Byte/RE ИТ-издание

ГИГАНТ Компьютерные системы: аттестация ГИС и КИИ по новым правилам 2026 года

Пресс-релизы
TW6bURcstk 0

С 1 марта 2026 года вступил в силу Приказ ФСТЭК России от 11.04.2025 №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Документ полностью заменяет действовавший более десяти лет Приказ №17 и знаменует фундаментальную смену парадигмы регулирования.
Раньше требования касались только государственных информационных систем (ГИС) в узком смысле. Теперь область применения расширена до всех информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений, а также муниципальных информационных систем. Под действие попадают тысячи организаций, которые ранее могли не задумываться о требованиях ФСТЭК.
Кибер Медиа вместе с экспертами рынка разобрали новый порядок регулирования и сформировали рекомендации для компаний, как перестроиться, чтобы избежать штрафов.

Ключевые изменения по существу
Главное новшество — отказ от жёсткой таблицы мер. Вместо фиксированного перечня защитных мер для каждого класса систем теперь вводится процессный подход. Организации должны выстраивать систему управления информационной безопасностью по циклу Деминга-Шухарта (Plan-Do-Check-Act): планировать мероприятия, проводить их, оценивать состояние защиты и постоянно совершенствовать процессы.

Николай Калуцкий, Ведущий инженер-программист НОЦ ФНС России и МГТУ им. Н.Э. Баумана
В крупных распределенных ГИС с сотнями серверов и рабочими станциями вручную отслеживать появление новых уязвимостей и сверять их с установленным ПО очень трудоёмко. Особенность заключается в том, что мы переходим к доказательству безопасности каждого элемента. 117-й Приказ также вводит обязательную периодическую отчётность для операторов, ещё вводятся жёсткие требования к персоналу.

В регулировании появились новые классы защищённости. Класс системы теперь определяется по её назначению, а не территориальному уровню. Если система обрабатывает документы с грифом «Для служебного пользования» (ДСП), ей автоматически присваивается 1-й класс защищённости.
Впервые на нормативном уровне закреплены требования к кадровому составу: не менее 30% сотрудников подразделения по защите информации должны иметь профильное образование или пройти профессиональную переподготовку.

Николай Калуцкий, Ведущий инженер-программист НОЦ ФНС России и МГТУ им. Н.Э. Баумана
Требования к персоналу стали жестче: теперь официально нужно подразделение ИБ, ведь регуляторы переходят к проверке реальной, а не декларативной защищенности. Облачные сервисы и подрядчики превращаются в зону прямой и полной ответственности. Количество документации увеличивается в несколько раз.
Сергей Коловангин

Начальник отдела ИТ компании «Газинформсервис»

Разумеется, увольнение сертифицированного специалиста может привести к нарушению условий действия аттестата соответствия, но это зона ответственности руководства и кадрового подразделения организации. Фиктивное наличие специалиста по безопасности приравнивается к отсутствию такого специалиста в штате, попытка в этом вопросе ввести в заблуждение представителя регулятора при проверках также чревата серьёзными последствиями, поэтому приём на работу студента с профилем по ИБ хотя бы на полставки или вчерашнего выпускника без опыта в любом случае будет более разумным вариантом, чем оставаться вовсе без специалиста по ИБ.

Приказ №117 также вводит требования к защите современных технологий, которые не были описаны в старом документе: облачные вычисления, контейнерные среды, веб-технологии и API, интернет вещей.

Александр Буравцов, Директор по информационной безопасности компании CommuniGate Pro
Проект методики устанавливает, что защита контейнерной инфраструктуры обеспечивается применением сертифицированных средств контейнеризации и сертифицированных хостовых операционных систем. Для успешной аттестации необходимо подтвердить использование сертифицированной ОС, корректную настройку механизмов изоляции и разграничения доступа, а также наличие внутренних регламентов по управлению доступом, регистрации событий и управлению уязвимостями.

Альбина Аскерова, Руководитель направления по взаимодействию с регуляторами Swordfish Security
Также требования к безопасности ИИ описаны в требованиях ФСТЭК России, которые описаны в проекте методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах». Например, требование о том, что в информационной инфраструктуре разработки системы ИИ не допускается решение задач, не связанных с разработкой системы ИИ, или требование о применении только доверенных наборов обучающих данных, а также контроль целостности обучающих данных. Есть и усиленные меры, которые предполагают выделение в отдельный физически изолированный сегмент разработки системы ИИ или контроль целостности моделей путем использования сертифицированных средств криптографической защиты. То есть итоговая ответственность за безопасность замыкается на разработчике (операторе) сервиса с ИИ, а требования постепенно приведут к замкнутым отраслевым контурам безопасности. Сейчас регулятор рассматривает предложения отрасли к проекту методики.

Владислав Кошелев, Архитектор по информационной безопасности, «КИТ»
Еще в 2022 году был принят Приказ ФСТЭК России №118, устанавливающий требования по безопасности информации к средствам контейнеризации. Эти требования подлежат обязательному применению при разработке, сертификации и оценке соответствия средств защиты информации, используемых в контейнерных средах.

Отчётность теперь необходимо направлять во ФСТЭК на постоянной основе: раз в полгода — показатель защищённости, раз в год — показатель зрелости, плюс итоговый годовой отчёт по мониторингу.

Василий Севостьянов, Начальник отдела технического сопровождения продаж, ООО «Доктор Веб»
Для обоснования перед регулятором требуются: актуальная модель угроз на базе банка данных угроз безопасности информации ФСТЭК; обоснование выбора и адаптации базовых мер — почему выбраны именно такие, как именно они нейтрализуют угрозы из модели, а если какие меры не применяются — чем обоснован такой выбор; документальное подтверждение верификации эффективности реализованных мер — расчеты показателей уровня защищенности, периодический контроль уровня защищенности; внутренние регламенты и стандарты, описывающие порядок выбора, внедрения, контроля и совершенствования мер защиты информации.

Отдельный блок требований посвящён безопасности при работе с подрядными организациями. Теперь подрядчики обязаны соблюдать политики и организационно-распорядительные документы оператора ИС.

Владислав Крылов, Консультант по информационной безопасности AKTIV.CONSULTING
Отдельная методика может потребоваться в случаях, когда стандартные подходы не охватывают особенности конкретной ИС или отраслевые требования. Например, если система использует нестандартные технологии (контейнерную инфраструктуру, ИИ), работает в специфическом регуляторном поле или имеет высокий уровень критичности с точки зрения бизнеса. В таких случаях организация может разработать внутреннюю методику, которая детализирует порядок оценки рисков, выбора мер и СЗИ, учитывая дополнительные критерии и требования.

Важно отметить, что аттестаты, выданные до 1 марта 2026 года, остаются действительными до окончания срока их действия. Но при следующей аттестации проверка будет проводиться уже по новым требованиям.
Кому обязательна аттестация: критерии значимости объектов КИИ и ГИС
С вступлением в силу Приказа №117 вопрос «Должны ли мы аттестовываться?» приобретает новое значение. Раньше круг организаций, обязанных выполнять требования ФСТЭК, ограничивался в основном операторами ГИС и субъектами КИИ, теперь же он кратно расширился. Разберём по категориям.

Государственные информационные системы (ГИС) и иные ИС госорганов. Первая и самая очевидная категория — государственные информационные системы. Для них аттестация остаётся обязательной в соответствии с Приказом ФСТЭК №77, причём с 1 марта 2026 года проверка будет проводиться уже по новым требованиям №117.
Однако теперь под действие приказа попадают все информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений — даже те, которые не являются ГИС в узком смысле слова.

Сергей Коловангин, Начальник отдела ИТ компании «Газинформсервис»
В третьем разделе Требований регулятор довольно конкретно расставил акценты на критичных направлениях обеспечения ИБ, на которые придётся обратить внимание в первую очередь при обеспечении ЗИ ГИС. Что касается обоснования выбора мер защиты, действительно, правильно разработанная модель угроз играет здесь одну из основных ролей, при этом подтверждение достаточности мер в соответствии с п. 65 Требований возложено на органы по аттестации в рамках аттестационных испытаний ГИС.

Кроме того, требования распространяются на:
o информационные системы муниципальных органов;
o информационные системы, получающие данные из ГИС;
o подрядные организации, работающие с госзаказчиками (для них теперь обязательны соблюдение политик ИБ и соответствующее оформление в договорах).
o
Субъекты критической информационной инфраструктуры (КИИ).

Вторая крупная категория — субъекты КИИ, причём всех категорий значимости, а также значимые объекты. Здесь важно понимать двухуровневую систему регулирования.
С одной стороны, требования к защите значимых объектов КИИ регулируются отдельными документами (в первую очередь Приказом ФСТЭК №239, который также планируется к обновлению в 2026 году). С другой стороны, Приказ №117 вводит для субъектов КИИ обязательную оценку показателя защищённости (КЗИ) с пороговым значением 0,9.
Критерии отнесения объектов к КИИ регулируются Постановлением Правительства №127. В последние месяцы произошли важные изменения.
Постановлением Правительства №92 от 6 февраля 2026 года утверждены отраслевые особенности категорирования объектов КИИ в банковской сфере и на финансовом рынке. Теперь кредитные и некредитные организации обязаны ежегодно предоставлять информацию о значимых объектах КИИ в Минфин или ЦБ, а также соотносить показатели критериев значимости с типами объектов КИИ (по ещё не утверждённому типовому перечню).
Постановлением Правительства №4 от 16 января 2026 года утверждены отраслевые особенности для объектов КИИ в области атомной энергии, с особыми требованиями к составу комиссии по категорированию и методам расчёта показателей.

Михаил Савельев, Директор департамента методологии информационной безопасности «Ростелекома»
Утвержденный Перечень типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации точно станет «раздражителем» защитников КИИ, поскольку в ближайшее время наверняка потребует провести перекатегорирование своих систем. С одной стороны, перечень упрощает этот процесс. Однако, с другой стороны, появляется неопределенность в отношении систем, которые могут повлечь недопустимые последствия, но не входят в перечень. Получается, что тому, кто найдет такие системы в своей инфраструктуре, придется начинать инициировать изменения в постановление Правительства.

К объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления производственными и технологическими процессами (АСУ ТП).

Операторы информационных систем персональных данных (ИСПДн). Это третья категория, которую необходимо не упустить из виду, но при этом необходимо учесть, что приказ касается только систем 1-го и 2-го уровня защищённости. Для них вводится обязанность оценивать показатель защищённости и, соответственно, выстраивать систему управления ИБ в соответствии с новыми требованиями.
Проект изменений в порядок аттестации (Приказ №77), опубликованный ФСТЭК 26 января 2026 года, вводит обязательное тестирование на проникновение для ГИС и иных ИС государственных органов и унитарных предприятий 1 и 2 классов защищённости, имеющих подключение к интернету или взаимодействующих с внешними системами. Это серьёзно повышает требования к доказательной базе.
Подрядчики госорганов обязаны соблюдать политики ИБ заказчика. Если организация подпадает хотя бы под одну из этих категорий, игнорировать новые требования нельзя: как в части отправки регулярной отчётности во ФСТЭК, так и части контроля значений КЗИ — показатель ниже 0,9 будет прямым сигналом для внеплановой проверки.
План подготовки: категорирование, моделирование угроз, выбор СЗИ, аттестационные испытания
Новые требования заставляют компании перейти к непрерывному процессу управления безопасностью. Поэтому и подготовку нужно вестис учётом постоянного функционирования в новом правовом поле.
Шаг 1. Классификация (категорирование) информационной системы
Приказ №117 сохраняет трёхуровневую иерархию классов защищённости (К1, К2, К3), но меняет критерии. Раньше класс системы определялся в основном по масштабу (федеральная, региональная, объектовая) и категории обрабатываемых данных. Теперь же — по назначению системы. Это кардинально меняет требования для многих государственных учреждений, которые ранее могли не относиться к высшему классу.

Что нужно сделать:
1. Составить полный перечень информационных систем, подпадающих под действие приказа (ГИС, иные ИС госорганов, ГУПов, госучреждений, системы с подключением к ГИС).
2. Провести инвентаризацию обрабатываемой информации: есть ли данные с грифом ДСП, персональные данные, иная конфиденциальная информация.
3. Определить класс защищённости для каждой системы по новой методике (в зависимости от назначения и категории данных).

Александр Осипов, Консультант по информационной безопасности, руководитель направления комплаенса и методологии ПК РАД КОП
Для общественного обсуждения вышел проект Методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах», который, видимо, будет принят, т.к. «пути назад уже нет», а меры надо понимать. Документ, как описано в проекте «определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации», «детализирует мероприятия (процессы), которые подлежат реализации в органе (организации) для достижения целей защиты информации и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также определяет содержание мер по защите информации (обеспечению безопасности)».

Шаг 2. Моделирование угроз и построение модели нарушителя
Если раньше модель угроз часто разрабатывалась формально и использовалась только на этапе аттестации, то теперь это живой документ, на основе которого выстраивается вся система защиты. Регулятор прямо указывает на необходимость учитывать риски информационной безопасности, а не только формальные признаки.
Приказ №117 требует, чтобы в модели угроз особое внимание уделялось угрозам, связанным с удалённым доступом; угрозам через цепочки поставок (подрядчики, партнёры); человеческому фактору.
Что нужно сделать:
o Актуализировать модели угроз и нарушителя с учётом новых требований.
o Увязать модель угроз с реальными сценариями атак и возможными последствиями для организации.
o Проверить, отражает ли модель текущую архитектуру сети, включая облачные сервисы, удалённые рабочие места и внешние подключения.
Обратите внимание, что при проверке ФСТЭК будет оцениваться не просто наличие модели угроз, а её обоснованность и адекватность реальным условиям эксплуатации.
Шаг 3. Выбор и внедрение СЗИ
На этом этапе Приказ №117 снова смещает акцент на результат — способность системы предотвращать и выявлять инциденты.
Если ваша ИС классифицирована как К1, то и межсетевой экран, и другие средства защиты должны иметь сертификат ФСТЭК соответствующего класса. Это исключает использование «облегчённых» решений в критически значимых системах.
Вводится приоритет технических мер над «бумажными». Из 21 мероприятия для достижения целей защиты информации 18 — технические.
Возрастает роль многофункциональных решений. Использование сертифицированного NGFW позволяет закрыть до 14 из 17 базовых мер защиты на одном узле, упрощая эксплуатацию и аттестацию. При этом пункты 71-72 Приказа №117 прямо указывают: класс используемых средств защиты информации обязан строго соответствовать классу самой системы. Нужно проверить не только наличие сертификатов на все текущие СЗИ, но и сроки их действия. Просроченный сертификат приравнивается к отсутствию защиты.

Никита Фотин, Ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис»
Организации следует проработать ряд компенсирующих мероприятий и обеспечить подробную регламентацию процедур по защите информации, а также подготовить план по переходу на отечественные и актуальные программные продукты, позволяющие своевременно закрывать выявляемые уязвимости.

Приказ №117 вводит требования к защите современных технологий, которые просто отсутствовали в старом документе: защита облаков (CSP, CASB); защита контейнерных сред (Docker/Kubernetes); WAF для веб-приложений и API; IoT-безопасность; EDR/XDR-функционал на конечных точках; управление привилегированным доступом; регламентация удалённого доступа.

Василий Севостьянов, Начальник отдела технического сопровождения продаж, ООО «Доктор Веб»
В связи с пунктом 41 иногда высказывается мнение, что он фактически обязывает организации внедрять системы класса EDR. Но это не так. Формулировка носит функциональный, а не продуктовый характер. Приказ перечисляет цели и задачи: исключение несанкционированного доступа и воздействия через интернет-интерфейсы; мониторинг и анализ процессов и событий на конечном устройстве; выявление актуальных угроз; предупреждение о произошедших событиях безопасности.

Владислав Крылов, Консультант по информационной безопасности AKTIV.CONSULTING
3 ключевые меры, направленные на обеспечение изоляции, контроля уязвимостей, целостности и управления доступом в контейнерной среде. Во-первых, изоляция контейнеров: необходимо обеспечивать разделение процессов, файловых систем и сетей между контейнерами и от хостовой операционной системы. Это включает изоляцию пространств идентификаторов процессов, имён для межпроцессного взаимодействия, пользователей и групп, хостов и доменов, а также сетевых пространств имён. Для Kubernetes важно настроить механизмы изоляции на уровне кластера и оркестратора. Во-вторых, выявление уязвимостей в образах контейнеров. Требуется регулярное сканирование образов на наличие известных уязвимостей перед их запуском. Сканирование должно проводиться с использованием баз данных уязвимостей, включая БДУ ФСТЭК России. В-третьих, проверка корректности конфигурации. Необходимо аудитировать настройки контейнеров и оркестратора (например, Kubernetes) на соответствие требованиям безопасности. Это включает проверку манифестов YAML, Dockerfile и других конфигурационных файлов на предмет ошибок и небезопасных настроек.

Шаг 4. Организационные меры и документация
Хотя регулятор делает заметный акцент на технологиях, компаниям нужно позаботиться и о процессной составляющей.

Александр Яров, Руководитель информационной безопасности ELMA
Нужен процесс управления уязвимостями: проведение инвентаризации сервисов и CVE, валидация влияния уязвимостей и обоснование их неактуальности, формирование компенсирующих мер через имеющиеся СЗИ. Для этого будет, в том числе, полезно сочетать данный процесс с процессами анализа и фиксации рисков для обоснования допустимости.
Необходимо разработать или актуализировать:
o Политику информационной безопасности — базовый документ, определяющий цели защиты, защищаемые объекты, состав организационных мер, ответственность персонала.
o Стандарты организации — требования к мерам безопасности различных объектов ИС (модели доступа, разрешённое ПО, защита конечных устройств).
o Регламенты — конкретные алгоритмы реализации мер (порядок работы с учётными записями, с информацией ограниченного доступа, мониторинг ИБ).
o Положение об ИБ-подразделении — теперь это обязательное требование.
Впервые на нормативном уровне закреплены требования к составу подразделения по защите информации: не менее 30% сотрудников должны иметь профильное образование или пройти профессиональную переподготовку.
Шаг 5. Аттестационные испытания
Для ГИС аттестация остаётся обязательной в соответствии с Приказом №77. Для остальных ИС, подпадающих под действие №117, аттестация формально добровольна, но на практике без неё невозможно подтвердить соответствие требованиям регулятора.

Михаил Савельев, Директор департамента методологии информационной безопасности «Ростелекома»
Аттестация — это прерогатива специализированных компаний-лицензиатов ФСТЭК. Она обязательна для ГИС, но не всегда необходима для ЗОКИИ, где можно обойтись процедурой оценки эффективности внедрения СЗИ, которую компания может выполнить своими силами.

Алексей Колодка, Директор по работе с государственными заказчиками компании «ГИГАНТ Компьютерные системы»
Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Дополнительный риск связан с качеством сопровождения open source. За время эксплуатации подрядчики могли меняться, поддержка отдельных компонентов могла прекращаться, а требования к надежности и безопасности ГИС объективно остаются высокими. Отсутствие устойчивой модели сопровождения и обновления становится операционным риском, особенно в условиях повышенного внимания регулятора к уязвимостям и управлению жизненным циклом компонентов.

Эксперты рекомендуют не ждать окончания срока действия старых аттестатов, а провести повторную аттестацию досрочно, чтобы выявить и устранить несоответствия заранее.
Шаг 6. Настройка непрерывного контроля и отчётности
Пожалуй, самое существенное нововведение — требование регулярной отчётности перед регулятором. Раз в 6 месяцев следует проводить расчёт и представление показателя защищённости (КЗИ), раз в год — оценивать показатель зрелости процессов ИБ, в ежегодном режиме — предоставлять итоговый отчёт по мониторингу.

Алёна Лукашева, Заместитель руководителя департамента консалтинга и аудита iTPROTECT
План лучше собирать как повторяемый цикл, а не как разовую активность «перед аттестацией». На входе требуется инвентаризация периметра и внутренней инфраструктуры, включая внешние IP и домены, сервисы и порты, а также состав и версии серверов, рабочих мест, сетевого оборудования и средств защиты. Методика прямо фиксирует два вида анализа: внешнее сканирование периметра из сети Интернет и внутреннее сканирование внутренней инфраструктуры с предоставлением доступа исполнителю, при этом внутреннее сканирование проводится от лица привилегированного пользователя, а тестовая привилегированная учётная запись должна быть удалена или заблокирована после завершения работ.

Это означает, что аттестация становится стартовой точкой, а компания должна непрерывно доказывать свою состоятельность.
Что нужно настроить:
o интеграцию NGFW с SIEM-системами для автоматического сбора событий и расчёта КЗИ;
o подключение к ГосСОПКА (теперь обязательно для всех ГИС, а не только для КИИ);
o процедуры ежедневного мониторинга событий, еженедельной отчётности по инцидентам, ежеквартальной проверки эффективности СЗИ.
Чек-лист для действий
1. Классификация. Определить перечень ИС, проверить наличие ДСП, присвоить классы по новым правилам. Срок: март-апрель 2026.
2. Модель угроз. Актуализировать с учётом удалённого доступа, цепочек поставок, человеческого фактора. Срок: апрель-май 2026.
3. Выбор СЗИ. Аудит текущих средств, проверка сертификатов и их сроков, закупка недостающих (с учётом класса системы). Срок: май-август 2026.
4. Организационные меры. Разработка/обновление политики, стандартов, регламентов. Проверка кадрового состава для контроля порогового значения в 30% с профильным образованием. Срок: июнь-сентябрь 2026.
5. Аттестация. Подготовка к испытаниям, проведение тестирования на проникновение (для ГИС), получение аттестата. Срок: сентябрь-декабрь 2026.
6. Мониторинг. Настройка SIEM, подключение к ГосСОПКА, отработка процедур сбора отчётности. Срок: Постоянно, с октября 2026.
Цена вопроса: из чего складывается стоимость аттестации
Универсального ответа на вопрос о бюджете практической реализации требований Приказа №117 нет, но можно разобрать основные статьи расходов и факторы, влияющие на итоговую сумму.

Алексей Колодка, Директор по работе с государственными заказчиками компании «ГИГАНТ Компьютерные системы»
С 1 марта 2026 года неисполнение требований приказа влечет оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.

Самая затратная часть — средства защиты информации, причём все они должны иметь действующие сертификаты ФСТЭК, а их класс обязан строго соответствовать классу аттестуемой системы. Для небольшой организации это могут быть сотни тысяч рублей, для крупной распределённой структуры — десятки миллионов.
Помимо закупки оборудования, потратиться нужно будет и на внедрение с пусконаладкой: правильную настройку, интеграцию с существующей инфраструктурой, обучение персонала. Стоимость этих работ зависит от сложности инфраструктуры и обычно составляет существенный процент от стоимости СЗИ.
Сама аттестация проводится лицензированными организациями и включает анализ документации, инструментальный контроль, а для ГИС первых двух классов — обязательное тестирование на проникновение. На рынке цены варьируются от трёхсот тысяч для небольших систем до нескольких миллионов для крупных распределённых объектов.

Алёна Лукашева, Заместитель руководителя департамента консалтинга и аудита iTPROTECT
В проекте изменений к порядку аттестации (приказ ФСТЭК № 77) формализуется периодический контроль на аттестованном объекте через анализ уязвимостей и тестирование на проникновение. Закрепляется обязанность направлять отчёт в ФСТЭК России не реже 1 раза в 3 года и риск приостановления аттестата при непредставлении отчёта. Экономия, которая ранее часто достигалась за счёт формального закрытия бумажного контура и разовых работ, становится менее жизнеспособной.

Александр Хонин, Директор Центра консалтинга Angara Security
Отдельно стоит упомянуть, что в 2025 году ФСТЭК выпустил новые методические рекомендации в части анализа уязвимостей и пентеста при аттестации: «Методика анализа защищённости информационных систем»; «Методика испытаний систем защиты информации информационных систем методами тестирования на проникновение»; «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств». Эти исследования выделены в отдельный класс работ, который регламентирован и обязателен к выполнению при аттестациях.

Тестирование на проникновение обязательно для ГИС и ИС госорганов, унитарных предприятий и учреждений 1 и 2 классов защищённости, которые подключены к сети «Интернет» или взаимодействуют с внешними системами (за исключением случаев использования сертифицированных шифровальных СЗИ). В иных случаях решение о тестировании на проникновение принимает заказчик или оператор ИС.

Отдельная статья — человеческий капитал. Приказ требует, чтобы не менее трети сотрудников подразделения ИБ имели профильное образование или прошли переподготовку. Если текущий состав этим требованиям не соответствует, придётся направлять людей на обучение, а это от 60 до 100 тысяч на человека за полноценную переподготовку. Возможно, потребуется и разработка организационно-распорядительной документации силами внешних консультантов — ещё несколько сотен тысяч.

Александр Яров, Руководитель информационной безопасности ELMA
Раньше для защиты ГИС нужна была «бумага» и «сертифицированные СЗИ», и под это нанимались специалисты. Сейчас требования диктуют процессный и риск-ориентированный подход с дополнением в виде сертифицированных СЗИ. Под это уже требуются более квалифицированные кадры, в т.ч. операционный CISO, с которыми наблюдается дефицит. Плюс ко всему бюджетов и до этого с трудом хватало на минимальный уровень соответствия, а сейчас есть вероятность ухудшения ситуации.

Что касается сроков, реалистичный горизонт для организации, начинающей с нуля — от 6 до 18 месяцев. Классификация и моделирование угроз займут около месяца, закупка СЗИ может растянуться на квартал из-за бюджетных процедур, внедрение — ещё полгода, если инфраструктура сложная. Аттестационные испытания длятся один-три месяца. Если же в организации уже есть выстроенная система ИБ и сертифицированные средства, сроки могут сократиться до трёх-шести месяцев.
Важно помнить о скрытых затратах. После получения аттестата требуется ежегодное продление лицензий на СЗИ, регулярный расчёт показателей защищённости и отчётность во ФСТЭК. Если своих компетенций для этого недостаточно, придётся привлекать внешних аудиторов на постоянной основе.
Главный совет для руководителя: закладывать на 2026 год бюджет, исходя из масштаба инфраструктуры, и не откладывать начало работ. Чем раньше пройдёт аудит текущего состояния, тем больше времени останется на устранение неизбежных несоответствий. И помните: новые требования превращают аттестацию из разового события в режим постоянного соответствия.

Источник: https://securitymedia.org/info/attestatsiya-gis-i-kii-po-novym-pravilam-2026-polnyy-razbor-prikaza-fstek-117.html?sphrase_id=2105

Вам также могут понравиться

UDV Group: заменит ли искусственный интеллект первую линию аналитиков

МЛК от «Спарго Технологии» стал доступен через бот-помощник на национальном сервисе…

Почему проектирование DWH так важно для логистики

ГИГАНТ Компьютерные системы: как рост цен на память меняет госзакупки ИТ-оборудования

UDV Group: NDR как следующий этап в развитии SOC

Поддержка молодых исследователей: эксперт ИТ-компании «БИАТЕХ» вошел в состав жюри…