Новая редакция Приказа ФСТЭК № 117: что теперь обязательно при защите ГИС
Приказ № 117 ФСТЭК России — один из ключевых документов для всех, кто отвечает за безопасность государственных информационных систем. Осенью 2025 года документ обновился: добавлены требования к взаимодействию с подрядчиками, защите сетевой инфраструктуры, рабочих станций и виртуализированных сред. В прямом эфире AM Live эксперты «Кода Безопасности» разобрали: - Что изменилось в новой редакции приказа - Чем № 117 отличается от № 17 и как не запутаться в формулировках - Какие меры защиты теперь обязательны в контуре ГИС - Как защитить взаимодействие с подрядными организациями - Какие требования предъявляются к системам виртуализации и конечным устройствам - Какие ошибки чаще всего допускают исполнители и как их избежать 📌 Практический разбор с кейсами, пояснениями и рекомендациями — эфир будет полезен руководителям ИБ, архитекторам, интеграторам, а также тем, кто отвечает за соответствие требованиям регуляторов. Модератор: Илья Шабанов Спикеры: Павел Коростелев, Евгений Тарелкин, Дмитрий Лебедев, Ирина Обруч («Код Безопасности») Смотрите запись прямо сейчас! Тайм-коды: 00:06:11 — Введение 00:10:58 — Проблемы текущего приказа 00:13:57 — Изменения в приказе №117 00:14:49 — Новые элементы требований 00:15:44 — Новые требования и методические рекомендации 00:16:22 — Оценка соответствия и правило 20/80 00:17:13 — Уровень зрелости и защита от атак через подрядчиков 00:19:31 — Область действия приказов 00:25:11 — Защита органов государственной власти 00:29:35 — Новые требования с 1 марта 2026 года 00:31:30 — Подготовка к аттестации 00:33:03 — Дополнительные документы 00:35:15 — Применение требований к информационным системам 00:35:59 — Обязательность аттестации систем 00:37:48 — Переходное время и рекомендации 00:39:14 — Определение перечня СЗИ 00:43:33 — Моделирование угроз 00:44:29 — Современные подходы к защите 00:45:20 — Анализ техник и тактик злоумышленников 00:47:05 — Приоритизация угроз и меры защиты 00:50:23 — Периодический контроль защищённости 00:51:22 — Анализ угроз и отраслевые особенности 00:52:19 — Подход к защите информации 00:53:53 — Компенсирующие меры при использовании Windows 00:54:59 — Обсуждение операционных систем и офисных программ 00:55:42 — Аттестация информационных систем 00:57:49 — Сегментирование ГИС 00:58:26 — Результаты опроса о сложностях выполнения требований 01:00:23 — Ответственность за невыполнение требований 01:01:32 — Защита информационных систем 01:03:17 — Сетевая безопасность и нововведения 01:05:55 — Защита канала связи и взаимодействие регуляторов 01:11:38 — Логическая схема безопасного удаленного доступа 01:13:19 — Аутентификация и мониторинг 01:14:02 — Защита информации при взаимодействии с подрядчиками 01:16:28 — Аттестация удаленных рабочих мест 01:26:37 — Контроль привилегированного доступа 01:27:57 — Сертификация клиента 01:29:23 — Проверка средств защиты у подрядчиков 01:30:03 — Проверка регламентов и комплаенс-контроль 01:32:34 — Шифрование и доступность сайтов 01:33:36 — Контролируемая зона для пользователей 01:34:37 — Доступ к подрядчикам через VPN 01:36:27 — Сертифицированный антивирус 01:37:20 — Требования к NGFW 01:41:02 — Аттестация дочерних организаций 01:43:38 — Потребность в удалённом доступе 01:45:22 — Виртуализация и атаки 01:47:01 — Риски атак на виртуализацию 01:48:33 — Специфика виртуализации 01:56:36 — Проблемы аппаратных решений 02:01:54 — Защита новых информационных систем 02:04:38 — Взаимодействие с сертифицированными системами 02:14:35 — Требования приказа 1117 02:16:22 — Бенефиты средств защиты конечных точек 02:18:21 — Централизованное управление 02:20:00 — Усиление защиты ОС 02:21:15 — Управление настройками безопасности 02:21:49 — Прекращение поддержки Windows 10 и рекомендации регулятора 02:25:11 — Контроль целостности конфигурации 02:28:24 — Сертификация межсетевого экранирования и контроля съёмных носителей 02:29:41 — Обновление ядра операционной системы 02:44:25 — Экономические последствия 02:45:59 — Заключение
Приказ № 117 ФСТЭК России — один из ключевых документов для всех, кто отвечает за безопасность государственных информационных систем. Осенью 2025 года документ обновился: добавлены требования к взаимодействию с подрядчиками, защите сетевой инфраструктуры, рабочих станций и виртуализированных сред. В прямом эфире AM Live эксперты «Кода Безопасности» разобрали: - Что изменилось в новой редакции приказа - Чем № 117 отличается от № 17 и как не запутаться в формулировках - Какие меры защиты теперь обязательны в контуре ГИС - Как защитить взаимодействие с подрядными организациями - Какие требования предъявляются к системам виртуализации и конечным устройствам - Какие ошибки чаще всего допускают исполнители и как их избежать 📌 Практический разбор с кейсами, пояснениями и рекомендациями — эфир будет полезен руководителям ИБ, архитекторам, интеграторам, а также тем, кто отвечает за соответствие требованиям регуляторов. Модератор: Илья Шабанов Спикеры: Павел Коростелев, Евгений Тарелкин, Дмитрий Лебедев, Ирина Обруч («Код Безопасности») Смотрите запись прямо сейчас! Тайм-коды: 00:06:11 — Введение 00:10:58 — Проблемы текущего приказа 00:13:57 — Изменения в приказе №117 00:14:49 — Новые элементы требований 00:15:44 — Новые требования и методические рекомендации 00:16:22 — Оценка соответствия и правило 20/80 00:17:13 — Уровень зрелости и защита от атак через подрядчиков 00:19:31 — Область действия приказов 00:25:11 — Защита органов государственной власти 00:29:35 — Новые требования с 1 марта 2026 года 00:31:30 — Подготовка к аттестации 00:33:03 — Дополнительные документы 00:35:15 — Применение требований к информационным системам 00:35:59 — Обязательность аттестации систем 00:37:48 — Переходное время и рекомендации 00:39:14 — Определение перечня СЗИ 00:43:33 — Моделирование угроз 00:44:29 — Современные подходы к защите 00:45:20 — Анализ техник и тактик злоумышленников 00:47:05 — Приоритизация угроз и меры защиты 00:50:23 — Периодический контроль защищённости 00:51:22 — Анализ угроз и отраслевые особенности 00:52:19 — Подход к защите информации 00:53:53 — Компенсирующие меры при использовании Windows 00:54:59 — Обсуждение операционных систем и офисных программ 00:55:42 — Аттестация информационных систем 00:57:49 — Сегментирование ГИС 00:58:26 — Результаты опроса о сложностях выполнения требований 01:00:23 — Ответственность за невыполнение требований 01:01:32 — Защита информационных систем 01:03:17 — Сетевая безопасность и нововведения 01:05:55 — Защита канала связи и взаимодействие регуляторов 01:11:38 — Логическая схема безопасного удаленного доступа 01:13:19 — Аутентификация и мониторинг 01:14:02 — Защита информации при взаимодействии с подрядчиками 01:16:28 — Аттестация удаленных рабочих мест 01:26:37 — Контроль привилегированного доступа 01:27:57 — Сертификация клиента 01:29:23 — Проверка средств защиты у подрядчиков 01:30:03 — Проверка регламентов и комплаенс-контроль 01:32:34 — Шифрование и доступность сайтов 01:33:36 — Контролируемая зона для пользователей 01:34:37 — Доступ к подрядчикам через VPN 01:36:27 — Сертифицированный антивирус 01:37:20 — Требования к NGFW 01:41:02 — Аттестация дочерних организаций 01:43:38 — Потребность в удалённом доступе 01:45:22 — Виртуализация и атаки 01:47:01 — Риски атак на виртуализацию 01:48:33 — Специфика виртуализации 01:56:36 — Проблемы аппаратных решений 02:01:54 — Защита новых информационных систем 02:04:38 — Взаимодействие с сертифицированными системами 02:14:35 — Требования приказа 1117 02:16:22 — Бенефиты средств защиты конечных точек 02:18:21 — Централизованное управление 02:20:00 — Усиление защиты ОС 02:21:15 — Управление настройками безопасности 02:21:49 — Прекращение поддержки Windows 10 и рекомендации регулятора 02:25:11 — Контроль целостности конфигурации 02:28:24 — Сертификация межсетевого экранирования и контроля съёмных носителей 02:29:41 — Обновление ядра операционной системы 02:44:25 — Экономические последствия 02:45:59 — Заключение