Приказ ФСТЭК №117 от 11.04.2025: новые требования к защите информации в ГИС и АСУ ТП

Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Состава и содержания организационных и технических мер по защите информации в государственных информационных системах и автоматизированных системах управления технологическими процессами» устанавливает новые обязательные требования к защите информации. Документ вступил в силу с 1 марта 2026 года и полностью заменил ранее действовавший приказ № 17 от 11.02.2013.

⚠️ Важно

Приказ вступает в силу с 1 марта 2026 года. Организациям необходимо привести документацию и систему защиты информации в соответствие с новыми требованиями.

Ключевые изменения в приказе №117

  • Уточнён состав организационных мер — назначение ответственных за обеспечение защиты информации, проведение внутреннего контроля, обучение сотрудников.
  • Управление уязвимостями — регулярный анализ защищённости, сканирование уязвимостей, управление обновлениями безопасности. Введены новые показатели: Кзи (коэффициент защищённости) и Пзи (показатель зрелости).
  • Требования к межсетевым экранам (МЭ) — актуализированы с учётом современных угроз, включая защиту от DDoS-атак и фильтрацию трафика.
  • Требования к системам обнаружения атак (СОА) — регистрация событий безопасности, анализ сетевого трафика, автоматическое реагирование на инциденты.
  • Особенности защиты АСУ ТП — учтены промышленные протоколы (Modbus, Profibus, IEC 61850) и требования к надёжности в режиме реального времени.
  • Расширены требования к регистрации событий — обязательное логирование всех событий безопасности, хранение журналов не менее 12 месяцев.

Какие документы нужно обновить

  • Модель угроз безопасности информации — актуализация с учётом новых типов угроз
  • Техническое задание на защиту информации — приведение в соответствие с новыми требованиями
  • Организационно-распорядительную документацию — приказы, политики безопасности, инструкции для пользователей
  • Планы мероприятий по защите информации — включение новых регламентов
  • Журналы регистрации событий и анализа уязвимостей — новые формы и сроки хранения

Что делать организациям

  1. Провести аудит — анализ соответствия существующей системы защиты новым требованиям 117 приказа.
  2. Актуализировать организационно-распорядительную документацию — модель угроз, политику безопасности, приказы, инструкции.
  3. При необходимости дооснастить информационную систему — внедрить недостающие сертифицированные средства защиты информации.
  4. Обеспечить выполнение требований к управлению уязвимостями — регулярное сканирование, анализ обновлений, отслеживание БДУ ФСТЭК.
  5. Провести обучение персонала — новые правила работы, реагирование на инциденты.

📄 Документы, связанные с приказом №117

📜
Приказ ФСТЭК №117 от 11.04.2025

Основной документ — требования к защите информации в ГИС и АСУ ТП.

📖 Читать на fstec.ru ⚖️ Читать на КонсультантПлюс 📑 Читать на Контур.Норматив
📜
Приказ ФСТЭК №17 от 11.02.2013

Предыдущая версия требований (утрачивает силу с 01.03.2026).

📖 Читать на fstec.ru ⚖️ Читать на КонсультантПлюс
📘
Методика оценки угроз ФСТЭК

Утверждена 05.02.2021. Применяется вместе с №117.

📖 Читать на fstec.ru
🗄️
Банк данных угроз (БДУ) ФСТЭК

Актуальная база уязвимостей (версия 5.0+).

🔍 Перейти к БДУ
📋
Приказ ФСТЭК №77 от 29.04.2021

Порядок аттестации объектов информатизации.

📖 Читать на fstec.ru
⚠️
Утратили силу с 01.03.2026

Приказы №17 (2013), №27 (2017), №106 (2019), №61 (2020) и пункт 1 изменений №159 от 28.08.2024.

💰 Стоимость услуг

УслугаСтоимостьСрок
Аудит системы защиты (по 117 приказу)индивидуально
Актуализация модели угрозиндивидуально
Актуализация организационно-распорядительной документациииндивидуально
Доработка и внедрение СЗИиндивидуально
Полный пакет (аудит + документация + доработка)индивидуально

* Точная стоимость определяется после предпроектного обследования

📋 Чек-лист

  • ✅ Проведён анализ актуальных угроз с использованием БДУ ФСТЭК
  • ✅ Внедрены сертифицированные межсетевые экраны (МЭ) уровня доверия не ниже 4
  • ✅ Внедрены сертифицированные системы обнаружения атак (СОА)
  • ✅ Организовано управление уязвимостями (регулярное сканирование, не реже 1 раза в квартал)
  • ✅ Разработана и утверждена актуализированная документация
  • ✅ Проведено обучение персонала по новым требованиям

❓ Часто задаваемые вопросы

Чем приказ №117 отличается от предыдущих требований?

Уточнён состав организационных мер, добавлены требования к управлению уязвимостями, актуализированы требования к межсетевым экранам и СОА, учтены особенности АСУ ТП, введены количественные показатели Кзи и Пзи.

Когда нужно привести документацию в соответствие?

Приказ вступил в силу с 1 марта 2026 года. Рекомендуется начать работы за 3-6 месяцев до этой даты.

Что будет за невыполнение требований 117 приказа?

Предусмотрены штрафы по КоАП РФ до 500 000 ₽, приостановка деятельности, отзыв лицензии.

Какие системы попадают под действие приказа?

Государственные информационные системы (ГИС), автоматизированные системы управления технологическими процессами (АСУ ТП), информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений.

Нужно ли обновлять модель угроз?

Да, обязательно. Новая модель угроз должна учитывать изменения в подходах к нарушителям и способы реализации угроз из актуальной версии БДУ ФСТЭК.

📚 Полезные материалы

Поможем подобрать решение

Расскажите о своей задаче — мы подготовим предложение под ваш бюджет и уровень защиты.

📞 Или звоните: +7 (495) 777-75-77 | sales@rnt.ru

АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 30 лет опыта, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.

Приказ №117 | Сертификация | Лицензия ФСТЭК | Аттестация | Модель угроз | КИИ | Аттестация ГИС | ТЗКИ | Защита ПДн | Реестр ФСТЭК