Дата публикации: 17.04.2026
Статья
Приказ ФСТЭК № 117 и методдокумент 2026: разбираем на практике, что изменилось и при чем тут NGFW
12 лет приказ № 17 определял защиту государственных информационных систем. С 1 марта 2026 года его заменил приказ № 117, а в апреле ФСТЭК утвердила детальный методический документ с 18 группами мер. Разбираем, что изменилось, кого это касается и какую часть требований закрывает NGFW.
Содержание статьи:
Что произошло
Кого касаются новые требования
Главные изменения: не косметика, а смена парадигмы
Процессный подход
Строгая аутентификация
Управление уязвимостями: конкретные сроки
Методдокумент 2026: 18 групп мер — что относится к сетевой безопасности
Сегментация и межсетевое экранирование
Обнаружение и предотвращение вторжений
Управление доступом и аутентификация при удаленном доступе
Защита точек беспроводного доступа
Защита электронной почты
Защита веб-трафика и DNS
Мониторинг и журналирование
Чего NGFW не закрывает — честно о границах
Почему важна сертификация
Как методдокумент детализирует приказ
Практический чек-лист
Что Ideco делает для упрощения соответствия
Итог
Кого касаются новые требования
Главные изменения: не косметика, а смена парадигмы
Процессный подход
Строгая аутентификация
Управление уязвимостями: конкретные сроки
Методдокумент 2026: 18 групп мер — что относится к сетевой безопасности
Сегментация и межсетевое экранирование
Обнаружение и предотвращение вторжений
Управление доступом и аутентификация при удаленном доступе
Защита точек беспроводного доступа
Защита электронной почты
Защита веб-трафика и DNS
Мониторинг и журналирование
Чего NGFW не закрывает — честно о границах
Почему важна сертификация
Как методдокумент детализирует приказ
Практический чек-лист
Что Ideco делает для упрощения соответствия
Итог
Что произошло
11 апреля 2025 года ФСТЭК России утвердила приказ № 117 — новые требования к защите информации в государственных информационных системах. Документ зарегистрирован Минюстом 16 июня 2025 года (№ 82 619), вступил в силу 1 марта 2026 года и полностью заменил приказ № 17 от 2013 года.
Сам по себе приказ № 117 — рамочный. Он определяет, что нужно делать, но не всегда объясняет как. Для этого ФСТЭК утвердила методический документ «Мероприятия и меры по защите информации, содержащейся в информационных системах» (информационное сообщение от 14 апреля 2026 г. № 240/22/2457) — развернутое руководство с конкретными техническими мерами, сроками и чек-листами.
Два документа работают в связке: приказ № 117 устанавливает обязательства, методдокумент детализирует их до уровня конкретных действий.
Сам по себе приказ № 117 — рамочный. Он определяет, что нужно делать, но не всегда объясняет как. Для этого ФСТЭК утвердила методический документ «Мероприятия и меры по защите информации, содержащейся в информационных системах» (информационное сообщение от 14 апреля 2026 г. № 240/22/2457) — развернутое руководство с конкретными техническими мерами, сроками и чек-листами.
Два документа работают в связке: приказ № 117 устанавливает обязательства, методдокумент детализирует их до уровня конкретных действий.
Кого касаются новые требования
Область применения расширилась по сравнению с приказом № 17. Раньше требования касались преимущественно ГИС. Теперь они обязательны для:
Последние два пункта — принципиальное новшество. Если ваша компания оказывает ИТ-услуги государственным заказчикам или получает данные из ГИС, требования приказа № 117 распространяются и на вас. Обязанность подрядной организации по выполнению политики защиты информации теперь должна быть закреплена документально (п. 16 приказа).
- государственных органов и их информационных систем (ГИС);
- государственных унитарных предприятий и учреждений;
- муниципальных информационных систем;
- организаций (в том числе субъектов КИИ) — в части ИС, подпадающих под действие приказа;
- подрядных организаций, которым передается информация или предоставляется доступ к ИС оператора;
- организаций, обеспечивающих эксплуатацию, разработку или обслуживание государственных ИС.
Последние два пункта — принципиальное новшество. Если ваша компания оказывает ИТ-услуги государственным заказчикам или получает данные из ГИС, требования приказа № 117 распространяются и на вас. Обязанность подрядной организации по выполнению политики защиты информации теперь должна быть закреплена документально (п. 16 приказа).
Главные изменения: не косметика, а смена парадигмы
Приказ № 117 сохраняет преемственность с приказом № 17, но смещает акценты: вместо разовой аттестации — непрерывный процесс, вместо размытых формулировок — конкретные метрики и сроки. Ниже — ключевые отличия.
Главный сдвиг — от «аттестовался и забыл» к системной деятельности с измеримыми результатами. Теперь важно не наличие аттестата, а реальное состояние защиты в каждый момент. Результаты расчета Кзи и Пзи нужно направлять в ФСТЭК в течение 5 рабочих дней.
Параметр | Приказ № 17 (2013) | Приказ № 117 (2025) |
Философия | Разовая аттестация | Непрерывный процесс с метриками |
Область действия | ГИС 1−3 класса | ГИС + муниципальные ИС + ИС ГУП/госучреждений + подрядчики |
Управление уязвимостями | Не детализировано | Критические — 24 ч, высокие — 7 дней |
Оценка защищенности | Аттестат и забыл | Показатель Кзи (раз в полгода) + уровень зрелости Пзи (раз в 2 года) |
Контроль защищенности | Раз в 3 года | Раз в 3 года или после инцидента + непрерывный мониторинг |
Реагирование на инциденты | Рекомендательный характер | Обязательное взаимодействие с ГосСОПКА |
Восстановление после инцидента | Не регламентировано | ИС 1 класса — 24 ч, 2 класса — 7 дней, 3 класса — 4 недели (п. 53) |
Искусственный интеллект | Отсутствует | Отдельные требования к ИИ-сервисам |
Привилегированный доступ | Не выделен | Отдельный блок: строгая аутентификация |
Меры защиты | Таблица в составе приказа | Отдельный методдокумент |
Главный сдвиг — от «аттестовался и забыл» к системной деятельности с измеримыми результатами. Теперь важно не наличие аттестата, а реальное состояние защиты в каждый момент. Результаты расчета Кзи и Пзи нужно направлять в ФСТЭК в течение 5 рабочих дней.
Процессный подход
Пункт 34 приказа № 117 определяет 21 мероприятие по защите информации (пп. а-х), а методдокумент дополнительно вводит 18 групп технических мер. Это разные сущности: мероприятия — это процессы (обязательны для всех классов защищенности), группы мер — конкретные технические требования, состав которых зависит от класса ИС.
Среди новых направлений, которых не было в приказе № 17:
Среди новых направлений, которых не было в приказе № 17:
- защита при применении мобильных устройств (п. 42);
- защита при беспроводном доступе (п. 47);
- защита привилегированного доступа (п. 48);
- разработка безопасного ПО (п. 50);
- защита от DDoS-атак (п. 59);
- защита при использовании искусственного интеллекта (п. 60);
- непрерывное взаимодействие с ГосСОПКА (п. 59).
Строгая аутентификация
Приказ № 117 оперирует тремя видами аутентификации по ГОСТ Р 58 833−2020: простая, усиленная и строгая. Строгая — это многофакторная взаимная аутентификация с применением криптографических протоколов.
Строгая аутентификация требуется в нескольких сценариях: привилегированный доступ (п. 48), удаленный доступ (п. 46), доступ с мобильных устройств (п. 42). Для привилегированного доступа предусмотрено исключение: при технической невозможности строгой аутентификации допускается усиленная многофакторная (п. 48).
Управление уязвимостями: конкретные сроки
Одно из самых значимых нововведений на практике — жесткие сроки устранения уязвимостей (п. 38):
Важно: сроки отсчитываются с момента выявления уязвимости — независимо от того, опубликована она в БДУ ФСТЭК или обнаружена иным образом. Если уязвимость отсутствует в БДУ, оператор обязан уведомить ФСТЭК в срок не более 5 рабочих дней.
Для сетевых устройств и межсетевых экранов это означает одно: обновления прошивок и баз сигнатур должны выходить быстро, а процесс их применения — быть отлаженным.
- Критический уровень опасности — не более 24 часов;
- Высокий уровень опасности — не более 7 календарных дней;
- Средний и низкий — в сроки, установленные внутренним регламентом.
Важно: сроки отсчитываются с момента выявления уязвимости — независимо от того, опубликована она в БДУ ФСТЭК или обнаружена иным образом. Если уязвимость отсутствует в БДУ, оператор обязан уведомить ФСТЭК в срок не более 5 рабочих дней.
Для сетевых устройств и межсетевых экранов это означает одно: обновления прошивок и баз сигнатур должны выходить быстро, а процесс их применения — быть отлаженным.
Методдокумент 2026: 18 групп мер — что относится к сетевой безопасности
Методический документ — практическое ядро новой нормативной базы. Он детализирует мероприятия из приказа и раскрывает содержание 18 групп технических мер защиты.
Для специалистов по сетевой безопасности ключевой вопрос: какие из этих мер можно закрыть средствами NGFW? Разберем группу за группой.
Для специалистов по сетевой безопасности ключевой вопрос: какие из этих мер можно закрыть средствами NGFW? Разберем группу за группой.
Сегментация и межсетевое экранирование
Методдокумент требует:
Это базовая функция любого NGFW. В Ideco NGFW реализован Zone-Based Firewall с политиками между зонами (LAN / DMZ / WAN / VPN / Гостевая), поддерживается виртуальный wire (L2-прозрачный режим), централизованное управление правилами доступа.
- выделить вычислительные сети в самостоятельные сегменты ИС;
- запретить несанкционированный доступ между сегментами;
- применять межсетевые экраны типа, А или Б не ниже 4-го класса защиты на границе с сетью Интернет и между сегментами.
Это базовая функция любого NGFW. В Ideco NGFW реализован Zone-Based Firewall с политиками между зонами (LAN / DMZ / WAN / VPN / Гостевая), поддерживается виртуальный wire (L2-прозрачный режим), централизованное управление правилами доступа.
Обнаружение и предотвращение вторжений
Требуется:
В Ideco NGFW встроен IPS/IDS на базе движка Suricata с регулярным обновлением сигнатурных баз. Продукт имеет сертификат ФСТЭК как СОВ уровня сети 4-го класса.
- применять системы обнаружения и предотвращения вторжений (СОВ) уровня сети не ниже 4-го класса;
- обеспечить регулярное обновление баз сигнатур.
В Ideco NGFW встроен IPS/IDS на базе движка Suricata с регулярным обновлением сигнатурных баз. Продукт имеет сертификат ФСТЭК как СОВ уровня сети 4-го класса.
Управление доступом и аутентификация при удаленном доступе
Документ требует:
Ideco NGFW выступает как VPN-шлюз с поддержкой IKEv2/IPSec, SSTP и WireGuard. ZTNA-агент использует HIP-профили для проверки состояния устройства: наличие антивируса, версия ОС, шифрование диска, принадлежность к домену. Поддерживается интеграция с Active Directory и LDAP.
- строгой аутентификации при удаленном доступе;
- проверки состояния устройства (health check) до предоставления доступа;
- принципа наименьших привилегий.
Ideco NGFW выступает как VPN-шлюз с поддержкой IKEv2/IPSec, SSTP и WireGuard. ZTNA-агент использует HIP-профили для проверки состояния устройства: наличие антивируса, версия ОС, шифрование диска, принадлежность к домену. Поддерживается интеграция с Active Directory и LDAP.
Защита точек беспроводного доступа
Требуется:
Ideco NGFW управляет доступом по учетным записям для пользователей Wi-Fi, сегментирует гостевую сеть в отдельную зону, фильтрует трафик от беспроводных устройств.
- идентифицировать точки беспроводного доступа (SSID, MAC, IP);
- запретить парольную аутентификацию для корпоративных SSID;
- сегрегировать гостевые и корпоративные сети.
Ideco NGFW управляет доступом по учетным записям для пользователей Wi-Fi, сегментирует гостевую сеть в отдельную зону, фильтрует трафик от беспроводных устройств.
Защита электронной почты
Требуется:
В Ideco NGFW реализован SMTP/IMAP-прокси с антивирусной проверкой вложений, антиспам-фильтр, блокировка по категориям и типам файлов.
- фильтрация SMTP-сессий;
- блокировка вредоносных вложений;
- антиспам;
- скрытие служебных заголовков.
В Ideco NGFW реализован SMTP/IMAP-прокси с антивирусной проверкой вложений, антиспам-фильтр, блокировка по категориям и типам файлов.
Защита веб-трафика и DNS
Требуется:
Ideco NGFW обеспечивает URL-фильтрацию по 80+ категориям, DPI, SSL/TLS-инспекцию, облачную DNS-защиту с блокировкой командных серверов ботнетов (C2C), DGA-доменов и ransomware-инфраструктуры.
- фильтрация HTTP/HTTPS-трафика;
- блокировка запросов к вредоносным доменам;
- защита DNS: блокировка DGA, C2C-доменов, DNS-туннелирования.
Ideco NGFW обеспечивает URL-фильтрацию по 80+ категориям, DPI, SSL/TLS-инспекцию, облачную DNS-защиту с блокировкой командных серверов ботнетов (C2C), DGA-доменов и ransomware-инфраструктуры.
Мониторинг и журналирование
Методдокумент требует:
Ideco NGFW ведет детальное журналирование всех соединений, событий безопасности и попыток аутентификации. Поддерживается Syslog и интеграция с SIEM-системами (MaxPatrol SIEM, RuSIEM, KOMRAD и др.).
- мониторинга сетевой активности в режиме реального времени;
- выявления аномалий;
- фиксации попыток несанкционированного доступа;
- передачи журналов в систему централизованного хранения.
Ideco NGFW ведет детальное журналирование всех соединений, событий безопасности и попыток аутентификации. Поддерживается Syslog и интеграция с SIEM-системами (MaxPatrol SIEM, RuSIEM, KOMRAD и др.).
Чего NGFW не закрывает — честно о границах
Техническая аудитория ценит честность, поэтому обозначим это прямо.
Ideco NGFW — базис сетевой безопасности. Для полного соответствия методдокументу понадобится экосистема из нескольких инструментов. Мы закрываем ключевую часть: периметровую защиту и контроль трафика.
Мера из методдокумента | Что нужно дополнительно |
WAF (защита веб-приложений, API) | Отдельный WAF: PT Application Firewall, BI. ZONE WAF |
EDR / защита конечных точек | Kaspersky EDR, ViPNet EDR, Dr.Web |
PAM (привилегированный доступ) | Indeed PAM, BI. ZONE PAM |
Сканирование уязвимостей | MaxPatrol 8/VM, RedCheck, ScanFactory |
SIEM (корреляция событий) | MaxPatrol SIEM, RuSIEM, KOMRAD |
Защита контейнерных сред | Отдельные специализированные решения |
Защита IoT-устройств | Требует комплексного подхода |
Ideco NGFW — базис сетевой безопасности. Для полного соответствия методдокументу понадобится экосистема из нескольких инструментов. Мы закрываем ключевую часть: периметровую защиту и контроль трафика.
Почему важна сертификация
Методический документ требует использования сертифицированных средств защиты информации. Без сертификата меры не могут быть зачтены при аттестации.
Ideco NGFW имеет сертификат ФСТЭК России № 4503 и подтверждает соответствие:
Почему это существенно: приказ № 117 устанавливает, что для защиты ИС 1 класса защищенности средства должны соответствовать не ниже 4-го класса защиты и 4-го уровня доверия, для 2 класса — не ниже 5-го, для 3 класса — 6-го (п. 72). Класс защиты (для МЭ/СОВ) и уровень доверия (приказ ФСТЭК № 76) — это разные требования, которые должны выполняться одновременно. Ideco NGFW соответствует обоим требованиям на уровне 4-го класса и может применяться в ИС всех трех классов защищенности.
Ideco NGFW имеет сертификат ФСТЭК России № 4503 и подтверждает соответствие:
- МЭ типа, А 4-го класса защиты;
- МЭ типа Б 4-го класса защиты;
- СОВ уровня сети 4-го класса;
- 4-му уровню доверия.
Почему это существенно: приказ № 117 устанавливает, что для защиты ИС 1 класса защищенности средства должны соответствовать не ниже 4-го класса защиты и 4-го уровня доверия, для 2 класса — не ниже 5-го, для 3 класса — 6-го (п. 72). Класс защиты (для МЭ/СОВ) и уровень доверия (приказ ФСТЭК № 76) — это разные требования, которые должны выполняться одновременно. Ideco NGFW соответствует обоим требованиям на уровне 4-го класса и может применяться в ИС всех трех классов защищенности.
Как методдокумент детализирует приказ
В разделе «Процессный подход» мы перечислили новые направления из приказа. Методдокумент превращает их в конкретные действия:
Мониторинг трафика. Не просто «применять средства мониторинга», а обеспечивать анализ в режиме реального времени, выявлять аномалии и передавать события в ГосСОПКА. Раз в год — отчет о результатах мониторинга в ФСТЭК.
Беспроводные сети. Корпоративные и гостевые точки доступа должны быть изолированы (п. 47). Корпоративный SSID должен обслуживаться средствами с возможностью идентификации устройств, гостевой доступ к корпоративным ресурсам запрещен.
Мобильные устройства. При доступе к ИС устройство должно соответствовать корпоративной политике безопасности (п. 42). Личные устройства допускаются только при наличии у оператора возможности контроля (п. 43).
Журналы безопасности. Централизованное хранение, доступность для контролирующих органов. Привилегированные действия подлежат обязательной регистрации (п. 48).
Искусственный интеллект. Отдельный блок требований (п. 60): запрет передачи информации ограниченного доступа разработчику модели, контроль наборов данных, статистические критерии достоверности, обязательное применение только доверенных технологий ИИ. Ничего подобного в приказе № 17 не было.
Мониторинг трафика. Не просто «применять средства мониторинга», а обеспечивать анализ в режиме реального времени, выявлять аномалии и передавать события в ГосСОПКА. Раз в год — отчет о результатах мониторинга в ФСТЭК.
Беспроводные сети. Корпоративные и гостевые точки доступа должны быть изолированы (п. 47). Корпоративный SSID должен обслуживаться средствами с возможностью идентификации устройств, гостевой доступ к корпоративным ресурсам запрещен.
Мобильные устройства. При доступе к ИС устройство должно соответствовать корпоративной политике безопасности (п. 42). Личные устройства допускаются только при наличии у оператора возможности контроля (п. 43).
Журналы безопасности. Централизованное хранение, доступность для контролирующих органов. Привилегированные действия подлежат обязательной регистрации (п. 48).
Искусственный интеллект. Отдельный блок требований (п. 60): запрет передачи информации ограниченного доступа разработчику модели, контроль наборов данных, статистические критерии достоверности, обязательное применение только доверенных технологий ИИ. Ничего подобного в приказе № 17 не было.
Практический чек-лист
Если вы уже используете Ideco NGFW и обязаны соответствовать приказу № 117:
- Обновить прошивку до актуальной версии — обеспечить соответствие срокам патчинга;
- Настроить зонирование: минимум LAN / DMZ / WAN / VPN — между каждой зоной явная политика;
- Включить и настроить IPS: выбрать профиль угроз, настроить периодичность обновления сигнатур;
- Активировать SSL-инспекцию: без нее до 60−70% угроз в HTTPS-трафике остаются невидимыми;
- Включить DNS-защиту: блокировка C2C, DGA, ransomware-инфраструктуры;
- Настроить VPN с HIP-профилями: проверка состояния устройства перед предоставлением доступа;
- Настроить Syslog/экспорт событий в SIEM для централизованного хранения и передачи в ГосСОПКА;
- Провести ревизию журналов: убедиться, что фиксируются все события аутентификации, нарушения политик и попытки вторжений;
- Документировать архитектуру: подготовить материалы для аттестации или переаттестации.
Что Ideco делает для упрощения соответствия
Ideco NGFW разрабатывается с учетом российского регуляторного контекста:
- Сертификат ФСТЭК № 4503 — продукт готов к применению в ГИС всех классов защищенности;
- Поддержка гостовых алгоритмов шифрования для VPN-каналов;
- Встроенные профили для типовых архитектур ГИС — снижает время первоначальной настройки;
- Комплект документации для аттестации — необходимые документы для прохождения процедуры;
- Регулярные обновления с учетом актуальных угроз из БДУ ФСТЭК — помогает соблюдать сроки методдокумента.
Итог
Приказ ФСТЭК № 117 и методический документ апреля 2026 года — не формальное обновление нормативной базы. Это переход к измеримой, процессной модели безопасности, где аттестат — не финальная точка, а один из этапов непрерывного контроля.
Для специалистов по ИБ это означает больше работы, но и более понятные правила. Конкретные сроки, метрики, обязательные процессы — вместо размытых формулировок «принять меры».
Ideco NGFW закрывает ключевую часть технических требований: сетевую сегментацию, обнаружение вторжений, безопасный удаленный доступ, контентную фильтрацию, защиту DNS и журналирование — с подтвержденным сертификатом ФСТЭК и 4-м уровнем доверия.
Для полного соответствия этого недостаточно — нужна экосистема. Но без сертифицированного NGFW на периметре соответствие невозможно в принципе.
Для специалистов по ИБ это означает больше работы, но и более понятные правила. Конкретные сроки, метрики, обязательные процессы — вместо размытых формулировок «принять меры».
Ideco NGFW закрывает ключевую часть технических требований: сетевую сегментацию, обнаружение вторжений, безопасный удаленный доступ, контентную фильтрацию, защиту DNS и журналирование — с подтвержденным сертификатом ФСТЭК и 4-м уровнем доверия.
Для полного соответствия этого недостаточно — нужна экосистема. Но без сертифицированного NGFW на периметре соответствие невозможно в принципе.
Ideco NGFW Novum для решения
ваших задач
Заполните форму, чтобы получить доступ к пилотированию
Узнайте, как аналогичную задачу можно решить в вашей компании
Другие публикации по теме