Приказ ФСТЭК России

Защита информации в государственных информационных системах

Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений…».

11.04.2025ГИС / госорганыв силе с 01.03.2026

Вступает в силу 01.03.2026. До этой даты действует прежний приказ ФСТЭК № 17 от 11.02.2013 — у организаций есть переходный период.

1 Что это и зачем

Это новый базовый документ о защите информации в государственных информационных системах (ГИС). Он приходит на смену хорошо известному приказу ФСТЭК № 17 от 11.02.2013 и заметно ужесточает подход. Главное новшество — переход от «бумажной» проверки наличия мер к измеримой защищённости: вводятся числовые показатели и жёсткие сроки, в которые нужно реагировать на найденные уязвимости.

2 Кого касается

Касается операторов государственных информационных систем и информационных систем госорганов, государственных унитарных предприятий и государственных учреждений. Для темы КИИ это важно потому, что объекты часто пересекаются: одна и та же система может одновременно быть и ГИС, и значимым объектом КИИ. В таком случае выполнять придётся требования и приказа № 117 (как для ГИС), и профильных приказов по КИИ (№ 235 и № 239).

3 Что требует

Вводит числовые показатели уровня защищённости и зрелости защиты информации — КЗИ (показатель защищённости) и ПЗИ (показатель уровня зрелости). По ним защищённость оценивается не «есть мера / нет меры», а количественно; порядок их расчёта определяется методическими документами ФСТЭК.
Устанавливает жёсткие сроки устранения уязвимостей: критические — не позднее 24 часов, высокого уровня опасности — не позднее 7 дней.
Требует регулярного сканирования (анализа) активов на уязвимости — не реже 1 раза в месяц.
Сохраняет общий каркас защиты ГИС: моделирование угроз, выбор и реализация мер, эксплуатация средств защиты — но с усиленным контролем результата.

≡Простыми словамиРаньше для ГИС было достаточно показать, что защитные меры в принципе внедрены. Теперь защищённость нужно измерять числами и быстро закрывать дыры: критические уязвимости — за сутки, опасные — за неделю, а сами системы проверять на уязвимости минимум раз в месяц. Если ваша система одновременно ещё и значимый объект КИИ, требования складываются.

4 Статус и редакции

Документ принят 11.04.2025, зарегистрирован в Минюсте России 16.06.2025 и вступает в силу 01.03.2026. С этой даты он заменяет приказ ФСТЭК № 17 от 11.02.2013. До 01.03.2026 продолжает действовать прежний приказ № 17 — у организаций есть переходный период на подготовку. Точные определения показателей КЗИ и ПЗИ и порядок их расчёта смотрите в самом приказе и методических документах ФСТЭК.

5 Официальный источник

fstec.ru — официальная публикация

1 Что это и зачем

2 Кого касается

3 Что требует

4 Статус и редакции

5 Официальный источник

6 Связанные акты