Сертификация средств защиты информации для КИИ: требования ФСТЭК и ФСБ России

Практическое руководство по выбору сертифицированных СЗИ для объектов КИИ с учётом требований приказов ФСТЭК № 239, № 76 и ФСБ № 378.

5. Почему сертификация занимает до года: этапы и сроки

Один из наиболее частых вопросов, который задают CISO и CIO: «Почему нельзя сертифицировать продукт за месяц?». Ответ кроется в глубине проверок и количестве этапов. Типичный цикл сертификации СЗИ по требованиям ФСТЭК выглядит следующим образом:

Этап 1. Подача заявки и принятие решения (1–2 месяца)

Заявитель (вендор или его представитель) подаёт в ФСТЭК заявку, комплект конструкторской и эксплуатационной документации, описание функций безопасности. ФСТЭК рассматривает заявку, назначает аккредитованную испытательную лабораторию и орган по сертификации.

Этап 2. Сертификационные испытания (3–8 месяцев)

Самый длительный этап. Испытательная лаборатория проводит:

• проверку документации на полноту и непротиворечивость;
• функциональное тестирование заявленных механизмов защиты;
• анализ на отсутствие НДВ (с полным или выборочным анализом исходного кода);
• нагрузочное тестирование;
• проверку механизмов обновления и контроля целостности.

Если лаборатория выявляет несоответствия — продукт возвращается разработчику на доработку, что может добавить 1–3 месяца к общему сроку.

Этап 3. Экспертиза органа по сертификации (1–2 месяца)

Орган по сертификации изучает результаты испытаний, проверяет корректность методик, формирует заключение.

Этап 4. Выдача сертификата ФСТЭК (до 1 месяца)

ФСТЭК принимает итоговое решение, присваивает номер сертификата и вносит продукт в государственный реестр сертифицированных средств защиты информации.

Итого: от 6 до 12 месяцев, а для сложных продуктов — до 18 месяцев. Понимание этих сроков критично при планировании проектов по комплексной защите КИИ.

6. Сертификация СКЗИ: требования ФСБ России

Если на объекте КИИ применяются средства криптографической защиты информации (СКЗИ) — VPN-шлюзы, средства электронной подписи, криптографические модули, — их сертификацию проводит не ФСТЭК, а ФСБ России через Центр по лицензированию, сертификации и защите государственной тайны (ЦЛСЗ).

Классы СКЗИ по ФСБ

Приказ ФСБ № 378 устанавливает классы криптографической защиты, каждый из которых противодействует определённой модели нарушителя:

• КС1 — защита от атак из-за пределов контролируемой зоны;
• КС2 — защита от атак внутри контролируемой зоны, но без физического доступа к СКЗИ;
• КС3 — защита от атак с физическим доступом к вычислительной технике с установленным СКЗИ;
• КВ — защита от атак с привлечением специалистов в области криптоанализа;
• КА — максимальный класс; защита от атак с использованием всех известных методов, включая доступ к исходному коду СКЗИ.

Сертификат ФСБ на СКЗИ действует 3 года с возможностью продления до 5 лет. Выбор класса определяется моделью угроз конкретного объекта КИИ. Для субъектов КИИ с 2025 года действует полный запрет на использование иностранной криптографии — допускаются только решения с действующим сертификатом ФСБ.

7. Как выбирать готовые сертифицированные СЗИ из реестра ФСТЭК

Государственный реестр сертифицированных средств защиты информации ФСТЭК (reestr.fstec.ru) содержит более 4 000 позиций. Однако далеко не все из них подходят для конкретного объекта КИИ. Ниже — алгоритм выбора, который позволяет сэкономить месяцы и бюджет.

Шаг 1. Определите требуемые параметры

На основании результатов категорирования и модели угроз зафиксируйте:

• категорию значимости объекта КИИ (1, 2 или 3);
• минимальный уровень доверия СЗИ (4, 5 или 6);
• перечень мер защиты по приказу ФСТЭК № 239;
• класс СКЗИ (если требуется криптозащита).

Шаг 2. Фильтруйте реестр ФСТЭК

В реестре доступен поиск по типу СЗИ, уровню доверия, номеру сертификата, наименованию. Обратите внимание на:

• срок действия сертификата — просроченный сертификат не является основанием для применения;
• схему сертификации — серийное производство или единичный экземпляр;
• ограничения применения — часть сертификатов содержит ограничения по конфигурации или среде функционирования.

Шаг 3. Оцените зрелость вендора

Наличие сертификата — необходимое, но недостаточное условие. Для объектов КИИ важны:

• наличие продукта в Едином реестре российского ПО;
• скорость выпуска обновлений безопасности;
• наличие технической поддержки с SLA, совместимым с режимом работы объекта КИИ;
• опыт внедрения на аналогичных объектах.

Шаг 4. Проверьте совместимость

Сертифицированное СЗИ должно работать в конкретной программно-аппаратной среде объекта. Проведите инвентаризацию ИТ-активов и убедитесь, что выбранное решение совместимо с используемыми ОС, СУБД, прикладным ПО.

8. Импортозамещение и сертификация: что изменилось к 2026 году

К началу 2026 года ландшафт сертифицированных СЗИ для КИИ радикально изменился. Указ Президента № 250 и Федеральный закон 58-ФЗ сделали импортозамещение не рекомендацией, а обязательным требованием.

Текущий статус

• С 1 января 2025 года действует полный запрет на использование иностранных СЗИ на объектах КИИ.
• С 1 сентября 2025 года субъекты КИИ обязаны начать переход на отечественное ПО.
• С 1 января 2026 года использование иностранного ПО в критической инфраструктуре становится невозможным.
• Доля иностранных решений в затратах на ИБ сократилась до однозначных процентных значений.

Что это значит для выбора СЗИ

Фактически рынок сертифицированных СЗИ для КИИ сегодня — это рынок исключительно российских решений. Ключевые сегменты (межсетевые экраны нового поколения, VPN, средства доверенной загрузки, системы обнаружения вторжений, SIEM) закрыты отечественными продуктами, прошедшими сертификацию ФСТЭК и/или ФСБ.

Одновременно ФСТЭК ужесточает требования к самому процессу сертификации: с 2025 года введён контроль заимствованных компонентов с открытым исходным кодом, входящих в состав СЗИ. Разработчик обязан предоставить SBOM (Software Bill of Materials) — перечень всех используемых open-source библиотек с указанием версий и лицензий.

Штрафы за несоблюдение требований могут достигать 500 000 рублей. Подробнее о санкциях — в статье «Штрафы и проверки по КИИ в 2026 году».

9. Чек-лист: подбор сертифицированных СЗИ для объекта КИИ

Ниже — практический чек-лист для CISO и CIO, который поможет структурировать процесс выбора и внедрения сертифицированных средств защиты.

10. Заключение

Сертификация средств защиты информации для объектов КИИ — это не формальность, а механизм, обеспечивающий реальную безопасность критической инфраструктуры. Процедуры проверки на отсутствие НДВ, анализ исходного кода, фаззинг-тестирование и верификация сборки — всё это гарантирует, что средство защиты не станет точкой входа для злоумышленника.

Для CISO и CIO ключевые выводы:

• Категория значимости объекта КИИ напрямую определяет минимальный уровень доверия СЗИ. Без завершённого категорирования корректный выбор невозможен.
• Сертификация нового продукта занимает 6–12 месяцев. Если задача — быстрое внедрение, выбирайте готовые решения из реестра ФСТЭК с действующим сертификатом.
• Для СКЗИ требуется отдельный сертификат ФСБ. Класс определяется моделью угроз, а не категорией объекта.
• С 2026 года единственный путь — отечественные сертифицированные решения. Иностранные СЗИ и СКЗИ на объектах КИИ запрещены.

Нужна помощь в подборе сертифицированных СЗИ для вашего объекта КИИ?

Компания «Астелс» проводит полный цикл работ: от категорирования объектов КИИ и разработки модели угроз до подбора, внедрения и сопровождения сертифицированных средств защиты. Узнайте стоимость или закажите комплексную защиту КИИ под ключ.