Posts Tagged: ГИГАНТ

Алексей Колодка, директор по работе с государственными заказчиками компании «ГИГАНТ — Компьютерные системы» рассказал о главных изменениях в аттестации ГИС и объектов КИИ в 2026 году, об особенностях для систем на open source, а также затронул неочевидные риски: утерянные данные об open source в старых системах, кадровые требования, интеграцию сертифицированных СЗИ с открытой архитектурой и зону неопределённости с ИИ.

Что конкретно в 2026 году станет главной «головной болью» для владельцев ГИС и объектов КИИ по сравнению с предыдущими годами?

Главной «головной болью» для владельцев ГИС и объектов КИИ в 2026 году станет вступление в силу приказа ФСТЭК России №117 от 11.04.2025 и изменение регуляторной логики контроля. С 1 марта 2026 года неисполнение требований приказа будет влечь оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.

Существенное изменение касается не только самих ГИС, но и иных информационных систем государственных органов, включая ФАИВ и РАИВ. Регулирование становится шире по охвату, а требования — более комплексными. При этом исчезает привычная модель контроля через фиксированный перечень мер защиты. Вместо нее вводятся показатели защищенности и показатели уровня зрелости процессов обеспечения безопасности. Показатели защищенности подлежат оценке не реже одного раза в полгода, а показатели зрелости — не реже одного раза в два года. Это означает переход от формального подтверждения наличия мер к оценке устойчивости и управляемости всей системы обеспечения защиты информации.

Отдельный акцент приказ делает на применении сертифицированных средств защиты информации. Формально требование использовать сертифицированные СЗИ сохраняется, однако теперь оно рассматривается в более широком контексте политики технологического суверенитета и импортозамещения. В документе учитываются ограничения, связанные с запретами, установленными пунктом 6 указа Президента Российской Федерации от 01.05.2022 №250, что требует дополнительной проверки применяемых решений на соответствие этим ограничениям.

Важным практическим вопросом становится статус действующих аттестатов соответствия. Аттестаты, выданные до 01.03.2026, сохраняют свою силу до окончания срока их действия. Однако системы, вводимые в эксплуатацию после этой даты либо проходящие повторную процедуру оценки, должны аттестовываться уже по новым правилам с привлечением лицензированных организаций ФСТЭК России. Это создает дополнительную нагрузку на рынок и требует более раннего планирования работ.

Таким образом, в 2026 году основным вызовом станет не отдельная техническая мера, а совокупность факторов: усиление ответственности, переход к показателям вместо перечня мер, акцент на зрелости процессов и обязательное соблюдение ограничений в части используемых решений. Именно изменение самой модели регулирования станет для владельцев ГИС и объектов КИИ ключевым источником сложностей по сравнению с предыдущими годами.

Какие особенности аттестации систем, которая уже построена на полностью отечественном оборудовании, но использует open source? Есть ли особенности в этой процедуре с учётом реальной практики ФСТЭК?

Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Весь используемый open source должен быть детально описан в составе аттестационных материалов: необходимо указать точные версии, источники получения, условия лицензирования и характер встраивания в систему. Для регулятора принципиально важно понимать, какие именно компоненты используются, откуда они получены и в каком виде эксплуатируются. Отсутствие такой детализации воспринимается как недостаток управляемости.

Отдельно требуется анализ потенциальной поверхности атаки, связанной с применением open source. Заказчик, инициирующий аттестацию, обязан формализованно описать возможные векторы внешнего воздействия, оценить риски эксплуатации уязвимостей и обосновать принятые меры защиты. Эти сведения отражаются в модели угроз и сопутствующей документации по обеспечению безопасности.

Также необходимо документально подтвердить реализацию функций безопасности в архитектуре системы — фактически показать, каким образом обеспечивается выполнение требований по защите информации с учетом использования сторонних компонентов. В ряде случаев формируется отдельный перечень ссылок на исходные коды и используемые версии open source, чтобы обеспечить прослеживаемость и воспроизводимость конфигурации.

Дополнительно с 2025 года усиливаются требования к учету всех программных компонентов, входящих в состав системы. Организация должна вести актуальный перечень используемого программного обеспечения, включая open source, с указанием версий и статуса сопровождения. В реальной практике ФСТЭК проверяется не только наличие такого перечня, но и его актуальность, а также связка с процессом управления уязвимостями.

Как выстраивать план подготовки к аттестации в 2026 году, чтобы закрыть вопросы по управлению уязвимостями разношерстного парка оборудования, когда вендоры не всегда успевают выпускать патчи?

При подготовке к аттестации в 2026 году ключевым является не столько факт наличия отдельных неустраненных уязвимостей, сколько наличие системно выстроенного процесса управления ими в соответствии с требованиями приказа №117. Процедура оценки включает анализ исходного кода, применение инструментов статического и динамического анализа, проведение тестирования на проникновение и экспертную оценку уязвимостей — это стандартный комплекс работ при подтверждении соответствия.

В ситуации, когда парк оборудования и программных компонентов разнороден, а вендоры не всегда оперативно выпускают патчи, критично продемонстрировать регулятору управляемость процесса. Если производитель не выпустил обновление, само по себе это не является автоматическим нарушением. Значение имеет наличие формализованной программы управления уязвимостями: регулярный мониторинг информации о новых уязвимостях, классификация по степени критичности, фиксация решений о применении компенсирующих мер, документирование сроков устранения и контроль их соблюдения.

ФСТЭК России оценивает не только техническое состояние системы в конкретный момент времени, но и зрелость процессов. В рамках проверок, как правило, предоставляется время на устранение выявленных несоответствий, если организация демонстрирует системный подход и реальную работу по снижению рисков. Поэтому план подготовки к аттестации должен включать актуализацию регламентов управления уязвимостями, инвентаризацию активов, настройку инструментов сканирования, формирование приоритетов устранения и внедрение компенсирующих мер там, где обновление временно невозможно.

Иными словами, при разношерстном парке оборудования акцент необходимо делать на прозрачности процессов и документированной управляемости рисков. Если организация уже выстроила подобную модель работы, ее целесообразно сохранить и адаптировать под требования приказа №117, не меняя принципиально подход, а усилив дисциплину исполнения и контроль сроков.

Бюджеты на безопасность в 2026 году у многих остались на уровне прошлого года или урезаны. Какие организационно-технические мероприятия позволяют пройти аттестацию ГИС/КИИ без дополнительных затрат на сторонних экспертов?

В части аттестации ГИС и объектов КИИ стоит учитывать, что ФСТЭК России в 2024-2025 годах проводила системную работу с государственными организациями по приведению информационных систем в соответствие требованиям приказа №117. В результате значительная часть ГИС и объектов КИИ уже прошла необходимые процедуры оценки соответствия, а выданные аттестаты продолжают действовать.

Поэтому в 2026 году для большинства действующих систем повторная аттестация, скорее всего, не потребуется — при условии отсутствия существенных изменений архитектуры, состава средств защиты информации или функционального назначения системы.

Иная ситуация возможна для новых информационных систем, вводимых в эксплуатацию после 01.03.2026 года, а также для систем, подвергшихся модернизации. В этих случаях действительно может потребоваться дополнительная настройка организационных и технических мер защиты, пересмотр модели угроз и приведение документации в соответствие обновленным требованиям. Здесь целесообразно заранее усилить фокус на вопросах информационной безопасности и корректности проектирования защиты.

Что касается минимизации затрат, необходимо учитывать нормативные ограничения. Законодательство прямо предусматривает, что аттестация проводится с привлечением организаций, имеющих соответствующие лицензии ФСТЭК России. Соответственно, полностью отказаться от участия лицензированного подрядчика невозможно — это обязательное требование регулятора.

Оптимизация бюджета возможна за счет предварительной внутренней подготовки: актуализации организационно-распорядительной документации, инвентаризации активов, проверки корректности настроек средств защиты и устранения выявленных несоответствий до выхода на процедуру аттестации. Такой подход позволяет сократить объем работ внешнего исполнителя и, как следствие, итоговую стоимость проекта.

Какие есть неочевидные риски, связанный с приказом №117?

Приказ ФСТЭК России №117, вступающий в силу с 1 марта 2026 года, существенно ужесточает требования к государственным информационным системам и иным ИС госорганов, и часть рисков, возникающих в этой связи, носит неочевидный характер. В первую очередь это касается использования open source-компонентов. Новые требования предполагают повышенную прозрачность — необходимо фиксировать происхождение компонентов, их версионность, источники получения, обеспечивать контроль уязвимостей и сопровождение. При этом многие ГИС разрабатывались в предыдущие годы, когда подобный уровень документирования не являлся обязательным. В результате организации могут столкнуться с тем, что часть сведений по использованным open source-библиотекам либо отсутствует, либо не может быть подтверждена документально, и восстановить эту информацию ретроспективно крайне затруднительно.

Дополнительный риск связан с качеством сопровождения open source. За время эксплуатации подрядчики могли меняться, поддержка отдельных компонентов могла прекращаться, а требования к надежности и безопасности ГИС объективно остаются высокими. Отсутствие устойчивой модели сопровождения и обновления становится операционным риском, особенно в условиях повышенного внимания регулятора к уязвимостям и управлению жизненным циклом компонентов.

Серьезным фактором становится и усиление требований к персоналу, обеспечивающему безопасность ГИС. На практике не все организации располагают достаточным количеством специалистов необходимой квалификации, а формальное несоответствие кадровым требованиям может быть квалифицировано как нарушение. Одновременно меняется сама логика контроля: вместо привычного перечня мер защиты вводятся показатели КЗИ и ПЗИ, что увеличивает нагрузку на организации с точки зрения аналитики и отчетности. Показатели необходимо подтверждать на регулярной основе, при этом они отражают не только формальное наличие средств защиты, но и зрелость процессов. При формальном подходе возникает риск подготовки отчетности ради соответствия индикаторам, что при проверке может привести к предписаниям со стороны регулятора.

Отдельная зона неопределенности связана с использованием технологий искусственного интеллекта в новых системах. Такие решения требуют дополнительного обоснования с точки зрения управляемости, предсказуемости и соответствия требованиям безопасности, а при отсутствии четкой методической проработки могут вызвать вопросы при оценке соответствия. Наконец, на практике сохраняются сложности интеграции сертифицированных средств защиты информации и СКЗИ с архитектурами, построенными на open source. Многие действующие ГИС создавались в период, когда вопросы совместимости с сертифицированными СЗИ не являлись приоритетом, и сегодня это может потребовать переработки отдельных архитектурных решений. В совокупности именно архитектурное наследие систем, уровень документирования, модель сопровождения и зрелость процессов могут стать ключевыми рисками при реализации требований приказа №117 в 2026 году.

1 марта вступил в силу федеральный закон №168-ФЗ. Он требует перевода на русский язык информации, предназначенной для ознакомления потребителей, а также различных терминов. Как он скажется на ИТ и ИБ, где значительную часть терминов составляют англоязычные, в лучшем случае транслитерированные?

Введение

Уже 1 марта вступает в силу закон № 168-ФЗ. Он вносит изменения в целый ряд других законов, в том числе «О защите прав потребителя» и «О государственном языке». Однако наиболее значимы изменения всё же в законе о правах потребителей.

Действительно, закон «О защите прав потребителя» принят ещё в 1993 году и основательно устарел. Многие его положения требуют уточнений, в том числе касающиеся перевода на русский язык и другие официальные языки субъектов РФ информации, знакомящей потребителей с товаром или услугой. Эта норма в начале 1990-х не всегда соблюдалась, что иногда приводило к довольно тяжёлым последствиям. Так, было несколько смертей, связанных с передозировками препаратов, имеющих разные торговые названия, но одно действующее вещество. Обычно речь шла о лекарствах на основе парацетамола от зарубежных фармкомпаний, которых в общей сложности около 200, причём многие из них содержат данное действующее вещество в высокой дозировке.

В новом законе требования о переводе информации существенно усилены. Но такой подход связан с множеством рисков, которые далеко не всегда очевидны. Так, председатель комитета Государственной Думы РФ по финансовому рынку Анатолий Аксаков на одной из недавних пресс-конференций посетовал на то, что новые требования вынуждают придумывать термины, которые могут подменять те, что давно сложились, а это не может не влиять на бизнес. В частности, речь идёт о «партнёрском банкинге», который стал переводом общепринятого термина Islamic banking.

С ИТ и ИБ всё ещё сложнее. В этих отраслях традиционно велик удельный вес если не полностью англоязычной терминологии, то плохо обрусевших англицизмов, многие из которых только транслитерированы кириллицей.

Особенно тяжёлая ситуация — в относительно новых сегментах, где русскоязычная терминология просто не сформировалась. В других языках народов России, а на них также может потребоваться переводить документацию и пользовательские материалы, своих ИТ- и ИБ-терминов может просто не быть — а это тоже поле для непонимания и конфликтов. Впрочем, данная угроза всё же из разряда теоретических, так как пока сфера использования национальных языков довольно ограничена. Однако её вполне могут расширить, особенно в отношении продуктов, которые продаются в рознице.

Возможен и целый ряд других неприятностей. В частности, вырастет нагрузка на технических писателей и сотрудников служб маркетинга. Не исключены конфликтные ситуации, связанные с непониманием новоизобретённых терминов. Это может породить волну злоупотреблений, причём как со стороны ИТ-компаний, так и их потенциальных заказчиков.

Чего требует закон?

Закон №168-ФЗ требует от компаний перевода информации, предназначенной «для публичного ознакомления потребителей и не являющейся рекламой», на русский язык. В ряде случаев, если того требуют законодательные акты субъектов Российской Федерации, нужен перевод на другие языки, установленные в качестве официальных. Также требования закона обязывают давать точный перевод иностранных слов, которые используются в информационных материалах для потребителей.

Сферу действия закона его первая статья определяет так:

«Информация, предназначенная для публичного ознакомления потребителей и не являющаяся рекламой, которая размещается изготовителем (исполнителем, продавцом) в общедоступных местах (местах, доступных для неопределённого круга лиц) и (или) доводится до сведения неопределённого круга потребителей (в случае размещения такой информации) с использованием вывесок или иных средств размещения информации (надписей, указателей, внешних поверхностей, информационных табличек, информационных знаков, конструкций, сооружений, технических приспособлений и других носителей, предназначенных для распространения информации, за исключением рекламных конструкций) при осуществлении торговли, бытового и иных видов обслуживания потребителей».

Сделаны и определённые исключения. В частности, для слов, которые являются товарными знаками, фирменными наименованиями, знаками обслуживания. Правительственное постановление №1102-р допускает использовать иностранные слова, которые включены в один из указанных в нём словарей русского языка. В этот перечень вошёл и наиболее подробный словарь, разработанный Институтом русского языка РАН им. В. В. Виноградова. Туда включено много популярных в ИТ и ИБ слов, включая «баг», «консалтинг», «провайдер» и др.

Однако, как предупредил в личном телеграм-канале бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, вне закона оказываются такие слова и выражения, как «пентест», «эксплойт», «редтим», «блютим», «фишинг», «фреймворк», не говоря уже о часто оставляемых без русского перевода threat hunting, SOC, NGFW, EDR, sandbox, zero trust.

Как видно, требования, предъявляемые в законе, сильно размыты. В итоге многие компании, по советам юристов, перестраховываются, толкуя требования закона максимально широко.

Главный юрист продуктовой группы Контур.Эгида и Staffcop Ольга Попова считает, что данный закон в большей степени регулирует отношения между потребителями – физическими лицами и изготовителями (исполнителями, продавцами). Соответственно, по её мнению, основные возможные неудобства понесут разработчики ПО, аппаратных и программно-аппаратных средств, предназначенных для конечных пользователей или микробизнеса, которые приобретают данную продукцию по розничным каналам.

Руководитель юридической службы ALMI Partner Юлия Чехонина считает, что требования закона распространяются на сайты, приложения, рекламные и информационные материалы.

По её мнению, придётся вносить изменения в маркетинговые тексты, пользовательские соглашения, контент в корпоративных пабликах в соцсетях, а также в интерфейсы приложений — одним словом, практически во всё, что так или иначе относится к публичным коммуникациям с клиентами и пользователями. По её оценке, риск появляется тогда, когда информация на иностранном языке даётся без равнозначной версии на русском и тем самым ограничивает право потребителя на получение понятной и доступной информации. Иначе говоря, как считает Ольга Попова, проблема не в термине или аббревиатуре на иностранном языке, а в том, что потребителю объективно неясно, что ему сообщают и какие у него права и условия использования.

Технический директор MD Audit (FabricaONE.AI, акционер — ГК Softline) Юрий Тюрин считает, что действие данного закона не распространяется лишь на внутреннюю инженерную документацию. Он касается в том числе публичных описаний продуктов, интерфейсов, пользовательских соглашений, маркетинговых и договорных формулировок, которые неизбежно потребуют переработки — по крайней мере, в части включения русскоязычных эквивалентов и пояснений иностранным терминам.

Менеджер по развитию «Трайв Технолоджис» Дарья Носова называет основным проблемным местом данного нормативного акта то, что он создаёт зону правовой неопределённости. С этой точкой зрения согласны большинство опрошенных нами экспертов.

Возможные риски для ИТ- и ИБ-компаний

Отрасль опасается, что требования закона 168-ФЗ могут вызвать целый комплекс проблем, от осложнения взаимоотношений с заказчиками до трудностей при разработке материалов согласно требованиям изменившейся нормативной базы. Не секрет, что русские слова длиннее английских, а применительно к техническим терминам разница между оригиналом и переводом может быть весьма большой. В итоге русское описание может просто не поместиться на рекламный баннер.

Алексей Лукацкий не исключил и того, что нарушителей могут начать штрафовать. Особенно, по его мнению, велик такой риск будет в первый год действия закона.

Директор по маркетингу компании «Гигант Компьютерные системы» Вера Тимофеева также обращает внимание на неоднозначность многих терминов:

«В профессиональной среде перевод далеко не всегда нейтрален. Например, hot-swap можно перевести как «горячая замена», но часто производитель закладывает более широкий смысл. Аналогично, high availability и fault tolerance — это разные архитектурные подходы, которые при обобщённом переводе как «отказоустойчивость» начинают восприниматься как одно и то же».

Также, по её оценке, перевод может приводить к размыванию смысла и давать основания для вольных трактовок. Это уже чревато различными злоупотреблениями, как со стороны продавцов, так и потенциальных покупателей и заказчиков.

Значительная переработка документации и маркетинговых материалов

По мнению опрошенных нами экспертов, наиболее очевидным риском является глубокая переработка маркетинговых материалов. Это может стать довольно трудоёмким и длительным процессом, как предупреждает presale-инженер по AppSec, руководитель и создатель курсов по ИБ компании MONT Сергей Терешин.

Директор продукта «Межсетевой экран ИКС» компании «Интернет Контроль Сервер» Игорь Сухарев отметил, что придётся как минимум редактировать материалы на сайте, подбирая к англоязычным понятиям релевантные отечественные термины. Он не исключил и полной переработки стратегии продвижения продукта. Положение, по его оценке, осложняет то, что движение разных участников рынка будет разрозненным: стремясь выполнить требования законодательства, вендоры и интеграторы начнут заменять англицизмы на своё усмотрение, не дожидаясь появления «общего знаменателя».

Аналитик угроз GSOC компании «Газинформсервис» Владислав Шелепов считает, что для того, чтобы добиться соответствия требованиям закона, компаниям придётся переписывать практически все публичные материалы, включая сайты, описания продуктов, интерфейсы и в особенности рекламу. Причём работа предстоит большая, поскольку для многих терминов адекватного русского перевода просто не существует. А такая ситуация, по его оценке, сложилась во многих быстрорастущих или узких сегментах ИТ- и ИБ-рынка.

По оценке руководителя Департамента безопасности АО «ИВК» Игоря Корчагина, риск того, что документация, которую разрабатывают компании сферы ИБ, не будет соответствовать требованиям нового закона, можно считать минимальным. А вот в публичном информационном пространстве картина совсем другая, и для соответствия требованиям закона компаниям необходимо будет привести в соответствие эту терминологию с терминами, закреплёнными в регуляторных документах.

Директор по маркетингу ГК «Гарда» Анна Кирсанова также назвала рекламные материалы основной точкой притяжения трудозатрат. Она напомнила, что закон «О рекламе» обязывает предоставлять перевод и расшифровки иностранных слов в любых рекламных материалах, включая сайты, презентации и печатную продукцию. Но, по её оценке, объём работ для вендоров B2B-продуктов будет в целом не очень значительным.

Однако, как отметила Анна, нужна аккуратность:

«Тенденция к русификации понятна, нужно стремиться к единой терминологии, но делать это аккуратно. Далеко не все устоявшиеся в ИТ-отрасли термины сейчас имеют прямые русские аналоги, стихийная замена названий классов решений и технологий каждым вендором по-своему может привести к путанице и недопониманию между клиентами и производителями».

Генеральный директор OSMI IT Михаил Шрайбман среди таких сегментов назвал «молодые» направления, прежде всего, искусственный интеллект, облачные технологии и новые технологии быстрой разработки: DevOps (Development & Operations, дословно «разработка и операции») и DevSecOps (Development, Security, Operations, дословно «разработка, безопасность и операции», или РБПО, «разработка безопасного ПО»). Юрий Тюрин добавил к этому перечню также многие термины, касающиеся киберугроз и мультиагентных систем.

Алексей Лукацкий порекомендовал принять следующие меры:

• Проверить словари на предмет включения заимствованных терминов. Те, которые туда вошли, считаются русскими и их можно применять без опасений.
• В документах, интерфейсах, на сайтах обеспечить русский текст первым и основным, а англицизмы — только как дополнение.
• Расшифровывать все аббревиатуры и давать пояснение на русском.
• В маркетинговых и публичных материалах избегать англицизмов без перевода.

«Полный отказ от англоязычных терминов малореалистичен, но их использование без расшифровки может быть признано нарушением. Это приведёт к переработке маркетинговых и договорных формулировок», — считает Юрий Тюрин.

Руководитель Центра информационной безопасности компании Digital Design Андрей Миняев также посоветовал однозначно определять термины в договорах и технических заданиях к договорам. Тут могут быть полезны ссылки на российские ГОСТы с определениями. Также необходимо обязательно указывать, пусть и в скобках, исходный англоязычный термин, например Next-Generation Firewall (NGFW).

С другой стороны, по мнению Андрея, придётся менять интерфейс программных продуктов. Использование полей «Login», «Sign Up», «Registration» и тому подобных с 1 марта, по его мнению, может быть расценено как нарушение требований закона.

Однако положение усугубляет жёсткий дефицит технических писателей в компаниях. К тому же эти специалисты и без того серьёзно загружены, и попытки возложить на них дополнительные задачи могут сказаться на качестве работы, причём на более значимых для бизнеса направлениях.

А вот руководитель направления продуктов и архитектурных решений Linx Cloud Алексей Корулин не видит предпосылок для серьёзных злоупотреблений. Хотя недопонимание в ходе общения поставщиков и заказчиков, вызванное попытками заменить привычные термины, вполне возможно.

Руководитель продуктового направления «НЕКСТБИ» Евгений Сурков также считает, что фантазии продавцов не ограничиваются никакими языковыми барьерами. Плюс ко всему, селлеры в любых странах склонны изобретать новые термины и классы продуктов, манипулируя тем, что функциональность многих классов ПО пересекается, а некоторых — захватывает смежные.

Злоупотребления со стороны внедренцев

Как подчеркнула Дарья Носова, основная сложность заключается в том, что механический перевод «англицизмов» без точной технической расшифровки будет размывать смысл, что почти неизбежно создаст пространство для манипуляций и даже злоупотреблений. Почти все эксперты согласились с тем, что далеко не нулевой риск того, что, воспользовавшись неоднозначностью переводов, ИТ и ИБ-компании могут как минимум пытаться навязывать заказчикам дорогие и объективно ненужные им продукты и решения.

Например, Андрей Миняев предупреждает, что споры вокруг «правильного» толкования требований ИБ и их реализации в проектных решениях, а также нейтрализации угроз безопасности могут приводить к дополнительным затратам в рамках проекта.

По оценке Игоря Сухарева, для того чтобы избежать различных разночтений, потребуется больше согласований на этапе заключения проекта. Это, в свою очередь, может сказаться на сроках реализации. Положение осложняется тем, что донести изменения в терминологии до заказчиков может быть сложнее, чем до профессиональных участников рынка.

«Более широкая или технологически продвинутая функциональность может описываться обобщённым термином, который звучит убедительно, но не раскрывает реального уровня решения. При отсутствии единых отраслевых формулировок проверить соответствие становится сложнее, особенно для заказчиков без глубокой инженерной экспертизы», — предупреждает Вера Тимофеева.

Однако и без сложностей в терминологии построить диалог между заказчиками и разработчиками бывает непросто.

Юлия Чехонина обратила внимание на то, что один и тот же термин в ИТ может означать принципиально разные по объёму и стоимости работы. Например, «резервирование» кто-то понимает как простое резервное копирование, а кто-то — как построение отказоустойчивого кластера. А стоимость решения этих задач может отличаться даже не в разы, а на порядки. Чтобы избежать такой проблемы, она порекомендовала закреплять в документах то, что именно компания имеет в виду, что именно нужно заказчику, как это правильно называется в договоре и с какими параметрами.

Кроме того, по её оценке, риск злоупотреблений симметричен. Путаницей в терминах могут пользоваться не только продавцы, но и заказчики.

Чтобы не превращать договор в поле для манипуляций, как подчеркнула Юлия Чехонина, терминология должна быть предельно прозрачной: словарь в приложении, чёткие описания результатов, поэтапная приёмка, а также прямая привязка терминов к техническому заданию и коммерческому предложению. В противном случае возможны серьёзные проблемы, которые могут выливаться в судебные тяжбы.

Риск потребительского экстремизма

Как предупреждает Дарья Носова, поле для злоупотреблений со стороны заказчиков не меньше, чем со стороны ИТ-компаний. Это связано с тем, что если в договоре используются общие русскоязычные термины без чётких метрик RPO (Recovery Point Objective, целевая точка восстановления, максимально приемлемый объём данных, которые может потерять компания), RTO (Recovery Time Objective, целевое время восстановления), SLA (Service Level Agreement, соглашение об уровне сервиса) и других параметров, их можно трактовать максимально широко уже после внедрения. Это открывает возможность требовать от исполнителя функциональности, которая фактически не была заложена в проект, ссылаясь на «неполное соответствие заявленному».

Использование обобщённых русскоязычных терминов, по мнению Дарьи Носовой, позволяет «упаковать» упрощённые решения под более серьёзные ожидания заказчика. Особенно, по её оценке, в этом плане опасны такие термины, как «резервирование», «защита», «мониторинг» или «отказоустойчивость». Именно они без указания конкретных параметров могут скрывать минимальную функциональность при сохранении высокой цены. Так что 168-ФЗ может увеличить количество конфликтов и судебных разбирательств из-за попыток сторон использовать неопределённость формулировок как инструмент давления.

По мнению Юрия Тюрина, возможны и претензии к «неполной русификации» как формальный повод для давления на подрядчика. По оценке эксперта, наиболее велики такие риски в госзакупках и крупных тендерах. Чтобы минимизировать риски, поставщикам придётся заранее формировать юридически выверенные описания услуг и чётко фиксировать технические параметры. И чем сложнее проект, тем важнее будет выработка формального глоссария и детализация требований.

Владислав Шелепов уверен, что если в договоре или на сайте что-то написано неоднозначно, недобросовестный заказчик всегда сможет сыграть на этом. Ему в этом помогут законы, прежде всего Гражданский кодекс. И суды почти всегда трактуют неоднозначность формулировки в пользу клиента.

Только Игорь Сухарев посчитал, что вероятность злоупотреблений со стороны заказчиков вряд ли стоит ждать. Он не видит возможных выгод для них.

Что делать?

Ольга Попова считает, что основа грамотного документа — это словарь терминов, используемых в тексте. Именно он позволяет определить, что означает каждый термин, как он трактуется именно в этом документе, какие есть ограничения и контекст. Это полезно не только для соответствия требованиям, но и для снижения спорности: лучше один раз нормально расшифровать термины, чем потом «доказывать очевидное» в конфликтной ситуации.

Причём, как подчеркнул генеральный директор АНО «НЦК ИСУ» Кирилл Семион, у такого документа, содержащего общепризнанные трактовки терминов, обязательно должен быть официальный статус. Это, по его мнению, закроет основную массу возможных злоупотреблений.

Как считает Вера Тимофеева, одна из главных задач отрасли состоит в том, чтобы обеспечить согласованность терминологии: «Без общего словаря перевод может привести не к большей прозрачности, а к усложнению коммуникации между производителями, интеграторами и заказчиками».

Многие переводы формальны: они либо являются калькой с английского, либо звучат обобщённо и не отражают архитектурных различий. В качестве примера она привела scale-out и scale-up, которые переводятся одинаково («масштабирование»), но имеют разный смысл.

Однако, как предупреждает директор по маркетингу компании «Девелоника» Светлана Горшкова, на то, чтобы такой единый словарь прижился, может уйти довольно значительное время по сравнению с тем, сколько ушло на его выработку.

Юрий Тюрин полагает, что поставщикам придётся заранее формировать юридически выверенные описания услуг и чётко фиксировать технические параметры. Чем сложнее проект, тем важнее будет создание формального глоссария терминов и детализация требований.

Игорь Корчагин применительно к ИБ также порекомендовал ориентироваться на терминологию, отражённую в документах регуляторов, в частности ФСТЭК России. Также многое можно почерпнуть в федеральных законах и других нормативно-правовых актах, а также государственных и отраслевых стандартах.

И действительно, в некоторых стандартах, в частности по разработке безопасного ПО, есть довольно полные и вполне адекватные глоссарии терминов в данной сфере. Довольно активно идёт работа также по многим направлениям применения ИИ. Многие предварительные версии стандартов также находятся в публичном доступе, и информацию оттуда вполне можно использовать.

Также ИТ- и ИБ-компании уже в конце июня 2025 года резко активизировали работу по регистрации многих потенциально проблемных терминов в качестве товарных знаков. Так, патентный поверенный компании UserGate Александр Киселёв прокомментировал одному из отраслевых СМИ, что компания уже зарегистрировала в качестве товарных знаков названия основных продуктов. И UserGate тут далеко не одинок. Аналогичную активность ведут, в частности, Positive Technologies, «Лаборатория Касперского», ГК «Солар» и другие вендоры.

Выводы

Буквальное следование нормам закона 168-ФЗ чревато для отрасли ИТ и ИБ целым рядом рисков. Прежде всего, они связаны с тем, что русскоязычная терминология в сегментах ИТ- и ИБ-рынка не устоялась. У многих понятий общепризнанного перевода просто нет.

В свою очередь, недопонимание чревато использованием в корыстных целях, причём как со стороны внедренцев и интеграторов, так и потребителей. Попытки избежать таких рисков могут потребовать серьёзной переработки договорной базы.

Наиболее адекватным выходом может стать создание единого глоссария технических терминов. Однако на это потребуется время и ресурсы.

Источник: https://www.anti-malware.ru/analytics/Technology_Analysis/168-Federal-Law

Рынок киберучений в России переживает фазу активного роста, но развивается неравномерно. С одной стороны, тренировки постепенно становятся обязательной частью стратегии кибербезопасности, с другой — значительная часть российского бизнеса только переходит от формального выполнения требований к реальной отработке практических сценариев.

Геополитическая обстановка и рост числа атак на российские компании сформировали новый контекст: киберучения сегодня востребованы не только из-за регуляторного давления, но и как инструмент проверки реальной готовности к инцидентам. При этом уровень зрелости остается поляризованным: крупные организации и регулируемые отрасли выстраивают системные программы тренировок, тогда как малый и средний бизнес чаще действует эпизодически или только планирует внедрение подобных практик.

Частота проведения учений также существенно различается. Для крупных компаний оптимальным считается квартальный цикл, для среднего бизнеса — раз в полгода, для малых организаций — ежегодно. Однако на практике эти рекомендации часто корректируются в зависимости от изменений инфраструктуры, внедрения новых технологий и требований регуляторов. При этом сами компании, особенно в сегменте МСП, нередко стремятся проводить тренировки чаще, чем позволяют ресурсы.

ГИГАНТ — Компьютерные системы: рынок киберучений растет, но ограничен ресурсами

Несмотря на растущий интерес, развитие киберучений сталкивается с рядом системных ограничений — прежде всего, финансовых и организационных.

«С точки зрения драйверов и сдерживающих факторов, киберучения в стране развиваются непросто. Главный сдерживающий момент — ограниченные бюджеты, а также нехватка специалистов, у которых помимо повседневных обязанностей есть время на участие в кибериспытаниях. Плюс далеко не все компании готовы на день пожертвовать своей работоспособностью, ведь учения могут реально парализовать деятельность организации», — комментирует Сергей Семикин, генеральный директор «ГИГАНТ — Компьютерные системы».

Вопрос бюджета действительно остается ключевым. Крупные компании чаще закладывают отдельные статьи расходов на киберучения, тогда как малый и средний бизнес вынужден искать компромисс между затратами и ожидаемым эффектом. В среднем крупные организации готовы инвестировать в тренировки до 5 млн рублей, а МСП — до 3 млн рублей, при этом более высокие бюджеты встречаются значительно реже.

При этом важный нюанс — прямой зависимости между размером бюджета и эффективностью учений нет. Даже при ограниченных ресурсах компании могут достигать значимых результатов, если фокусируются на релевантных сценариях и глубокой проработке итогов тренировок.

Что касается самого рынка, он уже сформировался, но остается фрагментированным и до конца не консолидированным.

«Что касается сформированности рынка, он уже сложился, но окончательно не консолидирован. Из крупных игроков могу назвать «Ростелеком» — они реализовали много проектов как на своём киберполигоне, так и у заказчиков. Их киберполигон удобен тем, что туда зеркалируют инфраструктуру заказчика, и она не подвергается риску. Также активно работает Positive Technologies — Standoff по сути является частью кибериспытаний. Есть решения у «БиЗона» и у мелких компаний. В «Сайберусе» есть отдельная дочка. Если говорить иначе, кибериспытания — это во многом bug bounty. Особенность рынка в том, что здесь соседствуют и крупные отраслевые полигоны, и работа с небольшими группами белых хакеров», — отмечает Сергей Семикин, генеральный директор «ГИГАНТ — Компьютерные системы».

Такое сочетание форматов — от полноценных киберполигонов до работы с независимыми исследователями — формирует гибкую, но неоднородную экосистему. Это, с одной стороны, расширяет доступ к инструментам тестирования безопасности, а с другой — усложняет стандартизацию подходов и оценку качества услуг.

Отдельно стоит отметить разнообразие форматов киберучений, которые сегодня востребованы на рынке. Компании активно используют как базовые сценарии — например, фишинговые симуляции и проверку осведомленности сотрудников, — так и более сложные форматы с использованием цифровых двойников инфраструктуры, киберполигонов и командных учений в формате Red Team / Purple Team. Набирают популярность и игровые сценарии с элементами геймификации.

ГИГАНТ — Компьютерные системы: стоимость киберучений варьируется от пилотных сценариев до сложных инфраструктурных проектов

Финансовый порог входа в киберучения также остается неоднородным и напрямую зависит от масштаба и глубины сценариев.

«Финансовые вложения сильно разнятся: от миллиона рублей до сотен миллионов. Например, при обращении к мелкой группировке белых хакеров можно уложиться от 300 тысяч рублей. В среднем же — около 3 миллионов рублей. Бывает и 6 миллионов долларов ценник, всё зависит от конкретного заказа. Ежегодные расходы на поддержку инфраструктуры тоже определяются масштабом и сложностью проекта, универсальной цифры здесь нет», — подчеркивает Сергей Семикин, генеральный директор «ГИГАНТ — Компьютерные системы».

В итоге рынок киберучений в России движется к зрелости, но сохраняет характерные особенности: высокая вариативность подходов, зависимость от ресурсов и различия в уровне зрелости между сегментами бизнеса.

Ключевой тренд при этом очевиден — киберучения постепенно переходят из категории «опциональных активностей» в обязательный элемент обеспечения киберустойчивости, без которого невозможно объективно оценить готовность компании к реальным инцидентам.

Количество фишинговых атак продолжает расти — и они становятся все более убедительными. По данным «Лаборатории Касперского», только за первый квартал 2026 года в Санкт-Петербурге зафиксировано 1,9 млн попыток фишинга и 7,8 млн писем с угрозами. При этом ключевой вектор атак остается прежним — эксплуатация доверия к «официальной» коммуникации.

«Практика имитации писем от регуляторов, проверяющих органов и других официальных структур очень распространена. Это один из ключевых методов социальной инженерии, который мошенники используют для получения финансовой и чувствительной информации. С развитием ИИ создание реалистичных поддельных писем и их массовая рассылка значительно упростились, и в 2026 году количество таких мошенничеств выросло примерно на 30% по сравнению с 2025 годом. Сотрудники действительно быстрее реагируют на письма от регуляторов из-за страха перед проверками, юридическими рисками и штрафами, поэтому злоумышленники целенаправленно смещают фокус на эту тематику», — комментирует Алексей Колодка, директор по продажам «ГИГАНТ — Компьютерные системы».

Таким образом, фишинг эволюционирует от массовых рассылок к более точечным и психологически выверенным сценариям. Использование тем проверок, штрафов и регуляторных требований делает такие атаки особенно эффективными — сотрудники склонны быстрее реагировать на подобные сообщения и реже подвергают их критической оценке.

Алексей Колодка, директор по работе с государственными заказчиками «ГИГАНТ Компьютерные системы» рассказал о том, насколько сложно российским компаниям внедрять рекомендации ФСТЭК по защите сетевого периметра, какие средства автоматизации для этого существуют и есть ли на рынке отечественные инструменты, способные полноценно реализовать все требования регулятора.

— Насколько сложными в реализации российскими компаниями являются рекомендации, предложенные ФСТЭК?

Рекомендации ФСТЭК сами по себе не стали для рынка неожиданностью. Регулятор давно движется именно по пути постепенного внедрения новых подходов: сначала через разъяснение, обсуждение с рынком, участие в профильных конференциях и только потом через формализацию требований. Поэтому для большинства зрелых игроков эти рекомендации — скорее логичное продолжение уже намеченного курса, чем резкое изменение правил.

Если говорить о крупном бизнесе, то для него реализация таких рекомендаций, как правило, не представляет серьезной сложности. Крупные компании уже не первый год инвестируют в информационную безопасность и, как правило, используют комбинированные схемы защиты периметра: межсетевые экраны, средства обнаружения и предотвращения атак, сегментацию, мониторинг, контроль доступа и другие механизмы, которые как раз укладываются в логику рекомендаций ФСТЭК. То есть для этого сегмента речь идет не о полной перестройке, а скорее о донастройке и подтверждении уже выбранного подхода.

Совсем иная ситуация у среднего и малого бизнеса. Здесь реализация рекомендаций может оказаться достаточно сложной сразу по нескольким причинам. Во-первых, во многих компаниях до сих пор используется устаревшая ИТ-инфраструктура и старые версии средств защиты, которые трудно интегрировать с новыми решениями и современными требованиями по безопасности. Во-вторых, у этого сегмента традиционно ограниченные бюджеты на ИБ, поэтому закрыть весь набор рекомендаций одномоментно за счет закупки новых продуктов для многих организаций просто финансово тяжело. В-третьих, выполнение таких рекомендаций требует не только технологий, но и квалифицированных специалистов, а с ними у среднего и малого бизнеса обычно тоже есть сложности — как с наймом, так и с обучением сотрудников.

Поэтому в целом я бы оценил ситуацию так: для крупного бизнеса рекомендации ФСТЭК вполне реалистичны и в значительной степени уже выполняются, а для среднего и малого бизнеса основная проблема заключается не столько в самих требованиях, сколько в нехватке ресурсов — технологических, финансовых и кадровых.

— Какие средства автоматизации могут использовать компании для удовлетворения требований данных рекомендаций?

На российском рынке за последние годы уже сформировался достаточно зрелый набор решений, которые позволяют компаниям выполнять рекомендации ФСТЭК по защите периметра. Крупные отечественные вендоры, такие как Positive Technologies, «Код Безопасности», UserGate и другие, сегодня закрывают значительную часть необходимых задач. Это важный момент: у российских компаний в целом есть из чего выбирать, и рынок уже способен предложить инструменты для реализации требований регулятора.

При этом нужно понимать, что универсального продукта, который в одиночку закроет все требования ФСТЭК, сейчас не существует. Выполнение таких рекомендаций строится не вокруг одного решения, а вокруг комплексной модели защиты, когда компания использует сразу несколько взаимосвязанных средств безопасности. В отдельных случаях могут применяться UTM-платформы, которые объединяют несколько функций в одном контуре, но даже они не снимают потребности в многоуровневой защите.

Если говорить о ключевых классах решений, которые необходимы для выполнения рекомендаций, то в первую очередь речь идет о современных NGFW — межсетевых экранах нового поколения. Это базовый элемент защиты периметра. Далее — средства IDS/IPS для выявления и предотвращения вторжений, сканеры уязвимостей для регулярной проверки инфраструктуры, а также системы класса SIEM для мониторинга и анализа событий информационной безопасности.

Кроме того, для защиты внешних сервисов и веб-ресурсов требуются специализированные решения — например, WAF для защиты веб-приложений и средства противодействия DDoS-атакам. Отдельное значение имеет и контроль доступа: без него невозможно выстроить полноценную защищенную архитектуру и обеспечить соблюдение требований регулятора на практике.

Таким образом, основной путь выполнения рекомендаций ФСТЭК — это не покупка одного «волшебного» продукта, а выстраивание комплексной эшелонированной защиты из нескольких классов решений. Именно за счет сочетания этих инструментов компании могут привести свою инфраструктуру в соответствие с новыми рекомендациями регулятора.

— Есть ли на российском рынке инструменты, которые могут полноценно реализовать все рекомендации ФСТЭК по защите сетевого периметра?

Да, на российском рынке такие инструменты есть. И, естественно, ФСТЭК, когда формировал свои рекомендации и требования, исходил из того, что на рынке должны присутствовать импортозамещенные, российские решения, чтобы компании могли на их основе выполнить требования регулятора. Поэтому те инвестиции, которые в предыдущие годы российские ИТ-компании, работающие в сфере информационной безопасности, вкладывали в свои продукты, позволили сформировать практически полный набор решений, закрывающих задачи, которые регулятор ставит перед компаниями в части защиты сетевого периметра.