Войти
Главная Новости

ФСТЭК №117: изменения в защите информации с 1 марта 2026

02.03.2026 Распечатать новость

Что изменится в защите информации с 1 марта 2026 года и как бизнесу подготовиться.

С 1 марта 2026 года в России вступил в силу приказ ФСТЭК №117, который меняет не отдельные требования к защите информации, а саму модель регулирования в области информационной безопасности. Вместо привычной логики регулятор вводит режим постоянного контроля, мониторинга и регулярной отчетности.

Это означает, что ИБ окончательно перестаёт быть разовым проектом и становится непрерывным управляемым процессом.

Формально документ адресован государственным информационным системам и организациям госсектора. Однако рассматривать его как «узкоспециальный» нормативный акт — ошибка. Требования распространяются и на подрядчиков, интеграторов, разработчиков и всех, кто участвует в создании и сопровождении таких систем. На практике это означает, что значительная часть ИТ и ИБ рынка столкнётся с новыми правилами уже в ближайшие месяцы — через контракты, требования заказчиков и условия допуска к проектам.

Главное концептуальное изменение, которое приносит приказ №117, — переход к так называемой модели активного надзора. Если раньше контроль со стороны ФСТЭК был сосредоточен вокруг процедур аттестации и отдельных проверок, то теперь вводится регулярный цикл оценки состояния защищённости и предоставления данных регулятору. Иными словами, важно не только один раз «доказать соответствие», но и постоянно подтверждать, что система действительно остаётся защищённой.

Это сближает требования регулятора с логикой операционного управления рисками. Безопасность больше не воспринимается как набор формальных документов и регламентов — в центре внимания оказывается реальное состояние инфраструктуры, процессов и людей. Для многих организаций это будет болезненным, но неизбежным переходом от «бумажной ИБ» к прикладной и измеряемой.

Что именно закрепляет приказ №117

  1. Обновленные требования к защите информации для ГИС и ИС госсектора. Приказ утверждает требования к защите информации, содержащейся в ГИС и иных ИС госорганов/ГУП/госучреждений, и определяет, что они применяются для предотвращения несанкционированного доступа и иных воздействий на информацию в этих системах.
  2. Жесткие сроки устранения уязвимостей (и обязанность сообщать регулятору). В тексте требований прямо указаны сроки устранения уязвимостей: критические — до 24 часов, высокой степени опасности — до 7 календарных дней. Также предусмотрено направление сведений в ФСТЭК в определенных случаях (например, по неизвестным уязвимостям — в установленный срок).
  3. Контроль использования ИИ в ИС госсектора. Приказ вводит требования к безопасному применению ИИ в информационных системах госсектора: в частности, речь идет о регламентации запросов/ответов, контроле результатов и ограничениях на использование недоверенных технологий ИИ, а также о запрете передавать разработчику ИИ информацию ограниченного доступа. Одновременно в отраслевых материалах отмечают, что ИИ рассматривается и как инструмент усиления мониторинга и анализа событий безопасности — но это уже трактовка на уровне практики применения, а не единственная «обязательная» модель.
  4. Дата, статус и официальная регистрация. Приказ — от 11.04.2025 №117, зарегистрирован в Минюсте 16.06.2025 и вступает в силу 01.03.2026

Кого это затронет в бизнесе

Юридически приказ регулирует требования к защите информации в ИС госсектора (как указано в самом документе). При этом бизнес часто вовлекается в выполнение этих требований через договоры и контуры поставки: если вы разрабатываете, внедряете или сопровождаете системы для госсектора, заказчики будут закреплять требования ИБ в ТЗ, SLA и контрактных обязательствах. Это распространенная практика и позиция отраслевых экспертов/обзоров, а не отдельная строка “про всех подрядчиков” в тексте приказа.

Что в итоге меняется для рынка

Приказ ФСТЭК №117 — это переход от «бумажной безопасности» к операционной, измеряемой и управляемой ИБ.

Организации должны быть готовы:

  • к постоянному контролю, а не к редким проверкам,
  • к интеграции ИБ и ИТ,
  • к ответственности за всю экосистему включая подрядчиков,
  • к работе с данными и метриками, а не только с регламентами.

Игнорировать эти изменения — значит закладывать риски срыва проектов, штрафов, репутационных потерь и проблем с регулятором.

Приказ ФСТЭК №117, вступивший в силу с 1 марта 2026 года, фиксирует не столько новые «галочки» для ИБ-служб, сколько переход к постоянному, подтверждаемому на практике контролю защищённости. Теперь ценится не разовое соответствие требованиям, а способность организации поддерживать управляемое состояние безопасности и подтверждать его процессами и данными.

Для бизнеса это означает сдвиг фокуса от формальных регламентов к реально работающим процессам — от управления уязвимостями и изменениями до мониторинга и реагирования на инциденты. В этой логике особое значение приобретает и контроль доступов: использование корпоративных инструментов вроде BearPass позволяет сделать этот контур прозрачным и управляемым, а не зависящим от ручных процедур и «человеческого фактора».

Подготовка к новым требованиям — это не разовая кампания «под 2026 год», а планомерный переход к более устойчивой и предсказуемой модели работы ИТ и ИБ, который снижает зависимость от авралов и срочных проверок.

По вопросам, связанным с решениями Indeed, обращайтесь по адресу: InformSecurity@mont.ru.

Информационная безопасность Компания Индид Новости
Офис MONT
© 2026 Группа компаний MONT

ООО «МОНТ»

123557, г. Москва, ул. Пресненский Вал, д. 14, эт. 10, пом. I, ком. 13

ИНН 7703313144; ОКВЭД 46.51.2

Соглашение об использовании Интернет-сайтаПолитика ООО «МОНТ» в отношении обработки персональных данныхПоложение об антикоррупционной политике ООО «МОНТ»Правила сотрудничества с компанией ООО «МОНТ»Согласие на обработку персональных данных пользователя сайтаПолитика конфиденциальности персональных данных в ООО «МОНТ»
Дизайн CreativePeople