23 июля 2025

Приказ №17 ФСТЭК: новые правила информационной безопасности, которые касаются каждого

Рассказали что нужно знать бизнесу о новых требованиях в Приказе №17 ФСТЭК, как адаптироваться к новой цифровой реальности, что делать, чтобы не получить многомиллионные штрафы. А также посмотрели на зарубежный опыт — Китая и США — о внедрении подобных методик регулирования информационной безопасности.

Что мы имеем

С начала 2023 года в России действует новый регламент по защите информации в ИТ-системах — приказ №17 ФСТЭК, который получил неофициальное название «Закон о хостинге». Он касается тех, кто обрабатывает персональные, служебные или внутренние коммерческие данные. Если вы используете облачный хостинг, арендуете сервер или запускаете сервис в стороннем дата-центре — этот приказ уже может вас затрагивать.

В свое время новость о новых требованиях от ФСТЭК вызвала бурные обсуждения участников рынка, но большинство экспертов отметили, что нововведение поможет упорядочить разрозненность среди хостинг-провайдеров, а также реселлеров услуг зарубежных сервисов. Требования приказа устраняют риски кибератак извне и повышают уровень безопасности добропорядочных хостеров, что напрямую влияет на пользовательский опыт и защищенность их клиентов.

Основные требования приказа №17

Ключевая идея — все информационные системы должны делиться на три уровня защищенности. В зависимости от того, какие данные обрабатываются и какие угрозы актуальны, система попадает в одну из категорий: высокий, средний или базовый уровень. От этого и будет зависеть набор обязательных мер.

«Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый)».

Приказ ФСТЭК России № 17 от 11.02.2013
Определение класса защищенности информационной системы

Уровень значимости информации	Масштаб информационной системы
Уровень значимости информации	Федеральный	Региональный	Объектовый
УЗ 1	К1	К1	К1
УЗ 2	К1	К2	К2
УЗ 3	К2	К3	К3

Основные требования:

Каждая система должна быть формально оценена по критериям значимости и угроз.

Необходима организация мониторинга событий безопасности (реагирование и ведение журналов).

Все средства защиты (антивирусы, шифрование, контроль доступа) должны быть сертифицированы ФСТЭК или ФСБ.

Должна быть разработана внутренняя документация по ИБ — включая политику безопасности, инструкции, регламенты и планы реагирования на инциденты.

Если вы владелец информационной системы:

Необходимо определить, насколько критична ваша система, и к каким угрозам она уязвима.

На вопрос «насколько важна ваша система», большинство владельцев бизнеса ответят — «очень». Рекомендуем задать уточняющий вопрос: что произойдет, если все остановится и какие убытки в таком случае возможны? Иначе говоря, критичность системы будет зависеть от серьезности последствий остановки и скорости их наступления.

Проверку систем можно выполнить автоматическим способом с помощью удобного сервиса контроля уязвимостей DDG VM (сертифицирован ФСТЭК). По завершению работы вы получите отчет с оценкой критичности вашей системы и списком обнаруженных угроз.

Внедрять только сертифицированные средства защиты информации — антивирус, шифрование, физические компоненты средства контроля доступа (замки, системы сигнализации, видеонаблюдение) и так далее.

Регулярно вести аудит событий — журналы, анализ доступа, мониторинг нарушений.

Что должен обеспечить провайдер:

Лицензию ФСТЭК (на техническую защиту информации).
Сертифицированное ПО и оборудование.
Хранение и обработку данных исключительно на территории РФ.
Защиту от несанкционированного доступа (включая собственных администраторов провайдера).

Что должен обеспечить провайдер по закону о хостинге

Ретроспектива событий

Формально приказ вступил в силу в январе 2023 года. На практике же компании внедрять требования в свои проекты ближе к осени. Ситуация осложнялась тем, что после появления приказа на госпортале или в «Консультанте Плюс» не было нормативной базы, которая бы регламентировала содержание новых требований регуляторов.

В 2024 году появились изменения в трактовке требований: теперь под Приказ №17 попадали даже небольшие B2B-сервисы, SaaS-продукты, онлайн-платформы и маркетплейсы. ФСТЭК усилила акцент на использование сертифицированных средств защиты и отказ от иностранных решений. Импортозамещение стало не рекомендацией, а обязательным условием соответствия.

В марте 2025 года вышли новые требования ФСБ, которые коснулись использования СКЗИ (средства криптографической защиты информации) в информационных системах — нужно дополнительно выполнять требования о защите государственных информационных систем с использованием криптографических средств (финансовые операции, электронный документооборот, безопасность сетей и облачных сервисов).

Почему это важно для хостинг-провайдеров

Провайдеры, которые хотят обслуживать государственные и крупные корпоративные проекты, обязаны соответствовать требованиям:

иметь лицензии и сертифицированные СЗИ;
формировать внутреннюю ИБ-документацию;
обеспечить контроль доступа и защиту клиентских данных;
быть готовыми к проверкам со стороны заказчиков и регуляторов.

DDoS-Guard является аккредитованной российской ИТ-компанией с 2014 года. Наше программное обеспечение собственной разработки зарегистрировано в Едином реестре российских программ для ЭВМ и БД №3665. Весь легитимный трафик российских пользователей обрабатываем на территории РФ без третьих лиц. В случае возникновения DDoS-атак мусорный трафик может обрабатываться и зарубежом.

Почему это важно для владельцев информационной системы

Если вы пользуетесь услугами провайдера, который не выполняет требования регуляторов, вы не сможете пройти аудит по ИБ (например, для работы с госсектором), рискуете получить штраф до 100 000 рублей, а также будете нести полную ответственность за утечку данных ваших клиентов и сотрудников, даже в том случае, если окажется виноват подрядчик. Штрафы за утечку персональных данных для ИП и компаний составляют до 15 млн рублей.

Чек-лист вопросов для проверки провайдера

Если вы не уверены в своем хостере или находитесь на этапе рассмотрения потенциальных подрядчиков, рекомендуем задать несколько простых вопросов:

Имеется ли лицензия ФСТЭК на услуги технической защиты информации?
Есть ли сертификация на средства защиты информации?
Где физически размещена инфраструктура — строго в РФ?
Какие меры контроля доступа реализованы?
Может ли провайдер предоставить пакет ИБ-документации по вашей системе?

Если хотя бы по одному из этих пунктов будет неоднозначный ответ — это сигнал о том, что следует перепроверить всю доступную информацию о выбранном провайдере или выбрать более надежного поставщика услуг.

Помните, что обычный облачный хостинг больше не гарантирует соответствия государственным требованиям информационной безопасности. Если ваша система работает с персональными, служебными или конфиденциальными данными, вы должны выбирать только сертифицированных на территории РФ поставщиков услуг.

Почему были внесены поправки в Приказ

В 2024 году Россия вошла в топ-10 мировых лидеров по количеству кибератак. Напряженная ситуация в мире также влияет на возникновение рисков в критически важной инфраструктуре: энергетике, транспорте, здравоохранении, финансах, промышленности.

Повышайте свой уровень киберграмотности и оставайтесь в курсе последних событий из мира кибербезопасности — в нашем телеграм-канале.

В связи со всеми вышеперечисленными событиями, а также их предпосылками, ФСТЭК разработали модель контроля на основе локализованных технологий, сертифицированных решений и управляемой архитектуры ИТ-систем. Это стратегическое решение в рамках цифрового суверенитета страны. Подобной практики придерживаются многие страны по всему миру — это глобальный тренд: государства стремятся регулировать защиту данных, особенно в облаках и у подрядчиков. В зависимости от страны будет прослеживаться разница в деталях: где-то регулирование жестче, где-то мягче, но везде наблюдается переход ответственности за безопасность от государства к бизнесу. Государство, в свою очередь, выступает как глобальный регулятор.

В Европейском союзе действует требование NIS2 (Network and Information Systems Security Directive 2), которое регламентирует кибербезопасность для критически важных и цифровых сервисов. В США — FISMA (Federal Risk and Authorization Management Program), закон регулирует облачных провайдеров, которые отвечают за информационную безопасность в федеральных учреждениях. Китай разработал свою модель защиты информации — MLPS (Multi-Level Protection Scheme), которая, так же как и Приказ №17 в России, классифицирует все ИТ-системы по уровням безопасности.

Что делать бизнесу уже сейчас

Важно понять, что «Закон о хостинге» — это не бюрократическая формальность, а новая норма, по которой будет работать российский цифровой бизнес. Те, кто начнут адаптацию первыми — получат конкурентное преимущество.

Оцените, попадает ли ваша ИС под действие Приказа №17.
Подробно изучите все требования приказа, даже если у вас небольшой проект с автоматизацией процессов через CRM-систему.
Проверьте своего провайдера.
Не поленитесь запросить лицензии, перечень реализованных ИБ-мер, политику безопасности и отчет о категорировании (если вы сразу начали с этого раздела, то перейдите к главе «Основные требования приказа №17», где подробнее рассказали о категориях).
Обратитесь к проверенным специалистам по информационной безопасности.
Несерьезный подход может привести к серьезным последствиям — от штрафов до полной остановки работы вашего бизнеса.
Выбирайте надежные решения с включенной защитой от DDoS-атак.

Хостинг DDoS-Guard — финалист национальной премии ЦОДы.РФ в номинации «Хостер года». Серверы соответствуют всем требованиям РФ по локализации персональных данных.