Приказ ФСТЭК России от 11 апреля 2025 г. № 117 (Начало действия документа - 01.03.2026)
р.
р.
Приказ ФСТЭК России от 11 апреля 2025 г. № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»
Ключевые выдержки из Приказа ФСТЭК России от 11 апреля 2025 г. № 117:
Суть приказа ФСТЭК от 11 апреля 2025 г. № 117 заключается в том, чтобы утвердить требования по защите информации для ряда государственных организаций, взаимодействующих с ГИС (или создающих ГИС). Тем самым отменить силу целого ряда приказов ФСТЭК (106, 61, 17, 27), которые регулируют защиту информации, содержащейся в ГИС.
Данный документ является консолидирующим и отсылает к различным документам, связанным с защитой информации и защитой самой информационной системы, а также дополняет своими требованиями к информации в ГИС: — не содержащей государственную тайну — содержащей государственную тайну (Подпункт 9(1) пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085) — содержащей ПДН (постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119) — также требования регулируют защиту самой ГИС, если она является значимым объектом КИИ (на основании статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации)
Требования предъявляются к:
ПО
Программно-аппаратным средствам
Резервному копированию
Фиксации инцидентов
Области знания сотрудников об ИБ
Порядку разработки безопасного программного обеспечения в соответствии c ГОСТ Р 56 939−2024
Документ обязывает операторов ГИС к следующим мероприятиям, направленным на обеспечение информационной безопасности: а) выявление и оценка угроз безопасности информации; б) контроль конфигураций информационных систем; в) управление уязвимостями (устранение: критических в срок до 24 часов, высокого уровня до 7 дней) г) управление обновлениями (сроки варьируются в зависимости от сроков устранения уязвимостей соответствующих уровней опасности и рисков) д) обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа; е) обеспечение защиты информации при применении конечных устройств (необходимо вести мониторинг инцидентов); ж) обеспечение защиты информации при применении мобильных устройств (строгая аутентификация в соответствии с ГОСТ Р 58 833−2020, защита каналов передачи данных); з) обеспечение защиты информации при удаленном доступе пользователей к информационным системам (допускается предоставление удаленного доступа к информационным системам с использованием личных программно-аппаратных средств пользователя оператора (обладателя информации) при условии применения для удаленного доступа сертифицированных средств обеспечения безопасной дистанционной работы, средств антивирусной защиты и иных средств защиты информации); и) обеспечение защиты информации при беспроводном доступе пользователей к информационным системам; к) обеспечение защиты информации при предоставлении пользователям доступа к информационным системам, предусматривающего чтение, выполнение, изменение, запись, удаление программ и (или) данных в информационных системах (привилегированный доступ); л) обеспечение мониторинга информационной безопасности (мероприятия по мониторингу информационной безопасности должны осуществляться в соответствии с разделами 4 и 5 ГОСТ Р 59 547−2021); м) обеспечение разработки безопасного программного обеспечения (в случае самостоятельной разработки оператором (обладателем информации) программного обеспечения, предназначенного для использования в информационных системах, должны быть реализованы меры, предусмотренные разделами 4 и 5 ГОСТ Р 56 939−2024); н) обеспечение физической защиты информационных систем; о) обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций (интервалы времени восстановления функционирования информационных систем: 1 класс — не более 24 часов, 2 класс — не более 7 дней, 3 класс — не более 4 недель); п) повышение уровня знаний и информированности пользователей по вопросам защиты информации (мероприятия должны включать: а) доведение до пользователей информационных материалов, в том числе в форме памяток, баннеров, буклетов, по актуальным вопросам защиты информации; б) проведение лекций, семинаров, обучающих игр по вопросам защиты информации; в) проведение имитационных рассылок электронных писем на служебные адреса электронной почты, иные служебные средства коммуникаций с целью оценки устойчивости пользователей к методам социальной инженерии; г) проведение тренировок с пользователями по практической отработке мероприятий по защите информации, предусмотренных внутренними регламентами по защите информации, и формированию навыков по защите информации. Проверка знаний должна проводиться не реже 1 раза в три года или после компьютерного инцидента); р) обеспечение защиты информации при взаимодействии с подрядными организациями; с) обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании (необходимо взаимодействовать с ГосСОПКА); т) обеспечение защиты информации при использовании искусственного интеллекта (В соответствии с национальной стратегией развития искусственного интеллекта; кроме всего главное требование, о том, что информация в ГИС не может быть основой для обучения ИИ) у) реализация в информационных системах мер по их защите и защите содержащейся в них информации (в рамках защиты информации должны быть реализованы следующие меры: — идентификация и аутентификация; — управление доступом; — регистрация событий безопасности; — защита виртуализации и облачных вычислений — идентификация и аутентификация — защита сервисов электронной почты; — защита веб-технологий; — защита программных интерфейсов взаимодействия приложений; — защита конечных устройств; — защита мобильных устройств; — защита технологий интернета вещей — защита точек беспроводного доступа; — антивирусная защита; — обнаружение и предотвращение вторжений на сетевом уровне; — сегментация и межсетевое экранирование; — защита от компьютерных атак, направленных на отказ в обслуживании; — защита каналов передачи данных и сетевого взаимодействия. ф) проведение контроля уровня защищенности информации, содержащейся в информационных системах; х) обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Административная ответственность по ст. 13.12.1 КоАП РФ
Уголовная ответственность по ст. 274.1 УК РФ, если был причинен вред КИИ
В части персональных данных:
Статья 19.7 КоАП РФ: Непредставление или несвоевременное представление в уполномоченный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление таких сведений (информации) в неполном объеме или в искаженном виде
Статья 5.39 КоАП РФ: Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Часть 1 и 1.1 ст. 13.1 КоАП РФ: Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных
Часть 2 и 2.1 ст. 13.11 КоАП РФ: Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие
Часть 3 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
Часть 4 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Часть 5 и 5.1 ст. 13.11 КоАП РФ: Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
Часть 6 ст. 13.11 КоАП РФ: Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
Часть 7 ст. 13.11 КоАП РФ: Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных
Часть 8 и 9 ст. 13.11 КоАП РФ: Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ
Статья 137 УК РФ: Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации
Статья 140 УК РФ: Неправомерный отказ должностного лица в предоставлении собранных документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан
Статья 272 УК РФ: Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации