Приказ ФСТЭК №117 от 11.04.2025: новые требования к защите информации в ГИС и АСУ ТП

Приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Состава и содержания организационных и технических мер по защите информации в государственных информационных системах и автоматизированных системах управления технологическими процессами» устанавливает новые обязательные требования к защите информации. Документ вступил в силу с 1 марта 2026 года и полностью заменил ранее действовавший приказ № 17 от 11.02.2013.

⚠️ Важно

Приказ вступает в силу с 1 марта 2026 года. Организациям необходимо привести документацию и систему защиты информации в соответствие с новыми требованиями.

Ключевые изменения в приказе №117

  • Уточнён состав организационных мер — назначение ответственных за обеспечение защиты информации, проведение внутреннего контроля, обучение сотрудников.
  • Управление уязвимостями — регулярный анализ защищённости, сканирование уязвимостей, управление обновлениями безопасности. Введены новые показатели: Кзи (коэффициент защищённости) и Пзи (показатель зрелости).
  • Требования к межсетевым экранам (МЭ) — актуализированы с учётом современных угроз, включая защиту от DDoS-атак и фильтрацию трафика.
  • Требования к системам обнаружения атак (СОА) — регистрация событий безопасности, анализ сетевого трафика, автоматическое реагирование на инциденты.
  • Особенности защиты АСУ ТП — учтены промышленные протоколы (Modbus, Profibus, IEC 61850) и требования к надёжности в режиме реального времени.
  • Расширены требования к регистрации событий — обязательное логирование всех событий безопасности, хранение журналов не менее 12 месяцев.

Какие документы нужно обновить

  • Модель угроз безопасности информации — актуализация с учётом новых типов угроз
  • Техническое задание на защиту информации — приведение в соответствие с новыми требованиями
  • Организационно-распорядительную документацию — приказы, политики безопасности, инструкции для пользователей
  • Планы мероприятий по защите информации — включение новых регламентов
  • Журналы регистрации событий и анализа уязвимостей — новые формы и сроки хранения

Что делать организациям

  1. Провести аудит — анализ соответствия существующей системы защиты новым требованиям 117 приказа.
  2. Актуализировать организационно-распорядительную документацию — модель угроз, политику безопасности, приказы, инструкции.
  3. При необходимости дооснастить информационную систему — внедрить недостающие сертифицированные средства защиты информации.
  4. Обеспечить выполнение требований к управлению уязвимостями — регулярное сканирование, анализ обновлений, отслеживание БДУ ФСТЭК.
  5. Провести обучение персонала — новые правила работы, реагирование на инциденты.

Нормативная база

  • Приказ ФСТЭК России от 11.04.2025 № 117 — основной документ
  • Методика оценки угроз безопасности информации (утверждена ФСТЭК 05.02.2021)
  • Банк данных угроз ФСТЭК (БДУ) — актуальная версия 5.0 и выше
  • Приказ ФСТЭК России от 29.04.2021 № 77 — порядок аттестации объектов информатизации

💰 Стоимость услуг

УслугаСтоимостьСрок
Аудит системы защиты (по 117 приказу)от 50 000 ₽5-7 дней
Актуализация модели угрозот 70 000 ₽10-14 дней
Актуализация организационно-распорядительной документацииот 80 000 ₽10-14 дней
Доработка и внедрение СЗИиндивидуальноот 2 недель
Полный пакет (аудит + документация + доработка)от 150 000 ₽от 3 недель

* Точная стоимость определяется после предпроектного обследования

📋 Чек-лист

  • ✅ Проведён анализ актуальных угроз с использованием БДУ ФСТЭК
  • ✅ Внедрены сертифицированные межсетевые экраны (МЭ) уровня доверия не ниже 4
  • ✅ Внедрены сертифицированные системы обнаружения атак (СОА)
  • ✅ Организовано управление уязвимостями (регулярное сканирование, не реже 1 раза в квартал)
  • ✅ Разработана и утверждена актуализированная документация
  • ✅ Проведено обучение персонала по новым требованиям

❓ Часто задаваемые вопросы

Чем приказ №117 отличается от предыдущих требований?

Уточнён состав организационных мер, добавлены требования к управлению уязвимостями, актуализированы требования к межсетевым экранам и СОА, учтены особенности АСУ ТП, введены количественные показатели Кзи и Пзи.

Когда нужно привести документацию в соответствие?

Приказ вступил в силу с 1 марта 2026 года. Рекомендуется начать работы за 3-6 месяцев до этой даты.

Что будет за невыполнение требований 117 приказа?

Предусмотрены штрафы по КоАП РФ до 500 000 ₽, приостановка деятельности, отзыв лицензии.

Какие системы попадают под действие приказа?

Государственные информационные системы (ГИС), автоматизированные системы управления технологическими процессами (АСУ ТП), информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений.

Нужно ли обновлять модель угроз?

Да, обязательно. Новая модель угроз должна учитывать изменения в подходах к нарушителям и способы реализации угроз из актуальной версии БДУ ФСТЭК.

📄 Нормативные документы

📜
Приказ ФСТЭК №117 от 11.04.2025

Требования о защите информации в ГИС, АСУ ТП

📖 Читать на fstec.ru 📑 Читать на Контур.Норматив ⚖️ Читать на КонсультантПлюс
📋
Регистрация в Минюсте

Зарегистрировано 16.06.2025 № 82619

Вступает в силу: 1 марта 2026 г.

🔄
Утратили силу

Приказы №17 от 11.02.2013, №27 от 15.02.2017, №106 от 28.05.2019, №61 от 27.04.2020, а также пункт 1 изменений №159 от 28.08.2024

📚 Полезные материалы

Нужна консультация?

Оставьте заявку, и наш специалист свяжется с вами для уточнения деталей.

Или напишите нам: sales@rnt.ru | +7 (495) 777-75-77

АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 20+ лет опыта, 4 доктора наук, 35 кандидатов наук, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.

Приказ №117 | Сертификация | Лицензия ФСТЭК | Аттестация | Модель угроз | КИИ | Аттестация ГИС | ТЗКИ | Защита ПДн | Реестр ФСТЭК