1 марта вступил в силу Приказ ФСТЭК России от 11 апреля 2025 г. № 117, который заменил Приказ №17. Новый документ модернизирует подход к защите информации в государственных и муниципальных системах, в том числе кадровом электронном документообороте (КЭДО). В статье рассказываем, как трансформируются принципы обеспечения инфобезопасности в органах власти.
В первую очередь нужно подчеркнуть: поверхностный подход больше не работает. Недостаточно так называемой «бумажной безопасности», когда организация номинально соблюдает предписания и правила, но фактический уровень защищенности под вопросом. Теперь программные продукты должны иметь продуманную архитектуру и гарантированно поддерживать новые стандарты.
Законодательство ужесточается не просто так. Количество киберугроз увеличивается, уровень их опасности возрастает. Одновременно с этим меняется подход к КЭДО. В 2026 году кадровый ЭДО нужен не только для оптимизации
Основные концептуальные различия в документах можно увидеть в таблице.
Приказ ФСТЭК № 17 |
Приказ ФСТЭК № 117 |
|
|---|---|---|
| Сфера действия | Только Государственные информационные системы (ГИС) | ГИС, муниципальные информационные системы (ИС), ИС госорганов, государственных унитарных предприятий и учреждений |
| Подход к ИБ | Статичный, нет фокусировки на непрерывном мониторинге | Динамический, непрерывный контроль, управление уязвимостями и конфигурациями |
| Оценка безопасности | Аттестация после модернизации, но понятие модернизации было размыто | Непрерывный контроль, дополнительные аттестационные испытания, регулярный аудит подрядчиков |
| Разработка ПО | Общие требования к доверию ПО | Прямое требование к Разработке безопасного программного обеспечения (РБПО) |
Главное изменение — это расширение сферы регулирования. Теперь, помимо ГИС, строгие требования безопасности распространяются на любые внутренние информационные системы муниципальных органов власти, государственных корпораций и компаний с госучастием.
Другое важное отличие связано с оценкой защищенности ИС. Цифровые решения должны пройти аттестацию на соответствие Приказу № 117. При этом если решение модернизируется или дорабатывается, необходимо проводить дополнительные испытания, чтобы доказать сохранение нужного уровня безопасности. Аттестаты соответствия, которые выданы до 1 марта 2026 года, продолжат действовать, но при условии, что конфигурация ИС не менялась.
Для госорганов это означает, что надо тщательнее выбирать вендоров и разработчиков ПО. Помимо функциональности, важно проверять, что ИТ-продукты поддерживают сертифицированные средства защиты и соответствуют новым регуляторным требованиям.
Приказ № 117 обязывает соблюдать критерии РБПО по ГОСТ Р 56939-2024. Это национальный стандарт, который регламентирует защиту информации и устанавливает общие требования к созданию безопасного ПО. Документ помогает снижать риски появления уязвимостей и дефектов, обнаруживать и устранять их на всех этапах жизненного цикла программного обеспечения.
Подтверждать, что используются практики РБПО, должен орган власти, если он ведет разработку своими силами, или вендор. Для этого применяются разные подходы:
КЭДО напрямую связан с использованием электронных подписей: усиленной неквалифицированной (УНЭП) и усиленной квалифицированной (УКЭП). Они нужны, чтобы подписывать кадровые документы, подтверждать действия и обеспечивать юридическую значимость. Для корректной работы ЭП требуются средства криптографической защиты. Программная среда влияет на их функционирование, поэтому важно убедиться, что электронную подпись можно использовать без рисков и сбоев.
С принятием Приказа № 117 требования для органов власти стали еще строже. Интеграцию КЭДО с криптопровайдерами, например КриптоПро CSP, необходимо выполнять по техническим решениям, которые согласованы с ФСБ. Особое внимание надо уделять защищенности каналов для передачи данных и настройке среды функционирования СКЗИ.
Требования приказа вступили в силу 1 марта 2026 года. Нормативная и методическая база ФСТЭК еще уточняются, поэтому рынок находится на этапе перестройки процессов. Вендоры адаптируют продукты под новые требования, государственные организации пересматривают подходы к выбору и аттестации информационных систем.
В таких условиях важно опираться на решения, которые уже имеют набор документов, подтверждающих соответствие требованиям регуляторов. Два наиболее важных из них:
Приказ №117 формирует строгие правила построения ИТ-ландшафта. Рассмотрим подробнее.
Все компоненты КЭДО — серверы приложений, БД, сервисы, обрабатывающие ПДн, — надо разворачивать в закрытом контуре или в защищенном ведомственном центре обработки данных (ЦОД).
Использовать публичные облачные сервисы (SaaS) в таких сценариях нельзя, поскольку они не дают необходимого уровня контроля и безопасности информации.
Перенос информации между серверной частью КЭДО и клиентскими устройствами должен быть защищен с использованием криптографических алгоритмов. Это распространяется в том числе на мобильные телефоны, которые подключаются к системе.
Для реализации таких требований применяются сертифицированные средства защиты информации (СЗИ) сетевого уровня, например ViPNet TLS Gateway и ViPNet Client. Также можно использовать ГОСТ TLS — это отечественная версия протокола безопасной передачи данных (TLS), в которой для шифрования и электронной подписи используются российские криптографические стандарты.
Directum HR Pro — комплекс цифровых решений для управления персоналом, который отвечает требованиям органов государственной власти. Система учитывает особенности отрасли, обеспечивает гибкость и удобство использования, при этом информация, документы и данные находится под надежной защитой. Рассказываем, как поддерживается устойчивость и стабильность продукта.
Directum HR Pro построена на платформе Directum RX, которая включена в реестр отечественного ПО и соответствует критериям, которые предъявляются к информационным системам персональных данных (ИСПДн). Вендор получил от экспертов Федеральной службы по техническому и экспертному контролю (ФСТЭК):
Это значит, что платформа может использоваться в ГИС 1 класса защищенности, в информационных системах до 1 уровня защищенности и на объектах КИИ.
Directum использует практики разработки безопасного ПО в соответствии со стандартами ГОСТ Р 56939-2024. Это помогает своевременно выявлять и устранять уязвимости в коде, что критически важно для защиты КЭДО в госорганизации.
Directum HR Pro изначально проектировалась так, чтобы ее было удобно и безопасно использовать в госсекторе и крупных корпорациях:
Directum HR Pro поддерживает интеграцию с сертифицированными TLS-шлюзами, которые дают возможность безопасно передавать данные между узлами в интернете. Благодаря этому сотрудники могут защищенно подключаться к КЭДО даже с мобильных устройств. Для безопасного доступа используется, например, линейка ViPNet от ИнфоТеКС.
Также система корректно работает со средствами криптографической защиты информации и поддерживает все виды электронных подписей в соответствии с 63-ФЗ.
Новые требования к информационной безопасности меняют подход к внедрению КЭДО в государственном секторе. Сегодня органам власти важно выбирать решения, которые соответствуют критериям регуляторов, поддерживают работу в защищенном контуре и позволяют выстраивать устойчивую ИТ-архитектуру.
Directum HR Pro представляет собой полностью импортонезависимую систему для цифровизации КЭДО и HR-процессов. Она поддерживает on-premise-развертывание, интеграцию с российскими СКЗИ и имеет сертификат ФСТЭК по 4-му уровню доверия. На ее основе госорганы могут выстраивать кадровые процессы с учетом актуальных требований безопасности.