Готовность к аттестации нельзя измерить количеством купленных средств защиты или толщиной папки с документами. Я считаю систему готовой, когда компания может точно показать границы аттестуемого объекта, обосновать класс защищенности, связать каждую обязательную меру с реальной настройкой и предъявить доказательства того, что защитные процессы работают регулярно.
Первый вопрос звучит не «какие документы собрать», а «обязана ли конкретная система проходить аттестацию». Приказ ФСТЭК России № 117 от 11 апреля 2025 года действует с 1 марта 2026 года и заменил прежние требования Приказа № 17. Даты, область применения и переходные положения приведены в официальной публикации и актуальной редакции документа.
Кого действительно касается Приказ № 117
Приказ регулирует защиту информации в государственных информационных системах, других системах государственных органов, государственных унитарных предприятий и государственных учреждений. Требования также распространяются на муниципальные информационные системы, если для них не установлен иной порядок. Обязательная аттестация до начала обработки и хранения информации прямо предусмотрена для государственных информационных систем. Для других систем государственных органов, ГУП и государственных учреждений решение принимает руководитель либо назначенное ответственное лицо.
Частная компания не обязана аттестовать всю корпоративную сеть только потому, что работает с государственным заказчиком, хранит коммерческую тайну или заключила договор с бюджетной организацией. Такой вывод не следует ни из общих положений Приказа № 117, ни из практического разбора требований.
Обязанности частного бизнеса возникают в более конкретных ситуациях. Компания может эксплуатировать государственную информационную систему, предоставлять для нее облачную или вычислительную инфраструктуру, получать доступ к защищаемой информации как подрядчик либо принимать из ГИС информацию ограниченного доступа в собственную систему. В последнем случае владелец или оператор информации определяет, какие требования должна выполнить принимающая сторона. Договор с подрядчиком также должен закреплять правила доступа и применимые меры защиты. Такой договор сам по себе еще не означает, что вся система подрядчика обязана получить аттестат.
Перед подготовкой я оформляю заключение о применимости требований. В нем указываю владельца и оператора системы, назначение, категории информации, нормативные режимы, пользователей, подрядчиков, площадки размещения и внешние связи. Одновременно проверяю смежные требования. Для информационных систем персональных данных продолжают действовать постановление Правительства № 1119 и профильные меры защиты, для значимых объектов КИИ применяются требования законодательства о КИИ, а криптографическая защита регулируется отдельными требованиями ФСБ. Такое сочетание режимов прямо предусмотрено Приказом № 117 и его опубликованной редакцией.
Ранее выданные аттестаты не утратили силу автоматически 1 марта 2026 года. ФСТЭК подтвердила, что они продолжают действовать, однако при модернизации системы оператор должен учесть новые требования и при необходимости провести дополнительные испытания по Приказу № 77. Переходный порядок раскрыт в сообщении ФСТЭК и независимом анализе изменений. Поэтому я не советую запускать повторную аттестацию только из-за смены номера приказа.
Как я провожу разрыв-анализ
Сначала фиксирую фактический периметр системы. В него могут входить не только прикладные серверы и базы данных, но и гипервизоры, контейнерные платформы, облачные ресурсы, резервные хранилища, средства администрирования, рабочие места, мобильные устройства, каналы удаленного доступа, системы мониторинга, интеграционные API и инфраструктура подрядчиков. Если технический паспорт не совпадает с реальной архитектурой, дальнейшая подготовка теряет смысл.
Затем проверяю классификацию. Приказ использует классы К1, К2 и К3. Класс определяют по уровню значимости информации и масштабу системы с помощью установленной матрицы. Отдельным сегментам можно назначить разные классы, если границы сегментов и информационные потоки обоснованы. Правила классификации приведены в приложении к Приказу № 117 и в полном тексте приказа.
После классификации сопоставляю модель угроз, базовый набор мер и фактические настройки. Для такой проверки уже нужно использовать методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» от 12 апреля 2026 года. ФСТЭК разместила официальный текст, его содержание также опубликовано в правовой базе. Старый методический документ 2014 года больше не должен служить основой для новых проектов.
Для внутренней проверки я использую четыре уровня зрелости. Шкала не относится к официальным методикам ФСТЭК и нужна только для управления проектом.
| Уровень | Состояние меры | Что вижу при проверке |
|---|---|---|
| 0 | Мера отсутствует | Нет процесса, настройки, ответственного и доказательств |
| 1 | Мера описана | Есть документ или план, но сотрудники не выполняют его регулярно |
| 2 | Мера внедрена | Настройка или процесс работают, однако доказательства неполны либо проверки нерегулярны |
| 3 | Мера подтверждена | Есть владелец, регламент, журналы, протоколы испытаний и результаты последней проверки |
Средний балл не должен скрывать блокирующие разрывы. Система с хорошим журналированием, резервированием и антивирусной защитой все равно не готова, если компания неверно определила периметр, не утвердила класс, не контролирует привилегированные учетные записи или не может подтвердить устранение критических уязвимостей.
| Область проверки | Типичный разрыв | Нужное доказательство |
|---|---|---|
| Периметр и активы | Облачные ресурсы, контейнеры или резервные узлы отсутствуют в документах | Технический паспорт, схема потоков, инвентаризация и результаты сетевой сверки |
| Классификация и угрозы | Класс выбран без расчета либо модель угроз не соответствует архитектуре | Акт классификации, модель угроз и матрица связи угроз с мерами |
| Управление доступом | Уволенные сотрудники сохраняют учетные записи, администраторы используют общие логины | Заявки, выгрузки учетных записей, журналы действий и результаты пересмотра прав |
| Конфигурации и обновления | Безопасные настройки не зафиксированы, обновления устанавливаются без проверки | Эталонные конфигурации, история изменений и протоколы тестирования обновлений |
| Уязвимости | Сканирование проводится, но найденные проблемы месяцами остаются открытыми | Отчеты сканеров, заявки на исправление и подтверждение повторной проверки |
| Мониторинг и инциденты | События собираются выборочно, сценарии реагирования не проверялись | Журналы, правила корреляции, карточки инцидентов и результаты учений |
| Восстановление | Копии создаются, но никто не восстанавливал из них рабочую систему | Протокол восстановления с фактическим временем и найденными ошибками |
| Подрядчики | Интегратор или облачный провайдер имеет доступ без формальных ограничений | Договорные требования, матрица доступа и журналы удаленных подключений |
Особое внимание я уделяю управлению уязвимостями. Критические уязвимости требуется устранять не позднее 24 часов после выявления, уязвимости высокой опасности не позднее семи календарных дней. Если исправление недоступно, оператор должен выбрать компенсирующие меры и подтвердить их эффективность. Сведения о ранее неизвестной уязвимости, которой нет в банке данных ФСТЭК, передают регулятору в течение пяти рабочих дней. Сроки указаны в разделе о защитных процессах и подтверждаются профильным разбором приказа.
Еще один частый источник ошибок связан с показателями защищенности и зрелости. Показатель защищенности Кзи рассчитывают не реже одного раза в шесть месяцев, показатель зрелости Пзи не реже одного раза в два года. Результаты направляют во ФСТЭК в течение пяти рабочих дней после расчета. Если значение ниже установленного уровня, руководителя информируют в течение трех календарных дней и готовят план улучшений.
ФСТЭК уже утвердила методику Кзи, опубликованную также в КонсультантПлюс. С методикой Пзи ситуация сложнее. Регулятор опубликовал проект в мае 2026 года, но к середине июля утвержденного документа в перечне методик не появилось. Текущий статус проекта подтверждают раздел документов ФСТЭК и отраслевой анализ методики. Внутреннюю оценку зрелости проводить можно, но выдавать собственную шкалу за утвержденную методику Пзи нельзя.
Приказ также содержит требования, которые легко упустить. Если оператор создает отдельное подразделение информационной безопасности, не менее 30 процентов его работников должны иметь профильное образование или профессиональную переподготовку. При самостоятельной разработке программного обеспечения нужно внедрить безопасный жизненный цикл, а подрядчик не должен разрабатывать и испытывать продукт непосредственно в промышленной системе. Для удаленной работы с личных устройств нужны контролируемые средства защищенного доступа, а не только обычный VPN-клиент.
Отдельный блок появился для технологий искусственного интеллекта. Нельзя передавать разработчику модели защищаемую информацию для обучения или улучшения сервиса. Оператор должен ограничивать запросы, контролировать ответы, выявлять недостоверные результаты и не позволять модели бесконтрольно принимать значимые решения. Требования приведены в тексте приказа и подробно разобраны в материале SecurityLab.
Проверки уязвимостей, моделирование атак и тестирование на проникновение допустимы только в собственной инфраструктуре либо с письменного разрешения владельца. Работы нужно проводить с учетом российского законодательства, условий договоров и правил используемых сервисов.
Как провести репетицию перед аттестацией
До официальных испытаний я провожу внутреннюю проверку на реальной системе. Бумажного аудита недостаточно. Команда должна выполнить защитные процедуры и показать полученные следы.
- Сверить технический паспорт с сетью, облаком, виртуальными машинами, контейнерами и резервными площадками.
- Проследить полный жизненный цикл нескольких учетных записей от заявки до отзыва доступа.
- Проверить персональные и встроенные административные учетные записи, смену паролей и журналирование привилегированных действий.
- Смоделировать обнаружение критической уязвимости и проверить, сможет ли команда уложиться в 24 часа.
- Восстановить один значимый сервис из резервной копии и измерить фактическое время восстановления.
- Проверить доступ подрядчиков, удаленные подключения и возможность быстро отозвать выданные права.
- Сопоставить модель угроз с работающими средствами защиты и настройками каждого сегмента.
- Собрать единый реестр доказательств для аттестующей организации.
ID требования | Мера | Владелец | Компонент | Доказательство | Дата проверки | Разрыв | Срок исправления
Аттестацию проводят по Приказу ФСТЭК № 77. Обычно оператор привлекает организацию с лицензией ФСТЭК, которая дает право проводить аттестационные испытания. Испытания включают анализ документов, проверку реализованных мер, поиск уязвимостей и оценку защищенности объекта. Действующий порядок опубликован на сайте ФСТЭК и в правовой базе.
Я подключаю будущую аттестующую организацию до финальной стадии, но не передаю ей роль владельца проекта. Лицензиат может выявить несоответствия и провести испытания, однако оператор отвечает за правильный периметр, работающие процессы и достоверность исходных данных.
Что изменится с 1 сентября 2026 года
С 1 сентября 2026 года вступят в силу поправки к порядку аттестации по Приказу ФСТЭК № 60. Для государственных информационных систем классов К1 и К2, которые подключены к интернету или взаимодействуют с другими информационными системами, тестирование на проникновение станет обязательной частью аттестационных испытаний. Исключение предусмотрено для взаимодействия через сеть шифрованной связи или VPN с сертифицированными средствами криптографической защиты.
Поправки также закрепляют аттестат на весь срок эксплуатации объекта при условии регулярного контроля, уточняют порядок проверки модернизированных систем и позволяют включать однотипные сегменты после специальных испытаний. Периодический контроль нужно будет проводить не реже одного раза в три года, а отчет направлять во ФСТЭК. Точные формулировки содержат официальная публикация Приказа № 60 и перечень поправок.
Компаниям, которые планируют аттестацию на осень 2026 года, уже сейчас нужно заложить тестирование на проникновение в бюджет и график, если система подпадает под новые условия. При этом применять будущие требования задним числом к испытаниям, завершенным до 1 сентября, оснований нет.
Мой критерий готовности выглядит просто. Компания точно определила применимость требований, утвердила корректный периметр и класс, реализовала обязательные меры, проверила процессы на реальных сценариях и собрала воспроизводимые доказательства. Пока хотя бы один из этих элементов существует только на бумаге, назначать финальные испытания рано. Аттестация подтверждает состояние конкретной системы, а не компенсирует ошибки в архитектуре, управлении и эксплуатации.
Частые вопросы об аттестации по Приказу ФСТЭК № 117
Кому нужна аттестация по Приказу ФСТЭК № 117?
Обязательная аттестация предусмотрена прежде всего для государственных информационных систем. Требования также затрагивают системы государственных органов, государственных и муниципальных учреждений, ГУП, операторов ГИС и подрядчиков, которым предоставили доступ к защищаемой информации. Частная компания не обязана аттестовать всю корпоративную инфраструктуру только из-за работы с государственным заказчиком. Объем требований зависит от роли компании, договора, состава обрабатываемой информации и границ конкретной системы.
Когда вступил в силу Приказ ФСТЭК № 117?
Приказ ФСТЭК России № 117 от 11 апреля 2025 года вступил в силу 1 марта 2026 года и заменил требования Приказа № 17. Организациям нужно применять новые правила при создании, модернизации и защите систем, которые входят в область действия приказа. Ранее выданные аттестаты не аннулировали автоматически, но изменения архитектуры и состава мер могут потребовать дополнительных испытаний.
Нужно ли частной компании проходить аттестацию ФСТЭК?
Не всегда. Частная компания может попасть под требования как оператор государственной системы, поставщик инфраструктуры, разработчик, интегратор или подрядчик с доступом к информации ограниченного доступа. Сам по себе государственный контракт не превращает всю корпоративную сеть в объект обязательной аттестации. Сначала нужно определить, какая система используется для выполнения договора, какие данные в ней обрабатываются и какие обязанности закреплены за компанией.
Какие документы нужны для аттестации по Приказу № 117?
Обычно компания готовит акт классификации, модель угроз, технический паспорт, схему информационных потоков, перечень компонентов, требования к защите, проект системы защиты, регламенты доступа, управления уязвимостями, обновлениями, резервным копированием, мониторингом и реагированием на инциденты. Точный комплект зависит от класса защищенности, архитектуры, применяемых технологий и программы аттестационных испытаний. Одних шаблонов недостаточно, документы должны совпадать с фактическими настройками системы.
Как определить класс защищенности информационной системы?
Класс К1, К2 или К3 определяют с учетом масштаба информационной системы и возможного ущерба при нарушении конфиденциальности, целостности или доступности информации. Результат оформляют актом классификации. Выбирать минимальный класс ради сокращения затрат рискованно. Аттестующая организация проверит исходные данные, границы системы и обоснование принятого решения.
Можно ли пройти аттестацию ФСТЭК без сертифицированных средств защиты?
Ответ зависит от класса системы, модели угроз, выбранных мер и требований к конкретным средствам защиты. Сертифицированный продукт не требуется автоматически для любой функции, но во многих сценариях приказ и методические документы устанавливают требования к сертификации или уровню доверия. Решение нужно обосновать в проектной документации. Покупка сертифицированного средства сама по себе не подтверждает выполнение меры, если средство неправильно настроено или не охватывает весь аттестуемый периметр.
Сколько времени занимает подготовка к аттестации ФСТЭК?
Единого срока нет. Небольшая система с понятной архитектурой и работающими процессами может подготовиться быстрее, чем распределенная платформа с облаком, подрядчиками и устаревшими компонентами. Основное время обычно уходит не на оформление документов, а на устранение уязвимостей, разделение сетей, настройку журналирования, пересмотр прав доступа и проверку восстановления. Реальный график можно составить только после инвентаризации и разрыв-анализа.
Кто имеет право проводить аттестацию информационной системы?
Аттестационные испытания обычно проводит организация, у которой есть лицензия ФСТЭК на соответствующие работы. Перед заключением договора нужно проверить действительность лицензии, перечень разрешенных услуг и опыт работы с системами нужного класса. Ответственность за корректный периметр, достоверность документов и эксплуатацию системы остается у оператора, даже если испытания проводит внешний лицензиат.
Нужно ли проводить тестирование на проникновение при аттестации?
С 1 сентября 2026 года тестирование на проникновение станет обязательной частью аттестационных испытаний для государственных информационных систем классов К1 и К2, подключенных к интернету или взаимодействующих с внешними системами. Для отдельных защищенных соединений предусмотрены исключения. Даже когда обязательного пентеста нет, программа испытаний может включать поиск уязвимостей и проверку возможности обхода реализованных мер.
Нужно ли повторно проходить аттестацию после изменения системы?
Не каждое изменение требует полной повторной аттестации. Сначала оператор оценивает, затронули ли изменения границы системы, класс защищенности, модель угроз, состав средств защиты или условия эксплуатации. Существенная модернизация может потребовать дополнительных аттестационных испытаний. Замена оборудования на однотипное без изменения защитных функций иногда оформляется через установленную процедуру контроля, но решение должно опираться на документацию и оценку влияния изменений.
