Импортозамещение в ИБ и сертификация: как перейти на российские СЗИ по ГОСТу

Обзор российских СЗИ по классам защиты

Рынок российских средств защиты информации за последние три года вырос кратно. Рассмотрим ключевые классы решений и их лидеров.

Рассмотрим каждый класс решений подробнее с точки зрения особенностей внедрения.

NGFW (межсетевые экраны нового поколения). Это наиболее критичный сегмент, поскольку межсетевой экран — центральный элемент сетевой безопасности. По данным аналитиков, в 2024–2025 годах лидерами рынка стали UserGate (около 30% рынка) и «Код Безопасности» с продуктом Континент 4 (около 18%). Positive Technologies с PT NGFW и «Лаборатория Касперского» с Kaspersky NGFW (получил сертификат ФСТЭК в ноябре 2025) активно набирают долю. При миграции с западных NGFW необходимо учитывать: российские решения могут потребовать иной топологии сети, перераспределения нагрузки между несколькими устройствами и дополнительной настройки политик. Рекомендуется закладывать 15–20% запаса производительности при проектировании.

DLP (предотвращение утечек). Российские DLP-системы традиционно сильны — InfoWatch и SearchInform начали развиваться задолго до волны импортозамещения. Ключевая особенность внедрения: DLP-система требует длительной настройки словарей, категорий данных и политик реагирования под конкретную отрасль и бизнес-процессы организации. Типичный срок вывода DLP в боевой режим — от 3 до 6 месяцев после установки.

СКЗИ (криптографическая защита). Здесь ситуация наиболее зарегулирована: для защиты информации, составляющей государственную тайну, и ряда категорий персональных данных допускаются исключительно СКЗИ с сертификатом ФСБ. КриптоПро CSP и ViPNet — проверенные решения с историей более 20 лет. Однако при внедрении необходимо учитывать особенности: переход на криптографию по ГОСТ может потребовать модификации прикладного ПО, замены TLS-сертификатов и обучения системных администраторов.

SIEM (мониторинг событий). MaxPatrol SIEM от Positive Technologies и Kaspersky KUMA обеспечивают корреляцию событий на уровне, сопоставимом с западными аналогами. Критически важно при внедрении: SIEM эффективен ровно настолько, насколько качественно подключены источники событий. Необходимо заранее разработать карту логирования, определить приоритетные источники и настроить правила корреляции. Средний срок выхода SIEM на продуктивную мощность — 4–8 месяцев.

Подробнее об аудите безопасности подрядчиков и вендоров читайте в нашем материале: Аудит подрядчиков: информационная безопасность вендоров.

Совместимость с ISO 27001: ГОСТ Р ИСО/МЭК 27001 и импортозамещённая архитектура

Частый вопрос: «Если мы переходим на российские СЗИ, не потеряем ли мы совместимость с ISO 27001?» Ответ: нет. ГОСТ Р ИСО/МЭК 27001-2021 идентичен международному стандарту ISO/IEC 27001:2013. Стандарт не предписывает конкретные продукты или технологии — он устанавливает требования к системе менеджмента информационной безопасности (СУИБ).

Ключевые точки совместимости и маппинг контролей:

• Приложение А, пункт A.8 (управление активами). Российские СЗИ полноценно закрывают требования при условии корректного документирования политик и процедур. Реестр ФСТЭК фактически выступает инструментом верификации: если продукт сертифицирован, это подтверждает его соответствие определённым требованиям безопасности, что упрощает обоснование при аудите ISO 27001.
• A.12 (безопасность операций). Сертифицированные SIEM и антивирусные решения обеспечивают мониторинг и управление уязвимостями. Контроль A.12.4 (логирование и мониторинг) покрывается MaxPatrol SIEM или Kaspersky KUMA; A.12.2 (защита от вредоносного ПО) — Kaspersky Endpoint Security или Dr.Web; A.12.6 (управление техническими уязвимостями) — сканерами XSpider, MaxPatrol VM или RedCheck.
• A.13 (безопасность коммуникаций). Российские СКЗИ (КриптоПро, ViPNet) поддерживают шифрование по ГОСТ 34.12-2018 и одновременно могут работать с международными протоколами. Контроль A.13.1 (управление сетевой безопасностью) реализуется российскими NGFW; A.13.2 (передача информации) — VPN-шлюзами на базе ViPNet или Континент, обеспечивающими одновременно и ГОСТ-шифрование, и совместимость с международными IPsec/TLS-стандартами.
• A.9 (управление доступом). Контроли A.9.2 (управление доступом пользователей) и A.9.4 (контроль доступа к системам и приложениям) закрываются решениями класса IdM/PAM: Avanpost обеспечивает полный цикл управления учётными записями, Indeed PAM — контроль привилегированного доступа с записью сессий.
• A.18 (соответствие требованиям). Использование сертифицированных российских СЗИ автоматически закрывает требования национального законодательства, что является преимуществом при аудите. Контроль A.18.1 (соответствие правовым требованиям) выполняется de facto при использовании продуктов из реестра ФСТЭК, а контроль A.18.2 (проверки ИБ) — через механизмы инспекционного контроля ФСТЭК и внутренних аудитов СУИБ.

Более того, внедрение СУИБ по ГОСТ Р ИСО/МЭК 27001 структурирует процесс миграции, обеспечивая системный подход вместо хаотичной замены отдельных продуктов. Подробнее о внедрении СУИБ — в статье ГОСТ Р ИСО/МЭК 27001-2022: внедрение СУИБ.

Для компаний, работающих с персональными данными, критически важна интеграция требований ISO 27001 и 152-ФЗ. Об этом подробно — в материале Интеграция ISO 27001 и 152-ФЗ: персональные данные.

Пошаговый план миграции на российские СЗИ

На основе практического опыта сертификационных проектов рекомендуем следующий план перехода:

Этап 1. Инвентаризация и аудит (1–2 месяца)

• ☐ Провести полную инвентаризацию текущих СЗИ: вендор, версия, срок лицензии, класс защиты.
• ☐ Определить, какие объекты попадают под действие Указа №250 и 187-ФЗ.
• ☐ Категорировать объекты КИИ (если не сделано).
• ☐ Оценить зависимости: интеграции, API, единые консоли управления.

Этап 2. Проектирование целевой архитектуры (1–2 месяца)

• ☐ Выбрать российские аналоги для каждого класса СЗИ на основе реестра ФСТЭК.
• ☐ Проверить наличие необходимых сертификатов (ФСТЭК, ФСБ).
• ☐ Для значимых объектов КИИ — убедиться в наличии статуса доверенного ПАК.
• ☐ Спроектировать архитектуру с учётом требований ГОСТ Р ИСО/МЭК 27001.
• ☐ Согласовать бюджет и сроки с руководством.

Этап 3. Пилотное внедрение (2–3 месяца)

• ☐ Развернуть российские СЗИ в тестовом сегменте сети.
• ☐ Провести нагрузочное тестирование и проверку совместимости.
• ☐ Настроить интеграцию с существующими системами (SIEM, IdM, SOAR).
• ☐ Обучить персонал работе с новыми решениями.

Этап 4. Промышленная миграция (3–6 месяцев)

• ☐ Поэтапно заменять иностранные СЗИ, начиная с наиболее критичных сегментов.
• ☐ Обеспечить параллельную работу старых и новых средств на переходный период.
• ☐ Документировать все изменения в соответствии с требованиями СУИБ.
• ☐ Провести внутренний аудит после каждого этапа замены.

Этап 5. Сертификация и подтверждение соответствия (1–2 месяца)

• ☐ Провести анализ защищённости обновлённой инфраструктуры.
• ☐ Подготовить документацию для проверок ФСТЭК.
• ☐ При необходимости — пройти сертификацию СУИБ по ГОСТ Р ИСО/МЭК 27001.
• ☐ Настроить процесс непрерывного мониторинга и улучшения.

Зачем IT-компании сертификат ISO 27001 именно сейчас — разбираем в отдельной статье: Зачем IT-компании сертификат ISO 27001 в 2025 году.

Типичные ошибки при импортозамещении ИБ

За время работы с десятками организаций мы выделили семь наиболее опасных ошибок, которые тормозят миграцию и создают регуляторные риски:

1. «Замена один в один» без пересмотра архитектуры. Попытка подставить российский продукт в ту же точку, где стоял западный, игнорируя различия в функциональности, производительности и модели лицензирования. Российские NGFW, например, могут потребовать иного подхода к сегментации сети. Практический пример: крупная производственная компания заменила кластер Fortinet FortiGate на единственное устройство UserGate аналогичного класса. Результат — деградация пропускной способности на 40% в пиковые часы и вынужденное отключение модулей глубокой инспекции трафика. Правильный подход — пересчитать нагрузку и при необходимости использовать кластер из нескольких устройств.

2. Игнорирование сроков действия сертификатов. Сертификат ФСТЭК имеет срок действия (обычно 5 лет). Закупка решения с истекающим сертификатом означает необходимость ресертификации через короткий период — дополнительные затраты и риски. Практический пример: организация закупила СЗИ, сертификат ФСТЭК на которое истекал через 8 месяцев. После проверки ФСТЭК было выдано предписание о замене, так как вендор не успел пройти ресертификацию. Итог — двойные расходы на закупку и внедрение.

3. Отсутствие пилотного тестирования. Развёртывание российского СЗИ сразу в промышленной среде без пилота. Последствия — от деградации производительности сети до ложных срабатываний, блокирующих бизнес-процессы. Практический пример: банк развернул DLP-систему в промышленном контуре без пилотного периода. В первую неделю система заблокировала более 200 легитимных транзакций, приняв их за утечки данных. Потери составили несколько миллионов рублей и репутационный ущерб перед клиентами.

4. Забыть про СКЗИ. Организации меняют межсетевые экраны и антивирусы, но оставляют западные средства криптографической защиты. Для защиты государственной тайны и ряда категорий ПДн требуются исключительно СКЗИ с сертификатом ФСБ. Практический пример: медицинское учреждение, обрабатывающее специальные категории персональных данных, провело полную замену NGFW и антивирусов, но продолжало использовать OpenSSL с зарубежными криптомодулями для шифрования каналов связи. При проверке ФСБ это было квалифицировано как нарушение требований к защите ПДн.

5. Отсутствие обучения персонала. Новые интерфейсы, логика политик, порядок обновлений — всё это требует переподготовки. Без обучения эффективность СЗИ падает на 40–60%. Практический пример: после перехода с Cisco ASA на Континент 4 администраторы продолжали настраивать политики по привычной логике Cisco, что приводило к некорректной работе фильтрации и пропуску запрещённого трафика. Проблема решилась только после прохождения сертифицированного курса у вендора.

6. Непродуманная интеграция. Российские решения разных вендоров не всегда хорошо интегрируются друг с другом. Экосистемный подход (например, все СЗИ от одного вендора) снижает этот риск, но создаёт зависимость от единственного поставщика.

7. Формальный подход к документированию. СУИБ по ГОСТ Р ИСО/МЭК 27001 требует документирования всех изменений. При аудите ФСТЭК или при сертификации отсутствие документации — критическое несоответствие. Практический пример: компания провела миграцию на российские СЗИ за 4 месяца, но не документировала промежуточные решения, результаты тестирования и изменения в политиках. При сертификации СУИБ аудиторы зафиксировали 12 критических несоответствий, связанных с отсутствием документированных свидетельств. Сертификация была отложена на полгода.

Что делать прямо сейчас: чек-лист и рекомендации

Независимо от того, на каком этапе миграции находится ваша организация, рекомендуем свериться с этим чек-листом:

• ☐ Аудит текущих СЗИ завершён — известно, какие иностранные решения ещё используются.
• ☐ Категорирование объектов КИИ проведено — акты категорирования направлены во ФСТЭК.
• ☐ Целевая архитектура утверждена — для каждого класса СЗИ выбран российский аналог из реестра ФСТЭК.
• ☐ Бюджет на 2026 год включает статьи на закупку, внедрение и обучение.
• ☐ Подключение к ГосСОПКА обеспечено (для субъектов КИИ).
• ☐ Назначен ответственный за ИБ на уровне заместителя руководителя (требование Указа №250).
• ☐ Процессы СУИБ описаны и актуализированы с учётом новых СЗИ.
• ☐ Запланирован внутренний аудит СУИБ до конца 2026 года.

Если более двух пунктов остаются невыполненными — организация находится в зоне риска. Регуляторы уже перешли от предупреждений к действиям: ФСТЭК проводит плановые и внеплановые проверки, а прокуратура возбуждает дела по фактам невыполнения требований к защите КИИ.

Импортозамещение ИБ — это не только замена продуктов. Это перестройка процессов, пересмотр архитектуры, обучение команды и выстраивание системы непрерывного соответствия. Российские средства защиты информации за последние годы совершили качественный рывок: NGFW от UserGate и Positive Technologies, SIEM от «Лаборатории Касперского», криптографические решения от КриптоПро и ИнфоТеКС — всё это зрелые продукты, способные обеспечить защиту на уровне, соответствующем и российским требованиям, и международным стандартам.