8 800 555-92-97
Звонок бесплатный
8 800 555-92-97
Звонок бесплатный
+7 495 240-92-96
Техподдержка
Тестировать Личный кабинет

    Подписаться на рассылку
    База знаний

    Приказ ФСТЭК №117, который говорит на языке атак: неформальный разбор

    18.03.2026

    Устаревшая защита выглядит надёжной ровно до первого взлома. Новый Приказ ФСТЭК №117 выдвигает жёсткие требования к ИТ-инфраструктуре — это не скучная нормативка, а диагноз: старые методы больше не работают. За каждым его пунктом стоит не абстрактное «должен», а готовый сценарий противодействия атаке, которую злоумышленники уже тестируют на ваших коллегах. Давайте переведём требования 117 приказа ФСТЭК России с бюрократического на человеческий и посмотрим, от какой боли они нас лечат.

    Правило 1: Критическую уязвимость — устранить за 24 часа. И это не протокол, это скорость реакции. “Кто успел — тот и съел”

    п. 38 Мероприятия по управлению уязвимостями должны включать выявление уязвимостей информационных систем, оценку их критичности, определение методов и приоритетов устранения уязвимостей, а также контроль за устранением уязвимостей. Устранение уязвимостей, которые могут быть использованы нарушителями, или исключение возможности их использования за счет применения компенсирующих мер должно проводиться оператором (обладателем информации): в отношении уязвимостей критического уровня опасности <13> — в срок не более 24 часов;

    Когда в приказе ФСТЭК №117 пишут «устранение уязвимостей критического уровня — в срок не более 24 часов», это не пожелание. Это констатация нового закона цифровой войны: окно между публикацией эксплойта (уязвимости) и началом его массовой автоматизированной эксплуатации измеряется часами. Пока ваша команда обсуждает план работ на следующую неделю, боты (автоматические программы-роботы) злоумышленников уже прочесывают сеть, сканируя тысячи IP-адресов в поисках незакрытой бреши в веб-сервере или VPN-шлюзе. Требование в сутки — это прямая директива на создание системы оперативного реагирования, превращающей процесс управления уязвимостями из ежеквартального отчета в режим постоянной боевой готовности. Это та самая скорость, которая отделяет организацию, ставшую жертвой массовой атаки, от организации, которая её отразила.

    Правило 2: Жёсткая сегментация сетей: архитектура, которая ограничивает взрыв.“Не храни все яйца в одной корзине”

    п. 63(п) сегментация и межсетевое экранирование;

    Приложение п.9 Допускается присвоение отдельным сегментам информационной системы разных классов защищенности. В этом случае меры по защите информации сегментов информационной системы и содержащейся в них информации должны приниматься в соответствии с присвоенными им классами защищенности.

    Самая опасная иллюзия — считать свою внутреннюю сеть «безопасной средой». Вредоносная программа, проникнув через фишинг (метод интернет-мошенничества) на компьютер рядового сотрудника, не остановится. Она начнёт автоматически сканировать и заражать всё, до чего сможет дотянуться, в поисках ценных данных или точек для вымогательства. Этот процесс — латеральное перемещение (боковое распространение атаки по сети) — превращает единичный инцидент в тотальную катастрофу. Требование приказа 117 ФСТЭК о разделении сети на сегменты с разными классами защищённости — это прямое указание сломать эту опасную однородность. Вы строите не единое поле, а изолированные контуры: сеть разработки отделена от финансовой, а доступ к системам управления из гостевого Wi-Fi физически невозможен. Это фундаментальный архитектурный принцип, который не дает локальной проблеме стать общесетевым кризисом.

    Правило 3: MFA и разделение ролей: “Доверяй, но проверяй”

    п. 46 Посредством проведения мероприятий по обеспечению защиты информации при удаленном доступе пользователей должна быть исключена возможность несанкционированного доступа (воздействия) к информационным системам и содержащейся в них информации, а также к взаимодействующим с ними программно-аппаратным средствам пользователей через каналы передачи данных, интерфейсы и порты удаленно подключаемых программно-аппаратных средств.

    п. 48 Посредством проведения мероприятий по обеспечению защиты информации при предоставлении привилегированного доступа должна быть исключена возможность получения привилегированного доступа к информационным системам лицами, для которых такой доступ должен быть исключен, а также использования повышенных прав доступа с нарушением внутренних стандартов и регламентов по защите информации.

    Пароль администратора — самый желанный трофей для злоумышленника. Получив его через фишинг, кражу хэша или уязвимость, атакующий получает ключи от всего и может действовать под видом легитимного пользователя месяцами. Требования о строгой многофакторной аутентификации (MFA) для привилегированного доступа и запрет на совмещение ролей системного администратора, разработчика и администратора безопасности бьют в самое сердце этой тактики. А разделение ролей означает, что даже скомпрометированная учетная запись не даёт безграничной власти. Вместе эти меры реализуют на практике принцип нулевого доверия, где каждый доступ — временный, минимально необходимый и постоянно перепроверяемый. Это ключевое требование к современной системе разграничения доступа.

    Правило 4: Анализ логов, а не их сбор: “Найти иголку в стоге сена”

    п. 49 Мероприятия по осуществлению мониторинга информационной безопасности должны предусматривать сбор данных о событиях безопасности, их обработке и анализе, а также выявление признаков реализации угроз безопасности информации и (или) нарушений требований внутренних стандартов и регламентов по защите информации. Мероприятия по осуществлению мониторинга информационной безопасности должны проводиться в отношении всех информационных систем, за исключением локальных и изолированных информационных систем, в которых должен обеспечиваться контроль журналов регистрации событий безопасности. Мероприятия по мониторингу информационной безопасности должны осуществляться в соответствии с разделами 4 и 5 ГОСТ Р 59547-2021. В ходе проведения мониторинга информационной безопасности для анализа зафиксированных событий безопасности и выявленных в них признаков реализации актуальных угроз допускается использование доверенных технологий искусственного интеллекта.

    Можно годами аккуратно хранить терабайты логов событий, но так и не заметить целенаправленную атаку. Опытный злоумышленник не станет запускать вирус из вложения. Он будет использовать встроенные в систему инструменты — PowerShell, служебные утилиты, легальные протоколы, — чтобы его активность сливалась с фоновым шумом. Требование 117 приказа ФСТЭК проводить «мониторинг информационной безопасности» с выявлением признаков угроз — это директива перейти от пассивного хранения к активному анализу. А разрешение использовать для этого технологии искусственного интеллекта — признание того, что человеческому аналитику не под силу вручную выявить сложные, растянутые во времени цепочки аномальных событий. Современный SIEM (система управления информацией и событиями безопасности), обученный на вашей нормальной активности, становится «цифровым детективом», который находит связи там, где человек видит лишь разрозненные записи, обеспечивая тем самым выполнение самых строгих требований к мониторингу.

    Правило 5: Резервная копия, которую проверили. Последняя линия обороны должна быть железобетонной

    п. 55 Оператором (обладателем информации) должно быть обеспечено: создание достаточного количества резервных копий программных, программно-аппаратных средств и их конфигураций, обеспечивающих выполнение значимых функций, необходимых для восстановления выполнения значимых функций в установленный во внутренних стандартах и регламентах по защите информации интервал времени восстановления, и периодическое тестирование таких средств на работоспособность;

    Оператор (обладатель информации) должен проводить периодические, но не реже одного раза в два года, проверки, в том числе в форме тренировок, возможности восстановления выполнения значимых функций с использованием резервных копий программных, программно-аппаратных средств и информации, необходимой для их выполнения, с привлечением работников, задействованных в проведении работ по восстановлению функционирования информационных систем.

    Любая, даже самая продвинутая защита, может дать сбой. Финальная цель таких атак, как ransomware (программы-вымогатели), — не кража, а уничтожение доступности ваших данных. Наличие резервной копии в этой ситуации — вопрос выживания бизнеса. Но ключевое слово здесь — «рабочая». ФСТЭК в своём требовании делает простой и прагматичный акцент: недостаточно создать копию, её необходимо регулярно тестировать. План восстановления, который ни разу не отрабатывался на практике, — это фикция. Требование проводить учения не реже раза в два года заставляет команду на практике убеждаться, что носители читаются, процедуры актуальны, а сроки восстановления — достижимы. Это превращает резервное копирование из «галочки» в отчете в реальный, проверенный антикризисный план, последнюю и самую важную линию обороны, гарантирующую защиту от тотальной потери данных.

    Заключение: От свода правил к системе иммунитета

    Так что же такое ФСТЭК №117 в сухом остатке? Это не просто приказ, это архитектурная схема цифрового иммунитета. Он требует не статичной защиты («поставили и забыли»), а динамического процесса — быстрого пульса обновлений, жесткого скелета сегментации, недоверчивой иммунной системы контроля доступа, зоркого глаза аналитики и проверенной способности к регенерации.

    Следовать ему буквально, но бездумно — значит получить тонны отчетов. Следовать его логике — значит выстроить систему, способную учиться на атаках, адаптироваться к ним и восстанавливаться после ударов. Разъяснения 117 приказа ФСТЭК, которые мы разобрали, показывают: это руководство к построению живого, адаптированного организма, где каждое требование работает на общую цель — защиту вашего цифрового пространства.

    В межсетевом экране ИКС ФСТЭК эти принципы нашли практическую реализацию. Решение сертифицировано ФСТЭК (включая соответствие требованиям к МЭ типа А, Б 4 класса и СОВ 4 уровня сети) и может быть интегрировано в существующую инфраструктуру или работать на программно-аппаратных комплексах ИКС RF50 (до 50 пользователей) и ИКС RF700 (до 700 сотрудников). Они адресно закрывают ключевые меры пункта 63 приказа ФСТЭК №117:

    • идентификацию и аутентификацию;
    • управление доступом;
    • сегментацию и межсетевое экранирование;
    • защиту от DDoS-атак и отказов в обслуживании.

    Встроенные механизмы IDS/IPS становятся основой для обнаружения вторжений, а организация удаленных подключений, фильтрация контента и защита от брутфорс-атак — полезным дополнением к базовому функционалу.

    При этом требования Приказа №117 ФСТЭК России распространяются на все государственные информационные системы, включая системы госорганов, ГУПов, государственных учреждений и муниципалитетов — вне зависимости от их отношения к КИИ. Поэтому выбор сертифицированного решения здесь — не просто рекомендация, а обязательное условие соблюдения законодательства и гарантия того, что ваша защита будет признана регулятором.

    В эпоху, когда ландшафт угроз меняется быстрее, чем выходят обновления, способность быстро реагировать — это уже не столько выполнение формальных требований, сколько вопрос цифрового выживания вашего бизнеса.

    Бесплатный звонок по РФ 8 800 555-92-97
    Техподдержка +7 495 240-92-96
    Email hello@a-real.ru
    Тестировать Личный кабинет
    Мы используем файлы cookie. Продолжая пользоваться сайтом, вы соглашаетесь с условиями обработки данных
    Подтверждаю