Posts Tagged: ФСТЭК

Алексей Колодка, директор по работе с государственными заказчиками компании «ГИГАНТ — Компьютерные системы» рассказал о главных изменениях в аттестации ГИС и объектов КИИ в 2026 году, об особенностях для систем на open source, а также затронул неочевидные риски: утерянные данные об open source в старых системах, кадровые требования, интеграцию сертифицированных СЗИ с открытой архитектурой и зону неопределённости с ИИ.

Что конкретно в 2026 году станет главной «головной болью» для владельцев ГИС и объектов КИИ по сравнению с предыдущими годами?

Главной «головной болью» для владельцев ГИС и объектов КИИ в 2026 году станет вступление в силу приказа ФСТЭК России №117 от 11.04.2025 и изменение регуляторной логики контроля. С 1 марта 2026 года неисполнение требований приказа будет влечь оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.

Существенное изменение касается не только самих ГИС, но и иных информационных систем государственных органов, включая ФАИВ и РАИВ. Регулирование становится шире по охвату, а требования — более комплексными. При этом исчезает привычная модель контроля через фиксированный перечень мер защиты. Вместо нее вводятся показатели защищенности и показатели уровня зрелости процессов обеспечения безопасности. Показатели защищенности подлежат оценке не реже одного раза в полгода, а показатели зрелости — не реже одного раза в два года. Это означает переход от формального подтверждения наличия мер к оценке устойчивости и управляемости всей системы обеспечения защиты информации.

Отдельный акцент приказ делает на применении сертифицированных средств защиты информации. Формально требование использовать сертифицированные СЗИ сохраняется, однако теперь оно рассматривается в более широком контексте политики технологического суверенитета и импортозамещения. В документе учитываются ограничения, связанные с запретами, установленными пунктом 6 указа Президента Российской Федерации от 01.05.2022 №250, что требует дополнительной проверки применяемых решений на соответствие этим ограничениям.

Важным практическим вопросом становится статус действующих аттестатов соответствия. Аттестаты, выданные до 01.03.2026, сохраняют свою силу до окончания срока их действия. Однако системы, вводимые в эксплуатацию после этой даты либо проходящие повторную процедуру оценки, должны аттестовываться уже по новым правилам с привлечением лицензированных организаций ФСТЭК России. Это создает дополнительную нагрузку на рынок и требует более раннего планирования работ.

Таким образом, в 2026 году основным вызовом станет не отдельная техническая мера, а совокупность факторов: усиление ответственности, переход к показателям вместо перечня мер, акцент на зрелости процессов и обязательное соблюдение ограничений в части используемых решений. Именно изменение самой модели регулирования станет для владельцев ГИС и объектов КИИ ключевым источником сложностей по сравнению с предыдущими годами.

Какие особенности аттестации систем, которая уже построена на полностью отечественном оборудовании, но использует open source? Есть ли особенности в этой процедуре с учётом реальной практики ФСТЭК?

Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Весь используемый open source должен быть детально описан в составе аттестационных материалов: необходимо указать точные версии, источники получения, условия лицензирования и характер встраивания в систему. Для регулятора принципиально важно понимать, какие именно компоненты используются, откуда они получены и в каком виде эксплуатируются. Отсутствие такой детализации воспринимается как недостаток управляемости.

Отдельно требуется анализ потенциальной поверхности атаки, связанной с применением open source. Заказчик, инициирующий аттестацию, обязан формализованно описать возможные векторы внешнего воздействия, оценить риски эксплуатации уязвимостей и обосновать принятые меры защиты. Эти сведения отражаются в модели угроз и сопутствующей документации по обеспечению безопасности.

Также необходимо документально подтвердить реализацию функций безопасности в архитектуре системы — фактически показать, каким образом обеспечивается выполнение требований по защите информации с учетом использования сторонних компонентов. В ряде случаев формируется отдельный перечень ссылок на исходные коды и используемые версии open source, чтобы обеспечить прослеживаемость и воспроизводимость конфигурации.

Дополнительно с 2025 года усиливаются требования к учету всех программных компонентов, входящих в состав системы. Организация должна вести актуальный перечень используемого программного обеспечения, включая open source, с указанием версий и статуса сопровождения. В реальной практике ФСТЭК проверяется не только наличие такого перечня, но и его актуальность, а также связка с процессом управления уязвимостями.

Как выстраивать план подготовки к аттестации в 2026 году, чтобы закрыть вопросы по управлению уязвимостями разношерстного парка оборудования, когда вендоры не всегда успевают выпускать патчи?

При подготовке к аттестации в 2026 году ключевым является не столько факт наличия отдельных неустраненных уязвимостей, сколько наличие системно выстроенного процесса управления ими в соответствии с требованиями приказа №117. Процедура оценки включает анализ исходного кода, применение инструментов статического и динамического анализа, проведение тестирования на проникновение и экспертную оценку уязвимостей — это стандартный комплекс работ при подтверждении соответствия.

В ситуации, когда парк оборудования и программных компонентов разнороден, а вендоры не всегда оперативно выпускают патчи, критично продемонстрировать регулятору управляемость процесса. Если производитель не выпустил обновление, само по себе это не является автоматическим нарушением. Значение имеет наличие формализованной программы управления уязвимостями: регулярный мониторинг информации о новых уязвимостях, классификация по степени критичности, фиксация решений о применении компенсирующих мер, документирование сроков устранения и контроль их соблюдения.

ФСТЭК России оценивает не только техническое состояние системы в конкретный момент времени, но и зрелость процессов. В рамках проверок, как правило, предоставляется время на устранение выявленных несоответствий, если организация демонстрирует системный подход и реальную работу по снижению рисков. Поэтому план подготовки к аттестации должен включать актуализацию регламентов управления уязвимостями, инвентаризацию активов, настройку инструментов сканирования, формирование приоритетов устранения и внедрение компенсирующих мер там, где обновление временно невозможно.

Иными словами, при разношерстном парке оборудования акцент необходимо делать на прозрачности процессов и документированной управляемости рисков. Если организация уже выстроила подобную модель работы, ее целесообразно сохранить и адаптировать под требования приказа №117, не меняя принципиально подход, а усилив дисциплину исполнения и контроль сроков.

Бюджеты на безопасность в 2026 году у многих остались на уровне прошлого года или урезаны. Какие организационно-технические мероприятия позволяют пройти аттестацию ГИС/КИИ без дополнительных затрат на сторонних экспертов?

В части аттестации ГИС и объектов КИИ стоит учитывать, что ФСТЭК России в 2024-2025 годах проводила системную работу с государственными организациями по приведению информационных систем в соответствие требованиям приказа №117. В результате значительная часть ГИС и объектов КИИ уже прошла необходимые процедуры оценки соответствия, а выданные аттестаты продолжают действовать.

Поэтому в 2026 году для большинства действующих систем повторная аттестация, скорее всего, не потребуется — при условии отсутствия существенных изменений архитектуры, состава средств защиты информации или функционального назначения системы.

Иная ситуация возможна для новых информационных систем, вводимых в эксплуатацию после 01.03.2026 года, а также для систем, подвергшихся модернизации. В этих случаях действительно может потребоваться дополнительная настройка организационных и технических мер защиты, пересмотр модели угроз и приведение документации в соответствие обновленным требованиям. Здесь целесообразно заранее усилить фокус на вопросах информационной безопасности и корректности проектирования защиты.

Что касается минимизации затрат, необходимо учитывать нормативные ограничения. Законодательство прямо предусматривает, что аттестация проводится с привлечением организаций, имеющих соответствующие лицензии ФСТЭК России. Соответственно, полностью отказаться от участия лицензированного подрядчика невозможно — это обязательное требование регулятора.

Оптимизация бюджета возможна за счет предварительной внутренней подготовки: актуализации организационно-распорядительной документации, инвентаризации активов, проверки корректности настроек средств защиты и устранения выявленных несоответствий до выхода на процедуру аттестации. Такой подход позволяет сократить объем работ внешнего исполнителя и, как следствие, итоговую стоимость проекта.

Какие есть неочевидные риски, связанный с приказом №117?

Приказ ФСТЭК России №117, вступающий в силу с 1 марта 2026 года, существенно ужесточает требования к государственным информационным системам и иным ИС госорганов, и часть рисков, возникающих в этой связи, носит неочевидный характер. В первую очередь это касается использования open source-компонентов. Новые требования предполагают повышенную прозрачность — необходимо фиксировать происхождение компонентов, их версионность, источники получения, обеспечивать контроль уязвимостей и сопровождение. При этом многие ГИС разрабатывались в предыдущие годы, когда подобный уровень документирования не являлся обязательным. В результате организации могут столкнуться с тем, что часть сведений по использованным open source-библиотекам либо отсутствует, либо не может быть подтверждена документально, и восстановить эту информацию ретроспективно крайне затруднительно.

Дополнительный риск связан с качеством сопровождения open source. За время эксплуатации подрядчики могли меняться, поддержка отдельных компонентов могла прекращаться, а требования к надежности и безопасности ГИС объективно остаются высокими. Отсутствие устойчивой модели сопровождения и обновления становится операционным риском, особенно в условиях повышенного внимания регулятора к уязвимостям и управлению жизненным циклом компонентов.

Серьезным фактором становится и усиление требований к персоналу, обеспечивающему безопасность ГИС. На практике не все организации располагают достаточным количеством специалистов необходимой квалификации, а формальное несоответствие кадровым требованиям может быть квалифицировано как нарушение. Одновременно меняется сама логика контроля: вместо привычного перечня мер защиты вводятся показатели КЗИ и ПЗИ, что увеличивает нагрузку на организации с точки зрения аналитики и отчетности. Показатели необходимо подтверждать на регулярной основе, при этом они отражают не только формальное наличие средств защиты, но и зрелость процессов. При формальном подходе возникает риск подготовки отчетности ради соответствия индикаторам, что при проверке может привести к предписаниям со стороны регулятора.

Отдельная зона неопределенности связана с использованием технологий искусственного интеллекта в новых системах. Такие решения требуют дополнительного обоснования с точки зрения управляемости, предсказуемости и соответствия требованиям безопасности, а при отсутствии четкой методической проработки могут вызвать вопросы при оценке соответствия. Наконец, на практике сохраняются сложности интеграции сертифицированных средств защиты информации и СКЗИ с архитектурами, построенными на open source. Многие действующие ГИС создавались в период, когда вопросы совместимости с сертифицированными СЗИ не являлись приоритетом, и сегодня это может потребовать переработки отдельных архитектурных решений. В совокупности именно архитектурное наследие систем, уровень документирования, модель сопровождения и зрелость процессов могут стать ключевыми рисками при реализации требований приказа №117 в 2026 году.

Владимир Кудряшов, директор сервисного департамента компании «ГИГАНТ Компьютерные системы» рассказывает о рынке защищенных компьютеров для работы в полевых условиях — от влияния регуляторики и импортозамещения до сервисной поддержки в труднодоступных локациях и перспектив российских решений за рубежом.

Насколько сильно на сегмент влияет регуляторика?

Регуляторные требования ФСБ, ФСТЭК и законодательства по защите КИИ и персональных данных — это огромный драйвер роста сегмента. И это логично, поскольку для госсектора и значимых объектов КИИ использование сертифицированных отечественных платформ — это безальтернативное условие работы. Любое ужесточение законодательства в сфере защиты данных автоматически стимулирует обновление парка и расширяет емкость сегмента.

Как видите развитие сегмента и присутствия в нем продукции/экспертизы вашей компании?

Импортозамещение по-прежнему остается основным вектором, которому подчиняется и сегмент защищенного оборудования. Также я вижу некоторое смещение отраслей к модели, где безопасность приоритетнее функционала. Компании, как государственные, так и коммерческие, делают выбор в пользу более безопасных отечественных решений, отказываясь от зарубежных аналогов. С развитием ИИ-технологий не нужно быть мозговитым хакером, чтобы подобрать инструменты для взлома системы. Поэтому безопасность прежде всего, а функционал в перспективе 3-5 лет тоже подтянется.

Что касается нашей компании, то мы, как интегратор, ориентируемся на комплексные проектные решения, предлагая связку «оборудование + сервис + нормативная экспертиза». В планах — масштабирование линейки на отечественной компонентной базе и развитие сервиса полного цикла, чтобы заказчик мог сосредоточиться на своем собственном бизнесе.

Как часто заказчики требуют кастомных решений защищенного оборудования?

В этом сегменте кастомизация нужна значительно чаще в сравнении с масс-маркетом. Климатические условия, специфика производственных процессов, необходимость определенных интерфейсов подключения — все это требует дополнительной модификации корпуса или аппаратной начинки. Это стандартная практика, особенно для больших проектов, в которых редко используются коробочные решения. Важно учитывать, что после всех доработок оборудование должно сохранять сертификационный статус.

Есть ли особенности в сервисной поддержке оборудования такого типа?

Главная отличительная особенность заключается в том, что условия поддержки более жесткие — минимальное время реакции на обращение, сжатые сроки восстановления и возможность обслуживания оборудования в труднодоступных локациях в режиме 24/7. Для интегратора обязательно наличие собственного подменного фонда и запасных частей, налаженная логистика, инженерные ресурсы. Еще один важный момент — квалифицированное сопровождение обновлений ПО, гарантирующее, что соответствие регуляторным требованиям сохранится.

В чем сложности выхода в сегмент и какие дополнительные инженерные решения нужны для этого при проектировании /производстве /тестировании?

Чтобы выйти в этот сегмент, компания должна перестроить все процессы с учетом высоких требований к сертификации: проектировать с тройным запасом, производить с полной прослеживаемостью и тестировать, доказывая работу в условиях, значительно превышающих штатные, включая жесткие климатические испытания и проверки по стандартам информационной безопасности Для этого нужно создать целую инфраструктуру и постоянно развивать производственные процессы, искать новые технологические подходы и решения, что само по себе может стать барьером для входа.

Есть ли перспективы российских решений этого класса за пределами рублевой зоны?

Да, перспективы есть, но они в ближайшем будущем будут ограничены кругом стратегических союзников и партнеров, которые разделяют общие вызовы в области технологического суверенитета и информационной безопасности. Мы на своем опыте, как интегратор, почувствовали, что происходит, когда крупные вендоры в одностороннем порядке покидают рынок, нарушая контрактные обязательства и этические нормы. Это ставит под удар непрерывность бизнес-процессов у заказчиков и грозит финансовыми потерями. Курс на технологический суверенитет и развитие российских защищенных решений стал необходимостью. Также нашим преимуществом может стать адаптация под экстремальные сценарии (например, Арктика) и конкурентная цена при серийном производстве. Однако соперничество с глобальными брендами потребует игры «в долгую» и последовательного выстраивания доверия к российскому оборудованию.

С 1 марта 2026 года вступил в силу Приказ ФСТЭК России от 11.04.2025 №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Документ полностью заменяет действовавший более десяти лет Приказ №17 и знаменует фундаментальную смену парадигмы регулирования.

Раньше требования касались только государственных информационных систем (ГИС) в узком смысле. Теперь область применения расширена до всех информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений, а также муниципальных информационных систем. Под действие попадают тысячи организаций, которые ранее могли не задумываться о требованиях ФСТЭК.

Кибер Медиа вместе с экспертами рынка разобрали новый порядок регулирования и сформировали рекомендации для компаний, как перестроиться, чтобы избежать штрафов.

Ключевые изменения по существу

Главное новшество — отказ от жёсткой таблицы мер. Вместо фиксированного перечня защитных мер для каждого класса систем теперь вводится процессный подход. Организации должны выстраивать систему управления информационной безопасностью по циклу Деминга-Шухарта (Plan-Do-Check-Act): планировать мероприятия, проводить их, оценивать состояние защиты и постоянно совершенствовать процессы.

Николай Калуцкий, Ведущий инженер-программист НОЦ ФНС России и МГТУ им. Н.Э. Баумана

В крупных распределенных ГИС с сотнями серверов и рабочими станциями вручную отслеживать появление новых уязвимостей и сверять их с установленным ПО очень трудоёмко. Особенность заключается в том, что мы переходим к доказательству безопасности каждого элемента. 117-й Приказ также вводит обязательную периодическую отчётность для операторов, ещё вводятся жёсткие требования к персоналу.

В регулировании появились новые классы защищённости. Класс системы теперь определяется по её назначению, а не территориальному уровню. Если система обрабатывает документы с грифом «Для служебного пользования» (ДСП), ей автоматически присваивается 1-й класс защищённости.

Впервые на нормативном уровне закреплены требования к кадровому составу: не менее 30% сотрудников подразделения по защите информации должны иметь профильное образование или пройти профессиональную переподготовку.

Николай Калуцкий, Ведущий инженер-программист НОЦ ФНС России и МГТУ им. Н.Э. Баумана

Требования к персоналу стали жестче: теперь официально нужно подразделение ИБ, ведь регуляторы переходят к проверке реальной, а не декларативной защищенности. Облачные сервисы и подрядчики превращаются в зону прямой и полной ответственности. Количество документации увеличивается в несколько раз.

Сергей Коловангин

Начальник отдела ИТ компании «Газинформсервис»

Разумеется, увольнение сертифицированного специалиста может привести к нарушению условий действия аттестата соответствия, но это зона ответственности руководства и кадрового подразделения организации. Фиктивное наличие специалиста по безопасности приравнивается к отсутствию такого специалиста в штате, попытка в этом вопросе ввести в заблуждение представителя регулятора при проверках также чревата серьёзными последствиями, поэтому приём на работу студента с профилем по ИБ хотя бы на полставки или вчерашнего выпускника без опыта в любом случае будет более разумным вариантом, чем оставаться вовсе без специалиста по ИБ.

Приказ №117 также вводит требования к защите современных технологий, которые не были описаны в старом документе: облачные вычисления, контейнерные среды, веб-технологии и API, интернет вещей.

Александр Буравцов, Директор по информационной безопасности компании CommuniGate Pro

Проект методики устанавливает, что защита контейнерной инфраструктуры обеспечивается применением сертифицированных средств контейнеризации и сертифицированных хостовых операционных систем. Для успешной аттестации необходимо подтвердить использование сертифицированной ОС, корректную настройку механизмов изоляции и разграничения доступа, а также наличие внутренних регламентов по управлению доступом, регистрации событий и управлению уязвимостями.

Альбина Аскерова, Руководитель направления по взаимодействию с регуляторами Swordfish Security

Также требования к безопасности ИИ описаны в требованиях ФСТЭК России, которые описаны в проекте методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах». Например, требование о том, что в информационной инфраструктуре разработки системы ИИ не допускается решение задач, не связанных с разработкой системы ИИ, или требование о применении только доверенных наборов обучающих данных, а также контроль целостности обучающих данных. Есть и усиленные меры, которые предполагают выделение в отдельный физически изолированный сегмент разработки системы ИИ или контроль целостности моделей путем использования сертифицированных средств криптографической защиты. То есть итоговая ответственность за безопасность замыкается на разработчике (операторе) сервиса с ИИ, а требования постепенно приведут к замкнутым отраслевым контурам безопасности. Сейчас регулятор рассматривает предложения отрасли к проекту методики.

Владислав Кошелев, Архитектор по информационной безопасности, «КИТ»

Еще в 2022 году был принят Приказ ФСТЭК России №118, устанавливающий требования по безопасности информации к средствам контейнеризации. Эти требования подлежат обязательному применению при разработке, сертификации и оценке соответствия средств защиты информации, используемых в контейнерных средах.

Отчётность теперь необходимо направлять во ФСТЭК на постоянной основе: раз в полгода — показатель защищённости, раз в год — показатель зрелости, плюс итоговый годовой отчёт по мониторингу.

Василий Севостьянов, Начальник отдела технического сопровождения продаж, ООО «Доктор Веб»

Для обоснования перед регулятором требуются: актуальная модель угроз на базе банка данных угроз безопасности информации ФСТЭК; обоснование выбора и адаптации базовых мер — почему выбраны именно такие, как именно они нейтрализуют угрозы из модели, а если какие меры не применяются — чем обоснован такой выбор; документальное подтверждение верификации эффективности реализованных мер — расчеты показателей уровня защищенности, периодический контроль уровня защищенности; внутренние регламенты и стандарты, описывающие порядок выбора, внедрения, контроля и совершенствования мер защиты информации.

Отдельный блок требований посвящён безопасности при работе с подрядными организациями. Теперь подрядчики обязаны соблюдать политики и организационно-распорядительные документы оператора ИС.

Владислав Крылов, Консультант по информационной безопасности AKTIV.CONSULTING

Отдельная методика может потребоваться в случаях, когда стандартные подходы не охватывают особенности конкретной ИС или отраслевые требования. Например, если система использует нестандартные технологии (контейнерную инфраструктуру, ИИ), работает в специфическом регуляторном поле или имеет высокий уровень критичности с точки зрения бизнеса. В таких случаях организация может разработать внутреннюю методику, которая детализирует порядок оценки рисков, выбора мер и СЗИ, учитывая дополнительные критерии и требования.

Важно отметить, что аттестаты, выданные до 1 марта 2026 года, остаются действительными до окончания срока их действия. Но при следующей аттестации проверка будет проводиться уже по новым требованиям.

Кому обязательна аттестация: критерии значимости объектов КИИ и ГИС

С вступлением в силу Приказа №117 вопрос «Должны ли мы аттестовываться?» приобретает новое значение. Раньше круг организаций, обязанных выполнять требования ФСТЭК, ограничивался в основном операторами ГИС и субъектами КИИ, теперь же он кратно расширился. Разберём по категориям.

Государственные информационные системы (ГИС) и иные ИС госорганов. Первая и самая очевидная категория — государственные информационные системы. Для них аттестация остаётся обязательной в соответствии с Приказом ФСТЭК №77, причём с 1 марта 2026 года проверка будет проводиться уже по новым требованиям №117.

Однако теперь под действие приказа попадают все информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений — даже те, которые не являются ГИС в узком смысле слова.

Сергей Коловангин, Начальник отдела ИТ компании «Газинформсервис»

В третьем разделе Требований регулятор довольно конкретно расставил акценты на критичных направлениях обеспечения ИБ, на которые придётся обратить внимание в первую очередь при обеспечении ЗИ ГИС. Что касается обоснования выбора мер защиты, действительно, правильно разработанная модель угроз играет здесь одну из основных ролей, при этом подтверждение достаточности мер в соответствии с п. 65 Требований возложено на органы по аттестации в рамках аттестационных испытаний ГИС.

Кроме того, требования распространяются на:

• информационные системы муниципальных органов;
• информационные системы, получающие данные из ГИС;
• подрядные организации, работающие с госзаказчиками (для них теперь обязательны соблюдение политик ИБ и соответствующее оформление в договорах).

Субъекты критической информационной инфраструктуры (КИИ).

Вторая крупная категория — субъекты КИИ, причём всех категорий значимости, а также значимые объекты. Здесь важно понимать двухуровневую систему регулирования.

С одной стороны, требования к защите значимых объектов КИИ регулируются отдельными документами (в первую очередь Приказом ФСТЭК №239, который также планируется к обновлению в 2026 году). С другой стороны, Приказ №117 вводит для субъектов КИИ обязательную оценку показателя защищённости (КЗИ) с пороговым значением 0,9.

Критерии отнесения объектов к КИИ регулируются Постановлением Правительства №127. В последние месяцы произошли важные изменения.

Постановлением Правительства №92 от 6 февраля 2026 года утверждены отраслевые особенности категорирования объектов КИИ в банковской сфере и на финансовом рынке. Теперь кредитные и некредитные организации обязаны ежегодно предоставлять информацию о значимых объектах КИИ в Минфин или ЦБ, а также соотносить показатели критериев значимости с типами объектов КИИ (по ещё не утверждённому типовому перечню).

Постановлением Правительства №4 от 16 января 2026 года утверждены отраслевые особенности для объектов КИИ в области атомной энергии, с особыми требованиями к составу комиссии по категорированию и методам расчёта показателей.

Михаил Савельев, Директор департамента методологии информационной безопасности «Ростелекома»

Утвержденный Перечень типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации точно станет «раздражителем» защитников КИИ, поскольку в ближайшее время наверняка потребует провести перекатегорирование своих систем. С одной стороны, перечень упрощает этот процесс. Однако, с другой стороны, появляется неопределенность в отношении систем, которые могут повлечь недопустимые последствия, но не входят в перечень. Получается, что тому, кто найдет такие системы в своей инфраструктуре, придется начинать инициировать изменения в постановление Правительства.

К объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления производственными и технологическими процессами (АСУ ТП).

Операторы информационных систем персональных данных (ИСПДн). Это третья категория, которую необходимо не упустить из виду, но при этом необходимо учесть, что приказ касается только систем 1-го и 2-го уровня защищённости. Для них вводится обязанность оценивать показатель защищённости и, соответственно, выстраивать систему управления ИБ в соответствии с новыми требованиями.

Проект изменений в порядок аттестации (Приказ №77), опубликованный ФСТЭК 26 января 2026 года, вводит обязательное тестирование на проникновение для ГИС и иных ИС государственных органов и унитарных предприятий 1 и 2 классов защищённости, имеющих подключение к интернету или взаимодействующих с внешними системами. Это серьёзно повышает требования к доказательной базе.

Подрядчики госорганов обязаны соблюдать политики ИБ заказчика. Если организация подпадает хотя бы под одну из этих категорий, игнорировать новые требования нельзя: как в части отправки регулярной отчётности во ФСТЭК, так и части контроля значений КЗИ — показатель ниже 0,9 будет прямым сигналом для внеплановой проверки.

План подготовки: категорирование, моделирование угроз, выбор СЗИ, аттестационные испытания

Новые требования заставляют компании перейти к непрерывному процессу управления безопасностью. Поэтому и подготовку нужно вестис учётом постоянного функционирования в новом правовом поле.

Шаг 1. Классификация (категорирование) информационной системы

Приказ №117 сохраняет трёхуровневую иерархию классов защищённости (К1, К2, К3), но меняет критерии. Раньше класс системы определялся в основном по масштабу (федеральная, региональная, объектовая) и категории обрабатываемых данных. Теперь же — по назначению системы. Это кардинально меняет требования для многих государственных учреждений, которые ранее могли не относиться к высшему классу.

Что нужно сделать:

1. Составить полный перечень информационных систем, подпадающих под действие приказа (ГИС, иные ИС госорганов, ГУПов, госучреждений, системы с подключением к ГИС).
2. Провести инвентаризацию обрабатываемой информации: есть ли данные с грифом ДСП, персональные данные, иная конфиденциальная информация.
3. Определить класс защищённости для каждой системы по новой методике (в зависимости от назначения и категории данных).

Александр Осипов, Консультант по информационной безопасности, руководитель направления комплаенса и методологии ПК РАД КОП

Для общественного обсуждения вышел проект Методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах», который, видимо, будет принят, т.к. «пути назад уже нет», а меры надо понимать. Документ, как описано в проекте «определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации», «детализирует мероприятия (процессы), которые подлежат реализации в органе (организации) для достижения целей защиты информации и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также определяет содержание мер по защите информации (обеспечению безопасности)».

Шаг 2. Моделирование угроз и построение модели нарушителя

Если раньше модель угроз часто разрабатывалась формально и использовалась только на этапе аттестации, то теперь это живой документ, на основе которого выстраивается вся система защиты. Регулятор прямо указывает на необходимость учитывать риски информационной безопасности, а не только формальные признаки.

Приказ №117 требует, чтобы в модели угроз особое внимание уделялось угрозам, связанным с удалённым доступом; угрозам через цепочки поставок (подрядчики, партнёры); человеческому фактору.

Что нужно сделать:

• Актуализировать модели угроз и нарушителя с учётом новых требований.
• Увязать модель угроз с реальными сценариями атак и возможными последствиями для организации.
• Проверить, отражает ли модель текущую архитектуру сети, включая облачные сервисы, удалённые рабочие места и внешние подключения.

Обратите внимание, что при проверке ФСТЭК будет оцениваться не просто наличие модели угроз, а её обоснованность и адекватность реальным условиям эксплуатации.

Шаг 3. Выбор и внедрение СЗИ

На этом этапе Приказ №117 снова смещает акцент на результат — способность системы предотвращать и выявлять инциденты.

Если ваша ИС классифицирована как К1, то и межсетевой экран, и другие средства защиты должны иметь сертификат ФСТЭК соответствующего класса. Это исключает использование «облегчённых» решений в критически значимых системах.

Вводится приоритет технических мер над «бумажными». Из 21 мероприятия для достижения целей защиты информации 18 — технические.

Возрастает роль многофункциональных решений. Использование сертифицированного NGFW позволяет закрыть до 14 из 17 базовых мер защиты на одном узле, упрощая эксплуатацию и аттестацию. При этом пункты 71-72 Приказа №117 прямо указывают: класс используемых средств защиты информации обязан строго соответствовать классу самой системы. Нужно проверить не только наличие сертификатов на все текущие СЗИ, но и сроки их действия. Просроченный сертификат приравнивается к отсутствию защиты.

Никита Фотин, Ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис»

Организации следует проработать ряд компенсирующих мероприятий и обеспечить подробную регламентацию процедур по защите информации, а также подготовить план по переходу на отечественные и актуальные программные продукты, позволяющие своевременно закрывать выявляемые уязвимости.

Приказ №117 вводит требования к защите современных технологий, которые просто отсутствовали в старом документе: защита облаков (CSP, CASB); защита контейнерных сред (Docker/Kubernetes); WAF для веб-приложений и API; IoT-безопасность; EDR/XDR-функционал на конечных точках; управление привилегированным доступом; регламентация удалённого доступа.

Василий Севостьянов, Начальник отдела технического сопровождения продаж, ООО «Доктор Веб»

В связи с пунктом 41 иногда высказывается мнение, что он фактически обязывает организации внедрять системы класса EDR. Но это не так. Формулировка носит функциональный, а не продуктовый характер. Приказ перечисляет цели и задачи: исключение несанкционированного доступа и воздействия через интернет-интерфейсы; мониторинг и анализ процессов и событий на конечном устройстве; выявление актуальных угроз; предупреждение о произошедших событиях безопасности.

Владислав Крылов, Консультант по информационной безопасности AKTIV.CONSULTING

3 ключевые меры, направленные на обеспечение изоляции, контроля уязвимостей, целостности и управления доступом в контейнерной среде. Во-первых, изоляция контейнеров: необходимо обеспечивать разделение процессов, файловых систем и сетей между контейнерами и от хостовой операционной системы. Это включает изоляцию пространств идентификаторов процессов, имён для межпроцессного взаимодействия, пользователей и групп, хостов и доменов, а также сетевых пространств имён. Для Kubernetes важно настроить механизмы изоляции на уровне кластера и оркестратора. Во-вторых, выявление уязвимостей в образах контейнеров. Требуется регулярное сканирование образов на наличие известных уязвимостей перед их запуском. Сканирование должно проводиться с использованием баз данных уязвимостей, включая БДУ ФСТЭК России. В-третьих, проверка корректности конфигурации. Необходимо аудитировать настройки контейнеров и оркестратора (например, Kubernetes) на соответствие требованиям безопасности. Это включает проверку манифестов YAML, Dockerfile и других конфигурационных файлов на предмет ошибок и небезопасных настроек.\

Шаг 4. Организационные меры и документация

Хотя регулятор делает заметный акцент на технологиях, компаниям нужно позаботиться и о процессной составляющей.

Александр Яров, Руководитель информационной безопасности ELMA

Нужен процесс управления уязвимостями: проведение инвентаризации сервисов и CVE, валидация влияния уязвимостей и обоснование их неактуальности, формирование компенсирующих мер через имеющиеся СЗИ. Для этого будет, в том числе, полезно сочетать данный процесс с процессами анализа и фиксации рисков для обоснования допустимости.

Необходимо разработать или актуализировать:

• Политику информационной безопасности — базовый документ, определяющий цели защиты, защищаемые объекты, состав организационных мер, ответственность персонала.
• Стандарты организации — требования к мерам безопасности различных объектов ИС (модели доступа, разрешённое ПО, защита конечных устройств).
• Регламенты — конкретные алгоритмы реализации мер (порядок работы с учётными записями, с информацией ограниченного доступа, мониторинг ИБ).
• Положение об ИБ-подразделении — теперь это обязательное требование.

Впервые на нормативном уровне закреплены требования к составу подразделения по защите информации: не менее 30% сотрудников должны иметь профильное образование или пройти профессиональную переподготовку.

Шаг 5. Аттестационные испытания

Для ГИС аттестация остаётся обязательной в соответствии с Приказом №77. Для остальных ИС, подпадающих под действие №117, аттестация формально добровольна, но на практике без неё невозможно подтвердить соответствие требованиям регулятора.

Михаил Савельев, Директор департамента методологии информационной безопасности «Ростелекома»

Аттестация — это прерогатива специализированных компаний-лицензиатов ФСТЭК. Она обязательна для ГИС, но не всегда необходима для ЗОКИИ, где можно обойтись процедурой оценки эффективности внедрения СЗИ, которую компания может выполнить своими силами.

Алексей Колодка, Директор по работе с государственными заказчиками компании «ГИГАНТ Компьютерные системы»

Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Дополнительный риск связан с качеством сопровождения open source. За время эксплуатации подрядчики могли меняться, поддержка отдельных компонентов могла прекращаться, а требования к надежности и безопасности ГИС объективно остаются высокими. Отсутствие устойчивой модели сопровождения и обновления становится операционным риском, особенно в условиях повышенного внимания регулятора к уязвимостям и управлению жизненным циклом компонентов.

Эксперты рекомендуют не ждать окончания срока действия старых аттестатов, а провести повторную аттестацию досрочно, чтобы выявить и устранить несоответствия заранее.

Шаг 6. Настройка непрерывного контроля и отчётности

Пожалуй, самое существенное нововведение — требование регулярной отчётности перед регулятором. Раз в 6 месяцев следует проводить расчёт и представление показателя защищённости (КЗИ), раз в год — оценивать показатель зрелости процессов ИБ, в ежегодном режиме — предоставлять итоговый отчёт по мониторингу.

Алёна Лукашева, Заместитель руководителя департамента консалтинга и аудита iTPROTECT

План лучше собирать как повторяемый цикл, а не как разовую активность «перед аттестацией». На входе требуется инвентаризация периметра и внутренней инфраструктуры, включая внешние IP и домены, сервисы и порты, а также состав и версии серверов, рабочих мест, сетевого оборудования и средств защиты. Методика прямо фиксирует два вида анализа: внешнее сканирование периметра из сети Интернет и внутреннее сканирование внутренней инфраструктуры с предоставлением доступа исполнителю, при этом внутреннее сканирование проводится от лица привилегированного пользователя, а тестовая привилегированная учётная запись должна быть удалена или заблокирована после завершения работ.

Это означает, что аттестация становится стартовой точкой, а компания должна непрерывно доказывать свою состоятельность.

Что нужно настроить:

• интеграцию NGFW с SIEM-системами для автоматического сбора событий и расчёта КЗИ;
• подключение к ГосСОПКА (теперь обязательно для всех ГИС, а не только для КИИ);
• процедуры ежедневного мониторинга событий, еженедельной отчётности по инцидентам, ежеквартальной проверки эффективности СЗИ.

Чек-лист для действий

1. Классификация. Определить перечень ИС, проверить наличие ДСП, присвоить классы по новым правилам. Срок: март-апрель 2026.
2. Модель угроз. Актуализировать с учётом удалённого доступа, цепочек поставок, человеческого фактора. Срок: апрель-май 2026.
3. Выбор СЗИ. Аудит текущих средств, проверка сертификатов и их сроков, закупка недостающих (с учётом класса системы). Срок: май-август 2026.
4. Организационные меры. Разработка/обновление политики, стандартов, регламентов. Проверка кадрового состава для контроля порогового значения в 30% с профильным образованием. Срок: июнь-сентябрь 2026.
5. Аттестация. Подготовка к испытаниям, проведение тестирования на проникновение (для ГИС), получение аттестата. Срок: сентябрь-декабрь 2026.
6. Мониторинг. Настройка SIEM, подключение к ГосСОПКА, отработка процедур сбора отчётности. Срок: Постоянно, с октября 2026.

Цена вопроса: из чего складывается стоимость аттестации

Универсального ответа на вопрос о бюджете практической реализации требований Приказа №117 нет, но можно разобрать основные статьи расходов и факторы, влияющие на итоговую сумму.

Алексей Колодка, Директор по работе с государственными заказчиками компании «ГИГАНТ Компьютерные системы»

С 1 марта 2026 года неисполнение требований приказа влечет оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.

Самая затратная часть — средства защиты информации, причём все они должны иметь действующие сертификаты ФСТЭК, а их класс обязан строго соответствовать классу аттестуемой системы. Для небольшой организации это могут быть сотни тысяч рублей, для крупной распределённой структуры — десятки миллионов.

Помимо закупки оборудования, потратиться нужно будет и на внедрение с пусконаладкой: правильную настройку, интеграцию с существующей инфраструктурой, обучение персонала. Стоимость этих работ зависит от сложности инфраструктуры и обычно составляет существенный процент от стоимости СЗИ.

Сама аттестация проводится лицензированными организациями и включает анализ документации, инструментальный контроль, а для ГИС первых двух классов — обязательное тестирование на проникновение. На рынке цены варьируются от трёхсот тысяч для небольших систем до нескольких миллионов для крупных распределённых объектов.

Алёна Лукашева, Заместитель руководителя департамента консалтинга и аудита iTPROTECT

В проекте изменений к порядку аттестации (приказ ФСТЭК № 77) формализуется периодический контроль на аттестованном объекте через анализ уязвимостей и тестирование на проникновение. Закрепляется обязанность направлять отчёт в ФСТЭК России не реже 1 раза в 3 года и риск приостановления аттестата при непредставлении отчёта. Экономия, которая ранее часто достигалась за счёт формального закрытия бумажного контура и разовых работ, становится менее жизнеспособной.

Александр Хонин, Директор Центра консалтинга Angara Security

Отдельно стоит упомянуть, что в 2025 году ФСТЭК выпустил новые методические рекомендации в части анализа уязвимостей и пентеста при аттестации: «Методика анализа защищённости информационных систем»; «Методика испытаний систем защиты информации информационных систем методами тестирования на проникновение»; «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств». Эти исследования выделены в отдельный класс работ, который регламентирован и обязателен к выполнению при аттестациях.

Тестирование на проникновение обязательно для ГИС и ИС госорганов, унитарных предприятий и учреждений 1 и 2 классов защищённости, которые подключены к сети «Интернет» или взаимодействуют с внешними системами (за исключением случаев использования сертифицированных шифровальных СЗИ). В иных случаях решение о тестировании на проникновение принимает заказчик или оператор ИС.

Отдельная статья — человеческий капитал. Приказ требует, чтобы не менее трети сотрудников подразделения ИБ имели профильное образование или прошли переподготовку. Если текущий состав этим требованиям не соответствует, придётся направлять людей на обучение, а это от 60 до 100 тысяч на человека за полноценную переподготовку. Возможно, потребуется и разработка организационно-распорядительной документации силами внешних консультантов — ещё несколько сотен тысяч.

Александр Яров, Руководитель информационной безопасности ELMA

Раньше для защиты ГИС нужна была «бумага» и «сертифицированные СЗИ», и под это нанимались специалисты. Сейчас требования диктуют процессный и риск-ориентированный подход с дополнением в виде сертифицированных СЗИ. Под это уже требуются более квалифицированные кадры, в т.ч. операционный CISO, с которыми наблюдается дефицит. Плюс ко всему бюджетов и до этого с трудом хватало на минимальный уровень соответствия, а сейчас есть вероятность ухудшения ситуации.

Что касается сроков, реалистичный горизонт для организации, начинающей с нуля — от 6 до 18 месяцев. Классификация и моделирование угроз займут около месяца, закупка СЗИ может растянуться на квартал из-за бюджетных процедур, внедрение — ещё полгода, если инфраструктура сложная. Аттестационные испытания длятся один-три месяца. Если же в организации уже есть выстроенная система ИБ и сертифицированные средства, сроки могут сократиться до трёх-шести месяцев.

Важно помнить о скрытых затратах. После получения аттестата требуется ежегодное продление лицензий на СЗИ, регулярный расчёт показателей защищённости и отчётность во ФСТЭК. Если своих компетенций для этого недостаточно, придётся привлекать внешних аудиторов на постоянной основе.

Главный совет для руководителя: закладывать на 2026 год бюджет, исходя из масштаба инфраструктуры, и не откладывать начало работ. Чем раньше пройдёт аудит текущего состояния, тем больше времени останется на устранение неизбежных несоответствий. И помните: новые требования превращают аттестацию из разового события в режим постоянного соответствия.

Источник: https://securitymedia.org/info/attestatsiya-gis-i-kii-po-novym-pravilam-2026-polnyy-razbor-prikaza-fstek-117.html?sphrase_id=2105

Компания Innostage, первый кибериспытанный интегратор России в области цифровой безопасности, и UDV Group, российский разработчик решений для эффективного и безопасного использования современных технологий, подвели итоги участия в XIV ежегодной конференции «Информационная безопасность АСУ ТП КВО». Мероприятие прошло 3–4 марта в Москве при участии ФСТЭК России, ФСБ России и отраслевых регуляторов, собрав более 750 руководителей и ведущих специалистов по ИБ и АСУ ТП из ключевых отраслей промышленности.

На объединенном стенде Innostage и UDV Group основной акцент был сделан на готовности партнеров к реализации сложных инфраструктурных проектов по импортозамещению и защите АСУ ТП на объектах КИИ «под ключ». Собственная экспертиза Innostage в этой области подтверждена более чем 190 проектами различного уровня сложности для предприятий ТЭК, металлургии, химпрома и транспорта. Экспертиза UDV Group, в свою очередь, обеспечивается современными технологическими решениями, позволяющими не только контролировать промышленный трафик, но и управлять версиями проектов ПЛК, что критически важно для устойчивости производств.

Участие в конференции «Информационная безопасность АСУ ТП КВО» стало логичным продолжением стратегического партнерства компаний Innostage и UDV Group, закрепленного меморандумом о сотрудничестве на форуме Kazan Digital Week 2025.

В основе подхода Innostage к защите промышленных объектов — объединение компетенций ИТ, ИБ и АСУ ТП в единую команду, обеспечение сквозной наблюдаемости и непрерывности технологических процессов, а также масштабирование единых стандартов безопасности на все площадки заказчика. Именно такой системный подход позволяет создавать по-настоящему киберустойчивые АСУ ТП. Технологическим фундаментом этого подхода выступают решения UDV Group, чья платформа базируется на комплексной киберзащите промышленных предприятий: от глубокого анализа промышленного трафика и контроля целостности проектов ПЛК до централизованного управления безопасностью на всех уровнях АСУ ТП. Флагманское решение компании, UDV DATAPK Industrial Kit 3.0, сертифицированное ФСТЭК России по 4 уровню доверия, объединяет модули обнаружения аномалий на базе машинного обучения, контроля версий и аудита изменений, обеспечивая тем самым сквозную наблюдаемость и непрерывность технологических процессов без риска влияния на работу контроллеров.

На полях XIV конференции «Информационная безопасность АСУ ТП КВО» руководитель отдела технической поддержки продаж UDV Group Денис Назаренко представил доклад «Групповой портрет АСУ ТП в кибер-ландшафте», собравший широкий интерес профессионального сообщества. В своем выступлении эксперт предложил аудитории аналитический срез текущего состояния промышленной кибербезопасности, основанный на реальных данных и многолетнем опыте реализации проектов на объектах КИИ. Основной акцент был сделан на переходе от точечной защиты к формированию целостного «портрета» защищаемого объекта: от анализа типовых уязвимостей и векторов атак до поведенческих особенностей промышленного оборудования в условиях растущего санкционного давления и активного импортозамещения. Доклад Дениса Назаренко наглядно продемонстрировал, что построение киберустойчивости сегодня невозможно без глубокого понимания ландшафта угроз и адаптации стратегий защиты под индивидуальные особенности технологических процессов предприятий.

В течение двух дней работы конференции руководитель направления по работе с партнерами автоматизации Innostage Дмитрий Буканов и руководитель отдела технической поддержки продаж UDV Group Денис Назаренко проводили для гостей стенда демонстрации интегрированного подхода на базе продукта UDV DATAPK Industrial Kit и UDV ITM. Посетители могли вживую оценить подходы и практические решения для реализации крупных инфраструктурных проектов — начиная с проблем определения категории значимости объектов КИИ и заканчивая совместными с производителями решений по автоматизации комплексными испытаниями, в том числе на действующих объектах без прерывания технологического процесса.

Ключевыми темами обсуждения на стенде Innostage и UDV Group стали практические аспекты категорирования объектов КИИ, импортозамещения, применение и настройка наложенных средств защиты без технологических пауз, аудит и харденинг (ужесточение мер защиты) инфраструктуры, пентесты и контролируемые кибератаки на АСУ ТП, а также построение центров мониторинга (SOC) для промышленных предприятий с привлечением экспертизы Innostage SOC CyberART.

«Мы подтвердили ключевой тезис, с которым шли на конференцию: рынку сегодня нужны не отдельные продукты, а системные интеграторы с доказанной способностью реализовывать масштабные инфраструктурные проекты с полным циклом ответственности. Запрос на „тяжелую“ интеграцию, где нужно соединить требования ФСТЭК, импортозамещение ПЛК и ПАКов, внедрение средств защиты и постоянный мониторинг, был очевиден в каждом диалоге с заказчиками. Особый интерес вызывала наша экспертиза в реализации комплексных проектов защите АСУ ТП на действующих объектах без остановки технологических процессов — это именно то, что отличает реальный опыт от теоретических знаний. Наше партнерство с UDV Group позволяет закрывать эти потребности наиболее эффективно, объединяя технологическую экспертизу вендора с интеграционной мощью, методологией и отраслевым опытом Innostage», — прокомментировал итоги мероприятия Дмитрий Буканов, руководитель направления по работе с партнерами автоматизации Innostage.

«Мы шли на мероприятие с целью поделиться результатами своего большого исследования рынка защиты АСУ ТП, основной задачей которого было выявление «болей» и проблем команд, отвечающих за защиту технологического сегмента. Нам было важно рассказать про результаты нашей работы и услышать обратную связь от участников мероприятия. Выступление вызвало позитивный отклик среди аудитории, что подтверждает корректность сделанных выводов и актуальность выявленных проблем. Основной инсайт исследования: вендору необходимо проявлять гибкость в своих решениях (а не только в цене) для того, чтобы заказчик мог их интегрировать без масштабной трансформации своих технологических процессов. В этом подходе мы абсолютно солидарны с позицией команды Innostage», — прокомментировал итоги мероприятия руководитель отдела технической поддержки продаж Денис Назаренко.

Минпромторг РФ разработал критерии, по которым объекты критической информационной инфраструктуры могут перейти на отечественные программно-аппаратные комплексы после 2030 г. Ведомство опубликовало соответствующее постановление, оно находится на стадии оценки регулирующего воздействия.

Министерство промышленности и торговли Российской Федерации опубликовало проект постановления «О внесении изменений в постановление правительства России от 14 ноября 2023 г. №1912». Он продлит сроки перехода на доверенные программно-аппаратные комплексы (ПАКи) на объектах критической информационной инфраструктуры (КИИ).

«С 1 января 2030 г. не допускается использование субъектами критической информационной инфраструктуры Российской Федерации на принадлежащих им значимых объектах КИИ РФ программно-аппаратных комплексов, не являющихся доверенными программно-аппаратными комплексами, за исключением следующих случаев, и при условии обеспечения в отношении ПАКов, не являющихся доверенными, организационных и технических мер защищенности информационной инфраструктуры РФ, решения о необходимости осуществления которых принимаются и направляются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю», — говорится в документе.

Согласно ему, исключениями являются случаи: наличие договора на поставку доверенных ПАКов, выходящего за пределы 2030 г., если срок полезного использования истекает после 1 января 2030 г., ПАК задействован в работах на опасном объекте и обеспечивает выполнение работ без возможности остановки по техническим причинам, и ПАК неотделим от объекта капитального строительства.

Представитель пресс-службы Минпромторга РФ не ответил на вопросы корреспондента ComNews.

Директор по работе с ключевыми заказчиками ООО «Скала-Р» («Скала^р» входит в группу Rubytech) Михаил Гилязов назвал новый вариант постановления страховочным механизмом для узкоспециализированных сегментов КИИ. По его словам, речь идет о возможных случаях, когда у отечественной ИТ-отрасли может не быть надежного и апробированного решения к установленному сроку или когда технические ограничения, связанные с непрерывностью производственных процессов, не позволят выполнить миграцию в указанные временные рамки.

Он отдельно отметил, что условия в новом документе — исключения из общего правила. По его оценке, под них попадет незначительное количество объектов КИИ, и на рынок программно-аппаратных комплексов и разработчиков ПО эта мера существенного влияния не окажет.

«Когда проект постановления вступит в силу, это не приведет к «безусловной отсрочке» перехода, но появятся исключения, которые должны соответствовать установленным критериям. Отдельные ПАКи можно будет эксплуатировать на значимых объектах КИИ после 1 января 2030 г. при выполнении определенных условий, четко прописанных в постановлении. Для рынка это означает, что риски аварийных остановок должны существенно снизиться, а требования к поставщикам и интеграторам решений возрастут, особенно в части исполнения контрактов и оформлению документов», — рассказал руководитель направления подготовки технической и проектной документации ООО «Гигант Компьютерные системы» Дмитрий Битченков.

По его словам, у заказчиков-владельцев значимых объектов КИИ появится безопасный, с точки зрения непрерывности деятельности, сценарий: при условии документального подтверждения соответствия критериям можно не менять технологический процесс ради соблюдения формального срока перехода.

«В проекте постановления прямо указано требование прикладывать к плану перехода обоснование и набор подтверждающих документов (в т. ч. договоры на поставку после 1 января 2030 г., документы по амортизации и срокам полезного использования, техническую документацию по ремонтам/реконструкции и др.). Дополнительно возрастет нагрузка по комплаенсу и кибербезопасности: эксплуатация недоверенного ПАК будет сопряжена с выполнением дополнительных требований ФСБ и ФСТЭК, а значит — с проверками, предписаниями и затратами на внедрение таких мер», — рассказал Дмитрий Битченков.

Новое постановление, как он отметил , позволит поставщикам стандартизировать существенные условия долгосрочных контрактов. Он сказал, что такие контракты должны иметь фиксированную цены, сроки поставки, спецификацию и срок исполнения, не превышающий срок полезного использования замещаемой продукции более чем на один год.

«Ключевое финансовое последствие для рынка — закрепление в договоре условия о безвозвратном авансировании не менее 50% объема договора с выплатой не позднее 30 дней с момента заключения, что одновременно повышает предсказуемость финансирования для производителя и требования к управлению рисками и казначейскому сопровождению у заказчика. Поставщиком по такому договору может быть российский производитель или интегратор, уполномоченный производителем, но при этом контрагент должен соответствовать квалификационным ограничениям (не быть в стадии банкротства, ликвидации и отсутствовать в РНП)», — сказал он.

«Отсрочка — это лишь временная мера. Она не является «волшебной таблеткой», которая снимает необходимость работы над созданием конкурентоспособных отечественных решений. Задача перехода на доверенные ПАКи остается актуальной, и основная масса объектов КИИ должна будет выполнить модернизацию ИТ-инфраструктуры в установленные сроки. Продление касается только специфических случаев, где без него действительно не обойтись», — заключил Михаил Гилязов.

Источник: https://www.comnews.ru/content/243111/2025-12-23/2025-w52/1008/vse-ravny-no-nekotorye-ravnee-minpromtorg-rf-predlozhil-isklyucheniya-date-vnedreniya-doverennykh-pakov