Инженерный консалтинг по КИИ и Приказам ФСТЭК, ФСБ
Экспресс-аудит готовности к Приказу ФСТЭК №117. Разработка ОРД, методика расчёта КЗИ. Подготовка к аттестации, категорирование КИИ и юридическое сопровождение проверок ФСТЭК/ФСБ — чтобы ваши ГИС и объекты КИИ не были принудительно остановлены
Почему это важно сейчас
С 1 марта 2026 года вступает в силу Приказ ФСТЭК России №117 «Об утверждении требований к защите информации в государственных информационных системах». Документ заменяет действующий приказ №17 и радикально усиливает требования к защите ГИС и иных информационных систем государственных органов, ГУП и муниципалитетов.
Что именно меняется
Ключевые изменения: расширение периметра (под действие попадают не только ГИС, но и внутренние системы), переход к регулярному расчёту коэффициента защищённости информации (КЗИ) и подготовке отчётности в ФСТЭК, ужесточение требований к срокам устранения уязвимостей, интеграция с ГосСОПКА и новые обязанности для подрядчиков.
Как мы закрываем полный цикл
Ниже — перечень услуг, закрывающих полный цикл выполнения требований Приказа №117: от экспресс-аудита готовности до юридического сопровождения проверок ФСТЭК.
КИИ: категорирование и регуляторный контур
Что:
- Предкатегорирование объектов КИИ (draft-категории по 187-ФЗ и подзаконке).
- Подготовка пакета документов для официального категорирования (опросники, обоснования, схемы, перечни объектов).
- Связка требований 187-ФЗ, ФСТЭК и ФСБ (КИИ, ГИС, СКЗИ, ГосСОПКА) в единую модель.
Вход:
- перечень информационных/технологических систем;
- описания технологических процессов/услуг;
- топология, зависимость от ИТ для оказания услуг/выпуска продукции.
Выход:
- матрица «системы ↔ потенциальные категории КИИ»;
- обоснование выбора/отсутствия категории;
- дорожная карта по выполнению требований ФСТЭК/ФСБ для выбранных категорий (включая связку с Приказом №117 и ГосСОПКА)
Экспресс-аудит готовности к Приказу ФСТЭК №117
Для кого: государственные и муниципальные заказчики, операторы ГИС и иных ИС, подрядчики, которым нужно быстро оценить фактическую готовность к №117.
На входе вы предоставляете:
- описание информационной системы (паспорт, назначение, интеграции);
- существующие организационно-распорядительные документы по ИБ;
- действующие аттестаты по 17-му приказу ФСТЭК (если есть);
- схему сети и перечень используемых средств защиты.
На выходе вы получаете:
- gap-анализ по 22 мероприятиям пункта 34 Приказа №117;
- определение класса защищённости (К1–К3) по матрице «уровень значимости × масштаб»;
- карту рисков: какие несоответствия блокируют аттестацию и расчёт КЗИ;
- дорожную карту до 1 марта 2026 года с приоритизацией работ.
Разработка организационно-распорядительных документов (ОРД) под Приказ ФСТЭК №117
Для кого: организации, которым нужен полный комплект документов под проверку ФСТЭК и аттестацию ГИС/ИС.
На входе:
- оргструктура и распределение ответственности в области ИБ;
- действующие политики/регламенты (ИБ, КИИ, ПДн), если есть;
- сведения об ИС, их классах и используемых средствах защиты.
На выходе:
- комплект ОРД (15–25 документов), включающий:
- политику защиты информации;
- положение о подразделении и ответственном за ИБ;
- регламенты управления доступом, уязвимостями, инцидентами, резервным копированием;
- порядок расчёта КЗИ и взаимодействия с ГосСОПКА;
- должностные инструкции с учётом требований Приказа №117.
- матрицу соответствия: «требование Приказа №117 → конкретный документ/раздел».
Методика расчёта КЗИ для оператора
Для кого: операторы ГИС и иных информационных систем, обязанные рассчитывать коэффициент защищённости информации и сдавать отчётность в ФСТЭК.
На входе:
- перечень информационных систем и их классов;
- информация о текущих процессах ИБ (кто и что делает);
- доступные источники данных для показателей КЗИ (SIEM, логи, CMDB, отчёты).
На выходе:
- внутренний регламент расчёта КЗИ (роли, периодичность, источники данных, порядок утверждения);
- рабочий шаблон расчёта КЗИ (Excel/Google Sheets) с формулами по методике ФСТЭК;
- инструкцию по сбору и актуализации данных;
- пилотный расчёт КЗИ с разбором (в расширенном пакете).
Подготовка к аттестации (pre-audit) по Приказу ФСТЭК №117
Для кого: заказчики, которые планируют аттестацию ГИС/ИС по новому приказу и хотят минимизировать риски отказа.
На входе:
- все действующие документы по ИБ и по системе (политики, регламенты, приказы);
- модель угроз, проектные решения по СЗИ, ранее выданные аттестаты и акты испытаний;
- актуальные схемы сети и перечень средств защиты;
- выборочные журналы и логи (аутентификация, инциденты, резервное копирование).
На выходе:
- отчёт pre-audit с перечнем несоответствий по документам и по фактической конфигурации;
- рекомендации по устранению критичных замечаний до прихода лицензиата ФСТЭК;
- обновлённые или разработанные документы (по согласованному перечню);
- чек-лист готовности к аттестации «под 117-й приказ ФСТЭК».
Абонентское сопровождение compliance по Приказу ФСТЭК №117
Для кого: операторы, которым нужен внешний центр компетенций для поддержки постоянного соответствия требованиям ФСТЭК.
На входе:
- утверждённые политики и регламенты;
- доступ к данным (или регламент поставки данных) для расчёта КЗИ и подготовки отчётности;
- контактные лица по ИБ, ИТ, юридическим вопросам.
На выходе (на регулярной основе):
- расчёт КЗИ каждые 6 месяцев для одной или нескольких ИС;
- подготовка и оформление отчётов в ФСТЭК по установленной форме;
- актуализация ОРД при изменении требований или процессов;
- регулярные обзоры изменений в регуляторке и их влияния на конкретного оператора.
Юридическое сопровождение проверок ФСТЭК и споров по Приказу №117
Для кого: организации, ожидающие проверку ФСТЭК, получившие предписание, или планирующие оспаривать результаты проверки.
На входе:
- предписания, акты проверок, запросы ФСТЭК;
- существующие документы по ИБ и сведения о фактическом состоянии;
- позиция заказчика (минимизация санкций, оспаривание, защита управленцев).
На выходе:
- правовую позицию по результатам анализа документов и фактов;
- проекты письменных ответов и возражений на акт проверки ФСТЭК;
- при необходимости — процессуальные документы и сопровождение в суде при обжаловании предписаний.
Вопрос-ответ
Подготовка к проверке ФСТЭК по Приказу №117 включает пять этапов.
Инвентаризация информационных систем. Составьте полный реестр всех ИС, попадающих под требования: не только ГИС, но и иные информационные системы госорганов, муниципальные ИС, системы ГУП и госучреждений. Приказ №117 расширяет периметр регулирования — многие организации не знают точное количество своих систем.
Классификация по новой матрице. Определите класс защищённости каждой системы по матрице «уровень значимости × масштаб». Обратите внимание: если система доступна из двух и более регионов или используется для межведомственного взаимодействия, масштаб автоматически становится федеральным.
Gap-анализ. Сравните текущее состояние защиты с 22 обязательными мероприятиями пункта 34 Приказа №117. Зафиксируйте несоответствия с указанием критичности и сроков устранения.
Актуализация документации. Обновите политику защиты информации, регламенты, инструкции. Документы должны отражать реальную топологию и процессы — расхождение с действительностью является основанием для предписания.
Внедрение процесса управления уязвимостями. Приказ №117 требует устранения критических уязвимостей за 24 часа, высоких — за 7 дней. Без автоматизированной системы vulnerability management выполнить это требование невозможно.
Рекомендуемый срок подготовки: 2-3 месяца до плановой проверки или до 01.03.2026 для первичного соответствия.
Минимальный комплект организационно-распорядительной документации (ОРД) для соответствия Приказу №117 включает 15-25 документов в зависимости от класса защищённости.
Обязательные документы:
— Акт классификации информационной системы (по новой матрице УЗ × масштаб) — Модель угроз безопасности информации (с учётом контейнеризации и ИИ) — Техническое задание на создание/модернизацию системы защиты информации — Политика защиты информации (п.14-15 Приказа №117) — Регламент управления уязвимостями (с указанием SLA: 24ч/7д) — Регламент управления инцидентами информационной безопасности — Регламент взаимодействия с ГосСОПКА (для всех ГИС с 01.03.2026) — Регламент контроля защищённости и расчёта КЗИ — Должностные инструкции ответственных за защиту информации — Инструкции пользователей по соблюдению требований безопасности — Перечень лиц, допущенных к обработке информации — Журналы учёта машинных носителей, СКЗИ, событий безопасности
Для систем класса К1 и К2 дополнительно:
— План обеспечения непрерывности функционирования (RTO 24ч для К1, 7д для К2) — Регламент резервного копирования и восстановления — Политика управления доступом с мандатным контролем (для К1) — Документация на интеграцию с ГосСОПКА
Требование к подрядчикам (п.16): Если к данным системы имеют доступ подрядчики, политика ИБ оператора становится обязательной для исполнения подрядчиком. Это требует дополнительного соглашения к договору.
Коэффициент защищённости информации (КЗИ) рассчитывается по методике ФСТЭК от 11.11.2025 не реже одного раза в 6 месяцев. Результаты направляются в ФСТЭК в течение 5 рабочих дней.
Формула расчёта:
КЗИ = Σ(Σk_ji) × R_j
где k_ji — значение i-го показателя j-й группы (0 или табличное значение), R_j — весовой коэффициент группы.
17 показателей распределены по 4 группам:
— Идентификация и аутентификация (вес 0.10): управление учётными записями, многофакторная аутентификация, контроль сессий, парольная политика — Управление уязвимостями (вес 0.25): инвентаризация активов, регулярное сканирование, устранение критических за 24ч, устранение высоких за 7д — Управление инцидентами (вес 0.35): регистрация событий, мониторинг, детектирование, реагирование, взаимодействие с НКЦКИ — Защита периметра (вес 0.30): сегментация сети, межсетевое экранирование, обнаружение вторжений, защита каналов связи
Пороговые значения:
— КЗИ = 1.0 — минимальный базовый уровень (норма) — 0.75 < КЗИ < 1.0 — низкий уровень (требуется план устранения) — КЗИ ≤ 0.75 — критический уровень (основание для предписания)
Бинарная логика отказа: Повторное несоответствие по любому показателю в течение 12 месяцев обнуляет весь весовой коэффициент группы. Например, если показатель k₉ (регистрация событий) дважды за год не выполнен, группа «Управление инцидентами» получает R₃ = 0, и КЗИ падает на 35%.
Практическая рекомендация: Автоматизируйте расчёт в Excel или специализированном ПО. Ручной расчёт 17 показателей для нескольких систем создаёт риск ошибок и срыва сроков отчётности.
Стоимость подготовки к аттестации ГИС по Приказу №117 зависит от класса защищённости, масштаба системы и текущего состояния защиты.
Типовая конфигурация: 10 АРМ + 2 сервера, класс К3
| Этап | Стоимость |
|---|---|
| Модель угроз (с учётом контейнеризации, ИИ) | 80 000 — 150 000 ₽ |
| Проектирование системы защиты | 100 000 — 200 000 ₽ |
| Закупка СЗИ | 200 000 — 350 000 ₽ |
| Внедрение и настройка | 150 000 — 250 000 ₽ |
| Разработка ОРД | 150 000 — 300 000 ₽ |
| Аттестационные испытания | 120 000 — 200 000 ₽ |
| Тестирование на проникновение (обязательно) | 150 000 — 300 000 ₽ |
| Интеграция с ГосСОПКА | 200 000 — 500 000 ₽ |
| Итого | 1 150 000 — 2 250 000 ₽ |
Стоимость подготовки к аттестации ГИС по Приказу №117 зависит от класса защищённости, масштаба системы и текущего состояния защиты.
Типовая конфигурация: 10 АРМ + 2 сервера, класс К3
| Этап | Стоимость |
|---|---|
| Модель угроз (с учётом контейнеризации, ИИ) | 80 000 — 150 000 ₽ |
| Проектирование системы защиты | 100 000 — 200 000 ₽ |
| Закупка СЗИ | 200 000 — 350 000 ₽ |
| Внедрение и настройка | 150 000 — 250 000 ₽ |
| Разработка ОРД | 150 000 — 300 000 ₽ |
| Аттестационные испытания | 120 000 — 200 000 ₽ |
| Тестирование на проникновение (обязательно) | 150 000 — 300 000 ₽ |
| Интеграция с ГосСОПКА | 200 000 — 500 000 ₽ |
| Итого | 1 150 000 — 2 250 000 ₽ |
Для федеральных ГИС класса К1:
— Полный цикл аттестации: 5 — 15 млн рублей — SIEM (MaxPatrol, KUMA): 5 — 15 млн рублей — Резервный ЦОД (требование RTO 24ч): 10 — 50 млн рублей — Годовое сопровождение: 15-25% от капитальных затрат
Рост относительно Приказа №17: Стоимость аттестации по новым требованиям выше на 30-120% за счёт обязательного пентеста, интеграции с ГосСОПКА и расширенной модели угроз.
Способ снижения затрат: Предварительная подготовка документации и устранение замечаний до привлечения лицензиата ФСТЭК сокращает общую стоимость на 15-25% и время аттестации в 1.5-2 раза.
Да, предписание ФСТЭК можно оспорить в административном и судебном порядке.
Административный порядок:
Возражения на акт проверки подаются в течение 15 календарных дней с даты получения акта. Возражения рассматриваются руководителем территориального органа ФСТЭК. Основания для отмены: процессуальные нарушения при проведении проверки, неправильная квалификация нарушений, несоответствие выводов фактическим обстоятельствам.
Судебный порядок:
Предписание обжалуется в арбитражном суде в течение 3 месяцев с даты получения. Заявление подаётся по месту нахождения органа, вынесшего предписание, или по месту нахождения заявителя.
Основания для признания предписания незаконным:
— Нарушение процедуры проверки (сроки, уведомление, полномочия) — Выход за пределы предмета проверки — Неправильное применение нормативных актов — Несоразмерность требований выявленным нарушениям — Техническая невозможность исполнения (для уязвимостей импортного ПО)
Важно: Подача возражений или заявления в суд не приостанавливает действие предписания автоматически. Для приостановления необходимо заявить отдельное ходатайство с обоснованием.
Судебная практика: Суды удовлетворяют требования об отмене предписаний ФСТЭК при доказанных процессуальных нарушениях или явных ошибках в квалификации. Однако отсутствие аттестата признаётся самостоятельным правонарушением независимо от наличия инцидентов безопасности.
Рекомендация: При получении предписания немедленно зафиксируйте все обстоятельства, запросите копии материалов проверки, привлеките юриста со специализацией в административном праве и информационной безопасности.
Последствия неготовности к вступлению в силу Приказа №117 зависят от типа системы и момента выявления нарушений.
Для систем с действующим аттестатом:
Аттестаты, выданные до 01.03.2026, остаются действительными до истечения срока. Переаттестация по требованиям №117 потребуется при модернизации системы или истечении срока аттестата. Однако требование расчёта КЗИ каждые 6 месяцев действует для всех систем с 01.03.2026.
Для систем без аттестата:
Эксплуатация ГИС без аттестата соответствия не допускается (Постановление Правительства РФ №676, п.19.1). ФСТЭК выдаёт предписание о прекращении эксплуатации. Это означает остановку системы до устранения нарушений.
Административная ответственность:
— Эксплуатация без аттестата: штраф 50 000 — 100 000 рублей (ст. 13.12 КоАП) — Нарушение требований защиты: штраф 50 000 — 100 000 рублей — Утечка персональных данных (10-100К субъектов): штраф 5 — 10 млн рублей — Повторная утечка: 1-3% годовой выручки, до 500 млн рублей
Уголовная ответственность (при инциденте с тяжкими последствиями):
— Статья 274 УК РФ ч.1: до 2 лет лишения свободы — Статья 274 УК РФ ч.2: до 5 лет лишения свободы — Статья 272.1 УК РФ ч.5: до 10 лет лишения свободы
Практический сценарий:
Если подготовка не завершена к 01.03.2026, приоритизируйте: (1) документирование компенсирующих мер для критических несоответствий, (2) запуск процесса расчёта КЗИ, (3) подачу заявки на подключение к ГосСОПКА. Это демонстрирует регулятору добросовестность и снижает риск максимальных санкций при проверке.
Нет, разработка организационно-распорядительной документации не требует лицензии ФСТЭК.
Лицензируемые виды деятельности (Постановление Правительства РФ №79):
— Проектирование систем защиты информации для ГИС — Установка, монтаж и настройка средств защиты информации — Проведение аттестационных испытаний — Контроль защищённости информации (инструментальный)
Не требуют лицензии:
— Консалтинг и аудит информационной безопасности — Разработка политик, регламентов, инструкций (ОРД) — Методологическая поддержка и обучение персонала — Юридическое сопровождение — Расчёт КЗИ и подготовка отчётов в ФСТЭК — Подготовка к аттестации (без проведения испытаний)
Оптимальная модель:
Организация без лицензии ФСТЭК готовит документацию, проводит gap-анализ, разрабатывает методику КЗИ. Лицензиат ФСТЭК выполняет проектирование системы защиты, внедрение СЗИ и аттестационные испытания. Такое разделение снижает общую стоимость: лицензиат получает «чистого» клиента с готовыми документами, аттестация проходит быстрее.
Периодичность расчёта и отчётности установлена Приказом №117 и Методикой ФСТЭК от 11.11.2025.
Коэффициент защищённости информации (КЗИ):
— Периодичность расчёта: не реже 1 раза в 6 месяцев — Срок направления в ФСТЭК: 5 рабочих дней после расчёта — Форма отчёта: установлена Методикой от 11.11.2025
Показатель зрелости защиты информации (ПЗИ):
— Периодичность расчёта: не реже 1 раза в 2 года — Срок направления в ФСТЭК: 5 рабочих дней после расчёта — Форма отчёта: методика на январь 2026 года не опубликована
Внеплановый перерасчёт:
КЗИ пересчитывается при существенных изменениях в системе: модернизация инфраструктуры, выявление критических уязвимостей, инцидент безопасности, изменение класса защищённости.
Практическая рекомендация:
Установите календарные даты расчёта КЗИ (например, 1 марта и 1 сентября ежегодно) и внесите их в план работ подразделения ИБ. Автоматизируйте сбор данных по 17 показателям — ручной сбор занимает 3-5 рабочих дней и создаёт риск срыва сроков.