Алексей Колодка, директор по работе с государственными заказчиками компании «ГИГАНТ — Компьютерные системы» рассказал о главных изменениях в аттестации ГИС и объектов КИИ в 2026 году, об особенностях для систем на open source, а также затронул неочевидные риски: утерянные данные об open source в старых системах, кадровые требования, интеграцию сертифицированных СЗИ с открытой архитектурой и зону неопределённости с ИИ.
Что конкретно в 2026 году станет главной «головной болью» для владельцев ГИС и объектов КИИ по сравнению с предыдущими годами?
Главной «головной болью» для владельцев ГИС и объектов КИИ в 2026 году станет вступление в силу приказа ФСТЭК России №117 от 11.04.2025 и изменение регуляторной логики контроля. С 1 марта 2026 года неисполнение требований приказа будет влечь оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.
Существенное изменение касается не только самих ГИС, но и иных информационных систем государственных органов, включая ФАИВ и РАИВ. Регулирование становится шире по охвату, а требования — более комплексными. При этом исчезает привычная модель контроля через фиксированный перечень мер защиты. Вместо нее вводятся показатели защищенности и показатели уровня зрелости процессов обеспечения безопасности. Показатели защищенности подлежат оценке не реже одного раза в полгода, а показатели зрелости — не реже одного раза в два года. Это означает переход от формального подтверждения наличия мер к оценке устойчивости и управляемости всей системы обеспечения защиты информации.
Отдельный акцент приказ делает на применении сертифицированных средств защиты информации. Формально требование использовать сертифицированные СЗИ сохраняется, однако теперь оно рассматривается в более широком контексте политики технологического суверенитета и импортозамещения. В документе учитываются ограничения, связанные с запретами, установленными пунктом 6 указа Президента Российской Федерации от 01.05.2022 №250, что требует дополнительной проверки применяемых решений на соответствие этим ограничениям.
Важным практическим вопросом становится статус действующих аттестатов соответствия. Аттестаты, выданные до 01.03.2026, сохраняют свою силу до окончания срока их действия. Однако системы, вводимые в эксплуатацию после этой даты либо проходящие повторную процедуру оценки, должны аттестовываться уже по новым правилам с привлечением лицензированных организаций ФСТЭК России. Это создает дополнительную нагрузку на рынок и требует более раннего планирования работ.
Таким образом, в 2026 году основным вызовом станет не отдельная техническая мера, а совокупность факторов: усиление ответственности, переход к показателям вместо перечня мер, акцент на зрелости процессов и обязательное соблюдение ограничений в части используемых решений. Именно изменение самой модели регулирования станет для владельцев ГИС и объектов КИИ ключевым источником сложностей по сравнению с предыдущими годами.
Какие особенности аттестации систем, которая уже построена на полностью отечественном оборудовании, но использует open source? Есть ли особенности в этой процедуре с учётом реальной практики ФСТЭК?
Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Весь используемый open source должен быть детально описан в составе аттестационных материалов: необходимо указать точные версии, источники получения, условия лицензирования и характер встраивания в систему. Для регулятора принципиально важно понимать, какие именно компоненты используются, откуда они получены и в каком виде эксплуатируются. Отсутствие такой детализации воспринимается как недостаток управляемости.
Отдельно требуется анализ потенциальной поверхности атаки, связанной с применением open source. Заказчик, инициирующий аттестацию, обязан формализованно описать возможные векторы внешнего воздействия, оценить риски эксплуатации уязвимостей и обосновать принятые меры защиты. Эти сведения отражаются в модели угроз и сопутствующей документации по обеспечению безопасности.
Также необходимо документально подтвердить реализацию функций безопасности в архитектуре системы — фактически показать, каким образом обеспечивается выполнение требований по защите информации с учетом использования сторонних компонентов. В ряде случаев формируется отдельный перечень ссылок на исходные коды и используемые версии open source, чтобы обеспечить прослеживаемость и воспроизводимость конфигурации.
Дополнительно с 2025 года усиливаются требования к учету всех программных компонентов, входящих в состав системы. Организация должна вести актуальный перечень используемого программного обеспечения, включая open source, с указанием версий и статуса сопровождения. В реальной практике ФСТЭК проверяется не только наличие такого перечня, но и его актуальность, а также связка с процессом управления уязвимостями.
Как выстраивать план подготовки к аттестации в 2026 году, чтобы закрыть вопросы по управлению уязвимостями разношерстного парка оборудования, когда вендоры не всегда успевают выпускать патчи?
При подготовке к аттестации в 2026 году ключевым является не столько факт наличия отдельных неустраненных уязвимостей, сколько наличие системно выстроенного процесса управления ими в соответствии с требованиями приказа №117. Процедура оценки включает анализ исходного кода, применение инструментов статического и динамического анализа, проведение тестирования на проникновение и экспертную оценку уязвимостей — это стандартный комплекс работ при подтверждении соответствия.
В ситуации, когда парк оборудования и программных компонентов разнороден, а вендоры не всегда оперативно выпускают патчи, критично продемонстрировать регулятору управляемость процесса. Если производитель не выпустил обновление, само по себе это не является автоматическим нарушением. Значение имеет наличие формализованной программы управления уязвимостями: регулярный мониторинг информации о новых уязвимостях, классификация по степени критичности, фиксация решений о применении компенсирующих мер, документирование сроков устранения и контроль их соблюдения.
ФСТЭК России оценивает не только техническое состояние системы в конкретный момент времени, но и зрелость процессов. В рамках проверок, как правило, предоставляется время на устранение выявленных несоответствий, если организация демонстрирует системный подход и реальную работу по снижению рисков. Поэтому план подготовки к аттестации должен включать актуализацию регламентов управления уязвимостями, инвентаризацию активов, настройку инструментов сканирования, формирование приоритетов устранения и внедрение компенсирующих мер там, где обновление временно невозможно.
Иными словами, при разношерстном парке оборудования акцент необходимо делать на прозрачности процессов и документированной управляемости рисков. Если организация уже выстроила подобную модель работы, ее целесообразно сохранить и адаптировать под требования приказа №117, не меняя принципиально подход, а усилив дисциплину исполнения и контроль сроков.
Бюджеты на безопасность в 2026 году у многих остались на уровне прошлого года или урезаны. Какие организационно-технические мероприятия позволяют пройти аттестацию ГИС/КИИ без дополнительных затрат на сторонних экспертов?
В части аттестации ГИС и объектов КИИ стоит учитывать, что ФСТЭК России в 2024-2025 годах проводила системную работу с государственными организациями по приведению информационных систем в соответствие требованиям приказа №117. В результате значительная часть ГИС и объектов КИИ уже прошла необходимые процедуры оценки соответствия, а выданные аттестаты продолжают действовать.
Поэтому в 2026 году для большинства действующих систем повторная аттестация, скорее всего, не потребуется — при условии отсутствия существенных изменений архитектуры, состава средств защиты информации или функционального назначения системы.
Иная ситуация возможна для новых информационных систем, вводимых в эксплуатацию после 01.03.2026 года, а также для систем, подвергшихся модернизации. В этих случаях действительно может потребоваться дополнительная настройка организационных и технических мер защиты, пересмотр модели угроз и приведение документации в соответствие обновленным требованиям. Здесь целесообразно заранее усилить фокус на вопросах информационной безопасности и корректности проектирования защиты.
Что касается минимизации затрат, необходимо учитывать нормативные ограничения. Законодательство прямо предусматривает, что аттестация проводится с привлечением организаций, имеющих соответствующие лицензии ФСТЭК России. Соответственно, полностью отказаться от участия лицензированного подрядчика невозможно — это обязательное требование регулятора.
Оптимизация бюджета возможна за счет предварительной внутренней подготовки: актуализации организационно-распорядительной документации, инвентаризации активов, проверки корректности настроек средств защиты и устранения выявленных несоответствий до выхода на процедуру аттестации. Такой подход позволяет сократить объем работ внешнего исполнителя и, как следствие, итоговую стоимость проекта.
Какие есть неочевидные риски, связанный с приказом №117?
Приказ ФСТЭК России №117, вступающий в силу с 1 марта 2026 года, существенно ужесточает требования к государственным информационным системам и иным ИС госорганов, и часть рисков, возникающих в этой связи, носит неочевидный характер. В первую очередь это касается использования open source-компонентов. Новые требования предполагают повышенную прозрачность — необходимо фиксировать происхождение компонентов, их версионность, источники получения, обеспечивать контроль уязвимостей и сопровождение. При этом многие ГИС разрабатывались в предыдущие годы, когда подобный уровень документирования не являлся обязательным. В результате организации могут столкнуться с тем, что часть сведений по использованным open source-библиотекам либо отсутствует, либо не может быть подтверждена документально, и восстановить эту информацию ретроспективно крайне затруднительно.
Дополнительный риск связан с качеством сопровождения open source. За время эксплуатации подрядчики могли меняться, поддержка отдельных компонентов могла прекращаться, а требования к надежности и безопасности ГИС объективно остаются высокими. Отсутствие устойчивой модели сопровождения и обновления становится операционным риском, особенно в условиях повышенного внимания регулятора к уязвимостям и управлению жизненным циклом компонентов.
Серьезным фактором становится и усиление требований к персоналу, обеспечивающему безопасность ГИС. На практике не все организации располагают достаточным количеством специалистов необходимой квалификации, а формальное несоответствие кадровым требованиям может быть квалифицировано как нарушение. Одновременно меняется сама логика контроля: вместо привычного перечня мер защиты вводятся показатели КЗИ и ПЗИ, что увеличивает нагрузку на организации с точки зрения аналитики и отчетности. Показатели необходимо подтверждать на регулярной основе, при этом они отражают не только формальное наличие средств защиты, но и зрелость процессов. При формальном подходе возникает риск подготовки отчетности ради соответствия индикаторам, что при проверке может привести к предписаниям со стороны регулятора.
Отдельная зона неопределенности связана с использованием технологий искусственного интеллекта в новых системах. Такие решения требуют дополнительного обоснования с точки зрения управляемости, предсказуемости и соответствия требованиям безопасности, а при отсутствии четкой методической проработки могут вызвать вопросы при оценке соответствия. Наконец, на практике сохраняются сложности интеграции сертифицированных средств защиты информации и СКЗИ с архитектурами, построенными на open source. Многие действующие ГИС создавались в период, когда вопросы совместимости с сертифицированными СЗИ не являлись приоритетом, и сегодня это может потребовать переработки отдельных архитектурных решений. В совокупности именно архитектурное наследие систем, уровень документирования, модель сопровождения и зрелость процессов могут стать ключевыми рисками при реализации требований приказа №117 в 2026 году.