Дата материала: 08 июля 2026

КЭДО в органах власти с учетом Приказа ФСТЭК №117: вызовы информационной безопасности и выбор оптимального решения

1 марта вступил в силу Приказ ФСТЭК России от 11 апреля 2025 г. № 117, который заменил Приказ №17. Новый документ модернизирует подход к защите информации в государственных и муниципальных системах, в том числе кадровом электронном документообороте (КЭДО). В статье рассказываем, как трансформируются принципы обеспечения инфобезопасности в органах власти.

Кадровый ЭДО в госсекторе: от формальной цифровизации к жестким требованиям ИБ

В первую очередь нужно подчеркнуть: поверхностный подход больше не работает. Недостаточно так называемой «бумажной безопасности», когда организация номинально соблюдает предписания и правила, но фактический уровень защищенности под вопросом. Теперь программные продукты должны иметь продуманную архитектуру и гарантированно поддерживать новые стандарты.

Законодательство ужесточается не просто так. Количество киберугроз увеличивается, уровень их опасности возрастает. Одновременно с этим меняется подход к КЭДО. В 2026 году кадровый ЭДО нужен не только для оптимизации HR-процессов. Он перешел в разряд критически важных систем, которые напрямую связаны с обработкой и хранением персональных данных (ПДн). Поэтому необходимо усиливать меры по защите информации и повышать устойчивость ИТ-инфраструктуры.

Приказ ФСТЭК России № 117 вместо № 17: в чем разница

Основные концептуальные различия в документах можно увидеть в таблице.

Приказ ФСТЭК № 17

Приказ ФСТЭК № 117

Сфера действия Только Государственные информационные системы (ГИС) ГИС, муниципальные информационные системы (ИС), ИС госорганов, государственных унитарных предприятий и учреждений
Подход к ИБ Статичный, нет фокусировки на непрерывном мониторинге Динамический, непрерывный контроль, управление уязвимостями и конфигурациями
Оценка безопасности Аттестация после модернизации, но понятие модернизации было размыто Непрерывный контроль, дополнительные аттестационные испытания, регулярный аудит подрядчиков
Разработка ПО Общие требования к доверию ПО Прямое требование к Разработке безопасного программного обеспечения (РБПО)

Главное изменение — это расширение сферы регулирования. Теперь, помимо ГИС, строгие требования безопасности распространяются на любые внутренние информационные системы муниципальных органов власти, государственных корпораций и компаний с госучастием.

Другое важное отличие связано с оценкой защищенности ИС. Цифровые решения должны пройти аттестацию на соответствие Приказу № 117. При этом если решение модернизируется или дорабатывается, необходимо проводить дополнительные испытания, чтобы доказать сохранение нужного уровня безопасности. Аттестаты соответствия, которые выданы до 1 марта 2026 года, продолжат действовать, но при условии, что конфигурация ИС не менялась.

Для госорганов это означает, что надо тщательнее выбирать вендоров и разработчиков ПО. Помимо функциональности, важно проверять, что ИТ-продукты поддерживают сертифицированные средства защиты и соответствуют новым регуляторным требованиям.

Ключевые нововведения: РБПО и СКЗИ

Разработка безопасного программного обеспечения

Приказ № 117 обязывает соблюдать критерии РБПО по ГОСТ Р 56939-2024. Это национальный стандарт, который регламентирует защиту информации и устанавливает общие требования к созданию безопасного ПО. Документ помогает снижать риски появления уязвимостей и дефектов, обнаруживать и устранять их на всех этапах жизненного цикла программного обеспечения.

Подтверждать, что используются практики РБПО, должен орган власти, если он ведет разработку своими силами, или вендор. Для этого применяются разные подходы:

  • Статический (SAST) и динамический анализ кода (DAST). Первый метод помогает выявить и устранить уязвимости в коде до развертывания приложения. Это значительно снижает стоимость исправления и риски для безопасности. DAST проверяет уже работающую программу, имитирует атаки извне. Так можно обнаружить проблемы конфигурации и аутентификации, ошибки в управлении сеансами и обработке данных.
  • Фаззинг-тестирование. Это метод динамической проверки безопасности, при котором в программу подается большое количество случайных, некорректных или непредвиденных данных.
  • Управление уязвимостями. Такой подход обеспечивает непрерывный процесс, который направлен на обнаружение, оценку, приоритизацию и устранение слабых мест до того, как ими смогут воспользоваться злоумышленники.

Хотите узнать, не грозят ли компании утечки данных и штрафы?

В чек-листе по информационной безопасности в КЭДО рассказали, как организована надежная
защита КЭДО в электронном формате. Также подготовили подробный словарь-переводчик
«с кибербезопасного на человеческий».

Оценка влияния средств криптографической защиты информации (СКЗИ)

КЭДО напрямую связан с использованием электронных подписей: усиленной неквалифицированной (УНЭП) и усиленной квалифицированной (УКЭП). Они нужны, чтобы подписывать кадровые документы, подтверждать действия и обеспечивать юридическую значимость. Для корректной работы ЭП требуются средства криптографической защиты. Программная среда влияет на их функционирование, поэтому важно убедиться, что электронную подпись можно использовать без рисков и сбоев.

С принятием Приказа № 117 требования для органов власти стали еще строже. Интеграцию КЭДО с криптопровайдерами, например КриптоПро CSP, необходимо выполнять по техническим решениям, которые согласованы с ФСБ. Особое внимание надо уделять защищенности каналов для передачи данных и настройке среды функционирования СКЗИ.

Переходный период и подтверждающие документы

Требования приказа вступили в силу 1 марта 2026 года. Нормативная и методическая база ФСТЭК еще уточняются, поэтому рынок находится на этапе перестройки процессов. Вендоры адаптируют продукты под новые требования, государственные организации пересматривают подходы к выбору и аттестации информационных систем.

В таких условиях важно опираться на решения, которые уже имеют набор документов, подтверждающих соответствие требованиям регуляторов. Два наиболее важных из них:

  1. Сертификат ФСТЭК России. Система должна соответствовать 4-му уровню доверия. Документ дает право использовать продукт в ГИС до 1 класса защищенности включительно и на объектах критической информационной инфраструктуры (КИИ).
  2. Документы по РБПО. Письма, сертификаты соответствия или официальные отчеты — всё то, что подтверждает, что вендор внедрил и использует практики безопасной разработки по ГОСТ Р 56939-2024.

Требования к архитектуре КЭДО в ОГВ

Приказ №117 формирует строгие правила построения ИТ-ландшафта. Рассмотрим подробнее.

On-premise-размещение

Все компоненты КЭДО — серверы приложений, БД, сервисы, обрабатывающие ПДн, — надо разворачивать в закрытом контуре или в защищенном ведомственном центре обработки данных (ЦОД).

Использовать публичные облачные сервисы (SaaS) в таких сценариях нельзя, поскольку они не дают необходимого уровня контроля и безопасности информации.

Защита каналов передачи данных и доступ с мобильных устройств

Перенос информации между серверной частью КЭДО и клиентскими устройствами должен быть защищен с использованием криптографических алгоритмов. Это распространяется в том числе на мобильные телефоны, которые подключаются к системе.

Для реализации таких требований применяются сертифицированные средства защиты информации (СЗИ) сетевого уровня, например ViPNet TLS Gateway и ViPNet Client. Также можно использовать ГОСТ TLS — это отечественная версия протокола безопасной передачи данных (TLS), в которой для шифрования и электронной подписи используются российские криптографические стандарты.

Как Directum HR Pro встраивается в аттестованную среду

Почему Directum HR Pro — оптимальный выбор для ОГВ

Directum HR Pro — комплекс цифровых решений для управления персоналом, который отвечает требованиям органов государственной власти. Система учитывает особенности отрасли, обеспечивает гибкость и удобство использования, при этом информация, документы и данные находится под надежной защитой. Рассказываем, как поддерживается устойчивость и стабильность продукта.

Безопасность на базовом уровне

Directum HR Pro построена на платформе Directum RX, которая включена в реестр отечественного ПО и соответствует критериям, которые предъявляются к информационным системам персональных данных (ИСПДн). Вендор получил от экспертов Федеральной службы по техническому и экспертному контролю (ФСТЭК):

  • сертификат по 4-му уровню доверия;
  • лицензию на разработку и производство средств защиты конфиденциальной информации;
  • лицензию на техническую защиту конфиденциальной информации.

Это значит, что платформа может использоваться в ГИС 1 класса защищенности, в информационных системах до 1 уровня защищенности и на объектах КИИ.

Подтвержденная РБПО

Directum использует практики разработки безопасного ПО в соответствии со стандартами ГОСТ Р 56939-2024. Это помогает своевременно выявлять и устранять уязвимости в коде, что критически важно для защиты КЭДО в госорганизации.

Готовая архитектура для закрытого контура

Directum HR Pro изначально проектировалась так, чтобы ее было удобно и безопасно использовать в госсекторе и крупных корпорациях:

  1. Система поддерживает работу в изолированных сегментах сети и может разворачиваться on-premise, то есть на собственной физической инфраструктуре клиента.
  2. В основе продукта микросервисная архитектура. Это помогает гибко размещать сервисы, например, все персональные данные можно хранить в защищенном, аттестованном контуре.
  3. Directum HR Pro отвечает критериям импортонезависимости: работает на Astra Linux и РЕД ОС, поддерживает СУБД PostgreSQL и Postgres Pro. Это соответствует требованиям Указа Президента № 166 и Минцифры, исключает санкционные риски.
  4. Безопасный мобильный доступ и интеграция с СКЗИ

    Directum HR Pro поддерживает интеграцию с сертифицированными TLS-шлюзами, которые дают возможность безопасно передавать данные между узлами в интернете. Благодаря этому сотрудники могут защищенно подключаться к КЭДО даже с мобильных устройств. Для безопасного доступа используется, например, линейка ViPNet от ИнфоТеКС.

    Также система корректно работает со средствами криптографической защиты информации и поддерживает все виды электронных подписей в соответствии с 63-ФЗ.

Никита Коротаев
Никита Коротаев, руководитель проектов развития Directum в госсекторе

Новые требования к информационной безопасности меняют подход к внедрению КЭДО в государственном секторе. Сегодня органам власти важно выбирать решения, которые соответствуют критериям регуляторов, поддерживают работу в защищенном контуре и позволяют выстраивать устойчивую ИТ-архитектуру.

Directum HR Pro представляет собой полностью импортонезависимую систему для цифровизации КЭДО и HR-процессов. Она поддерживает on-premise-развертывание, интеграцию с российскими СКЗИ и имеет сертификат ФСТЭК по 4-му уровню доверия. На ее основе госорганы могут выстраивать кадровые процессы с учетом актуальных требований безопасности.

Никита Коротаев,руководитель проектов развития Directum в госсекторе