惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Schneier on Security
P
Proofpoint News Feed
Apple Machine Learning Research
Apple Machine Learning Research
WordPress大学
WordPress大学
博客园 - Franky
V
V2EX
爱范儿
爱范儿
J
Java Code Geeks
小众软件
小众软件
Last Week in AI
Last Week in AI
The Cloudflare Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Hugging Face - Blog
Hugging Face - Blog
T
The Blog of Author Tim Ferriss
酷 壳 – CoolShell
酷 壳 – CoolShell
The Register - Security
The Register - Security
GbyAI
GbyAI
Vercel News
Vercel News
Y
Y Combinator Blog
腾讯CDC
F
Fortinet All Blogs
I
InfoQ
N
Netflix TechBlog - Medium
B
Blog RSS Feed
D
Docker
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
量子位
博客园 - 司徒正美
阮一峰的网络日志
阮一峰的网络日志
The GitHub Blog
The GitHub Blog
Microsoft Security Blog
Microsoft Security Blog
V
Visual Studio Blog
博客园 - 三生石上(FineUI控件)
宝玉的分享
宝玉的分享
Blog — PlanetScale
Blog — PlanetScale
H
Help Net Security
云风的 BLOG
云风的 BLOG
A
About on SuperTechFans
Scott Helme
Scott Helme
T
Tor Project blog
U
Unit 42
Google Online Security Blog
Google Online Security Blog
PCI Perspectives
PCI Perspectives
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
NISL@THU
NISL@THU
D
Darknet – Hacking Tools, Hacker News & Cyber Security
aimingoo的专栏
aimingoo的专栏
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Stack Overflow Blog
Stack Overflow Blog
Security Archives - TechRepublic
Security Archives - TechRepublic

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Как бизнесу оценить готовность к аттестации по новому Приказу ФСТЭК № 117
tretiakovaas · 2026-05-22 · via Все публикации подряд на Хабре

Время на прочтение8 мин

Охват и читатели160

Обзор

Привет, Хабр! На связи Алёна, аналитик по информационной безопасности в Selectel. Не так давно вступил в силу новый Приказ ФСТЭК № 117.

Тогда сообщество оказалось в неожиданной ситуации. Новые требования уже действуют, но конкретные меры еще описаны. И вот, наконец, 12 апреля ФСТЭК выпустил методические рекомендации.

Месяц дискутировали с коллегами, разбирались, что конкретно поменялось и как работать теперь. Делимся первым опытом применения изменившихся норм на практике. Разбираемся: кому предназначен новый документ и как именно подготовиться к аттестации.

Содержание
Главное о новых требованиях ФСТЭК
Методические рекомендации и основные подходы
Организационные требования
Технические требования
Выводы

Главное о новых требованиях ФСТЭК

1 марта 2026 года вступил в силу Приказ ФСТЭК России № 117 от 11.04.2025. Документ утвердил новые «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее — Приказ ФСТЭК № 117 и Требования соответственно).

Он пришел на смену предыдущему Приказу ФСТЭК № 17 от 11.02.2013 — «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее — Приказ ФСТЭК № 17).

Основное отличие нового Приказа — расширенная «зона покрытия». Раньше под действие документа подпадали только государственные и взаимодействующие с ними  информационные системы (далее ИС). Теперь соблюдать установленные нормы необходимо и иным системам государственных органов и учреждений.

Также новые Требования учитывают актуальные угрозы и современные технологии, на базе которых и строятся ИС. Например, в Приказ ФСТЭК № 117 включены меры по защите контейнеризации, веб-технологий и интернета вещей, а также мероприятия по безопасности технологий искусственного интеллекта, удаленного доступа и разработки программного обеспечения. Да, и предыдущий Приказ ФСТЭК № 17 тоже подразумевал подобные процессы, однако в нем они не были четко регламентированы.

После 1 марта сообщество по информационной безопасности оказалось в неожиданной ситуации: новые Требования в силу вступили, однако конкретные меры и мероприятия для реализации в них не описаны. Если Приказ ФСТЭК № 17 содержал базовый набор мер защиты (Приложение 2), то в Приказе ФСТЭК № 117 мы видим только общие заголовки и перечни без конкретики. Отрасль находилась в ожидании официального утверждения методического документа, регламентирующего этот базовый состав.

Методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» был опубликован 12 апреля 2026 года. Финальная редакция существенно отличается от изначального проекта. В процессе утверждения некоторые меры были исключены из обязательных.

Спустя месяц изучения документа, обсуждений с коллегами и первого опыта применения норм на практике, пришло время поделиться своим видением: как именно следует подготовиться к аттестации по новым Требованиям.

Важно: ранее выданные аттестаты соответствия Приказу ФСТЭК № 17 продолжают действовать. Однако информационные системы, которым эта процедура требуется прямо сейчас, проверяются уже по правилам Приказа ФСТЭК № 117 и новым методическим рекомендациям.

Экстренно переаттестовывать действующие государственные информационные системы (далее ГИС) владельцы не обязаны, но регулятор подчеркнул необходимость спланировать переход на обновленные стандарты. Наша статья будет полезна не только организациям, проходящим аттестацию в данный момент или планирующим ее на ближайшее время, но и всем специалистам, желающим оценить готовность своей инфраструктуры к актуальным Требованиям.

Security Center

Рассказываем о лучших практиках и средствах ИБ, требованиях и изменениях в законодательстве.

Исследовать →

Методические рекомендации и основные подходы

Еще раз: новый методический документ пришел на смену предыдущему — о мерах защиты информации в государственных информационных системах от 11 февраля 2014 года.

Приказ ФСТЭК № 17 не закреплял обязательное применение методических рекомендаций — они использовались при аттестации именно ГИС. Остальные же информационные системы могли получить аттестат соответствия исключительно на основании базового набора мер — все зависело от лицензиата, проводившего работы. Теперь такая непоследовательность полностью исключена.

Интересный факт: на «ТБ‑форуме 2026» представители ФСТЭК сообщили о планах распространить действие новых методических рекомендаций на ИСПДн и объекты КИИ. Реализовать это планируется за счет внесения изменений соответственно в 21‑й и 239‑й приказы ведомства.

Новый методический документ развивает подход к информационной безопасности. Претерпела изменения и его структура.

1. Расширилась зона действия — теперь требования распространяются не только на государственные органы и их ГИС. В периметр включены: иные информационные системы госорганов и других государственных учреждений (включая, ИСПДн и объекты КИИ), ИС которые взаимодействуют с ГИС, а также центры обработки данных, где они размещаются.

2. Выделен отдельный раздел, регламентирующий мероприятия по защите информации. Подчеркивается, что информационная безопасность должна быть комплексной, а не останавливаться на установке СЗИ. Для каждого процесса сформулированы цель, а также требования к реализации, документированию и усилению.

Важно учесть: при реализации мероприятий описанные усиления не обязательны для выполнения, они не привязаны к классу информационной системы. Их можно рассматривать как точки роста для дальнейшего совершенствования системы защиты.

3. Знакомый для нас перечень мер по защите информации вынесен в отдельный раздел, а их описание (в отличие от Методики 2014 года) стало более детализированным. Структура описания каждой меры аналогична предыдущему разделу. Здесь стоит обратить внимание на то, что усиления обязательны для реализации в соответствии с классом информационной системы.

В статье мы не будем проводить подробное сравнение мер из методик между собой. Полезнее будет привести перечень того, что необходимо реализовать для успешного прохождения аттестации.

Для наглядности в качестве объекта рассмотрим наиболее распространенный тип информационной системы — класса защищенности К3. Ее инфраструктура включает несколько физических и (или) виртуальных серверов, веб-интерфейс, а также рабочие места администраторов и пользователей.

Для вашего удобства мы подготовили простой и понятный PDF — в нем самое главное.

Организационные требования

Перечислим основные документы, которые необходимо разработать для аттестуемой ИС. 

Стоит учесть, что приведенный список не является исчерпывающим, и итоговый комплект документации может выглядеть иначе. Приведенный перечень — ориентировочный, но достаточный для большинства типовых ИС. Также не забываем, что защита информационной системы не заканчивается на аттестации — процессы, описанные в документах должны действительно работать.

Нормативная база допускает адаптацию требований Методического документа под специфику конкретного объекта и принятых в компании подходов: возможно как разделение отдельных пунктов требований, так и консолидация нескольких регламентов в единые корпоративные стандарты безопасности.

На основании анализа всех требований мы сформировали список документов с понятными названиями. Их наполнение должно соответствовать процессу обработки информации, архитектуре ИС и пунктам Методического документа.

  1. Политика информационной безопасности.

  2. Регламент управления уязвимостями.

  3. Регламент управления обновлениями.

  4. Регламент управления конфигурациями.

  5. Регламент мониторинга информационной безопасности.

  6. Регламент обнаружения и предотвращения вторжений.

  7. Регламент выявления и реагирования на инциденты ИБ.

  8. Регламент предоставления доступа в Интернет.

  9. Регламент защиты мобильных устройств (если они используются).

  10. Регламент разработки безопасного ПО (если в рамках ИС ведется разработка).

  11. Регламент обеспечения физической защиты;

  12. Регламент обеспечения непрерывности функционирования;

  13. Регламент повышения уровня знаний и информированности пользователей по вопросам информационной безопасности;

  14. Регламент контроля уровня защищенности информации;

  15. Порядок управления учетными записями пользователей и доступами (включая матрицу доступа);

  16. Порядок защиты информации ограниченного доступа;

  17. Порядок защиты конечных устройств;

  18. Порядок предоставления удаленного доступа;

  19. Порядок использования средств криптографической защиты информации;

  20. Порядок предоставления доступа подрядным организациям;

  21. Порядок резервного копирования информации;

  22. Порядок антивирусной защиты;

  23. Перечень разрешенного и (или) запрещенного ПО;

  24. Инструкции администратора информационной безопасности, администратора и пользователя.

Технические требования 

Для защиты аттестуемой информационной системы нужно не только подготовить регламенты, но также развернуть и настроить правильные технические инструменты. Ниже мы собрали необходимый минимум средств защиты информации (СЗИ) и показали, какими готовыми услугами от Selectel можно закрыть эти задачи.

Тип СЗИ

Чем может помочь Selectel 

1.

Операционная система, сертифицированная по требованиям безопасности. Применение стандартной ОС с наложенными средствами защиты от несанкционированного доступа (СЗИ от НСД) формально допускается, но не рекомендуется.

ОС Astra Linux Special Edition, РЕД ОС или Secret Net LSP (как дополнение к другим дистрибутивам)

Secret Net Studio — Windows

2.

Средства двухфакторной аутентификации. Их внедрение обязательно как минимум для привилегированных пользователей. В качестве решения можно использовать как отдельные MFA-продукты, так и комплексные системы управления доступом класса IDM или PAM.

Мультифактор

3.

Средства антивирусной защиты. Помимо базовых хостовых решений, необходимо предусмотреть проверку электронной почты (если она входит в периметр ИС) и фильтрацию сетевого трафика.

Kaspersky Endpoint Security

4.

Многофункциональный межсетевой экран (NGFW). Инструмент необходим для:

сегментирования сети,

антивирусной проверки трафика,

выявления вторжений,

обеспечения безопасности вплоть до прикладного уровня (L7) модели OSI и защиты от DDoS-атак.

В качестве альтернативы допускается развернуть комплекс отдельных СЗИ:

межсетевой экран (МЭ),

потоковый антивирус (АВЗ),

систему обнаружения вторжений (СОВ) и WAF.

При этом задачу по противодействию DDoS-угрозам можно делегировать провайдеру.

UserGate (c модулем СОВ), дополнительно SolidWall и защита от DDoS

5.

Средство выявления и анализа уязвимостей.

Поиск уязвимостей

6.

Средства криптографической защиты. Их применение необходимо в том случае, если взаимодействие с ИС осуществляется по открытым каналам связи.

ГОСТ-VPN

7. 

Средство резервного копирования информации.

Кибер Бекап

8.

Средства защиты среды виртуализации. Их развертывание необходимо в том случае, если инфраструктура информационной системы построена на базе виртуальных машин.

9.

Сертифицированная СУБД или специализированные средства ее защиты. Использовать такие решения необходимо в том случае, если для обработки информации применяются системы управления базами данных.

Подробнее об информационной безопасности как услуге можно узнать на странице продуктов Selectel.

Выводы

Главная особенность аттестации по Приказу ФСТЭК № 117 — глубокая проработка организационных документов и процессов безопасности, которым теперь уделяется приоритетное внимание.

Кроме того, необходимо внедрить СЗИ для технологий, которые ранее не регламентировались так строго. В зависимости от архитектуры информационной системы, в периметр защиты могут войти контейнеризация, веб-интерфейс, разработка ПО, удаленный доступ, сессии привилегированных пользователей и другие элементы.

В новых Требованиях нет невыполнимых условий. Да, изменился сам подход, однако он полностью соответствует времени и общепринятым практикам. Здесь нет избыточной теории — только реальные угрозы, с которыми ИТ‑сообщество сталкивается ежедневно.