- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Импортозамещение на объектах КИИ в 2026 году: Указ № 250 и переход на российские СЗИ
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Импортозамещение на объектах КИИ в 2026 году: Указ № 250 и переход на российские СЗИ
Указ № 250 запретил иностранные СЗИ на объектах КИИ с 1 января 2025 года. Разбираем нормативную базу, сроки, российские аналоги и практический план перехода на доверенные решения до 2030 года.
Импортозамещение на объектах критической информационной инфраструктуры (КИИ) перестало быть рекомендацией — с 2022 года оно превратилось в жёсткое нормативное требование. Для CIO и CISO, отвечающих за информационную безопасность значимых объектов, понимание иерархии нормативных актов — отправная точка любого проекта по переходу на российские средства защиты информации (СЗИ).
Указ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» стал первым документом, установившим два ключевых запрета:
Указ 250 КИИ расширил периметр требований. Документ обязал все субъекты КИИ, включая частные компании, полностью отказаться от использования средств защиты информации, произведённых в недружественных государствах, либо контролируемых лицами из таких государств. Срок вступления запрета — 1 января 2025 года. Таким образом, действующие изменения 187-ФЗ и подзаконные акты формируют единую систему требований, которая затрагивает без исключения все организации, попадающие под определение субъекта КИИ.
ПП № 1478 конкретизировало механику перехода. Постановление утвердило требования к программному обеспечению (в том числе в составе программно-аппаратных комплексов), используемому на ЗОКИИ. Основные положения:
ПП № 1912 ввело понятие доверенного программно-аппаратного комплекса (ПАК) и установило правила перехода субъектов КИИ на их преимущественное применение на ЗОКИИ. Документ действует с 1 сентября 2024 г. и предусматривает шестилетний переходный период — до 1 января 2030 года. Именно ПП № 1912 стало ключевым нормативным актом для всех проектов импортозамещения ПО КИИ в 2025–2029 гг.
Все перечисленные акты работают в связке с Приказом ФСТЭК № 239, который определяет конкретные меры защиты значимых объектов КИИ, и с требованиями организационно-распорядительной документации по КИИ.
Формулировки указов и постановлений намеренно широки, и это вызывает вопросы у практиков. Разберём, что конкретно подпадает под запрет.
Указ № 250 запрещает использование СЗИ, которые:
На практике это означает запрет на продукцию всех ведущих западных вендоров информационной безопасности: межсетевые экраны, системы обнаружения вторжений, антивирусные решения, SIEM-платформы, средства криптографической защиты, системы управления уязвимостями и другие классы решений.
Указ № 166 и ПП № 1478 распространяют запрет не только на СЗИ, но и на любое программное обеспечение на ЗОКИИ: операционные системы, СУБД, системы виртуализации, средства резервного копирования, офисные пакеты — если они не включены в Реестр Минцифры.
ПП № 1912 дополнительно вводит требование использования доверенных ПАК. С 1 сентября 2024 г. субъекты КИИ не вправе приобретать для ЗОКИИ программно-аппаратные комплексы, не отвечающие критериям доверенности (за исключением случаев подтверждённого отсутствия российских аналогов).
Для корректного определения периметра запрета необходимо предварительно провести инвентаризацию ИТ-активов и завершить категорирование объектов КИИ.
Переход на российские СЗИ — процесс с чётко определёнными дедлайнами. Ниже — сводная дорожная карта, которую CIO и CISO должны учитывать при планировании бюджетов и проектов.
Как видно из таблицы, запрет на иностранные СЗИ уже действует. Компании, которые до сих пор не начали переход на российские СЗИ, находятся в зоне правового риска. Подробнее о последствиях читайте в материале о штрафах и проверках по КИИ в 2026 году.
Понятие «доверенный программно-аппаратный комплекс» введено ПП № 1912 и имеет строгое определение. ПАК признаётся доверенным при одновременном соответствии трём критериям:
Аппаратная платформа (серверы, коммутаторы, специализированные устройства) должна быть включена в Единый реестр российской радиоэлектронной продукции (Реестр РЭП), который ведёт Минпромторг России. Это подтверждает, что оборудование произведено на территории РФ с использованием российской элементной базы или локализовано в установленном объёме.
Программное обеспечение в составе ПАК должно быть включено в Единый реестр российских программ для ЭВМ и БД (Реестр Минцифры) либо в Единый реестр программ ЕАЭС. Включение в реестр подтверждает, что ПО разработано российской организацией, не контролируется иностранными лицами и соответствует установленным требованиям.
Если ПАК выполняет функции защиты информации, он дополнительно должен иметь действующий сертификат соответствия ФСТЭК России или ФСБ России. Это означает, что средство защиты прошло сертификационные испытания и подтвердило соответствие требованиям безопасности.
В феврале 2025 года Минпромторг опубликовал проект постановления о формировании перечня доверенных ПАК в рамках существующих реестров. Реестровые записи будут содержать отметку «ДПАК», что позволит субъектам КИИ однозначно идентифицировать доверенные решения при закупке. До утверждения порядка включения в реестр субъекты КИИ вынуждены самостоятельно проверять соответствие приобретаемых ПАК всем трём критериям.
Для системного подхода к учёту и контролю используемых ПАК рекомендуем рассмотреть инструменты автоматизации учёта объектов КИИ.
Для кого эта услуга
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
Химическая промышленность
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Одна из главных сложностей перехода на российские СЗИ — подбор функциональных аналогов. Российский рынок информационной безопасности в 2024–2026 гг. существенно вырос: по данным аналитиков, на рынке представлено более 60 разработок только в сегменте NGFW. Ниже — матрица соответствия основных классов СЗИ, которая поможет CIO и CISO сориентироваться при выборе.
Данная матрица показывает, что по большинству классов СЗИ российские решения уже достигли зрелости. Основные сложности сохраняются в сегменте высокопроизводительных NGFW (пропускная способность свыше 100 Гбит/с) и в области комплексных PAM/IdM-систем для крупных распределённых инфраструктур.
Подбор конкретных решений должен учитывать актуальную модель угроз КИИ и отраслевые особенности категорирования вашей организации.
Главная задача CIO и CISO при импортозамещении — обеспечить непрерывность бизнес-процессов. Ниже — проверенный на практике алгоритм миграции, который минимизирует риск простоя.
Проведите полную инвентаризацию ИТ-активов с фокусом на СЗИ иностранного производства. Зафиксируйте:
Параллельно рекомендуется провести аудит информационной безопасности для оценки текущего уровня защищённости.
На основе результатов аудита сформируйте детальный план, включающий:
Разверните параллельную тестовую среду, максимально повторяющую продуктивный контур. Это позволит:
Ключевой принцип бесшовной миграции — параллельная работа. Старый и новый контуры СЗИ функционируют одновременно:
Переключение выполняется в рамках согласованного технологического окна:
После подтверждения стабильной работы нового контура:
Общий цикл миграции одного класса СЗИ составляет 4–8 месяцев. При наличии нескольких классов замещаемых решений проекты можно запускать параллельно, сокращая общий срок перехода. Информацию о стоимости таких проектов можно найти в разделе стоимость категорирования КИИ.
С 2025 года контроль за соблюдением требований импортозамещения ужесточён. Рассмотрим актуальную систему ответственности.
Минцифры подготовило законопроект о введении оборотных штрафов за просрочку перевода ЗОКИИ на российское ПО. По аналогии с оборотными штрафами за утечки персональных данных, размер санкции будет привязан к выручке компании. Это существенно повышает финансовые риски для крупных организаций.
Статья 274.1 УК РФ предусматривает ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации КИИ. Если использование несертифицированных или иностранных СЗИ привело к инциденту безопасности с ущербом, виновным грозит лишение свободы на срок до 10 лет.
Подробный разбор санкций и практики проверок представлен в статье «Штрафы и проверки по КИИ в 2026 году».
Ниже — практический чек-лист, который можно использовать как основу для внутреннего приказа или проектного плана. Каждый пункт привязан к конкретному нормативному требованию.
Данный чек-лист охватывает полный годовой цикл работ по импортозамещению. Для организаций, которые ещё не завершили категорирование, первым шагом должно стать пошаговое категорирование объектов КИИ.
Импортозамещение на объектах КИИ в 2026 году — не вопрос выбора, а нормативное требование с действующими санкциями. Указ 250 КИИ запретил иностранные СЗИ с 1 января 2025 года, ПП № 1478 обязывает использовать только ПО из Реестра Минцифры, а ПП № 1912 устанавливает переход на 100% доверенных ПАК к 2030 году.
Для CIO и CISO ключевой вывод: откладывать миграцию больше нельзя. По статистике, к началу 2025 года лишь 7% организаций полностью выполнили требования Указа № 166, а регуляторы прямо заявили об отказе сдвигать сроки. Разработка оборотных штрафов Минцифры дополнительно подчёркивает серьёзность намерений государства.
Российский рынок СЗИ уже предлагает зрелые решения практически для всех классов защиты. Миграция без простоя реальна при условии грамотного планирования, параллельной работы контуров и поэтапного внедрения. Используйте чек-лист из этой статьи как стартовую точку и привлекайте экспертов на тех этапах, где внутренних компетенций недостаточно.
Специалисты компании «Астелс» помогут провести импортозамещение ПО КИИ под ключ: от аудита текущего состояния и подбора российских СЗИ до разработки плана миграции и сопровождения внедрения. Мы имеем опыт работы с организациями из всех отраслей — энергетики и ТЭК, промышленности, финансового сектора и здравоохранения.
Закажите комплексную защиту КИИ под ключ — получите бесплатную консультацию и оценку стоимости перехода на российские СЗИ для вашей организации.
Медиа
Была ли полезна вам данная статья?
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000.
© ООО «Астелс» - Консалтинговая группа» 2012 - 2024
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 17.03.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград