасности (ИБ) в соответствии с ГОСТ Р 59547-2021.
• Непрерывное взаимодействие с системой ГосСОПКА.

3. Реализация мер защиты (Пункты 62, 63)
В информационных системах должны быть реализованы следующие базовые меры защиты:

• Идентификация и аутентификация(включая усиленную многофакторную для привилегированного доступа).
• Управление доступом, в том числе привилегированным.
• Регистрация событий безопасности.
• Защита конечных устройств и антивирусная защита.
• Защита каналов связи и сетевого взаимодействия.
• Обнаружение и предотвращение вторжений на сетевом уровне.
• Защита виртуализации, облачных и контейнерных сред.

4. Управление уязвимостями (Пункты 36, 50)
Приказ устанавливает конкретные требования к работе с уязвимостями:

• Сроки устранения уязвимостей:
• Критические — в течение 24 часов.
• Высокого уровня — в течение 7 дней.
• Информирование ФСТЭК: О выявленных уязвимостях, отсутствующих в банке данных угроз ФСТЭК России, необходимо уведомить регулятора в течение 5 рабочих дней.
• Безопасная разработка: При самостоятельной разработке ПО должны быть реализованы меры по ГОСТ Р 56939-2024.

5. Аттестация объекта информатизации
Аттестация по требованиям безопасности информации — это не просто формальная процедура, а требование законодательства РФ для широкого круга организаций и государственных структур, которые работают информацией ограниченного доступа.
Аттестацию необходимо проводить для информационных систем, в следующих случаях:

• информационная система является ГИС;
• отраслевые требования законодательства РФ;
• требования владельцев сетей, к которым необходимо подключение;
• в информационную систему переносятся данные из ГИС;
• необходимость внесения в реестр аттестованных объектов информатизации ФСТЭК;
• решение владельца информационной системы.

По решению владельца объекта информатизации любую ИС можно аттестовать на соответствие требованиям Приказа №117 ФСТЭК России.

Аттестация проводится в соответствии с порядком проведения аттестационных мероприятий (Приказ № 77 ФСТЭК России) на соответствие следующим требованиям законодательства:

• Постановление Правительства РФ от 6 июля 2015 г. N 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
• Федеральный закон № 152-ФЗ «О персональных данных» является основным документом, регулирующим обработку персональных данных.
• Постановление Правительства РФ № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСБ России от 18 марта 2025 года № 117 Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств.
• и другим.

Мы имеем все необходимые лицензии на работы по аттестации соответствия вашей информационной системы (ИС) и государственной информационной системы (ГИС). Наши эксперты проведут всесторонний аудит и анализ соответствия вашей информационной системы требованиям Постановлений Правительства РФ и Приказов ФСТЭК России № 117, проверят работоспособность и адекватность внедренных технических и организационных мер защиты. По результатам аттестации соответствия вы получите заключение с оценкой текущего уровня защищенности информации ограниченного доступа, что позволит вам не только привести ГИС в соответствие с законодательством, но и существенно повысить ее устойчивость к киберугрозам.
При проведении работ использованы лучшие практики, учтены не только требования законодательства, но и позиции Роскомнадзора, ФСТЭК и ФСБ, судебная практика.
Мы постоянно актуализируем наши знания и отслеживаем изменения законодательства.

Подготовительный этап:
- Заключение договора.
Анализ исходных данных по информационной системе (ИС):
- Опрос клиента по вопросам ИС.
- Анализ исходных данных и документации.
Подготовка необходимой организационной документации:
- Подготовка полного комплекта организационно-распорядительной документации, положений и регламентов на соответствие требованиям РКН, ФСТЭК и ФСБ.
- Разработка внутренних стандартов по защите информации;
- Разработка внутренних регламентов по защите информации.
Поставка и установка средств защиты информации:
- Наши специалисты проведут установку и настройку средств защиты информации (СЗИ от НСД, межсетевые экраны, системы обнаружения вторжений, антивирусы и тд.), проверка разграничения прав доступа и физической безопасности.
Анализ и устранение уязвимостей безопасности информации в ИС.
Проведение анализа защищенности (пентеста) ИС.
Подготовка модели угроз и технической документации:
- Модель угроз ИС.
- Техническое задание на создание ИС.
- Технический проект на создание ИС.
- Технический паспорт на создание ИС.
- Акты установки СЗИ.
Согласование модели угроз и технического задания со ФСТЭК России и ФСБ России (для ИС имеющих статус ГИС).
Проведение приемочных испытаний ИС.
Подготовка документации по аттестационным испытаниям:
- Программа и методики аттестационных испытаний.
- Протоколы проведения аттестационных испытаний.
- Заключения о проведении аттестационных испытаний.
- Аттестат соответствия.

Наша команда объединяет специалистов с глубоким опытом в области информационной безопасности

Мы реализовали множество успешных проектов для компаний различных отраслей. В области защиты информации реализовано более 500 проектов

Мы работаем без лишних наценок и бюрократии, что позволяет нам предлагать конкурентные цены на наши услуги

Мы постоянно развиваемся, осваиваем новые технологии и подходы, чтобы предлагать вам самые эффективные решения

от 70 000 ₽

от 100 000 ₽

Подготовка организационной и технической документации, внедрение системы защиты, согласование МУ, ТЗ и проведение аттестации соответствия

Аттестация информационной системы с подготовкой всей необходимой документации и установкой СЗИ

контакты

Екатеринбург, ул. генеральская, д. 7, офис 205

телефон

e-mail