- Регуляторный контур
- ФСТЭК 117
- ФСБ 117
- Методический документ ФСТЭК
- 851-П
- ГОСТ Р 71753-2024
- ГОСТ Р 70262.2-2025
- ГОСТ Р 57580
- 152-ФЗ
- 187-ФЗ КИИ
- Импортозамещение
- СУУЗиПД
- УДА
- NHI
- Compliance
Регуляторная матрица 2026 — 37 документов по доступу для IDM/IGA в РФ
Канонический реестр 37 действующих документов ФСТЭК / ФСБ / ЦБ РФ / 152-ФЗ / 187-ФЗ по управлению и контролю доступа. 5 изменений Q4 2025-Q2 2026.
Андрей Промыслов (IdM эксперт) — Identigy обновлено
Большинство ссылок на регуляторику в IDM-проектах в России устаревают быстрее, чем сами проекты. Приказ ФСТЭК № 17 (2013) — заменён № 117 в 2025-м. Положение ЦБ № 683-П — заменено № 851-П в 2025-м. ФСБ № 524 (2022) — отменён ФСБ № 117 в апреле 2025-го. Каждое такое изменение требует обновления КП, аудит-чек-листов, документов по проекту, целевых архитектур.
Мы собрали канонический реестр 37 действующих RU нормативных документов по управлению и контролю доступа — currency 2026-05-19. Ниже — что нового и как это применять в IDM-проектах.
Открыть «Регуляторный контур» →
Что нового по сравнению с прошлой публикацией
В мае 2026 года мы публиковали универсальный глоссарий IDM/IGA с привязкой к ГОСТ Р 71753-2024, ФСТЭК № 117, 851-П и международным стандартам. Текущее исследование расширяет регуляторную часть: 5 новых документов добавлены в canon, 4 уточнения по статусу применены к существующим записям.
5 новых документов в canon
| Документ | Дата принятия / действия | Что регулирует |
|---|---|---|
| Методический документ ФСТЭК от 12.04.2026 | 12.04.2026 | 96 базовых мер (19 орг. мероприятий + 17 групп техмер) — детализация Приказа № 117 |
| Приказ ФСБ № 117 от 18.03.2025 | в силе 06.04.2025 (без переходного периода) | Криптозащита для всех ИС государственных органов, ГУП, государственных учреждений |
| ГОСТ Р 57580.3-2022 | в силе 01.02.2023 | Управление риском реализации информационных угроз + опер. надёжность |
| ГОСТ Р 57580.2-2018 | Приказ Росстандарта № 156-СТ от 28.03.2018 | Методика оценки соответствия 57580.1 |
| ГОСТ Р 59453.4-2025 | 2025 | Часть 4 серии — формальная модель управления доступом |
4 уточнения по статусу
| Документ | Что изменилось |
|---|---|
| Приказ ФСБ № 524 (24.10.2022) | ОТМЕНЁН с 06.04.2025 — заменён Приказом ФСБ № 117 от 18.03.2025 |
| ГОСТ Р 70262.2-2025 (УДА) | Уточнено: 3 уровня УДА (низкий/средний/высокий), не 4 как у УДИ; в силе с 01.10.2025 |
| Методический документ ФСТЭК (детализация № 117) | Ожидался — вышел 12.04.2026: 96 базовых мер (19 орг. + 17 групп техмер) |
| Положение ЦБ № 851-П | Минюст № 81462 от 06.03.2025, в силе 29.03.2025, геолокация identity-сессий с 01.10.2025 |
Не путать: ДВА документа «№ 117» в 2025 году
Один из самых частых источников путаницы в проектах CISO — два разных приказа с одинаковым номером 117, оба от 2025 года.
| Признак | Приказ ФСТЭК № 117 | Приказ ФСБ № 117 |
|---|---|---|
| Дата принятия | 11.04.2025 | 18.03.2025 |
| Вступление в силу | 01.03.2026 (переходный период) | 06.04.2025 (без перехода) |
| Что заменил | Приказ ФСТЭК № 17 (2013) | Приказ ФСБ № 524 (2022) |
| Предмет | Организационно-технические меры (управление доступом, аутентификация, мониторинг) | Исключительно криптозащита (СКЗИ, шифрование каналов, ЭП) |
| Применимость | ГИС + ИС госорганов + ГУП + государственных учреждений | Все ИС государственных органов, ГУП, государственных учреждений |
Обычная ИС государственного органа или ГУП должна соответствовать обоим документам одновременно — Приказ ФСТЭК № 117 закрывает оргтех-меры, Приказ ФСБ № 117 — криптозащиту.
Последние изменения 2025-Q2 2026 — что формирует контур соответствия нормативным требованиям
Пять регуляторных событий, формирующих контур соответствия нормативным требованиям на ближайший год:
-
01.03.2026 — Приказ ФСТЭК № 117 вступает в силу. Базовые меры защиты задаются по направлениям (п. 63) для ГИС / ГУП / государственных учреждений; детализация — в методдоке от 12.04.2026 (17 групп технических мер, 96 базовых мер). Привилегированный доступ — со строгой аутентификацией (п. 48). Удалённый доступ — со строгой аутентификацией пользователей (п. 46). Старые аттестаты, выданные до 01.03.2026, считаются действительными.
-
12.04.2026 — методический документ ФСТЭК опубликован. 96 базовых мер (19 организационных мероприятий + 17 групп технических мер) как конкретный compliance-чек-лист для Приказа № 117. Среди ключевых требований при привилегированном доступе — «инвентаризация всех привилегированных учётных записей».
-
06.04.2025 — Приказ ФСБ № 117 вступил в силу. Расширил область применения крипто-требований: раньше только ГИС, теперь — все ИС государственных органов, ГУП, государственных учреждений. Класс СКЗИ (КС1, КС2, КС3, КВ, КА) подлежит обоснованию в модели угроз.
-
01.10.2025 — геолокация identity-сессий в банках. По Положению ЦБ № 851-П кредитные организации обязаны регистрировать дату/время сессии, IP+порт устройства клиента, IP+порт АС банка и географическое местоположение устройства.
-
01.10.2025 — ГОСТ Р 70262.2-2025 «Уровни доверия аутентификации». Ровно 3 уровня УДА (низкий / средний / высокий), не 4 как у УДИ. Впервые в RU нормативе аутентификация явно покрывает «информационные и вычислительные ресурсы» (п. 4.8) — то, что международная практика называет Non-Human Identities.
Карта соответствия по типу организации
Семь типичных сценариев — какие документы обязательны и какие функции должна реализовать организация. Используется как чек-лист в КП и аудит-отчётах.
| Тип организации | Документы | Функциональные требования |
|---|---|---|
| Кредитная организация | 851-П + серия ГОСТ Р 57580 (.1/.2/.3/.4) + 716-П + 802-П | Идентификация/аутентификация/авторизация клиентов с регистрацией IP+порт+геолокация (с 01.10.2025); МФА для УЗ-1 (РД.2 + РД.4); ролевой метод RBAC (РД.32); рецертификация прав >45 дней (УЗП.15) |
| НФО | 757-П + Указание № 7219-У от 28.10.2025 + 57580.1 | Зеркало 851-П для НФО |
| ГИС / госорган / ГУП / госучреждение | ФСТЭК № 117 + методический документ 12.04.2026 + ФСБ № 117 | Базовые меры: ИАФ + УПД (п. 63 ФСТЭК); строгая аутентификация для привилегий (п. 48); только сертифицированные ФСТЭК СЗИ + ФСБ СКЗИ |
| Значимый объект КИИ | ФСТЭК № 239 (ред. № 159 от 28.08.2024) + ФЗ № 187 + ПП РФ № 127 | Меры по категориям значимости 1, 2, 3; защита от DDoS (через № 159) |
| АСУ ТП КИИ | ФСТЭК № 31 + ФСТЭК № 239 | Меры ИАФ/УПД для индустриального контекста |
| Любой оператор ПДн | ФЗ № 152 ст. 19 + ПП РФ № 1119 + ФСТЭК № 21 | Меры ИАФ.0-7 + УПД.0-17 по уровням защищённости УЗ-1..УЗ-4 |
| Импортозамещение | Указ № 166 + Указ № 250 + ПП РФ № 1236 + ФЗ № 325 | ПО только из реестра отечественного ПО; запрет недружественных СЗИ с 01.01.2025 |
Структура реестра 37 документов
Полный реестр разбит на 5 категорий:
- Приказы ФСТЭК России — 6 документов (№ 117, методический документ 12.04.2026, № 21, № 31, № 239, № 235 + методический документ «угрозы» 05.02.2021)
- Приказы ФСБ России — 2 действующих (№ 117/2025, № 66/2005 ПКЗ-2005); № 524 отменён
- ГОСТ Р (Росстандарт) — 13 документов (71753-2024, 70262.1-2022, 70262.2-2025, 58833, 59383, 59453.1/.4, 53114, 50922, серия 57580 .1/.2/.3/.4)
- Положения Банка России — 4 (851-П, 757-П, 716-П, 802-П) + СТО БР ИББС
- ФЗ + ПП РФ + Указы Президента — 10 (152, 187, 149, 63, 325, 1119, 1236, 127, № 166, № 250)
Принцип «функции, а не системы»
Российская регуляторика не предписывает иметь IDM-систему. Регуляторы предписывают функциональные требования: должна осуществляться идентификация субъектов, должно быть реализовано разграничение доступа, привилегированный доступ — со строгой аутентификацией, применяется ролевой метод. В организации с более чем сотней пользователей эти функции невозможно реализовать без специализированной системы управления доступом — IDM/IGA/PAM-платформы.
Единственное явное исключение — ГОСТ Р 71753-2024 — называет систему явно: «СУУЗиПД» (Система автоматизированного управления учётными записями и правами доступа). Стандарт разработан 27 компаниями отрасли (ГК «Солар» как инициатор, плюс InfoWatch, Газинформсервис, Сбертех и др.) и устанавливает функциональные требования к ней: единый каталог пользователей (п. 6.1.2), ролевая модель (п. 7.2.1), эталонная матрица прав (п. 7.2.8), коннекторы как отдельные модули (п. 8.1), регистрация событий (п. 10.4.2).
Что дальше
- Все 37 документов с привязкой к нашим услугам — на странице Регуляторный контур.
- Разборы ключевых требований: 152-ФЗ для оператора ПДн · 187-ФЗ КИИ · Приказ ФСТЭК № 117.
- Канонический glossary RU/EN обновлён под новые документы.