О новом приказе ФСТЭК № 117🛡️

Алексей Журавлёв, заместитель генерального директора Группы Arenadata, делится экспертизой и рассказывает о новом приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 117 ⬇️

С 1 марта 2026 года ужесточаются требования к защите данных в государственных информационных системах (ГИС). Новые правила охватывают все уровни ИТ-инфраструктуры, включая платформы данных, которые станут ключевым звеном, требующим интеграции в единую систему мониторинга с мгновенной реакцией на угрозы.

Ключевые нововведения:

✔️ По сравнению с прежним приказом новые требования распространяются на все информационные системы государственных органов и муниципальных служб, а также на системы, которые с ними взаимодействуют, включая банковские и финансовые. 

✔️ Обработка критически важных данных в публичных облаках не допускается. Для использования облачных технологий необходимо выполнять строгие требования, которые, в частности, реализуются в гособлаках — ГЕОП и «ГосТех». 

✔️ Владелец ГИС несёт полную ответственность за защиту данных, даже при передаче информации третьим лицам. Передача ответственности за защиту данных провайдеру недопустима.

✔️ Установлены чёткие сроки реагирования на инциденты: 24 часа — для критических инцидентов и не более 7 дней — для высокого уровня угроз. 

✔️ Обязательное использование систем управления базами данных (СУБД), сертифицированных ФСТЭК РФ. 

Выбор сертифицированного ПО от надёжного вендора значительно упрощает задачу, обеспечивая своевременные обновления и патчи безопасности.

✔️ Необходимо проводить регулярные аудиты и оценки: технические аудиты — не реже двух раз в год, расчёт коэффициента защищённости информационных систем (КЗИ) — раз в полгода, оценку показателя уровня зрелости обеспечения информационной безопасности (ПЗИ) — раз в два года. 

🚫 Самым серьёзным последствием для организаций за несоблюдение новых требований может стать приостановка или запрет эксплуатации ГИС.

🔗 Подробнее в приказе>>