Перейти к содержимому
Блог
  • Регуляторный контур
  • ФСТЭК 117
  • ФСБ 117
  • Методический документ ФСТЭК
  • 851-П
  • ГОСТ Р 71753-2024
  • ГОСТ Р 70262.2-2025
  • ГОСТ Р 57580
  • 152-ФЗ
  • 187-ФЗ КИИ
  • Импортозамещение
  • СУУЗиПД
  • УДА
  • NHI
  • Compliance

Регуляторная матрица 2026 — 37 документов по доступу для IDM/IGA в РФ

Канонический реестр 37 действующих документов ФСТЭК / ФСБ / ЦБ РФ / 152-ФЗ / 187-ФЗ по управлению и контролю доступа. 5 изменений Q4 2025-Q2 2026.

Андрей Промыслов (IdM эксперт) — Identigy обновлено

Большинство ссылок на регуляторику в -проектах в России устаревают быстрее, чем сами проекты. Приказ ФСТЭК № 17 (2013) — заменён № 117 в 2025-м. Положение ЦБ № 683-П — заменено № 851-П в 2025-м. ФСБ № 524 (2022) — отменён ФСБ № 117 в апреле 2025-го. Каждое такое изменение требует обновления КП, аудит-чек-листов, документов по проекту, целевых архитектур.

Мы собрали канонический реестр 37 действующих RU нормативных документов по управлению и контролю доступа — currency 2026-05-19. Ниже — что нового и как это применять в IDM-проектах.

Открыть «Регуляторный контур» →

Что нового по сравнению с прошлой публикацией

В мае 2026 года мы публиковали универсальный глоссарий IDM/IGA с привязкой к ГОСТ Р 71753-2024, ФСТЭК № 117, 851-П и международным стандартам. Текущее исследование расширяет регуляторную часть: 5 новых документов добавлены в canon, 4 уточнения по статусу применены к существующим записям.

5 новых документов в canon

ДокументДата принятия / действияЧто регулирует
Методический документ ФСТЭК от 12.04.202612.04.202696 базовых мер (19 орг. мероприятий + 17 групп техмер) — детализация Приказа № 117
Приказ ФСБ № 117 от 18.03.2025в силе 06.04.2025 (без переходного периода)Криптозащита для всех ИС государственных органов, ГУП, государственных учреждений
ГОСТ Р 57580.3-2022в силе 01.02.2023Управление риском реализации информационных угроз + опер. надёжность
ГОСТ Р 57580.2-2018Приказ Росстандарта № 156-СТ от 28.03.2018Методика оценки соответствия 57580.1
ГОСТ Р 59453.4-20252025Часть 4 серии — формальная модель управления доступом

4 уточнения по статусу

ДокументЧто изменилось
Приказ ФСБ № 524 (24.10.2022)ОТМЕНЁН с 06.04.2025 — заменён Приказом ФСБ № 117 от 18.03.2025
ГОСТ Р 70262.2-2025 (УДА)Уточнено: 3 уровня УДА (низкий/средний/высокий), не 4 как у УДИ; в силе с 01.10.2025
Методический документ ФСТЭК (детализация № 117)Ожидался — вышел 12.04.2026: 96 базовых мер (19 орг. + 17 групп техмер)
Положение ЦБ № 851-ПМинюст № 81462 от 06.03.2025, в силе 29.03.2025, геолокация identity-сессий с 01.10.2025

Не путать: ДВА документа «№ 117» в 2025 году

Один из самых частых источников путаницы в проектах CISO — два разных приказа с одинаковым номером 117, оба от 2025 года.

ПризнакПриказ ФСТЭК № 117Приказ ФСБ № 117
Дата принятия11.04.202518.03.2025
Вступление в силу01.03.2026 (переходный период)06.04.2025 (без перехода)
Что заменилПриказ ФСТЭК № 17 (2013)Приказ ФСБ № 524 (2022)
ПредметОрганизационно-технические меры (управление доступом, аутентификация, мониторинг)Исключительно криптозащита (СКЗИ, шифрование каналов, ЭП)
ПрименимостьГИС + ИС госорганов + ГУП + государственных учрежденийВсе ИС государственных органов, ГУП, государственных учреждений

Обычная ИС государственного органа или ГУП должна соответствовать обоим документам одновременно — Приказ ФСТЭК № 117 закрывает оргтех-меры, Приказ ФСБ № 117 — криптозащиту.

Последние изменения 2025-Q2 2026 — что формирует контур соответствия нормативным требованиям

Пять регуляторных событий, формирующих контур соответствия нормативным требованиям на ближайший год:

  1. 01.03.2026 — Приказ ФСТЭК № 117 вступает в силу. Базовые меры защиты задаются по направлениям (п. 63) для ГИС / ГУП / государственных учреждений; детализация — в методдоке от 12.04.2026 (17 групп технических мер, 96 базовых мер). Привилегированный доступ — со строгой аутентификацией (п. 48). Удалённый доступ — со строгой аутентификацией пользователей (п. 46). Старые аттестаты, выданные до 01.03.2026, считаются действительными.

  2. 12.04.2026 — методический документ ФСТЭК опубликован. 96 базовых мер (19 организационных мероприятий + 17 групп технических мер) как конкретный compliance-чек-лист для Приказа № 117. Среди ключевых требований при привилегированном доступе — «инвентаризация всех привилегированных учётных записей».

  3. 06.04.2025 — Приказ ФСБ № 117 вступил в силу. Расширил область применения крипто-требований: раньше только ГИС, теперь — все ИС государственных органов, ГУП, государственных учреждений. Класс СКЗИ (КС1, КС2, КС3, КВ, КА) подлежит обоснованию в модели угроз.

  4. 01.10.2025 — геолокация identity-сессий в банках. По Положению ЦБ № 851-П кредитные организации обязаны регистрировать дату/время сессии, IP+порт устройства клиента, IP+порт АС банка и географическое местоположение устройства.

  5. 01.10.2025 — ГОСТ Р 70262.2-2025 «Уровни доверия аутентификации». Ровно 3 уровня УДА (низкий / средний / высокий), не 4 как у УДИ. Впервые в RU нормативе аутентификация явно покрывает «информационные и вычислительные ресурсы» (п. 4.8) — то, что международная практика называет Non-Human Identities.

Карта соответствия по типу организации

Семь типичных сценариев — какие документы обязательны и какие функции должна реализовать организация. Используется как чек-лист в КП и аудит-отчётах.

Тип организацииДокументыФункциональные требования
Кредитная организация851-П + серия ГОСТ Р 57580 (.1/.2/.3/.4) + 716-П + 802-ПИдентификация/аутентификация/авторизация клиентов с регистрацией IP+порт+геолокация (с 01.10.2025); МФА для УЗ-1 (РД.2 + РД.4); ролевой метод (РД.32); рецертификация прав >45 дней (УЗП.15)
НФО757-П + Указание № 7219-У от 28.10.2025 + 57580.1Зеркало 851-П для НФО
ГИС / госорган / ГУП / госучреждениеФСТЭК № 117 + методический документ 12.04.2026 + ФСБ № 117Базовые меры: ИАФ + УПД (п. 63 ФСТЭК); строгая аутентификация для привилегий (п. 48); только сертифицированные ФСТЭК СЗИ + ФСБ СКЗИ
Значимый объект КИИФСТЭК № 239 (ред. № 159 от 28.08.2024) + ФЗ № 187 + ПП РФ № 127Меры по категориям значимости 1, 2, 3; защита от DDoS (через № 159)
АСУ ТП КИИФСТЭК № 31 + ФСТЭК № 239Меры ИАФ/УПД для индустриального контекста
Любой оператор ПДнФЗ № 152 ст. 19 + ПП РФ № 1119 + ФСТЭК № 21Меры ИАФ.0-7 + УПД.0-17 по уровням защищённости УЗ-1..УЗ-4
ИмпортозамещениеУказ № 166 + Указ № 250 + ПП РФ № 1236 + ФЗ № 325ПО только из реестра отечественного ПО; запрет недружественных СЗИ с 01.01.2025

Структура реестра 37 документов

Полный реестр разбит на 5 категорий:

  • Приказы ФСТЭК России — 6 документов (№ 117, методический документ 12.04.2026, № 21, № 31, № 239, № 235 + методический документ «угрозы» 05.02.2021)
  • Приказы ФСБ России — 2 действующих (№ 117/2025, № 66/2005 ПКЗ-2005); № 524 отменён
  • ГОСТ Р (Росстандарт) — 13 документов (71753-2024, 70262.1-2022, 70262.2-2025, 58833, 59383, 59453.1/.4, 53114, 50922, серия 57580 .1/.2/.3/.4)
  • Положения Банка России — 4 (851-П, 757-П, 716-П, 802-П) + СТО БР ИББС
  • ФЗ + ПП РФ + Указы Президента — 10 (152, 187, 149, 63, 325, 1119, 1236, 127, № 166, № 250)

Принцип «функции, а не системы»

Российская регуляторика не предписывает иметь IDM-систему. Регуляторы предписывают функциональные требования: должна осуществляться идентификация субъектов, должно быть реализовано разграничение доступа, привилегированный доступ — со строгой аутентификацией, применяется ролевой метод. В организации с более чем сотней пользователей эти функции невозможно реализовать без специализированной системы управления доступом — IDM//PAM-платформы.

Единственное явное исключение — ГОСТ Р 71753-2024 — называет систему явно: «СУУЗиПД» (Система автоматизированного управления учётными записями и правами доступа). Стандарт разработан 27 компаниями отрасли (ГК «Солар» как инициатор, плюс InfoWatch, Газинформсервис, Сбертех и др.) и устанавливает функциональные требования к ней: единый каталог пользователей (п. 6.1.2), ролевая модель (п. 7.2.1), эталонная матрица прав (п. 7.2.8), коннекторы как отдельные модули (п. 8.1), регистрация событий (п. 10.4.2).

Что дальше

Открыть Регуляторный контур → · Глоссарий IDM/IGA 2026 →