Приказ ФСТЭК России № 117
Полное руководство
Новые требования, старые проблемы и немного свежих. Наша платформа берёт этот многостраничный труд и превращает его в понятные шаги для вашего коллектива.
Кто мы?
компания "Технологии доступа"
Наша компания — лицензиат ФСТЭК России.
Это не даёт нам права выдавать наши тексты за официальные, но даёт уверенность, что мы говорим не с потолка.
Ценность не в шаблонах, а в результате. Шаблоны — бесплатно. Уверенность — по запросу. Это платно. Но дешевле штрафа и потраченных нервов.
Организационные меры
Разработка и внедрение внутренних регламентов по обработке данных.
Технические меры
Установка систем защиты, межсетевых экранов и антивирусов.
Мониторинг безопасности
Постоянный анализ журналов доступа и событий безопасности.
Обучение персонала
Обязательные тренинги для всех сотрудников раз в год.
The moon ltd
Quisque rhoncus euismod pulvinar. Nulla non arcu at lectus. Vestibulum fringilla velit.
Support & development
Sed feugiat porttitor nunc, non dignissim ipsum vestibulum in nulla non arcu at lectus.
Что входит в пакет документации по 117‑му приказу
🎁 Всё это — бесплатные шаблоны
Политика защиты информации
Документ, определяющий цели, задачи, принципы и роли в системе защиты информации.
Назначение ответственных
Распределение обязанностей с чёткими инструкциями для каждой роли.
Стандарт защиты информации
Измеримые параметры: сроки смены паролей, периодичность сканирования, глубина хранения журналов.
Регламент защиты информации
Пошаговые процедуры действий персонала при инцидентах, изменениях в системе, вводе в эксплуатацию.
Учетные формы
Журналы событий, акты, протоколы, подтверждающие выполнение требований.
Документы на каждую ИС
От приказа о создании ИС до акта проверки реализации мер защиты.
⬇️ Скачайте готовые шаблоны — начните подготовку к 117‑му приказу без вложений
Как рождаются документы: от пустого листа до спокойной проверки
Этапы большого пути
Кратко о главном: кто, что, кому и почему
политика защиты информации
Главный документ, который объясняет, зачем нужна защита, кто за что отвечает и по каким правилам всё работает. Утвердил — и система защиты обрела фундамент.
Кто, за что, на какой срок — всё по полочкам
Назначение ответственных
Детальные инструкции для каждой роли: что должен знать, что делать, чем имеет право пользоваться и за что отвечает.Никакой путаницы, никакого «а я думал, это ты».
Один голос — хорошо, а комиссия — надёжнее
Назначение комиссии
Объединяет ответственных лиц в единый коллегиальный орган. Комиссия утверждает ключевые решения, расследует инциденты и контролирует защиту информации. Коллегиально — значит объективно, надёжно и без сюрпризов
Чёткие параметры — чёткая защита
стандарт защиты информации
Конкретные параметры: как часто менять пароли, в какие сроки устранять уязвимости, сколько хранить журналы. Без общих фраз — только измеримые требования. Политика говорит «зачем», стандарт — «как».
Без регламента — бардак. С регламентом — бардак, но в журнале
регламент защиты информации
Пошаговая инструкция: кто, когда и в каком порядке действует. Стандарт задаёт параметры, регламент — последовательность шагов.
Всё по списку — ничего лишнего
набор Учетных форм
Если политика, стандарт и регламент — это обещания, то акты, протоколы и журналы — это доказательства, что обещания выполнены.
От общих правил — к документам под каждую ИС
После «общей части» мы спускаемся на места и для каждой ИС готовим свои локальные нормативы.
Чтобы каждая система жила по своим правилам, но не выходила за рамки единых принципов.
Нет приказа — нет системы. Нет системы — нечего защищать
созданиЕ ИС
Самый первый документ. Без него ваша ИС существует только в головах, а в головах, как известно, угрозы не нейтрализуются. С приказа начинается жизнь системы и её защита.
Правильная мера — это когда угроза не проходит
определение мер защиты информации
Защита строится так, чтобы у каждой угрозы был свой барьер. Здесь решается, что именно нужно для каждой системы: антивирус, разграничение доступа, шифрование, журналы — и в каком объёме.
Из бумаги — в дело. Из правил — в работу
Внедрение средств защиты
Документы готовы, средства закуплены. Теперь настраиваем, запускаем, проверяем. Чтобы защита не осталась на бумаге, а начала работать — контролировать доступ, блокировать угрозы и вести журналы.
Не верь на слово — проверь на деле
Проверка реализации мер защиты
Комплексная проверка: смотрим, работает ли защита, сканируем на уязвимости, имитируем реальную атаку. В итоге — заключение, на основе которого можно принять решение, а при необходимости — аттестат соответствия требованиям по защите.
Если вы дочитали до сюда — вам точно нужны эти ответы
Часто задаваемые вопросы о Приказе ФСТЭК № 117
Для кого обязателен Приказ ФСТЭК № 117?
Требования распространяются на:
- федеральные органы исполнительной власти;
- государственные внебюджетные фонды;
- органы государственной власти субъектов РФ;
- органы местного самоуправления;
- организации, эксплуатирующие государственные информационные системы (ГИС) или информационные системы общего пользования.
Фактически любой государственный или муниципальный заказчик, а также оператор ГИС обязан выполнить требования 117‑го приказа.
Какие группы мер защиты информации устанавливает Приказ № 117?
Приказ выделяет четыре основные группы мер:
- Организационные меры — разработка политик, регламентов, назначение ответственных, обучение персонала.
- Технические меры — установка и настройка средств защиты: межсетевые экраны, антивирусы, системы обнаружения вторжений, средства доверенной загрузки.
- Меры по работе с уязвимостями — управление конфигурациями, сканирование безопасности, устранение уязвимостей.
- Меры по обеспечению непрерывности — резервное копирование, восстановление после сбоев, мониторинг событий.
Каждая из этих групп детализируется в приложении к приказу, которое содержит исчерпывающий перечень требований.
Какие последствия грозят за невыполнение требований Приказа № 117?
Отсутствие документации, невнедрённые средства защиты или нарушения при эксплуатации ГИС влекут:
- предписания ФСТЭК России с указанием сроков устранения;
- административные штрафы по ст. 13.12 КоАП РФ (до 500 000 руб. на юридическое лицо);
- дисквалификацию должностных лиц;
- приостановку деятельности информационной системы или организации в целом.
Кроме того, отсутствие подтверждения выполнения мер защиты делает невозможным получение лицензий, участие в госзакупках и может стать основанием для отказа во вводе системы в эксплуатацию.
Как правильно подготовиться к Приказу № 117?
Подготовка должна быть системной и включать:
- Аудит текущего состояния — выявление недостающих документов и средств защиты.
- Разработку полного пакета документов (политика, стандарты, регламенты, учётные формы, назначение ответственных).
- Внедрение технических мер — установку сертифицированных ФСТЭК средств защиты информации.
- Обучение персонала правилам работы с защищённой системой.
- Проверку реализации мер и оформление заключения о соответствии.
Компания «Технологии доступа» (лицензиат ФСТЭК России) сопровождает весь цикл — от анализа до сдачи отчётности. Мы предоставляем бесплатные шаблоны документов и помогаем обеспечить результат, который выдержит проверку.
Какие документы входят в минимальный пакет по Приказу № 117?
Обязательный минимум включает:
- Политику защиты информации;
- Назначение ответственных за защиту информации;
- Стандарт защиты информации (измеримые параметры);
- Регламент защиты информации (пошаговые процедуры);
- Учётные формы (журналы, акты, протоколы).
Для каждой информационной системы дополнительно разрабатываются локальные документы: приказ о создании, определение мер защиты, акты внедрения и проверки.
Каковы сроки приведения в соответствие с требованиями Приказа № 117?
Конкретные сроки зависят от даты ввода информационной системы в эксплуатацию и от того, является ли система вновь создаваемой или уже действующей. Для новых ГИС требования должны быть выполнены до начала эксплуатации. Для существующих систем, которые были введены до вступления приказа в силу, сроки устанавливаются планом мероприятий организации, но, как правило, не должны превышать 12–18 месяцев. Рекомендуется провести аудит и разработать дорожную карту, чтобы избежать штрафов.
Нужно ли получать лицензию ФСТЭК для выполнения требований 117‑го приказа?
Сам по себе приказ не требует от организации-оператора наличия лицензии ФСТЭК. Однако для разработки, внедрения и обслуживания средств защиты информации (СЗИ) часто привлекаются лицензиаты ФСТЭК (на деятельность по технической защите информации, на разработку СЗИ и т.п.). Если организация выполняет работы собственными силами, лицензия не нужна, но все используемые средства защиты должны быть сертифицированы ФСТЭК.
Можно ли использовать несертифицированные средства защиты информации?
Нет. Приказ № 117 прямо требует применения средств защиты информации, прошедших процедуру оценки соответствия (сертификации) в системе ФСТЭК России или ФСБ России (в зависимости от типа системы и защищаемой информации). Использование несертифицированных СЗИ считается нарушением требований и влечёт административную ответственность, а также может привести к отказу в аттестации объекта информатизации.