Нововведения в законодательстве ИБ в 2026 году: что изменится и как адаптироваться

Новый приказ ФСТЭК № 117 меняет саму логику регулирования. Если приказ № 17 сосредоточен на выполнении требований и проверке наличия мер, то приказ № 117 закрепляет дополнительно риск-ориентированный подход и связь защиты с реальными процессами обработки данных. Контроль наличия мер информационной безопасности дополняется оценкой их обоснованности и эффективности в контексте конкретных угроз.

Как сейчас: приказ № 17 устанавливает фиксированный перечень требований к защите информации в ИС. Категорирование и выбор мер в значительной степени зависят от типа системы, а не от реальных сценариев угроз и ущерба.

Как станет: приказ № 117 требует выстраивать обеспечение информационной безопасности исходя из модели угроз, рисков и условий эксплуатации. Формально одинаковые ИС могут требовать разного уровня защиты, если различаются последствия инцидентов.

В новом документе ФСТЭК существенно переработал понятийный аппарат. Это важно для юристов: уточнение терминологии влияет на предмет регулирования и на оценку соблюдения требований при проверках и расследовании инцидентов.

Как сейчас: приказ № 17 оперирует ограниченным набором терминов, многие из которых не были синхронизированы с ФЗ № 149-ФЗ, ФЗ № 187-ФЗ и подзаконными актами ФСТЭК и ФСБ. Понятие ИС трактуется достаточно узко.

Как станет: приказ № 117 расширяет и уточняет терминологию, вводя более целостное понимание того, что такое система информационной безопасности в организации, включая организационные, программные и технические меры. Термины приведены в соответствие с действующим законодательством и практикой регулятора.

Одна из ключевых методологических перемен — ослабление жесткой зависимости между классом ИС и набором мер при сохранении обязательной классификации.

Как сейчас: классы защищенности ИС по приказу № 17 фактически определяют исчерпывающий набор мер. Это упрощает проверку, но плохо отражает реальный уровень угроз.

Как станет: приказ № 117 вводит более гибкое определение уровней информационной безопасности, которые формируются на основе анализа ущерба, актуальных угроз и архитектуры системы. Регулятор прямо указывает на необходимость учитывать риски информационной безопасности, а не только формальные признаки.

Подход к моделированию угроз претерпел качественные изменения.

Как сейчас: модель угроз по приказу № 17 часто разрабатывается формально и используется только на этапе проектирования или аттестации. Это неправильный подход, которого юристы советуют избегать и до вступления приказа №117 в силу. 

Как станет: особое внимание в модели угроз должно уделяться угрозам безопасности информационных систем, связанным с удаленным доступом, цепочками поставок и человеческим фактором.

Новый приказ усиливает требования к управленческому уровню защиты.

Как сейчас: организационные меры по приказу № 17 часто сводятся к наличию поверхностных регламентов и приказов.

Как станет: приказ № 117 прямо связывает организационные меры с управлением процессами. Политика информационной безопасности обязательно должна быть рабочим документом, определяющим роли, ответственность и порядок принятия решений. Усиливается значение обучения персонала и внутреннего контроля.

Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных

Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса

Консультация

Изменения затрагивают и практику внедрения средств защиты.

Как сейчас: акцент делается на перечне сертифицированных СЗИ и их наличии в системе.

Как станет: приказ № 117 смещает фокус на результат. Компьютерная информационная безопасность оценивается через способность предотвращать и выявлять инциденты благодаря правильным и своевременно принятым мерам. Допускается использование комбинированных решений, при условии обоснования эффективности. Возрастает роль мониторинга и журналирования.

Отдельно выделены современные архитектуры ИС.

Как было: приказ № 17 слабо учитывает распределенные и гибридные архитектуры, что создает проблемы при защите облачных и сетевых решений.

Как станет: в приказе № 117 подробно описаны требования к системам информационной безопасности сети, а также к информационной безопасности автоматизированных систем с распределенной обработкой данных. Учитываются виртуализация, удаленные рабочие места и сегментация.

Новый приказ усиливает требования к управлению инцидентами.

Как сейчас: нет четких процедур и регламентов, есть только сроки реагирования и общий порядок взаимодействия.

Как станет: приказ № 117 уточняет процессы выявления, анализа и устранения инцидентов. Техническое обеспечение информационной безопасности должно включать средства корреляции событий и контроля целостности. Это напрямую связано с пониманием основных угроз информационной безопасности.

Документ вписывается в стратегический контекст.

Как сейчас: приказ № 17 рассматривается как технический норматив без явной связи с доктриной ИБ.

Как станет: приказ № 117 прямо коррелирует с задачами, которые ставит информационная безопасность РФ и, в частности, российской экономики в условиях санкций и цифрового суверенитета. Подчеркивается, что суть информационной безопасности — в обеспечении устойчивости и доверия к цифровым процессам.

Для руководителей это означает рост управленческой ответственности.

Как сейчас: ответственность часто «замыкается» на ИБ-подразделении.

Как станет: приказ № 117 фактически закрепляет, что информационная безопасность важна на уровне высшего менеджмента. Ошибки в оценке угроз ИБ могут повлечь не только регуляторные, но и имущественные риски. Разработка эффективных методов ИБ становится частью корпоративного управления.

Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных

Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса

Консультация

Мы подготовили несколько полезных советов, которые помогут вам адаптироваться к новым реалиям:

1. Проведите правовой аудит действующей системы защиты информации. Начните с сопоставления текущих организационных и технических мер с требованиями приказа № 117. Особое внимание уделите основаниям выбора мер защиты: при проверке ФСТЭК будет оцениваться не факт их наличия, а обоснованность с точки зрения угроз и последствий. Не относитесь к этому поверхностно. 

2. Актуализируйте модель угроз и нарушителя. Проверьте, отражает ли модель реальные сценарии атак. Если документ устарел, вашу систему защиты могут признать несоответствующей требованиям, даже если вы используете сертифицированные СЗИ.

3. Пересмотрите локальные нормативные акты. Политики, положения и регламенты по ИБ должны быть синхронизированы с новой терминологией и логикой приказа № 117. Документы, разработанные «под 17-й приказ», юридически устареют и не обеспечат защиту организации при проверках и инцидентах.

4. Проверьте распределение ответственности. Закрепите роли и полномочия не только ИБ-специалистов, но и руководителей подразделений, ИТ-службы и топ-менеджмента. Приказ № 117 фактически расширяет зону управленческой ответственности — это нужно отразить в приказах и должностных инструкциях.

5. Оцените готовность к контролю и инцидентам. Проверьте, есть ли четкие процедуры выявления, фиксации и анализа инцидентов, а также порядок принятия управленческих решений по их итогам. Отсутствие таких процедур — типичное уязвимое место с точки зрения регулятора.

6. Не откладывайте на потом. Переход на новые требования требует времени: пересмотра документов, доработки архитектуры защиты, обучения персонала.

С учетом того, что приказ ФСТЭК №117 вступает в силу с 01 марта 2026 года, оптимальная стратегия — начать подготовку заранее, пока изменения еще можно внедрить без авралов и рисков.

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGi4j8U