Перейти к содержимому

Регуляторика 2026

Приказ ФСТЭК № 117 — требования к защите ГИС

Новая структура мер защиты информации для ГИС, ИС госорганов, ГУП и государственных учреждений. Вступает в силу 01.03.2026. Заменяет приказ № 17 (2013). Identigy опыт миграции и подготовки к аттестации ФСТЭК.

Оставить заявку

Короткий ответ: приказ ФСТЭК России № 117 (от 11.04.2025, действует с 01.03.2026) задаёт требования к защите информации в ГИС, ИС госорганов и ГУП пунктами 34–63 — взамен таблицы мер приказа № 17 (2013). Ключевое для IDM: строгая аутентификация привилегированных (п. 48) и удалённого доступа (п. 46), управление доступом по моделям RBAC/ABAC, журнал событий безопасности со сроком хранения 3+ года.

Контекст

Что меняется в приказе ФСТЭК № 117 vs № 17 (2013)

Главные изменения — таблица мер приказа № 17 упразднена (требования заданы пп. 34–63) + строгая аутентификация привилегированных пользователей (п. 48) и удалённого доступа (п. 46).

Сроки и переходный период

  • Принят: 11.04.2025
  • Вступает в силу: 01.03.2026
  • Переходный период: ~11 мес (короче чем у GDPR)
  • Минюст: рег. № 82619 от 16.06.2025

Главные изменения для IDM

  • • Требования к мерам — пп. 34–63 (таблица мер упразднена)
  • • Строгая аутентификация привилегированных (п. 48; MFA — при невозможности строгой)
  • • Строгая аутентификация удалённого доступа (п. 46)
  • • Расширенный журнал событий, хранение 3+ лет
  • • Запрет недружественных СЗИ с 01.01.2025
⚠️ ВНИМАНИЕ

ДВА разных документа с № 117 — не путайте!

Один из самых частых источников ошибок в compliance-проектах 2025-2026: приказы ФСТЭК и ФСБ имеют одинаковый номер 117, но разные авторов, сферы действия и сроки. Большинство ГИС обязаны соблюдать ОБА.

ФСТЭК России

Приказ № 117 от 11.04.2025

В силе:
01.03.2026 (переходный период)
Кому применим:
ГИС, ИС госорганов, ГУП, государственные учреждения
Заменяет:
Приказ № 17 (2013)
Главное:
Требования заданы пп. 34–63 приказа (таблица мер приказа № 17 упразднена) + строгая аутентификация привилегированных
ФСБ России

Приказ № 117 от 18.03.2025

В силе:
06.04.2025 (без переходного периода)
Кому применим:
ВСЕ ИС госорганов / ГУП / государственных учреждений с криптозащитой
Заменяет:
Приказ № 524 (отменён)
Главное:
Криптотребования к СКЗИ. Замена импортной криптографии на сертифицированную российскую (ГОСТ Р 34.10/12)
Структура мер защиты

Меры защиты приказа № 117 — что важно для IDM

Требования заданы пп. 34–63 приказа. Ниже — 10 направлений, ключевых для IDM/IGA-проектов.

ИАФ

Идентификация и аутентификация

Однозначная идентификация субъектов + многофакторная аутентификация. Усиленные требования к привилегированным пользователям (п. 48 — строгая аутентификация для PAM).

УПД

Управление доступом субъектов

Дискреционная + ролевая (RBAC) + атрибутная (ABAC) модели доступа. Принцип наименьших привилегий. Раздельный учёт прав сотрудников vs сервисных учёток.

ОПС

Ограничение программной среды

Allowlist разрешённого ПО. Контроль установки приложений. Интеграция с IDM для применения политик на уровне учётной записи.

АУД

Регистрация событий безопасности

Журнал событий доступа + защита от модификации + хранение 3+ лет. Автоматическая выгрузка в ГосСОПКА для значимых объектов КИИ.

АВЗ

Антивирусная защита

Не относится напрямую к IDM, но связана через защиту учётных данных от вредоносного ПО.

СОВ

Обнаружение вторжений

SIEM-интеграция с IDM-журналами для корреляции событий доступа с признаками атак (например, brute-force, lateral movement).

ОЦЛ

Целостность информации

Контроль целостности journal'ов IDM + конфигурации ролей и прав доступа. Hash-подписи изменений.

ОДТ

Доступность информации

Кластеризация IDM-системы. Бесперебойная работа аутентификации + единая точка отказа недопустима для ГИС.

ЗСВ

Защита среды виртуализации

IDM для виртуализированных сред (VMware, K8s, Docker). Защита hypervisor доступа.

ЗТС

Защита технических средств

Hardware-аутентификация (Рутокен, JaCarta), защита от утечки по техническим каналам. Защита криптоканалов связи.

Аудитория

Кому применим приказ ФСТЭК № 117

ГИС (государственные информационные системы)

ИС федеральных + региональных органов власти. Системы предоставления государственных услуг. ЕСИА, mos.ru, региональные порталы.

ИС госорганов

Министерства, агентства, службы. Министерство финансов, Минцифры, ФНС, ФТС, Росреестр.

ГУП / государственные учреждения

ФГУП, ГБУ, ГАУ — здравоохранение, образование, культура, транспорт. Также операторы ГИС в компаниях с госучастием.

Опыт Identigy

Внедрения IDM для государственных систем

Anonymized cases миграции с приказа № 17 (2013) на новый № 117. Полный портфель — на /projects/.

Госсектор (министерство)

5,000 пользователей, 20 ИС

Задача: Миграция с приказа № 17 (2013) на приказ № 117 (2025). Импортозамещение Oracle IM

Результат: Перешли на 1IDM на стеке 1С + Imperium для высокой нагрузки. MFA для всех привилегированных. Журналы в защищённом хранилище. Сертификация ФСТЭК 4 УД пройдена.

ГУП (транспорт)

15,000 пользователей, 80 ИС

Задача: Соответствие приказу ФСТЭК № 117 + 187-ФЗ КИИ (К2 для транспортной сети)

Результат: MidPoint с PAM-bastion. Hardware-tokens (Rutoken) для администраторов. Интеграция с ГосСОПКА. Прошёл аттестацию К2.

Practical guide

10-пунктовый чек-лист для CISO ГИС

Если у вас пробелы по этим пунктам — рекомендуем начать gap-анализ за 12 месяцев до плановой аттестации.

  1. Изучить приказ ФСТЭК № 117 (требования к мерам — пп. 34–63 текста приказа)

  2. Провести gap-анализ текущей IDM-системы к требованиям пп. 34–63

  3. Категоризировать ИС по уровню значимости (К1/К2/К3 если КИИ)

  4. Внедрить строгую аутентификацию привилегированных (п. 48)

  5. Внедрить ABAC/RBAC модель управления доступом (управление доступом)

  6. Настроить защищённый журнал событий безопасности (регистрация событий, хранение 3+ лет)

  7. Импортозаместить СЗИ (Указ № 250: запрет недружественных для госорганов, субъектов КИИ и др. с 01.01.2025)

  8. Подготовить документацию по структуре системы безопасности (ФСТЭК № 235)

  9. Подключиться к ГосСОПКА (для значимых объектов КИИ)

  10. Подать заявку на аттестацию ФСТЭК + криптосертификацию ФСБ (если ПО ИС требует)

Получить assessment под ФСТЭК № 117

Identigy проведёт gap-анализ ГИС по требованиям приказа № 117 (пп. 34–63). На выходе — отчёт + план миграции с приказа № 17 на № 117 + roadmap аттестации.

  • ✓ На рынке IDM в РФ с 2007 года
  • ✓ Опыт миграции с приказа № 17 (2013) на № 117
  • ✓ Сертифицированные ФСТЭК-специалисты
  • ✓ Связанные практики: PAM, СКЗИ-интеграция, ГосСОПКА

Смежные требования: 152-ФЗ для операторов ПДн и 187-ФЗ КИИ для значимых объектов. Gap-анализ ГИС по приказу № 117 начинаем с аудита ИБ и пентеста, а меры идентификации/аутентификации (ИАФ) закрываем внедрением IDM/IGA.

FAQ

Частые вопросы

Что такое приказ ФСТЭК России № 117 и кому применим?

Приказ ФСТЭК России № 117 от 11.04.2025 (вступает в силу 01.03.2026) устанавливает требования к защите информации в государственных информационных системах (ГИС), ИС государственных органов, ГУП и государственных учреждений. Заменяет приказ № 17 (2013) — задаёт требования к мерам защиты пунктами 34–63 (таблица мер приказа № 17 упразднена), усиливает требования к аутентификации и привилегированному доступу (п. 48).

Чем приказ ФСТЭК № 117 отличается от приказа ФСБ России № 117?

Это ДВА разных документа с одинаковым номером, но от разных регуляторов: (1) ФСТЭК России № 117 от 11.04.2025 (в силе с 01.03.2026) — общие меры защиты информации в ГИС/ИС госорганов; (2) ФСБ России № 117 от 18.03.2025 (в силе с 06.04.2025) — криптотребования к СКЗИ в ВСЕХ ИС госорганов / ГУП / госучреждений (заменил приказ ФСБ № 524). Идентичные номера, разные регуляторы и сферы действия. Большинство ГИС обязаны соблюдать ОБА приказа.

Что меняется в требованиях приказа № 117 vs приказ № 17 (2013)?

Главные изменения: (1) Упразднена таблица мер приказа № 17 — требования заданы пунктами 34–63 приказа; (2) Привилегированный доступ — строгая аутентификация, при технической невозможности — усиленная MFA (п. 48); (3) Удалённый доступ — со строгой аутентификацией (п. 46); (4) Расширены требования к регистрации событий (журнал хранится 3+ лет); (5) Введены явные требования к категоризированию объектов защиты; (6) Усилены требования к импортозамещению СЗИ; (7) Детализация мер вынесена в методический документ ФСТЭК от 12.04.2026 (объявлен информационным сообщением № 240/22/2457 от 14.04.2026): 19 организационных мероприятий (п. 34) + 17 групп технических мер, всего 96 базовых мер; защитные меры дифференцированы по классам ГИС К1/К2/К3.

Какие IDM-функции нужны для соответствия приказу ФСТЭК № 117?

Lifecycle учётных записей (закрытие при увольнении); строгая аутентификация привилегированных (п. 48); RBAC + ABAC модель управления доступом; защищённый журнал событий 3+ лет; PAM-bastion для привилегированного доступа (п. 48); сертификация прав (recertification); интеграция с ГосСОПКА (для значимых объектов). IDM-система = 60-70% автоматизации compliance к требованиям приказа.

Какие сроки и переходный период для перехода с № 17 на № 117?

Приказ № 117 принят 11.04.2025, вступает в силу 01.03.2026 — переходный период ~11 месяцев. С 01.03.2026 все ГИС / ИС госорганов / ГУП должны соответствовать требованиям приказа № 117 (меры защиты заданы пунктами 34–63). Существующие системы по приказу № 17 (2013) — могут продолжать работать до плановой аттестации (3-5 лет), но при модернизации / новых аттестациях — только по № 117. Identigy рекомендует начать gap-анализ за 12 месяцев до аттестации.

Как Identigy помогает с миграцией на приказ ФСТЭК № 117?

Identigy на рынке IDM в РФ с 2007 года. 39 заказчиков, 79 проектов. Покрываем: gap-анализ к требованиям приказа № 117 (пп. 34–63); план миграции с приказа № 17 на № 117; внедрение IDM (1IDM, MidPoint, Imperium) сертифицированных по ФСТЭК; PAM-bastion (JumpServer / альтернатива CyberArk) для усиленной аутентификации привилегированных (п. 48); подготовку к аттестации ФСТЭК + ФСБ-криптосертификации.