С 1 марта 2026 года Приказ ФСТЭК №117 от 11.04.2025 заменяет 13-летний Приказ №17 и переводит защиту государственных информационных систем из модели «аттестовал и забыл» в режим непрерывного compliance с количественными метриками и жёсткими SLA. Для 87% операторов, не достигших минимального базового уровня защиты по результатам проверок 2024 года, это означает выбор между форсированной модернизацией и остановкой эксплуатации.
EXECUTIVE SUMMARY
Время чтения: 18 минут
Для кого: CISO, Legal Engineers, AI Governance Officers
Ключевой риск: Остановка эксплуатации + уголовная
Актуальность: 17.01.2026 (43 дня до вступления в силу)
Три критических сдвига:
1. Периметр расширен в 3-4 раза. Под регулирование попадают все информационные системы госорганов, ГУП, госучреждений и муниципалитетов — включая внутреннюю бухгалтерию и кадровые порталы. Точная цифра систем неизвестна: ФСТЭК не ведёт централизованного учёта негосударственных ИС.
2. Метрическая диктатура. Коэффициент защищённости информации (КЗИ) рассчитывается каждые 6 месяцев, отчёты направляются в ФСТЭК в течение 5 рабочих дней. Методика содержит 17 индикаторов с бинарной логикой отказа: повторное несоответствие обнуляет весь весовой коэффициент группы. При этом методика расчёта Показателя зрелости защиты информации (ПЗИ) на январь 2026 года не опубликована — требование действует, исполнить его невозможно.
3. Конфликт с реальностью. Устранение критических уязвимостей за 24 часа физически невозможно для систем на импортном ПО (патчи Microsoft, Oracle, SAP недоступны/задержаны) и российском ПО (вендоры не обеспечивают 24-часовой SLA). Одновременно требуется тестирование обновлений до применения. Решение: изоляция уязвимого компонента + акт о невозможности устранения — но ФСТЭК методических указаний не даёт.
Каскадный эффект:
Требование 30% специалистов с профобразованием ИБ ↓ Рост спроса на кадры с дипломом (дефицит 500-700K к 2035) ↓ Госсектор не может конкурировать по ЗП (90-150K vs 230K+ в частном) ↓ Массовый аутсорсинг ИБ-функций ↓ Концентрация рынка у 3-5 лицензиатов ФСТЭК ↓ КВАЗИ-МОНОПОЛИЯ → РЕГУЛЯТОРНЫЙ ЗАХВАТ
Экономика: Стоимость аттестации вырастет на 30-120% (базовая К3: было 460-850K₽ → станет 700K-1.8M₽). Для федеральных ГИС К1 — 5-15M₽ на полный цикл + 10-50M₽ на резервный ЦОД.
Что делать: Инвентаризация всех ИС (многие операторы не знают, сколько систем эксплуатируют) → классификация по новой матрице УЗ×масштаб → gap-анализ по 22 мероприятиям п.34 → приоритизация: vulnerability management (критические уязвимости блокируют аттестацию) → подключение к ГосСОПКА → первый расчёт КЗИ. Срок: 43 дня.
1. АНАТОМИЯ ИЗМЕНЕНИЙ
1.1. Расширение периметра: от ГИС к «всему государственному»
Приказ №17 (2013) регулировал только государственные информационные системы, включённые в реестр. Приказ №117 расширяет периметр на все информационные системы, эксплуатируемые государственными органами, ГУП, государственными учреждениями и органами местного самоуправления — независимо от включения в реестр.
| Категория | Приказ №17 | Приказ №117 |
| ГИС федерального уровня | ✓ | ✓ |
| ГИС регионального уровня | ✓ | ✓ |
| Муниципальные ИС | — | ✓ |
| Иные ИС госорганов (бухгалтерия, кадры, внутренние порталы) | — | ✓ |
| ИС государственных унитарных предприятий | — | ✓ |
| ИС государственных учреждений | — | ✓ |
| ИТ-инфраструктура, обеспечивающая ИС | «Серая зона» | ✓ |
Статистика периметра. По данным реестра ГИС, в России функционирует около 4000 государственных информационных систем: 747 федеральных (18.7%) и ~3250 региональных/муниципальных (81.3%). После вступления в силу №117 под регулирование попадут тысячи «иных ИС». Точная цифра неизвестна: ФСТЭК не ведёт централизованного учёта, что создаёт риск массового «обнаружения» операторами собственных систем в момент первой проверки.
Ground Truth: Приказ ФСТЭК России №117 от 11.04.2025, зарегистрирован Минюстом 16.06.2025 №82619, опубликован 17.06.2025 на publication.pravo.gov.ru. Вступает в силу 01.03.2026.
Правовая неопределённость. До принятия законопроекта о ГИС (внесён Правительством РФ в Госдуму в июле 2025 года, публичный номер не присвоен) отсутствует юридическое определение ГИС. Это создаёт риск неоднозначной трактовки при проверках: под требования могут подпадать внутренние системы, изначально не предназначенные для межведомственного взаимодействия. Законопроект требует передачи в ФСБ сведений о киберинцидентах для всех ГИС, но до его принятия правовой статус систем размыт.
1.2. Три класса вместо четырёх: матрица жёсткости
Приказ №117 упраздняет К4, сжимая шкалу до трёх классов. Одновременно происходит гармонизация с Приказом ФСБ №117 от 18.03.2025: если ИС используется для межведомственного взаимодействия или доступна из двух и более регионов, масштаб автоматически становится федеральным, независимо от ведомственной принадлежности.
Матрица определения класса:
| Уровень значимости / Масштаб | Федеральный | Региональный | Объектовый |
| **УЗ1** (высокий ущерб) | К1 | К1 | К2 |
| **УЗ2** (средний ущерб) | К1 | К2 | К3 |
| **УЗ3** (низкий ущерб) | К2 | К3 | К3 |
Критическое изменение. Системы, ранее классифицированные как К3/К4 по региональному масштабу, перейдут в К2 или К1. Это означает требования к СЗИ более высокого уровня доверия и рост стоимости лицензий.
Техническая детализация:
— К1 → СЗИ не ниже УД4 (уровень доверия 4)
— К2 → СЗИ не ниже УД5 (уровень доверия 5)
— К3 → СЗИ не ниже УД6 (уровень доверия 6)
Меньше цифра УД — выше требования. Переход с К3 на К2 означает замену межсетевых экранов класса 6 (UserGate начального уровня, Ideco) на класс 5 (UserGate NGFW, Континент 4), что увеличивает стоимость закупки в 2-3 раза.
1.3. КЗИ и ПЗИ: от бинарной аттестации к непрерывному мониторингу
Главная инновация Приказа №117 — введение количественных показателей защищённости:
Коэффициент защищённости информации (КЗИ):
— Характеризует текущее состояние защиты
— Расчёт: не реже 1 раза в 6 месяцев
— Направление в ФСТЭК: в течение 5 рабочих дней после расчёта
Показатель зрелости защиты информации (ПЗИ):
— Оценивает достаточность и эффективность процессов
— Расчёт: не реже 1 раза в 2 года
— Направление в ФСТЭК: в течение 5 рабочих дней
Формула КЗИ (Методика ФСТЭК от 11.11.2025):
КЗИ = Σ(Σk_ji) × R_j где: — k_ji — значение i-го показателя j-й группы (0 или табличное значение) — R_j — весовой коэффициент группы
17 показателей в 4 группах:
| Группа | Вес (R) | Показатели |
| Идентификация и аутентификация | 0.10 | k₁-k₄ |
| Управление уязвимостями | 0.25 | k₅-k₈ |
| Управление инцидентами | 0.35 | k₉-k₁₃ |
| Защита периметра | 0.30 | k₁₄-k₁₇ |
Пороговые значения:
— КЗИ = 1.0 — минимальный базовый уровень ✅
— 0.75 < КЗИ < 1.0 — низкий уровень ⚠️
— КЗИ ≤ 0.75 — критический уровень 🔴
Бинарная логика отказа. Повторное несоответствие по любому показателю в течение 12 месяцев обнуляет весь весовой коэффициент группы. Пример: если k₉ (регистрация событий) дважды за год не выполнен — вся группа «Управление инцидентами» получает R₃ = 0, и КЗИ падает на 35%.
Детализация показателей группы «Управление уязвимостями» (R₂ = 0.25):
| Показатель | Требование | Табличное значение |
| k₅ | Инвентаризация активов | 0.0625 |
| k₆ | Регулярное сканирование | 0.0625 |
| k₇ | Устранение критических за 24ч | 0.0625 |
| k₈ | Устранение высоких за 7 дней | 0.0625 |
Невыполнение k₇ (24 часа на критическую уязвимость) — наиболее частый сценарий обнуления. По данным проверок ФСТЭК 2024 года, в 100% обследованных ГИС отсутствовал анализ уязвимостей, несмотря на наличие методики регулятора.
Сроки устранения уязвимостей (п.38 Приказа №117):
| Критичность | Срок | Практическое требование |
| Критическая | 24 часа | Дежурная смена 24/7, hot-patching |
| Высокая | 7 дней | Vulnerability management, автоматизация |
| Средняя/низкая | По регламенту | Внутренний процесс |
Конфликт требований. Пункт 39 Приказа №117 требует тестирования обновлений до применения в промышленной среде. Пункт 38 — устранение за 24 часа. Решение для критических уязвимостей: упрощённая процедура с пост-фактум анализом рисков, изоляция уязвимого компонента как компенсирующая мера. Но ФСТЭК методических указаний по компенсирующим мерам не выпускал — каждый оператор интерпретирует самостоятельно, что создаёт риск отказа при проверке.
Критический bottleneck. Методика расчёта ПЗИ на январь 2026 года не опубликована. Операторы обязаны направлять отчёты раз в 2 года, но не знают алгоритма расчёта. Это создаёт регуляторную неопределённость: формально требование действует с 01.03.2026, фактически выполнить его невозможно. ФСТЭК не комментирует сроки публикации.
2. ЭКОНОМИКА ПЕРЕХОДА
2.1. Подрядчики: новая зона ответственности
Статистика утечек 2024: 80% инцидентов ИБ в госсекторе связаны с подрядчиками — разработчиками, интеграторами, операторами аутсорсинговых услуг. Госсектор лидирует по утечкам: 73% всех инцидентов (105 млн записей).
Приказ №117 впервые устанавливает явные требования к подрядчикам (п.16):
1. Политика ИБ оператора обязательна для подрядчика
2. Подрядчик обеспечивает защиту на своей стороне при обработке данных оператора
3. Требования к удалённому доступу: двухфакторная аутентификация, регистрация действий, контроль сессий
Каскадный эффект:
— Подрядчик должен иметь собственную систему защиты (СЗИ, мониторинг, политика ИБ)
— Для малых подрядчиков (ИТ-интеграторы, разработчики) это барьер входа
— Рост стоимости контрактов на 15-30%
Требования к разработчикам (п.50). При самостоятельной разработке ПО оператор обязан применять ГОСТ Р 56939-2024 «Разработка безопасного программного обеспечения» (действует с 20.12.2024) — 25 процессов в 4 группах.
Bottleneck сертификации РБПО. Единственный аккредитованный орган сертификации по ГОСТ Р 56939-2024 — Институт системного программирования РАН. Очередь забита до конца 2025. Первый и единственный сертифицированный на январь 2026 — Лаборатория Касперского (октябрь 2024). Это создаёт дефицит: подрядчики физически не могут получить сертификат в установленные сроки.
2.2. Стоимость аттестации: сравнительная таблица
Типовая конфигурация: 10 АРМ + 2 сервера, класс К3
| Этап | До 01.03.2026 | После 01.03.2026 |
| Модель угроз | 50-100K | 80-150K (+контейнеризация, ИИ) |
| Проектирование СЗИ | 80-150K | 100-200K |
| Закупка СЗИ | 150-250K | 200-350K |
| Внедрение | 100-200K | 150-250K |
| Аттестационные испытания | 80-150K | 120-200K |
| **Pentest** | — | **150-300K** (обязателен) |
| **Интеграция с ГосСОПКА** | — | **200-500K** (криптошлюз КС3) |
| **ИТОГО** | **460-850K** | **1.0M-1.95M** |
Рост: +117-129%
Корректировка относительно исходного лонгрида: Стоимость интеграции с ГосСОПКА увеличена с 60-200K до 200-500K на основании анализа рынка криптошлюзов КС3 (ViPNet, Континент, С-Терра) и процедуры подключения к НКЦКИ. Нижняя граница 200K — минимальная стоимость оборудования + базовая настройка. Верхняя 500K — полный цикл для распределённой инфраструктуры с несколькими площадками.
2.3. Масштабирование: федеральная ГИС
Для федеральной ГИС класса К1 с распределённой инфраструктурой (50+ АРМ, несколько площадок):
| Статья | Диапазон |
| Полный цикл аттестации | 5-15M рублей |
| SIEM (MaxPatrol, KUMA) | 5-15M рублей |
| Интеграция с ГосСОПКА (криптошлюз + настройка) | 200-500K рублей |
| Резервный ЦОД (требование RTO 24ч для К1) | 10-50M рублей |
| Годовое сопровождение | 15-25% от CAPEX |
2.4. Санкции: штрафы vs реальные риски
Административная ответственность (КоАП, с учётом ФЗ-104 от 23.05.2025):
| Нарушение | Штраф (юрлица) |
| Эксплуатация без аттестата (ст. 13.12) | 50-100K рублей |
| Нарушение требований защиты | 50-100K рублей |
| Утечка ПДн (первичная, 1-10K субъектов) | 50-100K рублей |
| Утечка ПДн (10-100K субъектов) | 5-10M рублей |
| Повторная утечка | 1-3% выручки (до 500M) |
ФЗ-104 от 23.05.2025 увеличил штрафы в 2.5-25 раз, срок давности продлён до 1 года.
Уголовная ответственность (при инциденте):
| Статья УК | Состав | Санкция |
| 274 ч.1 | Нарушение правил эксплуатации, ущерб >1M | До 2 лет |
| 274 ч.2 | Тяжкие последствия | До 5 лет |
| 272.1 ч.5 | Незаконные действия с ПДн, орг. группа | До 10 лет |
Главный риск — не штраф, а остановка. Постановление Правительства РФ №676 (п. 19.1): эксплуатация ГИС без аттестата не допускается. ФСТЭК выдаёт предписание о прекращении эксплуатации. Каскадный эффект: остановка госуслуг, срыв функций органа власти, репутационный ущерб. Судебная практика подтверждает: отсутствие аттестата — самостоятельное правонарушение, независимо от наличия инцидентов. Штраф платится, система останавливается, руководитель отвечает дисциплинарно (до увольнения) и может отвечать уголовно при наступлении тяжких последствий.
3. КАРТА РИСКОВ И СИСТЕМНЫЕ BOTTLENECKS
3.1. Кадровый кризис в цифрах
Российский рынок труда ИБ переживает структурный кризис. По состоянию на январь 2026:
| Показатель | Значение |
| Дефицит специалистов (прогноз к 2035) | 500-700K человек |
| Вакансии 2024 | 89.9K (+284% г/г) |
| Вакансии 2025 (прогноз) | ~125K |
| Выпуск ВУЗов | 8-10K/год |
| Потребность рынка | 20-30K/год |
| Прогноз удовлетворения спроса к 2035 | 45% |
Зарплаты (Москва, 2025):
| Позиция | Зарплата | Рост г/г |
| CISO | 500K руб/мес | +11% |
| Руководитель отдела ИБ | 300-350K | +6% |
| Специалист по ИБ | 230K | +10% |
| Пентестер | 220-400K | +10% |
| SOC-аналитик | 180-250K | — |
Разрыв госсектор/частный. Госструктуры предлагают 90-150K рублей специалистам, за которых частный сектор платит 230K+. Разрыв — 35-50%. Результат: отток кадров, замещение junior’ами, снижение качества защиты.
Требование п.20 Приказа №117: Не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности ИБ или программу переподготовки (от 250 часов). Для отдела из 3 человек — минимум 1 с дипломом. Для отдела из 20 человек — минимум 6. При текущем дефиците это создаёт «миграцию» специалистов между организациями и дополнительный рост зарплат.
3.2. Регуляторный захват: архитектура квази-монополии
Требование 30% с профобразованием ↓ Рост спроса на кадры с дипломом ↓ Рост зарплат в ИБ ↓ Госсектор не может конкурировать (разрыв 35-50%) ↓ Массовый аутсорсинг ИБ-функций ↓ Концентрация рынка у 3-5 лицензиатов ФСТЭК ↓ КВАЗИ-МОНОПОЛИЯ ↓ Рост цен на аутсорсинг (+15-30%) ↓ Госорганы не могут позволить по новым ценам ↓ Срыв сроков аттестации ↓ ФСТЭК фактически делегирует compliance коммерческим структурам ↓ Размывание государственного суверенитета в ИБ
Механика захвата. Российский рынок ИБ-аутсорсинга контролируют 8-10 крупных лицензиатов ФСТЭК (ГК «Солар», Positive Technologies, Kaspersky, «Код Безопасности», InfoWatch и др.). Требования Приказа №117 создают барьер входа для малых игроков: необходимость иметь сертифицированных специалистов, сертифицированные инструменты (SIEM, сканеры уязвимостей), лицензию ФСТЭК на деятельность по ТЗКИ. Результат: консолидация рынка, формирование олигополии, которая де-факто диктует цены и сроки. Государство становится заложником коммерческих структур в вопросе национальной безопасности.
Вторичный эффект: Лицензиаты ФСТЭК получают доступ к инфраструктуре заказчика, включая критическую информацию. При отсутствии чётких требований к режиму секретности и проверке персонала подрядчика (п.16 не детализирует процедуры) создаётся канал утечек. 80% инцидентов через подрядчиков — не аномалия, а системная проблема архитектуры регулирования.
3.3. БДУ ФСТЭК: техническая разведка и дефицит автоматизации
Банк данных угроз (bdu.fstec.ru) — обязательный источник для модели угроз.
Текущее состояние (17.01.2026):
— 227 угроз (УБИ.001-УБИ.213+)
— 80,801 уязвимость
— Последнее обновление: 17.12.2025
Архитектура БДУ:
| Компонент | Описание |
| Классический БДУ (2015-2021) | Плоский список, нет иерархии |
| Новый БДУ (с 2021, пилот) | 5 справочников: последствия, объекты, компоненты, методы реализации, меры защиты |
| Раздел «Угрозы ИИ» | ML-модели, датасеты (заявлен в методических рекомендациях, но публичный раздел на январь 2026 не верифицирован) |
Критический дефицит: Отсутствует REST API. Нет JSON-эндпоинтов, webhook’ов. Доступные форматы экспорта: XLSX, XML для уязвимостей. Для CI/CD-интеграции требуется самописный парсер. Это создаёт барьер для автоматизации vulnerability management: невозможно построить конвейер «сканирование → сопоставление с БДУ → приоритизация → устранение» без ручного труда.
Гибридный подход (рекомендация):
БДУ ФСТЭК (regulatory compliance) + MITRE ATT&CK (operational depth) + PT Vulnerability Catalog / X-TI Сбербанк (speed) = Полное покрытие
X-TI Сбербанк: 500K+ уязвимостей, 70K+ эксплойтов, публикация новой уязвимости — в течение 2 часов. Бесплатный доступ для российских компаний через интерфейс/API. Это компенсирует отставание БДУ ФСТЭК (обновление раз в месяц, задержка 7-14 дней относительно NVD).
3.4. Топ-10 дефектов аттестации
По данным анализа отказов (частота отказов при первичной аттестации — около 30%):
| № | Дефект | Частота | Последствие |
| 1 | Неверная классификация ИС | Очень высокая | Избыточные/недостаточные меры |
| 2 | Отсутствие реестра ИС | Высокая | Организация не знает, сколько систем эксплуатирует |
| 3 | Формальная модель угроз (копипаст из БДУ) | Массовая | Возврат на доработку |
| 4 | Неполная/устаревшая ОРД | Высокая | Документы не отражают реальность |
| 5 | Несертифицированные экземпляры СЗИ | Высокая | Отказ в аттестации |
| 6 | Игнорирование угроз контейнеризации | Растущая | Docker/K8s вне модели угроз |
| 7 | Отсутствие периодического контроля | Высокая | Приостановление аттестата |
| 8 | Неустранённые критические уязвимости | Критическая | Блокирует аттестацию |
| 9 | Несоответствие документации реальной топологии | Высокая | Остановка испытаний на месте |
| 10 | Отсутствие предварительного аудита | Массовая | Обнаружение КЗИ=0.4 за месяц до deadline |
3.5. Новые угрозы: контейнеризация и доверенные технологии ИИ
Контейнеризация (УБИ.250+). Угрозы Docker/Kubernetes теперь обязательны для включения в модель угроз. Методика анализа защищённости от 25.11.2025 требует анализа уязвимостей контейнерных сред сертифицированными инструментами. Проблема: на российском рынке отсутствуют специализированные сканеры контейнеров, сертифицированные ФСТЭК. MaxPatrol VM поддерживает базовый анализ, но без глубокой детализации supply chain контейнеров.
Доверенные технологии ИИ (п.60-61 Приказа №117). При использовании ИИ требуются «доверенные технологии искусственного интеллекта» (ссылка на Указ Президента №490 от 24.10.2024). Критерии доверенности: прозрачность, предсказуемость, защита данных, отсутствие дискриминации, подотчётность.
Проблема: Понятие «доверенные технологии ИИ» не детализировано в методических документах ФСТЭК. Нет реестра доверенных ИИ-систем, нет процедуры сертификации, нет метрик оценки. Операторы интерпретируют самостоятельно, что создаёт риск отказа при проверке.
Векторы атак на ИИ:
— Эксплуатация уязвимостей в ML-фреймворках (TensorFlow, PyTorch)
— Prompt injection (для LLM)
— Data poisoning (отравление датасетов обучения)
— Model inversion (восстановление обучающих данных)
— DoS через исчерпание квот LLM API
3.6. Методика анализа защищённости (25.11.2025)
Новый обязательный этап аттестации. Методический документ ФСТЭК от 25.11.2025 (информационное сообщение №240/22/6902 от 04.12.2025) унифицирует порядок выявления уязвимостей для всех типов ИС.
Два уровня анализа:
| Уровень | Название | Описание |
| С1 | Внешнее сканирование | Анализ из Интернета: периметр, открытые порты, версии ПО |
| С2 | Внутреннее сканирование | Анализ изнутри сети с привилегированным доступом |
Обязательные инструменты:
— Сертифицированные ФСТЭК сканеры (основа)
— Open source (дополнительно, с обоснованием)
— База: БДУ ФСТЭК + CVE/NVD (дополнительно)
Критерии блокировки аттестации:
— Критические уязвимости — обязательно устранить
— Высокие уязвимости — обязательно устранить
— Средние/низкие — экспертная оценка
После устранения — повторный анализ обязателен.
Практическое следствие: Рост затрат на аттестацию +30-50% относительно текущих расценок. Bottleneck — дефицит сертифицированных ФСТЭК средств сканирования (рынок контролируют 2-3 вендора: MaxPatrol VM от Positive Technologies, Solar Dozor, «Эшелон»).
4. КОНФЛИКТ С ИМПОРТОЗАМЕЩЕНИЕМ: ПАТЧИНГ НЕВОЗМОЖНОГО
Центральное противоречие Приказа №117: требование устранения критических уязвимостей за 24 часа физически невозможно для систем на импортном ПО и большинстве российского ПО.
4.1. Импортное ПО: санкционный тупик
Реальность 2026 года:
— Патчи Microsoft, Oracle, SAP для российских организаций недоступны или задержаны на 3-6 месяцев
— Обновления поставляются через «серые» каналы без гарантий подлинности
— Тестирование непроверенных патчей создаёт риск компрометации
Сценарий: Обнаружена критическая уязвимость CVE-2026-XXXX в Microsoft Windows Server 2019, используемом в ГИС. Microsoft выпускает патч, но российская организация не имеет доступа к официальным каналам обновления. Альтернативы:
1. Скачать патч из неофициального источника → риск троянизации
2. Ждать поставки через реселлера → 7-14 дней, нарушение SLA 24ч
3. Изолировать сервер → компенсирующая мера, но ФСТЭК не даёт методических указаний по оформлению
Вывод: Требование невыполнимо без явного разрешения ФСТЭК на компенсирующие меры.
4.2. Российское ПО: дефицит зрелости
Российские вендоры (Astra Linux, РЕД ОС, Alt Linux) не обеспечивают 24-часовой SLA на выпуск патчей.
Анализ сроков реагирования:
— Astra Linux: среднее время выпуска патча для критических уязвимостей — 7-14 дней
— РЕД ОС: 5-10 дней
— Alt Linux: 10-21 день
Причины задержек:
— Малая команда разработки
— Отсутствие автоматизированного конвейера сборки патчей
— Необходимость тестирования совместимости с сертифицированными ФСТЭК конфигурациями
Сценарий: Обнаружена критическая уязвимость в ядре Linux, используемом в Astra Linux Special Edition. Upstream (kernel.org) выпускает патч. Astra Linux должна адаптировать патч для своей конфигурации, протестировать, пересобрать пакеты, пройти ограниченное тестирование → минимум 5-7 дней. Требование 24ч невыполнимо.
4.3. Инженерное решение: формализация компенсирующих мер
Что должен сделать ФСТЭК (но не делает):
1. Выпустить методические указания по компенсирующим мерам при невозможности патчинга
2. Определить процедуру документирования технической невозможности устранения
3. Утвердить шаблон акта о применении компенсирующих мер
Компенсирующие меры (де-факто применяемые):
— Сегментация: изоляция уязвимого компонента в отдельный VLAN
— Временное отключение уязвимого функционала
— Усиление мониторинга: правила SIEM для детектирования эксплуатации
— Ограничение доступа: файрвол-правила, блокирующие векторы атаки
Риск: При отсутствии официальных методических указаний ФСТЭК оператор применяет компенсирующие меры на свой страх и риск. При проверке регулятор может не принять обоснование и зафиксировать нарушение п.38 Приказа №117.
5. AI GOVERNANCE: ИНТЕГРАЦИЯ МЕЖДУНАРОДНЫХ СТАНДАРТОВ
5.1. Триада регулирования ИИ
Приказ №117 требует «доверенные технологии ИИ» (п.60-61), но не определяет критериев. Пробел заполняется интеграцией международных стандартов, адаптированных к российскому регуляторному контексту.
NIST AI Risk Management Framework (AI RMF 1.0, январь 2023):
Добровольная методология управления рисками ИИ, структурированная вокруг 4 функций:
1. Govern (Управление): Установление политик, ролей, подотчётности
2. Map (Картирование): Контекстуализация ИИ-системы в операционной среде, идентификация воздействий
3. Measure (Измерение): Оценка рисков через метрики (точность, справедливость, robustness)
4. Manage (Управление): Разработка и реализация стратегий митигации
Характеристики trustworthy AI: надёжность, безопасность, защищённость, подотчётность, объяснимость, конфиденциальность, справедливость.
Применение к Приказу №117: Операторы ГИС, использующие ИИ, должны применять AI RMF для структурирования процессов верификации «доверенности». Govern → разработка политики использования ИИ. Map → идентификация рисков дискриминации, утечек данных. Measure → расчёт метрик точности, bias. Manage → внедрение контролей (human-in-the-loop, explainability).
ISO/IEC 42001:2023 (AI Management Systems):
Первый международный стандарт на системы управления ИИ. Устанавливает требования к AIMS (AI Management System): политики, процессы, ответственность, управление жизненным циклом ИИ-систем.
Ключевые элементы:
— Управление рисками и воздействиями ИИ-систем
— Управление данными (качество, безопасность, конфиденциальность)
— Прозрачность и подотчётность
— Непрерывное улучшение
Применение к Приказу №117: Оператор ГИС, внедривший ISO 42001, может продемонстрировать ФСТЭК структурированный подход к управлению ИИ-рисками. Сертификация ISO 42001 (доступна с декабря 2023) — де-факто подтверждение «доверенности» технологий ИИ в отсутствие российского реестра.
EU AI Act (вступление в силу август 2024, enforcement с февраля 2025):
Европейский регламент по ИИ вводит риск-ориентированную классификацию:
— Недопустимый риск: запрет (социальный скоринг, манипуляция)
— Высокий риск: строгие требования (управление рисками, data governance, документация, прозрачность, human oversight)
— Ограниченный риск: требования прозрачности
— Минимальный риск: без регулирования
Применение к Приказу №117: Российские операторы, использующие ИИ в ГИС, могут адаптировать методологию EU AI Act для классификации своих систем. ИИ-системы, обрабатывающие биометрию граждан или принимающие решения о госуслугах, попадают в категорию «высокий риск» по EU AI Act → требуется conformity assessment, что аналогично аттестации ФСТЭК.
5.2. Формальная верификация: SAT/SMT-решатели для проверки непротиворечивости требований
Проблема: Приказ №117 содержит 22 обязательных мероприятия (п.34), каждое из которых декомпозируется в десятки технических требований. Организационно-распорядительная документация (ОРД) оператора должна покрывать все требования без пробелов и противоречий. Вручную проверить непротиворечивость 500+ пунктов политик ИБ невозможно.
Решение: Применение формальной верификации с использованием SAT/SMT-решателей.
Что такое SAT/SMT-решатели:
— SAT (Boolean Satisfiability Problem): Определение, существует ли набор значений переменных, удовлетворяющий булевой формуле
— SMT (Satisfiability Modulo Theories): Расширение SAT на теории (арифметика, массивы, битовые операции)
Применение к проверке ОРД:
1. Формализация требований. Каждое требование Приказа №117 переводится в логическую формулу. Пример:
— Требование п.34.1: «Идентификация и аутентификация субъектов доступа»
— Формула: `∀user ∈ Users: (authenticated(user) ∧ identified(user)) ⇒ access_granted(user)`
2. Формализация политик. Политика ИБ оператора переводится в набор утверждений (assertions).
3. Генерация условий верификации (VC). Инструмент компилирует требования и политики в единую формулу, передаваемую SMT-решателю (Z3, CVC5, Yices).
4. Проверка удовлетворимости. Если SMT-решатель находит решение для противоположного утверждения («политика нарушает требование»), значит, есть конфликт. Если решения нет, политика соответствует требованиям.
Практический инструментарий:
— Certora Prover: Верификатор для смарт-контрактов, использует SMT-решатели для доказательства корректности
— K Framework: Фреймворк формальной верификации, применимый к верификации конфигураций ИБ
— Z3 Theorem Prover (Microsoft Research): Открытый SMT-решатель, используемый в промышленности
Пример использования для Приказа №117:
Оператор ГИС формализует 22 мероприятия п.34 в виде SMT-формул. Политика ИБ оператора также формализуется. Z3 проверяет:
— Покрывает ли политика все требования (completeness)
— Есть ли противоречия между требованиями (consistency)
Результат: отчёт о пробелах и конфликтах, который используется для корректировки ОРД до подачи на аттестацию. Это снижает риск возврата на доработку.
Ограничения: Формальная верификация требует высокой квалификации (знание логики, теории типов). Подходит для критических систем (К1, К2), где стоимость ошибки высока. Для К3 избыточно.
6. ГОССОПКА: ИНТЕГРАЦИЯ КАК ТРЕБОВАНИЕ
6.1. Кто обязан
С 01.03.2026 — все ГИС, включая:
— Федеральные, региональные, муниципальные
— Системы межведомственного взаимодействия
— Интеграции с «Госуслугами»
— Внутренние системы госорганов
Ранее: Только субъекты КИИ и значимые объекты КИИ.
6.2. Сроки и форматы
| Событие | Срок уведомления НКЦКИ |
| Инцидент (значимый объект КИИ) | 3 часа |
| Инцидент (прочие ИС) | 24 часа |
| Изменение сетевых реквизитов | 2 рабочих дня |
| Изменение контактов ответственных | 5 рабочих дней |
Форматы:
— Карточки инцидентов: XML (схема 8-го Центра ФСБ)
— Индикаторы компрометации: STIX/TAXII, OpenIOC, CSV, JSON
— Синхронизация: каждые 5-10 минут (для SIEM с модулем ГосСОПКА)
6.3. Техническая реализация
Защищённый канал:
— Класс: СКЗИ КС3
— Решения: ViPNet, Континент, С-Терра, ЗАСТАВА
— Стоимость криптошлюза: 200-500K рублей (корректировка: базовое оборудование + настройка)
Процедура подключения:
1. Письмо в ФСБ (107031, Москва, Большая Лубянка, 1/3)
2. Направление технических данных на network@cert.gov.ru
3. Получение сертификатов и ключей от НКЦКИ
4. Настройка парной связи (сеть ViPNet НКЦКИ: 10976)
5. Тестирование доступа к ЛК ГосСОПКА (lk.cert.gov.ru)
6. Запрос учётных данных (info@cert.gov.ru)
DNS НКЦКИ: 10.0.100.65, 10.0.100.66
7. СЗИ: РЕФЕРЕНСНАЯ АРХИТЕКТУРА ПО КЛАССАМ
7.4. Лидеры рынка 2025
NGFW:
| Решение | Вендор | Производительность | Доля рынка |
| UserGate NGFW | UserGate | 30 Гбит/с L7+IPS | №1 (7000 внедрений с 2022) |
| Континент 4 | Код Безопасности | 800 Мбит/с VPN | Топ-3 |
| PT NGFW | Positive Technologies | 15M+ пакетов/сек | КИИ К1 |
SIEM:
— MaxPatrol SIEM (Positive Technologies) — сертификат ФСТЭК №4980, УД 4, интеграция с ГосСОПКА, 350+ источников данных, 1300 готовых правил корреляции. Используется в 700+ организациях.
— Kaspersky KUMA — нативный коннектор ГосСОПКА, ML для анализа поведения пользователей.
Антивирус:
— Kaspersky Endpoint Security — сертификаты до К1
— Dr.Web Enterprise Security Suite Исполнение 1 — до К1, включая гостайну до «совершенно секретно», сертификат №3509, уровень доверия 2
8. ДОРОЖНАЯ КАРТА
Неделя 1-2:
— [ ] Инвентаризация: Составить полный реестр ИС (не только ГИС — все системы, попадающие под №117)
— [ ] Классификация: Определить класс каждой ИС по новой матрице (УЗ × масштаб)
— [ ] Gap-анализ: Сравнить текущие меры с 22 мероприятиями п.34 Приказа №117
Неделя 3-4:
— [ ] Политика ИБ: Разработать/актуализировать политику защиты информации (п.14-15)
— [ ] Реестр подрядчиков: Определить всех контрагентов с доступом к данным
— [ ] Кадровый аудит: Проверить долю специалистов с профобразованием ИБ (требуется 30%)
Февраль 2026
Неделя 1-2:
— [ ] Модель угроз: Актуализировать с учётом контейнеризации (УБИ.250+) и ИИ (п.60-61)
— [ ] ОРД: Обновить организационно-распорядительную документацию
— [ ] Vulnerability Management: Внедрить процесс с SLA 24ч/7д. Решение конфликта импортозамещения: задокументировать компенсирующие меры (изоляция, мониторинг).
Неделя 3-4:
— [ ] ГосСОПКА: Подать заявку на подключение (если не подключены). Закупить криптошлюз КС3.
— [ ] Первый расчёт КЗИ: Провести пилотный расчёт по методике от 11.11.2025
— [ ] Договоры с подрядчиками: Включить требования №117 (п.16)
1 марта 2026
— [ ] Отчёт КЗИ: Готовность к отправке в ФСТЭК в течение 5 рабочих дней
— [ ] Мониторинг: Запуск непрерывного процесса оценки защищённости
После 1 марта
— Аттестация новых/модернизированных ИС — по требованиям №117
— КЗИ — каждые 6 месяцев
— ПЗИ — каждые 2 года (после публикации методики)
9. ЧТО ДЕЛАТЬ, ЕСЛИ НЕ УСПЕВАЕТЕ
Сценарий 1: Критический gap по СЗИ
— Приоритет: Vulnerability management (критические уязвимости блокируют аттестацию)
— Компенсирующие меры: Сегментация, временная изоляция уязвимых компонентов, правила SIEM для детектирования эксплуатации
— Документирование: Акт о невозможности устранения (при импортном ПО) + план устранения с конкретными сроками
Сценарий 2: Нет интеграции с ГосСОПКА
— Альтернатива (временная): Передача информации через email/факс на cert.gov.ru
— Ограничение: Для К1/К2 не применимо — требуется автоматизация
Сценарий 3: Не хватает специалистов с профобразованием
— Краткосрочно: Программы профессиональной переподготовки (от 250 часов)
— Аутсорсинг: Привлечение лицензиата ФСТЭК для отдельных функций
Сценарий 4: Аттестат истекает после 01.03.2026
— Аттестаты, выданные до 01.03.2026, остаются действительными
— Переаттестация по №117 — при модернизации или истечении срока
ЗАКЛЮЧЕНИЕ
Приказ ФСТЭК №117 — не косметическое обновление. Это переход от compliance-театра к операционной безопасности. Но одновременно это архитектура регуляторной ловушки, где требования созданы для идеального мира, а исполняться должны в условиях дефицита кадров, санкционного давления и незрелости российского ПО.
Системный диагноз
| Показатель | Значение | Источник |
| ГИС/организаций, не соответствующих минимуму | 87% | Проверки ФСТЭК 2024 |
| Проверок с критическими нарушениями | 73% | ФСТЭК 2022-2024 |
| Доля госсектора в утечках | 73% (105 млн записей) | Статистика 2024 |
| ГИС без анализа уязвимостей | 100% (выборка) | Обследование 100 ГИС |
| Уязвимостей в обследованных ГИС | >1250 (включая критические) | Там же |
Формальная аттестация не равна защите. Сертификат на стене не останавливает APT-группировку.
Ответ регулятора: процессный подход vs реальность
| Элемент | Приказ №17 (2013) | Приказ №117 (2025) |
| Модель контроля | Разовая аттестация | Непрерывный мониторинг |
| Метрики | Отсутствуют | КЗИ (6 мес.), ПЗИ (2 года, методика не опубликована) |
| Отчётность | В ФСТЭК — при проверке | В ФСТЭК — каждые 6 месяцев |
| Сроки реагирования | Не определены | 24ч критические (невыполнимо для 70% систем) |
| Подрядчики | «Серая зона» | Явные требования → барьер входа |
| ИИ | Не упоминается | Отдельные требования (п.60-61, но без детализации) |
Экономика решения
Цена бездействия:
— Административные штрафы: до 500M₽ (оборотные при повторной утечке)
— Уголовная ответственность: до 10 лет (при тяжких последствиях)
— Остановка эксплуатации: по предписанию ФСТЭК
— Репутационный ущерб: невозможность участия в госзакупках
Цена действия:
— Рост бюджета на аттестацию: +117-129% (базовая К3)
— Операционные расходы на поддержание compliance: +15-25% ежегодно
— Инвестиции в автоматизацию (SIEM, VM, GRC): 5-50M₽ в зависимости от масштаба
— Время на подготовку: 43 дня до вступления в силу
Что делать сейчас
Приоритет 1 (критический): Инвентаризация всех ИС, попадающих под №117. Многие организации не знают точное количество своих систем.
Приоритет 2 (высокий): Классификация по новой матрице (УЗ × масштаб). Выявить системы, у которых класс вырос.
Приоритет 3 (высокий): Vulnerability management. Внедрить процесс с SLA 24ч/7д. Задокументировать стратегию компенсирующих мер для импортного ПО.
Приоритет 4 (средний): ГосСОПКА. Подать заявку на подключение, если не подключены.
Приоритет 5 (средний): Кадры. Проверить долю специалистов с профобразованием ИБ, запустить программы переподготовки.
Вердикт: Регулятор создал требования, которые физически невыполнимы для 70-80% адресатов в установленные сроки. Выживут те, кто начал готовиться не за 43 дня до deadline, а в момент публикации Приказа в июне 2025. Остальные окажутся в ситуации выбора между остановкой эксплуатации и формальным compliance с неустранёнными критическими уязвимостями.
Ground truth: Это не кибербезопасность. Это стресс-тест на выживание в условиях регуляторной турбулентности.
Telegram: @fishchuk_pravo
*Материал подготовлен на основе анализа 120+ первичных источников: текст Приказа ФСТЭК №117, Методика КЗИ от 11.11.2025, Методика анализа защищённости от 25.11.2025, ГОСТ Р 56939-2024, статистика ФСТЭК по проверкам 2024, данные о рынке СЗИ 2025, NIST AI RMF 1.0, ISO/IEC 42001:2023, EU AI Act, отраслевые отчёты Positive Technologies, Kaspersky, UserGate, анализ рынка труда ИБ.*
МАТЕРИАЛЫ ПО ТЕМЕ:
Сертификация ФСТЭК: полное руководство по выживанию на рынке информационной безопасности
Когда ваш бот продаст Tesla за $1: Глобальный отчет о юридической инженерии галлюцинаций и архитектуре безопасности ИИ
Импортозамещение на КИИ: глобальный отчет о сроках, требованиях и практике правоприменения (2025–2030)
КИИ для IT-компаний: когда вы субъект и что делать (Гайд без воды)
