Введение
С 1 марта 2026 г. вступили в силу «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», утвержденные приказом ФСТЭК России от 11 апреля 2025 г. № 117 (далее – Приказ № 117, Требования). Данный приказ отменяет ранее действующие «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Приказ № 17).
В Приказе № 117 отсутствует конкретный перечень защитных мер, применяемых к установленным классам защищенности, как это было реализовано ранее в Приказе № 17 и уточнялось в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном приказом ФСТЭК России от 11 февраля 2014 г., который подробно описывал содержание мер, а также необходимость их усиления в некоторых случаях. 12 апреля 2026 г. ФСТЭК России был утвержден новый методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах».
Следует также отметить, что аттестаты соответствия на государственные информационные системы и иные информационные системы, выданные до дня вступления в силу Приказа № 117 (т.е. до 1 марта 2026 г.), считаются действительными – об этом говорится в тексте самого Приказа № 117 (п.3).
История изменений
В Приказе № 17 аттестации был посвящен отдельный раздел – «Аттестация информационной системы и ввод её в действие». С вступлением в силу с 1 сентября 2021 г. документа «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну», утвержденного приказом ФСТЭК России от 29 апреля 2021 г. № 77 (далее – Приказ № 77), необходимость в подробном описании процедуры аттестационных испытаний отпала. В Приказе № 117 только один пункт отведен вопросу аттестации (п.65), согласно которому, как и ранее, с целью подтверждения достаточности принятых мер защиты информационных систем и содержащейся в них информации до начала обработки и (или) хранения информации в государственных информационных системах должна быть проведена их аттестация на соответствие требованиям Приказа № 77. Решение о необходимости аттестации иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений принимается руководителем оператора (обладателя информации), ответственным лицом.
Приказ № 17 допускал аттестацию информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации и позволял распространять аттестат соответствия на другие сегменты информационной системы при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания (п.17.3). Теперь же данная возможность в Приказе № 117 не предусматривается. Однако, согласно проекту Приказа ФСТЭК России «О внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29 апреля 2021 г. № 77» размещенному на сайте regulation.gov.ru (https://regulation.gov.ru/projects/164439/), который предположительно вступит в силу с 1 сентября 2026 г., данная возможность будет возвращена при условии реализации мер по управлению деятельностью по защите информации и мониторинга информационной безопасности на конечных устройствах с применением сертифицированных средств защиты информации.
Данные изменения также устранят несоответствие срока предоставления владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России) отчета (протокола) по результатам проведения контроля защищенности информации на аттестованном объекте информатизации – не реже одного раза в три года (в текущей версии Приказа № 77 – не реже одного раза в два года).
Еще одно изменение призвано упростить процедуру выбора дополнительной или повторной аттестации по результатам модернизации объекта информатизации (п.33 Приказа № 77). Единственным условием проведения повторной аттестации будет развитие (модернизация) объекта информатизации, приводящее к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации (в других случаях проводятся дополнительные аттестационные испытания).
В условиях отсутствия утвержденного методического документа, определяющего состав мер по защите информации, было выпущено информационное сообщение ФСТЭК России от 12 марта 2026 г. № 240/22/1492 «О разъяснении положений Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденных приказом ФСТЭК России от 11 апреля 2025 г. № 117», которое допускало при реализации мер защиты информации в государственных информационных системах и иных информационных системах до момента утверждения указанного выше методического документа применение методического документа «Меры защиты информации в государственных информационных системах», утвержденные ФСТЭК России 11 февраля 2014 г.
В части аттестации, по результатам модернизации (развития) государственных информационных систем и иных информационных систем необходимо провести дополнительные аттестационные испытания в соответствии с Приказом № 77. После проведения дополнительных аттестационных испытаний аттестат соответствия переоформляется. В Приказе № 77 данная процедура не описана, поэтому каждый орган по аттестации будет определять формат аттестата самостоятельно. При этом необходимость уведомления ФСТЭК России о переоформлении аттестата не установлена.
Методическое обеспечение
Развитие деятельности в области проведения аттестации заложено в п.16.б) Приказа № 77, который предписывает проведение испытаний системы защиты информации путем осуществления тестирования ее функций безопасности (функциональное тестирование), анализ уязвимостей с использованием средств контроля эффективности защиты информации от несанкционированного доступа, а также испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) в обход системы защиты информации с использованием средств тестирования. В рамках совершенствования методических документов по аттестации на соответствие требованиям о защите информации ФСТЭК России была запланирована разработка трех соответствующих методик:
- Методика испытаний систем защиты информации информационных систем путем осуществления тестирования ее функций безопасности (функциональное тестирование) (далее – Методика ФТ).
- Методика анализа защищенности информационных систем (далее – Методика АЗ).
- Методика испытаний систем защиты информации информационных систем методами тестирования на проникновение (далее – Методика ТП).
В настоящее время разработаны и утверждены две из трех методик: Методика ТП от 25 июня 2025 г. и Методика АЗ от 25 ноября 2025 г. Методика ФТ должна появиться ближе к 2027 году.
Согласно информационному сообщению ФСТЭК России от 8 сентября 2025 г. № 240/24/4734 Методика ТП применяется для проведения работ по тестированию на проникновение в отношении государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений 1, 2 классов защищенности, которые имеют подключение к сети «Интернет» и (или) взаимодействуют с иными информационными системами, в том числе с информационными системами подрядных организаций (за исключением случаев, когда такое взаимодействие реализовано с использованием сети шифрованной связи или виртуальных частных сетей с применением сертифицированных шифровальных (криптографических) средств защиты информации).
В иных случаях решение о применении Методики ТП принимает обладатель информации, заказчик, заключивший контракт на создание информационной системы, оператор информационной системы.
Реализация обширного перечня работ в соответствии с Методикой ТП в рамках аттестационных испытаний приведет к увеличению их стоимости и сроков проведения. При этом остается открытым вопрос о сроках устранения выявленных недостатков, так как согласно п.9 Приказа № 77 срок проведения работ по аттестации не может превышать четырех месяцев.
Согласно информационному сообщению ФСТЭК России от 4 декабря 2025 г. № 240/22/6902 Методика АЗ применяется в ходе:
- аттестации информационных систем на соответствие требованиям по защите информации;
- контроля уровня защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в информационных системах, проводимого в соответствии с требованиями по защите информации;
- оценки соответствия информационных систем требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации.
На практике осложняет применение Методики АЗ тот факт, что сертифицированные средства анализа уязвимостей, применяемые при аттестационных испытаниях, не в полной мере выполняют все заложенные требования.
Так как согласно Методике АЗ заказчик вправе устанавливать перерывы в проведении работ, при которых все работы исполнителем приостанавливаются, а также может потребоваться время для устранения выявленных уязвимостей, критичны сроки проведения данных работ в ходе аттестации также как и при применении Методики ТП.
Заключение
Сложившуюся на текущий момент ситуацию в области аттестованных объектов информатизации иллюстрирует следующая таблица:
Ситуация | Действие | Аттестат соответствия | |
1 | ИС аттестована на соответствие требованиям Приказа № 17 (включая ИС с информацией «ДСП»). | Разработка и утверждение политики защиты информации, внутренних стандартов и регламентов по защите информации. Разработка плана перехода. | Действует ранее выданный аттестат соответствия. |
2 | Контроль эффективности ИС, аттестованной на соответствие требованиям Приказа № 17 (включая ИС с информацией «ДСП»). | Осуществляется контроль эффективности согласно утвержденным ранее Программе и методикам аттестационных испытаний. | Действует ранее выданный аттестат соответствия. |
3 | Заключен договор на аттестацию ИС до 1 марта 2026 г. | Допускается аттестация по Приказу № 17. | Выдается аттестат соответствия по требованиям Приказа № 17. |
4 | Модернизация ИС, аттестованной на соответствие требованиям Приказа № 17 (включая ИС с информацией «ДСП»). | Приведение ИС в соответствие требованиям Приказа № 117 (включая повторную классификацию). Проведение дополнительных аттестационных испытаний. | Аттестат соответствия переоформляется. |
5 | Размещение ИС, аттестованной на соответствие требованиям Приказа № 117, в ЦОД. | Данная ИС может размещаться только в инфраструктуре (ЦОД), аттестованной на соответствие требованиям Приказа № 117. | Необходим аттестат соответствия на ЦОД на соответствие требованиям Приказа № 117. |
6 | Подключение к аттестованной ИС. | Выполнение требований оператора ИС. | Получение аттестата соответствия/другая форма подтверждения (в зависимости от требований оператора). |
P.S. Изменение в определении класса защищенности информационной системы
Произошло незаметное на первый взгляд изменение в определении класса защищенности информационной системы, приведенное в приложении к Требованиям.
Ранее при определении масштаба информационной системы (одного из критериев необходимых для определения класса защищенности) ориентировались на её физическое расположение, теперь же делается акцент на функциональное назначение и охват задач, которые система призвана решать.
При этом результаты определения масштаба могут часто совпадать, однако подход к определению масштаба различается: ранее учитывалось «где» система работает и как она распределена, теперь — «для чего» она работает (какой охват задач имеет). Например, информационной системе, предназначенной для решения задач в пределах объектов одной организации, но территориально размещенных в пределах двух и более субъектов Российской Федерации, теперь следует устанавливать объектовый масштаб, тогда как по старой классификации, исходя из физического расположения, такая система имела бы федеральный масштаб.
Эту особенность придется учитывать при модернизации ИС, аттестованной на соответствие требованиям Приказа № 17.