Приказ ФСТЭК №117: что изменится с 1 марта 2026 года и как подготовиться без лишних затрат

Новые требования к защите государственных информационных систем. Обзор ключевых изменений и практические рекомендации по выстраиванию защищенного периметра.

 

1 марта 2026 года вступает в силу Приказ ФСТЭК России №117 от 11.04.2025 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Документ заменяет действовавший с 2013 года Приказ №17 и вносит принципиальные изменения в подход к защите информации в государственном секторе.

Требования распространяются на все государственные информационные системы, системы госорганов, ГУПов, государственных учреждений и муниципалитетов, вне зависимости от того, относятся ли они к объектам КИИ. В этой статье разберем ключевые нововведения и расскажем, как с помощью одного сертифицированного NGFW закрыть большинство технических требований к защите сетевого периметра.

 

Что меняет Приказ №117

Документ вводит три класса защищенности информационных систем (К1, К2, К3), которые определяются исходя из уровня значимости информации и масштаба системы. Чем выше класс, тем строже требования к средствам защиты.

Основные нововведения:

• Обязательная аттестация государственных информационных систем.
• Периодическая оценка показателя защищенности Кзи (не реже одного раза в полгода).
• Четкое разделение на организационные и технические меры защиты.
• Требование использовать сертифицированные средства защиты информации, класс которых должен соответствовать классу защищенности ИС (п. 71–72).

Важно: аттестаты соответствия, выданные до 1 марта 2026 года, сохраняют силу. Но новые системы и системы, проходящие переаттестацию, должны создаваться уже по новым правилам.

 

17 базовых мер защиты: что требует регулятор

Пункт 63 Приказа №117 устанавливает 17 базовых мер защиты информационных систем. Условно их можно разделить на три группы:

• Меры сетевого уровня: сегментация, межсетевое экранирование, обнаружение и предотвращение вторжений, защита от DoS-атак, защита каналов связи, контроль веб-технологий, API, почтовых сервисов.
• Меры уровня конечных точек: антивирусная защита, защита устройств.
• Меры уровня платформ: защита сред виртуализации и контейнеров.

Ни одно устройство не способно закрыть все 17 мер, и это нормально. Ключевая задача при построении защиты — правильно выбрать базовый элемент, на который ляжет основная нагрузка.

 

NGFW как фундамент защищенной информационной системы

Современный сертифицированный межсетевой экран следующего поколения (NGFW, Next-Generation Firewall) становится естественной основой для выполнения требований Приказа №117. Именно на сетевом периметре проходят границы доверия, именно здесь начинается контроль доступа к данным.

Флагманский продукт Смарт-Софт —  NGFW Traffic Inspector Next Generation (TING) — сертифицирован ФСТЭК России и входит в реестр российского ПО Минцифры. Он работает на сетевом, транспортном и прикладном уровнях, обеспечивая:

• контроль доступа между сегментами сети;
• обнаружение и блокировку атак (встроенный IDS/IPS);
• защиту каналов связи (VPN во всех основных режимах);
• контроль приложений, веб-ресурсов и API.

 

14 из 17: вклад NGFW в выполнение требований

Мы проанализировали функционал Traffic Inspector Next Generation на соответствие пункту 63 Приказа №117. Результат: продукт участвует в реализации 14 из 17 базовых мер на сетевом уровне.

Контроль доступа и идентификация (п. 63 а, б, е, и, к, м)

• Интеграция с AD/LDAP, привязка правил к пользователям и группам (для HTTP/HTTPS-трафика через прокси).
• Контроль приложений на уровне L7.
• Защита почтового трафика (SMTP-инспекция).
• VPN для мобильных и удаленных сотрудников (поддерживаются технологии IPsec, OpenVPN, WireGuard и режимы «сеть-сеть», «клиент-сеть», «клиент-клиент»).

Защита веб-ресурсов и API (п. 63 ж, з)

• Модуль Nginx с NAXSI для защиты веб-приложений.
• Блокировка SQL-инъекций, XSS, Directory Traversal, RFI.
• Контроль REST/GraphQL-методов, белые списки эндпоинтов.
• Встроенный WAF без покупки отдельного устройства.

Обнаружение и предотвращение атак (п. 63 о, р)

• Сигнатурный анализ (базы ФСТЭК, Cisco Talos, Emerging Threats).
• Поведенческий анализ аномалий.
• Активное предотвращение в режиме inline.
• Защита от DoS/DDoS (SYN-прокси, профилирование трафика).

Сегментация и защита каналов (п. 63 п, с)

• Разделение сетей по классам защищенности (К1, К2, К3).
• Контроль трафика между сегментами.
• VPN на базе технологий IPsec, OpenVPN, WireGuard: 
  • сеть-сеть (site-to-site) — объединение офисов; 
  • клиент-сеть (remote access) — удаленные сотрудники; 
  • клиент-клиент (peer-to-peer) — прямое соединение устройств. 

 

Интеграция в экосистему: TING и смежные средства

Traffic Inspector Next Generation не работает в вакууме. Продукт передает ключевые события в SIEM-системы, что необходимо для выполнения требований по мониторингу (п. 49) и расчета показателя защищенности Кзи (п. 31). Подтверждена полная техническая совместимость с ведущими SIEM-платформами. Также обеспечена интеграция с антивирусными решениями (Kaspersky) и системами виртуализации.

Важно понимать, что TING не заменяет:

• организационные меры защиты (политики, регламенты, обучение) — это зона ответственности заказчика;
• антивирусную защиту конечных точек;
• специализированные средства защиты виртуализации и контейнеров.

Но он дает качественный, чистый, размеченный трафик и события, на основе которых выстраивается вся остальная защита.

 

С чего начать подготовку к вступлению в силу Приказа №117

До вступления требований в силу остались считанные дни. Что сделать прямо сейчас?

1. Определите класс защищенности вашей информационной системы (К1, К2 или К3) согласно приложению к Приказу №117.
2. Проведите инвентаризацию используемых средств защиты. Все они должны быть сертифицированы ФСТЭК.
3. Выберите базовое средство защиты периметра — сертифицированный NGFW, который закроет большинство требований сетевого уровня.
4. Выстройте интеграцию — NGFW должен передавать события в SIEM для выполнения требований мониторинга.
5. Не забывайте про оргмеры — политики, регламенты, обучение сотрудников являются вашей ответственностью.

 

Проверьте TING в работе: 30 дней бесплатного теста

Теория — это хорошо, но практика важнее. Смарт-Софт предлагает бесплатное 30-дневное тестирование Traffic Inspector Next Generation в вашей сети. Вы получите:

• полный доступ ко всем функциям продукта;
• лицензионный ключ на 30 дней;
• документацию и методические материалы;
• поддержку инженеров при возникновении вопросов.

Как начать тестирование: оставьте заявку. Мы пришлем вам ключ и инструкцию в течение одного рабочего дня.

Протестировать бесплатно

Видео «Приказ 117: строим защищенный периметр на базе сертифицированного NGFW»

Любовь Агибалова, руководитель направления по работе с ключевыми партнерами Смарт-Софт, подробно разбирает требования Приказа №117 и показывает, как Traffic Inspector Next Generation закрывает 14 из 17 базовых мер защиты сетевого уровня. Рекомендуем к просмотру перед началом тестирования.