Posts Tagged: КИИ

Алексей Колодка, директор по работе с государственными заказчиками компании «ГИГАНТ — Компьютерные системы» рассказал о главных изменениях в аттестации ГИС и объектов КИИ в 2026 году, об особенностях для систем на open source, а также затронул неочевидные риски: утерянные данные об open source в старых системах, кадровые требования, интеграцию сертифицированных СЗИ с открытой архитектурой и зону неопределённости с ИИ.

Что конкретно в 2026 году станет главной «головной болью» для владельцев ГИС и объектов КИИ по сравнению с предыдущими годами?

Главной «головной болью» для владельцев ГИС и объектов КИИ в 2026 году станет вступление в силу приказа ФСТЭК России №117 от 11.04.2025 и изменение регуляторной логики контроля. С 1 марта 2026 года неисполнение требований приказа будет влечь оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.

Существенное изменение касается не только самих ГИС, но и иных информационных систем государственных органов, включая ФАИВ и РАИВ. Регулирование становится шире по охвату, а требования — более комплексными. При этом исчезает привычная модель контроля через фиксированный перечень мер защиты. Вместо нее вводятся показатели защищенности и показатели уровня зрелости процессов обеспечения безопасности. Показатели защищенности подлежат оценке не реже одного раза в полгода, а показатели зрелости — не реже одного раза в два года. Это означает переход от формального подтверждения наличия мер к оценке устойчивости и управляемости всей системы обеспечения защиты информации.

Отдельный акцент приказ делает на применении сертифицированных средств защиты информации. Формально требование использовать сертифицированные СЗИ сохраняется, однако теперь оно рассматривается в более широком контексте политики технологического суверенитета и импортозамещения. В документе учитываются ограничения, связанные с запретами, установленными пунктом 6 указа Президента Российской Федерации от 01.05.2022 №250, что требует дополнительной проверки применяемых решений на соответствие этим ограничениям.

Важным практическим вопросом становится статус действующих аттестатов соответствия. Аттестаты, выданные до 01.03.2026, сохраняют свою силу до окончания срока их действия. Однако системы, вводимые в эксплуатацию после этой даты либо проходящие повторную процедуру оценки, должны аттестовываться уже по новым правилам с привлечением лицензированных организаций ФСТЭК России. Это создает дополнительную нагрузку на рынок и требует более раннего планирования работ.

Таким образом, в 2026 году основным вызовом станет не отдельная техническая мера, а совокупность факторов: усиление ответственности, переход к показателям вместо перечня мер, акцент на зрелости процессов и обязательное соблюдение ограничений в части используемых решений. Именно изменение самой модели регулирования станет для владельцев ГИС и объектов КИИ ключевым источником сложностей по сравнению с предыдущими годами.

Какие особенности аттестации систем, которая уже построена на полностью отечественном оборудовании, но использует open source? Есть ли особенности в этой процедуре с учётом реальной практики ФСТЭК?

Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Весь используемый open source должен быть детально описан в составе аттестационных материалов: необходимо указать точные версии, источники получения, условия лицензирования и характер встраивания в систему. Для регулятора принципиально важно понимать, какие именно компоненты используются, откуда они получены и в каком виде эксплуатируются. Отсутствие такой детализации воспринимается как недостаток управляемости.

Отдельно требуется анализ потенциальной поверхности атаки, связанной с применением open source. Заказчик, инициирующий аттестацию, обязан формализованно описать возможные векторы внешнего воздействия, оценить риски эксплуатации уязвимостей и обосновать принятые меры защиты. Эти сведения отражаются в модели угроз и сопутствующей документации по обеспечению безопасности.

Также необходимо документально подтвердить реализацию функций безопасности в архитектуре системы — фактически показать, каким образом обеспечивается выполнение требований по защите информации с учетом использования сторонних компонентов. В ряде случаев формируется отдельный перечень ссылок на исходные коды и используемые версии open source, чтобы обеспечить прослеживаемость и воспроизводимость конфигурации.

Дополнительно с 2025 года усиливаются требования к учету всех программных компонентов, входящих в состав системы. Организация должна вести актуальный перечень используемого программного обеспечения, включая open source, с указанием версий и статуса сопровождения. В реальной практике ФСТЭК проверяется не только наличие такого перечня, но и его актуальность, а также связка с процессом управления уязвимостями.

Как выстраивать план подготовки к аттестации в 2026 году, чтобы закрыть вопросы по управлению уязвимостями разношерстного парка оборудования, когда вендоры не всегда успевают выпускать патчи?

При подготовке к аттестации в 2026 году ключевым является не столько факт наличия отдельных неустраненных уязвимостей, сколько наличие системно выстроенного процесса управления ими в соответствии с требованиями приказа №117. Процедура оценки включает анализ исходного кода, применение инструментов статического и динамического анализа, проведение тестирования на проникновение и экспертную оценку уязвимостей — это стандартный комплекс работ при подтверждении соответствия.

В ситуации, когда парк оборудования и программных компонентов разнороден, а вендоры не всегда оперативно выпускают патчи, критично продемонстрировать регулятору управляемость процесса. Если производитель не выпустил обновление, само по себе это не является автоматическим нарушением. Значение имеет наличие формализованной программы управления уязвимостями: регулярный мониторинг информации о новых уязвимостях, классификация по степени критичности, фиксация решений о применении компенсирующих мер, документирование сроков устранения и контроль их соблюдения.

ФСТЭК России оценивает не только техническое состояние системы в конкретный момент времени, но и зрелость процессов. В рамках проверок, как правило, предоставляется время на устранение выявленных несоответствий, если организация демонстрирует системный подход и реальную работу по снижению рисков. Поэтому план подготовки к аттестации должен включать актуализацию регламентов управления уязвимостями, инвентаризацию активов, настройку инструментов сканирования, формирование приоритетов устранения и внедрение компенсирующих мер там, где обновление временно невозможно.

Иными словами, при разношерстном парке оборудования акцент необходимо делать на прозрачности процессов и документированной управляемости рисков. Если организация уже выстроила подобную модель работы, ее целесообразно сохранить и адаптировать под требования приказа №117, не меняя принципиально подход, а усилив дисциплину исполнения и контроль сроков.

Бюджеты на безопасность в 2026 году у многих остались на уровне прошлого года или урезаны. Какие организационно-технические мероприятия позволяют пройти аттестацию ГИС/КИИ без дополнительных затрат на сторонних экспертов?

В части аттестации ГИС и объектов КИИ стоит учитывать, что ФСТЭК России в 2024-2025 годах проводила системную работу с государственными организациями по приведению информационных систем в соответствие требованиям приказа №117. В результате значительная часть ГИС и объектов КИИ уже прошла необходимые процедуры оценки соответствия, а выданные аттестаты продолжают действовать.

Поэтому в 2026 году для большинства действующих систем повторная аттестация, скорее всего, не потребуется — при условии отсутствия существенных изменений архитектуры, состава средств защиты информации или функционального назначения системы.

Иная ситуация возможна для новых информационных систем, вводимых в эксплуатацию после 01.03.2026 года, а также для систем, подвергшихся модернизации. В этих случаях действительно может потребоваться дополнительная настройка организационных и технических мер защиты, пересмотр модели угроз и приведение документации в соответствие обновленным требованиям. Здесь целесообразно заранее усилить фокус на вопросах информационной безопасности и корректности проектирования защиты.

Что касается минимизации затрат, необходимо учитывать нормативные ограничения. Законодательство прямо предусматривает, что аттестация проводится с привлечением организаций, имеющих соответствующие лицензии ФСТЭК России. Соответственно, полностью отказаться от участия лицензированного подрядчика невозможно — это обязательное требование регулятора.

Оптимизация бюджета возможна за счет предварительной внутренней подготовки: актуализации организационно-распорядительной документации, инвентаризации активов, проверки корректности настроек средств защиты и устранения выявленных несоответствий до выхода на процедуру аттестации. Такой подход позволяет сократить объем работ внешнего исполнителя и, как следствие, итоговую стоимость проекта.

Какие есть неочевидные риски, связанный с приказом №117?

Приказ ФСТЭК России №117, вступающий в силу с 1 марта 2026 года, существенно ужесточает требования к государственным информационным системам и иным ИС госорганов, и часть рисков, возникающих в этой связи, носит неочевидный характер. В первую очередь это касается использования open source-компонентов. Новые требования предполагают повышенную прозрачность — необходимо фиксировать происхождение компонентов, их версионность, источники получения, обеспечивать контроль уязвимостей и сопровождение. При этом многие ГИС разрабатывались в предыдущие годы, когда подобный уровень документирования не являлся обязательным. В результате организации могут столкнуться с тем, что часть сведений по использованным open source-библиотекам либо отсутствует, либо не может быть подтверждена документально, и восстановить эту информацию ретроспективно крайне затруднительно.

Дополнительный риск связан с качеством сопровождения open source. За время эксплуатации подрядчики могли меняться, поддержка отдельных компонентов могла прекращаться, а требования к надежности и безопасности ГИС объективно остаются высокими. Отсутствие устойчивой модели сопровождения и обновления становится операционным риском, особенно в условиях повышенного внимания регулятора к уязвимостям и управлению жизненным циклом компонентов.

Серьезным фактором становится и усиление требований к персоналу, обеспечивающему безопасность ГИС. На практике не все организации располагают достаточным количеством специалистов необходимой квалификации, а формальное несоответствие кадровым требованиям может быть квалифицировано как нарушение. Одновременно меняется сама логика контроля: вместо привычного перечня мер защиты вводятся показатели КЗИ и ПЗИ, что увеличивает нагрузку на организации с точки зрения аналитики и отчетности. Показатели необходимо подтверждать на регулярной основе, при этом они отражают не только формальное наличие средств защиты, но и зрелость процессов. При формальном подходе возникает риск подготовки отчетности ради соответствия индикаторам, что при проверке может привести к предписаниям со стороны регулятора.

Отдельная зона неопределенности связана с использованием технологий искусственного интеллекта в новых системах. Такие решения требуют дополнительного обоснования с точки зрения управляемости, предсказуемости и соответствия требованиям безопасности, а при отсутствии четкой методической проработки могут вызвать вопросы при оценке соответствия. Наконец, на практике сохраняются сложности интеграции сертифицированных средств защиты информации и СКЗИ с архитектурами, построенными на open source. Многие действующие ГИС создавались в период, когда вопросы совместимости с сертифицированными СЗИ не являлись приоритетом, и сегодня это может потребовать переработки отдельных архитектурных решений. В совокупности именно архитектурное наследие систем, уровень документирования, модель сопровождения и зрелость процессов могут стать ключевыми рисками при реализации требований приказа №117 в 2026 году.

Российский бизнес продолжает оставаться уязвимым для кибератак — и причина здесь не столько в отсутствии технологий, сколько в системных ошибках их настройки и эксплуатации. По данным компании «Бастион», до 80% атак завершаются успехом злоумышленников именно из-за таких факторов. При этом около половины организаций не проводят регулярные проверки внутренней среды и игнорируют базовые меры защиты — от сегментации сети до контроля привилегий.

Этот разрыв между доступными инструментами и реальной практикой напрямую связан с уровнем зрелости компаний в области кибербезопасности.

«Текущий уровень можно охарактеризовать, как поляризованный. В целом, крупные российские компании (Субъекты КИИ, банки, многие отрасли промышленности) за последнее время повысили свой уровень кибербезопасности, во многом это последствия неблагоприятных внешних условий (участившиеся атаки хакеров на российскую ИТ-инфраструктуру), а также последовательной работы регуляторов по ужесточению ответственности и усилению мониторинга исполнения требований существующих. Тем не менее, многие компании продолжают жить в парадигме «авось, пронесет» и игнорируют вопросы кибербезопасности, особенно сильна эта позиция среди представителей малого и среднего бизнеса. Основная причина уязвимостей их инфраструктуры именно в том, что кибербезопасность до сих пор воспринимается как ИТ-задача, а не как бизнес-процесс. Также подобная статистика вызвана недостаточным вниманием компаний к информированию и обучению сотрудников вопросам кибербезопасности. Большинство атак, так или иначе, основаны на социальной инженерии и на ошибках, которые люди допускают от недостаточной погруженности в вопрос», — комментирует Ольга Луценко, ведущий ИБ-эксперт UDV Group.

Фактически речь идет о структурной проблеме: безопасность не встроена в бизнес-процессы и не воспринимается как фактор устойчивости. Отсюда — высокая доля инцидентов, связанных с человеческим фактором, и отсутствие регулярной практики внутреннего контроля.

При этом экономическая логика давно очевидна: предотвращение инцидентов обходится бизнесу кратно дешевле, чем ликвидация последствий.

«Здесь работает принцип «1-10-100». Рубль, вложенный в предотвращение атаки на этапе проектирования, экономит 10 рублей на устранении уязвимости и 100 рублей на ликвидации последствий простоя. Для понимания масштаба: оборотный штраф по линии Роскомнадзора, при утечке персональных данных, может достигать полумиллиарда рублей, но это лишь малая часть айсберга. Гораздо тяжелее операционные потери: простой производственной линии в промышленности может стоить от 5 млн рублей в час, остановка отгрузок в ритейле или логистике — это потеря клиентской лояльности на месяцы вперед. Внедрение же базового набора мер (сегментация сети, резервное копирование и MFA) для средней компании сопоставимо с двухнедельным простоем одного отдела. Вывод: процессная безопасность всегда дешевле, чем восстановление репутации и данных с нуля», — отмечает Ольга Луценко, ведущий ИБ-эксперт UDV Group.

На практике это означает, что даже базовые меры защиты способны существенно снизить риски — но только при условии их системного внедрения и регулярного контроля. Без этого компании продолжают накапливать технический и организационный долг, который рано или поздно реализуется в инцидент.

При этом в ближайшие годы характер атак будет меняться, и давление на бизнес только усилится. По оценке экспертов, можно выделить несколько ключевых направлений эволюции угроз.

«Выделю три возможных ключевых тренда на ближайшие 3-5 лет: Первое — эксплуатация доверия к подрядчикам. Взламывать напрямую хорошо защищенную крупную компанию становится дорого и долго. Атакующие будут массово компрометировать небольших ИТ-интеграторов, бухгалтерские фирмы на аутсорсинге или разработчиков ПО. Через обновления легитимного софта злоумышленники получат доступ к сотням крупных клиентов за одну операцию. Стоит отметить, что ФСТЭК осведомлен об этом векторе и планирует запретить возможность прямого удаленного подключения к инфраструктуре для подрядчиков в отношении субъектов КИИ.

Второе — манипуляция данными вместо их кражи. Если раньше данные шифровали ради выкупа, то теперь их начнут незаметно менять. Например, искажать показатели датчиков на производстве (температуру, давление) или подменять банковские реквизиты в платежных поручениях прямо в системе бухгалтерии. Это наносит катастрофический ущерб, который могут не заметить в течение месяцев.

Третье — рост атак на среду виртуализации. В условиях импортозамещения и перехода на российские ОС и гипервизоры, инфраструктура виртуальных рабочих столов (VDI) станет приоритетной мишенью. Компрометация сервера виртуализации позволяет отключить сотни рабочих мест разом, нанося непоправимый ущерб инфраструктуре», — подчеркивает Ольга Луценко, ведущий ИБ-эксперт UDV Group.

Таким образом, фокус смещается от единичных атак к масштабируемым сценариям компрометации — через цепочки поставок, доверенные каналы и критические элементы инфраструктуры.

В этих условиях ключевая задача для российского бизнеса — не догонять угрозы постфактум, а выстраивать управляемую систему кибербезопасности как часть операционной модели. Это требует не только внедрения технологий, но и пересмотра подхода: от точечных мер к процессной, регулярно проверяемой защите.

Именно такой подход позволяет сократить уязвимость и избежать ситуации, когда инцидент становится не исключением, а закономерным результатом накопленных рисков.

Минпромторг РФ разработал критерии, по которым объекты критической информационной инфраструктуры могут перейти на отечественные программно-аппаратные комплексы после 2030 г. Ведомство опубликовало соответствующее постановление, оно находится на стадии оценки регулирующего воздействия.

Министерство промышленности и торговли Российской Федерации опубликовало проект постановления «О внесении изменений в постановление правительства России от 14 ноября 2023 г. №1912». Он продлит сроки перехода на доверенные программно-аппаратные комплексы (ПАКи) на объектах критической информационной инфраструктуры (КИИ).

«С 1 января 2030 г. не допускается использование субъектами критической информационной инфраструктуры Российской Федерации на принадлежащих им значимых объектах КИИ РФ программно-аппаратных комплексов, не являющихся доверенными программно-аппаратными комплексами, за исключением следующих случаев, и при условии обеспечения в отношении ПАКов, не являющихся доверенными, организационных и технических мер защищенности информационной инфраструктуры РФ, решения о необходимости осуществления которых принимаются и направляются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю», — говорится в документе.

Согласно ему, исключениями являются случаи: наличие договора на поставку доверенных ПАКов, выходящего за пределы 2030 г., если срок полезного использования истекает после 1 января 2030 г., ПАК задействован в работах на опасном объекте и обеспечивает выполнение работ без возможности остановки по техническим причинам, и ПАК неотделим от объекта капитального строительства.

Представитель пресс-службы Минпромторга РФ не ответил на вопросы корреспондента ComNews.

Директор по работе с ключевыми заказчиками ООО «Скала-Р» («Скала^р» входит в группу Rubytech) Михаил Гилязов назвал новый вариант постановления страховочным механизмом для узкоспециализированных сегментов КИИ. По его словам, речь идет о возможных случаях, когда у отечественной ИТ-отрасли может не быть надежного и апробированного решения к установленному сроку или когда технические ограничения, связанные с непрерывностью производственных процессов, не позволят выполнить миграцию в указанные временные рамки.

Он отдельно отметил, что условия в новом документе — исключения из общего правила. По его оценке, под них попадет незначительное количество объектов КИИ, и на рынок программно-аппаратных комплексов и разработчиков ПО эта мера существенного влияния не окажет.

«Когда проект постановления вступит в силу, это не приведет к «безусловной отсрочке» перехода, но появятся исключения, которые должны соответствовать установленным критериям. Отдельные ПАКи можно будет эксплуатировать на значимых объектах КИИ после 1 января 2030 г. при выполнении определенных условий, четко прописанных в постановлении. Для рынка это означает, что риски аварийных остановок должны существенно снизиться, а требования к поставщикам и интеграторам решений возрастут, особенно в части исполнения контрактов и оформлению документов», — рассказал руководитель направления подготовки технической и проектной документации ООО «Гигант Компьютерные системы» Дмитрий Битченков.

По его словам, у заказчиков-владельцев значимых объектов КИИ появится безопасный, с точки зрения непрерывности деятельности, сценарий: при условии документального подтверждения соответствия критериям можно не менять технологический процесс ради соблюдения формального срока перехода.

«В проекте постановления прямо указано требование прикладывать к плану перехода обоснование и набор подтверждающих документов (в т. ч. договоры на поставку после 1 января 2030 г., документы по амортизации и срокам полезного использования, техническую документацию по ремонтам/реконструкции и др.). Дополнительно возрастет нагрузка по комплаенсу и кибербезопасности: эксплуатация недоверенного ПАК будет сопряжена с выполнением дополнительных требований ФСБ и ФСТЭК, а значит — с проверками, предписаниями и затратами на внедрение таких мер», — рассказал Дмитрий Битченков.

Новое постановление, как он отметил , позволит поставщикам стандартизировать существенные условия долгосрочных контрактов. Он сказал, что такие контракты должны иметь фиксированную цены, сроки поставки, спецификацию и срок исполнения, не превышающий срок полезного использования замещаемой продукции более чем на один год.

«Ключевое финансовое последствие для рынка — закрепление в договоре условия о безвозвратном авансировании не менее 50% объема договора с выплатой не позднее 30 дней с момента заключения, что одновременно повышает предсказуемость финансирования для производителя и требования к управлению рисками и казначейскому сопровождению у заказчика. Поставщиком по такому договору может быть российский производитель или интегратор, уполномоченный производителем, но при этом контрагент должен соответствовать квалификационным ограничениям (не быть в стадии банкротства, ликвидации и отсутствовать в РНП)», — сказал он.

«Отсрочка — это лишь временная мера. Она не является «волшебной таблеткой», которая снимает необходимость работы над созданием конкурентоспособных отечественных решений. Задача перехода на доверенные ПАКи остается актуальной, и основная масса объектов КИИ должна будет выполнить модернизацию ИТ-инфраструктуры в установленные сроки. Продление касается только специфических случаев, где без него действительно не обойтись», — заключил Михаил Гилязов.

Источник: https://www.comnews.ru/content/243111/2025-12-23/2025-w52/1008/vse-ravny-no-nekotorye-ravnee-minpromtorg-rf-predlozhil-isklyucheniya-date-vnedreniya-doverennykh-pakov