Перейти к содержимому

Регуляторный контур 2026

Соответствие IDM-проектов российской регуляторике

37 действующих нормативных документов (2005-2026) по управлению и контролю доступа: ФСТЭК + ФСБ + Росстандарт + ЦБ РФ + ФЗ + ПП + Указы Президента.

Оставить заявку
Hot updates 2025-2026

Свежие регуляторные изменения, влияющие на IDM-проекты

Шесть ключевых регуляторных документов, формирующих compliance-pipeline на 2026 год — мы учитываем их во всех новых внедрениях.

С 20.12.2024

ГОСТ Р 71753-2024

Главный российский стандарт IDM/IGA

Терминологический и функциональный стандарт IDM/IGA. Называет систему «СУУЗиПД» (автоматизированное управление учётными записями и правами доступа). Устанавливает функциональные требования: единый каталог пользователей (п. 6.1.2), ролевая модель (п. 7.2.1), эталонная матрица прав (п. 7.2.8), коннекторы как отдельные модули (п. 8.1), регистрация событий (п. 10.4.2).

Для: Любая организация с IDM/IGA

С 01.03.2026

Приказ ФСТЭК № 117

Заменил № 17 (2013)

Новые требования к защите ГИС, ИС госорганов, ГУП, государственных учреждений (меры — пп. 34–63 приказа). Привилегированный доступ — со строгой аутентификацией (п. 48). Удалённый доступ — со строгой аутентификацией пользователей (п. 46).

Для: ГИС / госсектор / ГУП / госучреждения

с 12.04.2026

Методический документ ФСТЭК

Детализация мер № 117 (17 групп техмер, 96 базовых мер)

Конкретный compliance-чек-лист к Приказу № 117: разделы по идентификации/аутентификации, управлению доступом, привилегированному доступу (включая «инвентаризацию всех привилегированных учётных записей»).

Для: ИБ-инженеры, аудиторы

С 06.04.2025

Приказ ФСБ № 117

Заменил Приказ ФСБ № 524 (2022)

Криптографическая защита для всех ИС государственных органов, ГУП, государственных учреждений (расширение scope vs № 524 — только ГИС). Применение СКЗИ, сертифицированных ФСБ. Класс СКЗИ — в модели угроз.

Для: ГИС / ГУП / госучреждения с крипто-защитой

С 01.10.2025

Положение ЦБ № 851-П

Геолокация identity-сессий

Кредитные организации обязаны регистрировать дату/время сессии, IP+порт устройства клиента, IP+порт АС банка и географическое местоположение устройства. Применяется при идентификации/аутентификации/авторизации клиентов.

Для: Банки + иностранные банки в РФ

С 01.10.2025

ГОСТ Р 70262.2-2025 — УДА

3 уровня + первое покрытие NHI в РФ

Уровни доверия аутентификации: ровно 3 (низкий / средний / высокий) — НЕ 4 как у УДИ. Впервые в RU нормативе аутентификация распространяется на «информационные и вычислительные ресурсы» (п. 4.8) — Non-Human Identities.

Для: CISO, security architects, DevOps

Карта соответствия

Регуляторный контур по типу организации

Семь ключевых сценариев — какие документы обязательны и какие функции должна реализовать организация. Используем как чек-лист в КП и audit reports.

Тип организации Обязательные документы Что обязано иметь
Кредитная организация (банк) ЦБ № 851-П (с 29.03.2025; геолокация с 01.10.2025) · серия ГОСТ Р 57580 (.1-2017 + .2-2018 + .3-2022 + .4-2022) · 716-П · 802-П Идентификация/аутентификация/авторизация клиентов с регистрацией IP+порт+геолокация · MFA эксплуатационного персонала (мера РД.4 ГОСТ 57580.1) · ролевое управление доступом (меры РД) · контроль неиспользуемых прав >45 дней (мера УЗП.15)
НФО (некредитные финансовые организации) ЦБ № 757-П + Указание № 7219-У от 28.10.2025 (в силу 01.01.2027) · ГОСТ Р 57580.1-2017 Зеркало 851-П для НФО (страховые, инвестфонды, МФО, ломбарды)
ГИС / госорган / ГУП / государственные учреждения Приказ ФСТЭК № 117 (с 01.03.2026, меры пп. 34–63) · Приказ ФСБ № 117 (с 06.04.2025, крипто) Меры защиты (пп. 34–63): идентификация и аутентификация + управление доступом · Строгая аутентификация для привилегированного доступа (п. 48) · Только сертифицированные ФСТЭК СЗИ + сертифицированные ФСБ СКЗИ
Значимый объект КИИ (категории 1, 2, 3) Приказ ФСТЭК № 239 (ред. № 159 от 28.08.2024) · ФЗ-187 · ПП РФ № 127 Меры идентификации/аутентификации/управления доступом по категориям значимости · защита от DDoS (через № 159/2024)
АСУ ТП критически важных объектов Приказ ФСТЭК № 31 + Приказ ФСТЭК № 239 (если значимая КИИ) Меры ИАФ/УПД аналогичные № 21, адаптированные под ICS/OT
Любой оператор ПДн (универсально) ФЗ-152 ст. 19 · ПП РФ № 1119 (УЗ-1..УЗ-4) · Приказ ФСТЭК № 21 (ред. № 68/2020) Меры ИАФ.1–6 (идентификация и аутентификация) + УПД.1–17 (управление доступом) по уровням защищённости
Организация на импортозамещении Указ № 166 (значимые ОКИИ) · Указ № 250 (для субъектов указа, с 01.01.2025) · ПП РФ № 1236 · ФЗ № 325-ФЗ от 31.07.2025 ПО для значимой КИИ — только из реестра отечественного ПО · запрет СЗИ из недружественных стран
Дисамбигуация

ДВА документа «№ 117» — ФСТЭК vs ФСБ

В 2025 году вышли два разных приказа с одинаковым номером 117. Их часто путают в blog-постах и презентациях. Обычная ИС государственного органа должна соответствовать обоим одновременно.

Признак Приказ ФСТЭК № 117 Приказ ФСБ № 117
Регулятор ФСТЭК России ФСБ России
Дата принятия 11.04.2025 18.03.2025
Дата вступления в силу 01.03.2026 (переходный период) 06.04.2025 (без переходного периода)
Что заменил Приказ ФСТЭК № 17 (2013) Приказ ФСБ № 524 (2022)
Предмет регулирования Организационно-технические меры (управление доступом, аутентификация, мониторинг, парольные политики) Исключительно крипто (СКЗИ, шифрование каналов, ЭП)
Применимость ГИС + ИС госорганов + ГУП + государственных учреждений Все ИС государственных органов, ГУП, государственных учреждений (расширил scope vs № 524 — только ГИС)
Совмещение Дополняет ФСБ № 117 — обычная ИС ГУП соответствует обоим одновременно Дополняет ФСТЭК № 117 — обычная ИС ГУП соответствует обоим одновременно
Услуги под регуляторные требования

Какая услуга закрывает требование документа

Привязка наших услуг к конкретным пунктам ГОСТ / приказов ФСТЭК / положений ЦБ. В КП цитируем точные ссылки: «согласно пункту X документа Y».

Внедрение IDM/IGA →

  • ГОСТ Р 71753-2024
    Все разделы 6-10 (СУУЗиПД)
  • ГОСТ Р 57580.1-2017
    меры УЗП + РД (для банков/НФО)
  • Приказ ФСТЭК № 21
    меры ИАФ.1–6 + УПД.1–17
  • Приказ ФСТЭК № 117
    пп. 34–63 — меры защиты

PAM-внедрение (JumpServer) →

  • Приказ ФСТЭК № 117
    п. 48 — привилегии → строгая аутентификация
  • ГОСТ Р 57580.1-2017
    РД.4 — MFA эксплуатационного персонала
  • Приказ ФСТЭК № 117 (пп. 34–63)
    Инвентаризация всех привилегированных учётных записей
  • ГОСТ Р 70262.2-2025
    УДА «высокий уровень» для привилегий

Аудит ИБ + IB-аудит →

  • ГОСТ Р 57580.2-2018
    Методика оценки соответствия 57580.1
  • ГОСТ Р 57580.4-2022
    Опер. надёжность
  • ГОСТ Р 57580.3-2022
    Управление риском ИБ-угроз
  • Положение ЦБ № 851-П
    Оценка соответствия для банков

Миграция (импортозамещение) →

  • Указ Президента № 166
    Запрет иностранного ПО на значимых объектах КИИ (с 01.01.2025)
  • ПП РФ № 1236 + ФЗ № 325
    Реестр отечественного ПО (новые спец-перечни с 03.2026)
  • Указ Президента № 250
    С 01.01.2025 — запрет недружественных СЗИ
Полный реестр

37 действующих нормативных документов

Категоризированный реестр всех актуальных RU нормативных актов по управлению и контролю доступа (2005-2026).

Приказы ФСТЭК России (5)

  • Приказ ФСТЭК № 117 от 11.04.2025 (с 01.03.2026; заменил № 17)
  • Требования к мерам защиты — пп. 34–63 приказа № 117
  • Приказ ФСТЭК № 21 от 18.02.2013 (ред. № 68 от 14.05.2020)
  • Приказ ФСТЭК № 31 от 14.03.2014 (АСУ ТП)
  • Приказ ФСТЭК № 239 от 25.12.2017 (ред. № 159 от 28.08.2024)
  • Приказ ФСТЭК № 235 от 21.12.2017 + Методический документ «Методика оценки угроз» от 05.02.2021

Приказы ФСБ России (2 действующих)

  • Приказ ФСБ № 117 от 18.03.2025 (с 06.04.2025; заменил № 524)
  • Приказ ФСБ № 66 от 09.02.2005 — Положение ПКЗ-2005 (ред. № 173 от 12.04.2010)

ГОСТ Р — Росстандарт (13)

  • ГОСТ Р 71753-2024 — СУУЗиПД (главный для IDM/IGA)
  • ГОСТ Р 70262.1-2022 — УДИ (4 уровня)
  • ГОСТ Р 70262.2-2025 — УДА (3 уровня; с 01.10.2025)
  • ГОСТ Р 58833-2020 — Идентификация и аутентификация. Общие положения
  • ГОСТ Р 59383-2021 — Основы управления доступом (ISO/IEC 29146)
  • ГОСТ Р 59453.1-2021 — Формальная модель управления доступом (общие положения)
  • ГОСТ Р 59453.4-2025 — Формальная модель (часть 4)
  • ГОСТ Р 53114-2008 — Базовая терминология ИБ организации
  • ГОСТ Р 50922-2006 — Базовые термины ЗИ
  • ГОСТ Р 57580.1-2017 — Базовый состав мер защиты для финсектора
  • ГОСТ Р 57580.2-2018 — Методика оценки соответствия 57580.1
  • ГОСТ Р 57580.3-2022 — Управление риском ИБ-угроз (с 01.02.2023)
  • ГОСТ Р 57580.4-2022 — Операционная надёжность (с 01.02.2023)

Положения Банка России (4 + СТО)

  • Положение № 851-П от 30.01.2025 (с 29.03.2025; геолокация с 01.10.2025)
  • Положение № 757-П + Указание № 7219-У от 28.10.2025, в силу с 01.01.2027 (для НФО)
  • Положение № 716-П от 08.04.2020 (операционный риск)
  • Положение № 802-П (платёжная система БР)
  • СТО БР ИББС (комплекс отраслевых стандартов)

ФЗ + ПП РФ + Указы Президента (10)

  • ФЗ № 152-ФЗ «О персональных данных» (ред. 24.06.2025; ФЗ № 23-ФЗ от 28.02.2025)
  • ФЗ № 187-ФЗ «О безопасности КИИ»
  • ФЗ № 149-ФЗ «Об информации»
  • ФЗ № 63-ФЗ «Об электронной подписи» (ред. от 31.07.2025 — 304-ФЗ, изменения с 01.03.2026)
  • ФЗ № 325-ФЗ от 31.07.2025 (реформа реестра ПО)
  • ПП РФ № 1119 от 01.11.2012 (УЗ-1..УЗ-4 ПДн)
  • ПП РФ № 1236 от 16.11.2015 (реестр отечественного ПО)
  • ПП РФ № 127 от 08.02.2018 (категорирование ОКИИ)
  • Указ Президента № 166 от 30.03.2022 (импортозамещение ПО на КИИ)
  • Указ Президента № 250 от 01.05.2022 (ИБ-ответственные; запрет недружественных СЗИ с 01.01.2025)

Compliance-аудит

Регуляторный аудит вашего IDM-контура

Проводим экспертизу соответствия 37 действующим RU нормативным документам. Готовый отчёт для CISO, аудитора, регулятора — с указанием пунктов и план достижения целевого уровня.

Оставить заявку
FAQ

Частые вопросы

Что такое ГОСТ Р 71753-2024 и зачем он нужен для IDM?

ГОСТ Р 71753-2024 — главный российский стандарт IDM/IGA, действует с 20.12.2024. Называет систему «СУУЗиПД» (автоматизированное управление учётными записями и правами доступа) и устанавливает функциональные требования: единый каталог пользователей (п. 6.1.2), ролевая модель (п. 7.2.1), эталонная матрица прав (п. 7.2.8), коннекторы как отдельные модули (п. 8.1), регистрация событий (п. 10.4.2). Применяется к любой организации с IDM/IGA-проектом.

Чем приказ ФСТЭК № 117 отличается от приказа ФСБ № 117?

Это ДВА разных документа: (1) Приказ ФСТЭК России № 117 от 11.04.2025 (вступает в силу 01.03.2026) заменяет приказ № 17 (2013) — задаёт требования к мерам защиты пунктами 34–63 (таблица мер упразднена) для ГИС, ИС госорганов, ГУП, госучреждений; (2) Приказ ФСБ России № 117 от 18.03.2025 (в силе с 06.04.2025) — крипто-требования для тех же объектов, заменил ФСБ № 524. Идентичные номера, разные регуляторы и сферы.

Кто обязан соблюдать 152-ФЗ и какие требования к управлению доступом?

152-ФЗ обязателен для любого оператора персональных данных (юр.лицо/ИП, обрабатывающий ПДн). Требования к управлению доступом: ПП 1119 п. 6 (перечень лиц с доступом к ПДн), Приказ ФСТЭК № 21 — меры ИАФ (идентификация и аутентификация), УПД (управление доступом субъектов), ОПС (ограничение программной среды) из Приложения. ПП 1119 устанавливает 4 уровня защищённости (УЗ-1...УЗ-4) для ИСПДн (информационных систем персональных данных). IDM-система автоматизирует учёт, аудит и контроль доступа.

Что такое 187-ФЗ КИИ и какие категории объектов?

187-ФЗ «О безопасности критической информационной инфраструктуры» обязателен для субъектов КИИ в 14 сферах (с 01.09.2025) (банковский сектор, ТЭК, транспорт, связь, здравоохранение и др.). 3 категории значимости объектов КИИ. Требования к управлению доступом: ФСТЭК № 239 (меры обеспечения безопасности), ФСТЭК № 235 (требования к системам безопасности значимых ОКИИ), ФСТЭК № 31 (для АСУ ТП). Категория 1 — наивысшие требования.

Кому применимо Положение Банка России № 851-П?

Положение ЦБ РФ № 851-П (с 29.03.2025, Минюст № 81462) — для кредитных организаций и филиалов иностранных банков; зеркала: НФО — 757-П, платёжная инфраструктура — 802-П. С 01.10.2025 — обязательная регистрация identity-событий с геолокацией. Связано с ГОСТ Р 57580.1/57580.2/57580.3/57580.4 (безопасность финансовых организаций). Identigy внедряет IDM с интеграцией геолокации, MFA для банков и НФО под требования ГОСТ Р 57580 и 851-П.

Что такое СУУЗиПД и как это связано с IDM/IGA?

СУУЗиПД (Система автоматизированного управления учётными записями и правами доступа) — официальный термин ГОСТ Р 71753-2024, который заменяет международные термины IDM (Identity Management) / IGA (Identity Governance and Administration) в российском нормативном поле. Это та же система, но в русской терминологии. В тендерах и regulatory документах используйте «СУУЗиПД»; в международной коммуникации и с зарубежными вендорами — IDM/IGA.