Приказ ФСТЭК №117: что изменится с 1 марта 2026 в информационной безопасности для государственных и муниципальных учреждений

<p style="text-align: justify;"> </p> <h3></h3> <div> <p> </p> </div> <div style="text-align: justify;"> <p> В апреле 2025 года Президент утвердил новый Приказ, который внёс значительные изменения в правовые требования для государственных и муниципальных организаций по обеспечению информационной безопасности. Требования Приказа вступают в силу 1 марта 2026 года. </p> <p> В статье мы расскажем, как организовать работу в государственных и муниципальных учреждениях в соответствии с новым Приказом ФСТЭК, чтобы избежать неприятностей и штрафов. </p> <p> </p> <h2 style="text-align: left;"> Ключевые нововведения Приказа ФСТЭК №117 </h2> <p> </p> <p> Главное изменение, которое ждёт государственные и муниципальные учреждения – это детализация и ужесточение требований к защите информации в ИТ-системах. Установлены новые требования к технике, процедуре оценки уязвимостей и реагирования на инциденты. Также Приказ не обошёл стороной общий тренд на повышенное внимание к защите персональных данных – теперь подробно прописаны обязанности ответственных лиц за информационную безопасность и механизмы внутреннего контроля. </p> <p> Особое внимание уделяется защите критической информационной инфраструктуры и систем, которые обеспечивают функционирование государственных услуг. </p> <p> </p> <h2 style="text-align: left;"> Как изменения повлияют на работу государственных и муниципальных учреждений </h2> <p> </p> <p> Конкретизация законодательства приводит к пересмотру всех процессов информационной безопасности, обновлению техники, документации и регламентов внутри каждой организации. С 1 марта 2026 года государственные учреждения будут обязаны: </p> <p> </p> <ul class="line-marker-list" style="text-align: justify;"> <li>Внедрить системы анализа рисков и идентификации угроз согласно методикам, описанным в приложениях Приказа.</li> <li>Назначить ответственных лиц, обязанных вести планирование и отчётность по ИБ в соответствии с регламентом.</li> <li>Организовать регулярное обучение сотрудников и проверки готовности к реагированию на инциденты.</li> <li>Интегрировать системы мониторинга с национальными платформами безопасности для обмена угрозами и инцидентами в режиме реального времени.</li> </ul> <p> </p> <p> Также Приказ предусматривает запрет с 1 марта на использование: </p> <p> </p> <ul class="line-marker-list" style="text-align: justify;"> <li>Несертифицированных средств защиты информации.</li> <li>Иностранного программного обеспечения.</li> </ul> <p> </p> <p> Вводится ужесточение требований к использованию публичных облачных сервисов. В документе прямо говорится, что облачные сервисы могут использоваться только если обеспечена необходимая степень защиты и они соответствуют установленным требованиям ФСТЭК по безопасности. Так, например, облачный сервис <a href="/produkty-1c/1c-fresh-gos/" title="https://www.forus.ru/produkty-1c/1c-fresh-gos/" target="_blank">«Аттестованный 1С:Фреш»</a> – один из примеров таких сервисов, которые можно использовать без риска получить штраф. </p> <p> </p> <h2 style="text-align: left;"> Как изменится работа с персоналом </h2> <p> </p> <p> Приказ ФСТЭК №117 расширяет требования к образованию персонала, который работает с персональными данными. Установлены следующие требования: </p> <p> </p> <ul class="numeric-marker-list" style="text-align: justify;"> <li>В организации должны быть специалисты, которые разбираются в информационной безопасности и умеют выполнять свои задачи по защите информации.</li> <li>Из числа сотрудников, отвечающих за защиту информации, не менее 30% должны иметь профильное высшее образование или пройти специальное обучение по информационной безопасности.</li> <li>Все остальные сотрудники, которые работают с информационными системами и данными, тоже должны периодически проходить обучение и быть знакомы с правилами безопасности.</li> <li>Всем сотрудникам и подрядчикам обязательно нужно знать и соблюдать внутренние правила защиты информации – политики, инструкции и стандарты.</li> </ul> <p> Обязанности каждого, кто участвует в процессе защиты данных, должны быть чётко прописаны в должностных инструкциях или договорах. </p> <p> Это значит, что обучение и повышение квалификации персонала –обязательный элемент системы защиты информации, и без него невозможно соответствовать требованиям приказа №117. </p> <p> </p> <h2 style="text-align: left;"> Чем грозит невыполнение требований Приказа </h2> <p> </p> <p> Нарушение требований Приказа ФСТЭК № 117 может привести к серьёзным административным штрафам, дисциплинарным мерам и юридической ответственности. Среди них могут быть: </p> <p> </p> <ul class="line-marker-list"> <li>Приостановка работы несоответствующих систем.</li> <li>Административная ответственность за нарушение требований по ЗИ (ст.13.12 КоАП РФ).</li> <li>Штрафы до 100 тыс. рублей.</li> <li>Административная ответственность за утечки (ст.13.11 КоАП РФ).</li> <li>Штрафы до 20 млн., рублей.</li> </ul> <p> </p> <p> Приказ ФСТЭК №117 не предусматривает конкретные санкции или штрафы за нарушение, поскольку главная зада такого документа – это установить конкретные технические и организационные нормы по защите информации для государственных и муниципальных учреждений. Однако документ отсылает к ряду нормативно-правовых документов, которые предусматривают санкции: </p> <p> </p> <ul class="numeric-marker-list" style="text-align: justify;"> <li>Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» –конкретно часть 5 статьи 16, которая регулирует порядок защиты информации и санкции за нарушения.</li> <li>Положение о Федеральной службе по техническому и экспортному контролю, утверждённое Указом Президента РФ от 16 августа 2004 г. № 1085 – в части полномочий ФСТЭК.</li> <li>Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» – для систем, являющихся КИИ.</li> <li>Другие нормативные правовые акты, связанные с технической защитой информации и требованиями ФСБ РФ (например, Приказ ФСБ от 18.03.2025 № 117).</li> <li>КоАП РФ и иные законы, регулирующие ответственность за нарушение требований по защите информации и персональных данных, которые применяются к государственным и муниципальным учреждениям.</li> </ul> <p> </p> <p> Поэтому государственным и муниципальным организациям важно вовремя подготовиться и привести свои системы и процессы в соответствие с новым Приказом, чтобы избежать подобных проблем и нежелательных последствий. </p> <p> </p> <h2 style="text-align: left;"> Как государственным и муниципальным организациям подготовиться к мартовским нововведениям </h2> <p> В организации должна быть создана и утверждена внутренняя политика и правила по защите информации. В них должно быть понятно, кто и что делает для безопасности, какие процедуры применяются. </p> <ul class="numeric-marker-list"> <li>Нужно определить и выделить необходимые ресурсы – люди, техника, деньги – чтобы эффективно защищать информацию и выполнять все меры безопасности.</li> <li>Ответственность за организацию защиты информации лежит на руководителе или назначенном сотруднике. Именно этот человек следит за планированием, выполнением и улучшением мероприятий по безопасности.</li> <li>Все мероприятия направлены на защиту от конкретных угроз:</li> <p> </p> <ul class="line-marker-list"> <li>Предотвращение утечки и несанкционированного доступа к информации.</li> <li>Обнаружение и реагирование на попытки взлома, изменение, подмену или удаление данных.</li> <li>Обеспечение бесперебойной работы систем и предотвращение их неправильного использования.</li> </ul> <p> </p> <li>Контроль за исполнением правил касается не только сотрудников, но и подрядчиков, работающих с информацией. <p> </p> </li> </ul> В итоге, организация должна системно управлять защитой данных – планировать действия, реализовывать их, постоянно проверять эффективность и своевременно вносить улучшения, чтобы минимизировать риски и обеспечить надёжность работы государственных информационных систем. В случае, если новые требования не будут соблюдаться, то возможны серьёзные административные и финансовые санкции. </p> <p> </p> <h2 style="text-align: left;"> Чем поможет «Форус» при адаптации под новые нормы </h2> <p> </p> <p> «Форус» обладает полноценным комплектом решений и услуг для комплексного сопровождения государственных и муниципальных учреждений в переходный период. В число ключевых предложений входят: </p> <p> </p> <ul class="line-marker-list"> <li>Аудит текущей системы безопасности с детальным отчётом о том, насколько она соответствует требованиям и какие есть риски.</li> <li>Создание индивидуального плана внедрения новых требований Приказа №117 с учётом особенностей вашей организации.</li> <li>Установка и настройка нужного программного обеспечения, включая системы для мониторинга, анализа и защиты данных.</li> <li>Организация учебных программ для сотрудников, которые будут отвечать за выполнение новых правил.</li> <li>Быстрая техническая помощь и сопровождение во время интеграции решений с государственными системами безопасности.</li> </ul> <p> </p> <p> Также «Форус» предлагает облачный сервис <a href="/produkty-1c/1c-fresh-gos/" title="https://www.forus.ru/produkty-1c/1c-fresh-gos/" target="_blank">«Аттестованный 1С:Фреш»</a>, который соответствует требованиям нового Приказа ФСТЭК №117 и может безопасно использоваться в государственных и муниципальных учреждениях. Это решение прошло аттестацию и обеспечивает необходимый уровень защиты информации. </p> <p> Применение «Аттестованного 1С:Фреш» позволяет учреждениям эффективно соблюдать новые стандарты безопасности без риска возникновения нарушений. Благодаря этому сервису доступ к важным данным организован с учётом всех обязательных мер по защите, включая строгую аутентификацию и мониторинг доступа. </p> <p> Для госструктур это означает возможность использования надёжного облачного решения, сертифицированного по актуальным законодательным требованиям, с гарантированным уровнем защиты, что упрощает цифровую трансформацию и снижает риски. </p> <p> </p> <h2 style="text-align: left;"> Советы для руководителей </h2> <p> </p> <p> Нововведения Приказа №117 нельзя игнорировать – они меняют правила игры в области информационной безопасности. Уже сейчас стоит провести внутренний аудит, определить «узкие места» и запланировать корректировки. Опыт «Форус» показывает, что своевременное подключение к экспертам и использование современных цифровых решений значительно уменьшает риски нарушений и финансовых потерь. </p> <p> Для начала сотрудничества с «Форус» достаточно оставить заявку на сайте, после чего можно получить профессиональную поддержку на каждом этапе адаптации – от планирования до успешного исполнения новых требований закона. </p> <p> </p> <div class="my-3"> <a href="https://www.forus.ru/produkty-1c/1c-fresh-gos/#contactsContainer" target="_blank" class="btn border-radius-lg bg-yellow-dark font-size-lg font-medium line-height-lg me-4 px-3 py-2">Оставить заявку</a> </div> </div> <br>