Приказы ФСТЭК для бизнеса: обзор №17, №21, №117 и №239

Если вы когда-нибудь пытались разобраться в требованиях ФСТЭК, то знаете это чувство: номера приказов сливаются в кашу, непонятно какой к чему, и вообще — касается ли это вашей компании? Давайте разложим всё по полочкам.

Зачем вообще нужны приказы ФСТЭК

ФСТЭК России — федеральная служба, которая устанавливает правила защиты информации. Если 152-ФЗ говорит «защищайте данные», то приказы ФСТЭК объясняют как именно это делать: какие меры применять, какие средства использовать, как документировать.

Для бизнеса ключевых приказов четыре. Вот карта: какой к кому относится.

Какой приказ — для кого

Если вы коммерческая организация и просто обрабатываете персональные данные клиентов и сотрудников — ваш основной документ Приказ №21. Остальные — только если вы субъект КИИ или работаете с государственными системами.

Приказ №21 — главный для бизнеса

Полное название: Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».

Кому нужен

Всем операторам ПДн, которые обрабатывают данные в информационных системах. Если у вас есть CRM, 1С с кадрами, сайт с формами — у вас есть ИСПДн, и приказ №21 для вас.

Что требует

Приказ устанавливает набор мер защиты, привязанный к уровню защищённости вашей ИСПДн:

• Идентификация и аутентификация — кто входит в систему и как подтверждает личность
• Управление доступом — кто что видит и может делать
• Защита от вредоносного ПО — антивирусы, контроль приложений
• Регистрация событий — логирование действий пользователей
• Защита среды виртуализации — если используете виртуальные серверы
• Защита информации при передаче — шифрование каналов связи
• Контроль защищённости — периодические проверки и аудиты

На практике: Для УЗ-3 и УЗ-4 (куда попадает большинство малых и средних компаний) набор мер достаточно разумный. Это не ракетостроение — базовый антивирус, разграничение доступа, парольная политика и документирование.

Чего НЕ требует

Приказ №21 не требует обязательной аттестации ИСПДн (в отличие от ГИС). Оператор сам оценивает эффективность принятых мер. Это существенно упрощает жизнь бизнесу.

Приказ №17 → №117: для госсектора

Что случилось

Приказ №17 от 2013 года действовал почти 13 лет. С 1 марта 2026 года его заменил Приказ №117 — полностью новый документ с переработанными требованиями.

Кого затронул переход

• Государственные органы (федеральные и региональные)
• Государственные унитарные предприятия (ГУП)
• Государственные учреждения (больницы, школы, вузы)
• Любые организации, эксплуатирующие ГИС

Ключевые отличия №117 от №17

Важно для бизнеса: Если вы подключаетесь к ГИС (например, система ЕГИСЗ в медицине, ГИС ЖКХ, региональные порталы) — требования приказа №117 распространяются и на ваш сегмент подключения.

Переходный период

Аттестаты, выданные до 1 марта 2026 года по старому приказу №17, продолжают действовать — но только пока конфигурация системы не изменится. Любая модернизация потребует приведения в соответствие новым требованиям.

Приказ №239: для критической инфраструктуры

Полное название: Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ».

Кому нужен

Субъектам КИИ — организациям из 14 отраслей (здравоохранение, транспорт, связь, энергетика, финансы, оборонка и др.), у которых есть значимые объекты КИИ.

Что требует

Набор мер зависит от категории значимости объекта (1, 2 или 3). Для объектов 1-й категории требования максимально жёсткие, для 3-й — базовые, но всё равно серьёзнее, чем по приказу №21.

Дополнительно к техническим мерам:

• Подключение к ГосСОПКА для мониторинга инцидентов
• Использование только сертифицированных средств защиты
• С 2026 года — только российское ПО (импортозамещение по Указу №250)

Как всё это связано

Вот простая схема:

Ваша компания обрабатывает ПДн?
  └─ Да → Приказ №21 (определите УЗ, примените меры)

Вы работаете с государственными информационными системами?
  └─ Да → Приказ №117 (с 01.03.2026, вместо №17)

Вы субъект КИИ с значимыми объектами?
  └─ Да → Приказ №239 + подключение к ГосСОПКА

В реальности ситуации часто пересекаются. Например, государственная больница одновременно:

• Обрабатывает ПДн пациентов → Приказ №21
• Эксплуатирует ГИС (ЕГИСЗ) → Приказ №117
• Является субъектом КИИ (здравоохранение) → Приказ №239

В таких случаях применяется наиболее строгий набор требований.

Типичные ошибки

1. «У нас малый бизнес — приказы ФСТЭК не для нас». Приказ №21 касается всех, у кого есть ИСПДн. Размер компании не имеет значения.

2. «Мы поставили антивирус — значит, соответствуем». Антивирус — одна мера из десятков. Нужны ещё управление доступом, логирование, документация.

3. «Аттестация обязательна для всех». Нет. Для коммерческих ИСПДн по приказу №21 — необязательна. Обязательна только для ГИС (приказ №117) и значимых объектов КИИ (приказ №239).

4. «Приказ №17 всё ещё действует». С 1 марта 2026 года — нет. Действует №117.

С чего начать

Для большинства коммерческих компаний путь такой:

1. Определите уровень защищённости вашей ИСПДн
2. Откройте приложение к Приказу №21 — найдите свой набор базовых мер
3. Проведите Gap-анализ — что уже есть, чего не хватает
4. Внедрите недостающие меры и задокументируйте

Звучит просто, но на практике нюансов хватает. Если не хотите разбираться самостоятельно — мы можем провести аудит соответствия и подготовить всю документацию.

---

Не знаете, какой приказ ФСТЭК относится к вашей организации? Напишите нам — поможем разобраться на бесплатной консультации. Или начните с экспресс-аудита — он покажет общую картину за 5 минут.