- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Сертификация средств защиты информации для КИИ: требования ФСТЭК и ФСБ России
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Сертификация средств защиты информации для КИИ: требования ФСТЭК и ФСБ России
Практическое руководство по выбору сертифицированных СЗИ для объектов КИИ с учётом требований приказов ФСТЭК № 239, № 76 и ФСБ № 378.
Федеральный закон 187-ФЗ и подзаконные акты ФСТЭК России однозначно требуют: средства защиты информации (СЗИ), применяемые на значимых объектах критической информационной инфраструктуры, должны пройти оценку соответствия. Для большинства классов СЗИ единственная допустимая форма такой оценки — обязательная сертификация в системе ФСТЭК или ФСБ России.
Сертификация подтверждает, что продукт:
Для CISO и CIO важно понимать: применение несертифицированных решений на значимом объекте КИИ — это не просто комплаенс-риск. Это основание для предписания ФСТЭК, штрафов до 500 000 рублей, а в ряде случаев — для привлечения к уголовной ответственности по ст. 274.1 УК РФ.
Система требований к сертифицированным СЗИ КИИ опирается на несколько ключевых нормативных актов. Ниже — структурированная карта документов, которую полезно держать под рукой при проектировании системы защиты.
Приказ ФСТЭК № 239 является центральным документом: именно он определяет набор мер защиты для каждой категории значимости и устанавливает, что СЗИ должны быть сертифицированы по соответствующему уровню доверия. Подробный разбор требований приказа — в нашей отдельной статье.
С 2020 года ФСТЭК перешла от устаревшей классификации по уровням контроля отсутствия НДВ к новой системе — уровням доверия (приказ ФСТЭК № 76). Уровень доверия определяется не функциональными возможностями СЗИ, а тем, как продукт был разработан, протестирован и как поддерживается в ходе эксплуатации.
Для объектов КИИ установлено следующее соответствие:
Практический вывод: прежде чем подбирать конкретный продукт, необходимо завершить категорирование объекта КИИ и определить категорию значимости. Именно она диктует минимальный уровень доверия, а значит — сужает выбор до конкретного перечня сертифицированных решений в реестре ФСТЭК.
Проверка на отсутствие НДВ (недекларированных возможностей) — это одна из наиболее трудоёмких и длительных процедур сертификации. Именно она определяет, содержит ли программный код скрытые функции — «бэкдоры», «закладки», недокументированные каналы передачи данных.
Аккредитованная испытательная лаборатория выполняет комплекс работ, включающий:
Глубина проверки определяется уровнем доверия: для 4-го уровня (1 категория КИИ) лаборатория исследует полный исходный код, для 6-го (3 категория) — объём анализа может быть ограничен критическими модулями. Подробнее о построении модели угроз для КИИ, которая определяет вектор проверки.
Для кого эта услуга
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Один из наиболее частых вопросов, который задают CISO и CIO: «Почему нельзя сертифицировать продукт за месяц?». Ответ кроется в глубине проверок и количестве этапов. Типичный цикл сертификации СЗИ по требованиям ФСТЭК выглядит следующим образом:
Заявитель (вендор или его представитель) подаёт в ФСТЭК заявку, комплект конструкторской и эксплуатационной документации, описание функций безопасности. ФСТЭК рассматривает заявку, назначает аккредитованную испытательную лабораторию и орган по сертификации.
Самый длительный этап. Испытательная лаборатория проводит:
Если лаборатория выявляет несоответствия — продукт возвращается разработчику на доработку, что может добавить 1–3 месяца к общему сроку.
Орган по сертификации изучает результаты испытаний, проверяет корректность методик, формирует заключение.
ФСТЭК принимает итоговое решение, присваивает номер сертификата и вносит продукт в государственный реестр сертифицированных средств защиты информации.
Итого: от 6 до 12 месяцев, а для сложных продуктов — до 18 месяцев. Понимание этих сроков критично при планировании проектов по комплексной защите КИИ.
Если на объекте КИИ применяются средства криптографической защиты информации (СКЗИ) — VPN-шлюзы, средства электронной подписи, криптографические модули, — их сертификацию проводит не ФСТЭК, а ФСБ России через Центр по лицензированию, сертификации и защите государственной тайны (ЦЛСЗ).
Приказ ФСБ № 378 устанавливает классы криптографической защиты, каждый из которых противодействует определённой модели нарушителя:
Сертификат ФСБ на СКЗИ действует 3 года с возможностью продления до 5 лет. Выбор класса определяется моделью угроз конкретного объекта КИИ. Для субъектов КИИ с 2025 года действует полный запрет на использование иностранной криптографии — допускаются только решения с действующим сертификатом ФСБ.
Государственный реестр сертифицированных средств защиты информации ФСТЭК (reestr.fstec.ru) содержит более 4 000 позиций. Однако далеко не все из них подходят для конкретного объекта КИИ. Ниже — алгоритм выбора, который позволяет сэкономить месяцы и бюджет.
На основании результатов категорирования и модели угроз зафиксируйте:
В реестре доступен поиск по типу СЗИ, уровню доверия, номеру сертификата, наименованию. Обратите внимание на:
Наличие сертификата — необходимое, но недостаточное условие. Для объектов КИИ важны:
Сертифицированное СЗИ должно работать в конкретной программно-аппаратной среде объекта. Проведите инвентаризацию ИТ-активов и убедитесь, что выбранное решение совместимо с используемыми ОС, СУБД, прикладным ПО.
К началу 2026 года ландшафт сертифицированных СЗИ для КИИ радикально изменился. Указ Президента № 250 и Федеральный закон 58-ФЗ сделали импортозамещение не рекомендацией, а обязательным требованием.
Фактически рынок сертифицированных СЗИ для КИИ сегодня — это рынок исключительно российских решений. Ключевые сегменты (межсетевые экраны нового поколения, VPN, средства доверенной загрузки, системы обнаружения вторжений, SIEM) закрыты отечественными продуктами, прошедшими сертификацию ФСТЭК и/или ФСБ.
Одновременно ФСТЭК ужесточает требования к самому процессу сертификации: с 2025 года введён контроль заимствованных компонентов с открытым исходным кодом, входящих в состав СЗИ. Разработчик обязан предоставить SBOM (Software Bill of Materials) — перечень всех используемых open-source библиотек с указанием версий и лицензий.
Штрафы за несоблюдение требований могут достигать 500 000 рублей. Подробнее о санкциях — в статье «Штрафы и проверки по КИИ в 2026 году».
Ниже — практический чек-лист для CISO и CIO, который поможет структурировать процесс выбора и внедрения сертифицированных средств защиты.
Сертификация средств защиты информации для объектов КИИ — это не формальность, а механизм, обеспечивающий реальную безопасность критической инфраструктуры. Процедуры проверки на отсутствие НДВ, анализ исходного кода, фаззинг-тестирование и верификация сборки — всё это гарантирует, что средство защиты не станет точкой входа для злоумышленника.
Для CISO и CIO ключевые выводы:
Компания «Астелс» проводит полный цикл работ: от категорирования объектов КИИ и разработки модели угроз до подбора, внедрения и сопровождения сертифицированных средств защиты. Узнайте стоимость или закажите комплексную защиту КИИ под ключ.
Да, для значимых объектов КИИ (1, 2 и 3 категории) использование сертифицированных средств защиты информации является обязательным требованием. Это закреплено в 239-м приказе ФСТЭК России и вытекает из положений Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры». За невыполнение требований предусмотрена административная и уголовная ответственность.
Стоимость сертификации СЗИ зависит от уровня доверия и сложности продукта и составляет от 3 до 15 млн рублей. В эту сумму входят испытания в аккредитованной лаборатории, экспертиза документации и оформление сертификата. Для СКЗИ, сертифицируемых ФСБ, стоимость может быть ещё выше из-за более строгих требований к проверке криптографических механизмов.
Уровни доверия (их шесть, от 6-го низшего до 1-го высшего) определяют глубину проверки самого средства защиты — насколько тщательно анализируется его код, архитектура и отсутствие уязвимостей. Классы защиты же определяют функциональные возможности СЗИ. Для объектов КИИ 3-й категории значимости достаточен 6-й уровень доверия, для 2-й категории — 5-й, для 1-й — 4-й уровень доверия.
С 1 января 2025 года на значимых объектах КИИ запрещено использование средств защиты информации из недружественных стран — это требование Указа Президента № 250. На практике к 2026 году субъекты КИИ обязаны перейти на отечественные сертифицированные решения. Исключения возможны только при отсутствии российских аналогов и оформляются через согласование с ФСТЭК.
Актуальный перечень сертифицированных СЗИ размещён в Государственном реестре на официальном сайте ФСТЭК России. При выборе продукта необходимо проверить не только наличие сертификата, но и срок его действия, указанный уровень доверия и область применения. Также важно убедиться, что конкретная версия ПО совпадает с указанной в сертификате — иначе продукт считается несертифицированным.
Процесс сертификации включает подачу заявки, испытания в аккредитованной лаборатории, экспертизу результатов в ФСТЭК или ФСБ и оформление документов — в среднем от 6 до 12 месяцев. Основное время занимает анализ исходного кода на недекларированные возможности и проверка механизмов безопасности. Ускорить процесс можно, заранее подготовив полный комплект конструкторской и эксплуатационной документации и выбрав лабораторию с минимальной загрузкой.
Да, если на объекте КИИ применяются средства криптографической защиты информации (СКЗИ), они должны иметь сертификат ФСБ России соответствующего класса — от КС1 до КА. Сертификат ФСТЭК не заменяет сертификат ФСБ для криптосредств, это два независимых процесса. Класс СКЗИ выбирается исходя из модели нарушителя, определённой для конкретного объекта КИИ.
Медиа
Была ли полезна вам данная статья?
Так же читайте другие статьи на эту тему
Импортозамещение на объектах КИИ в 2026 году: Указ № 250 и переход на российские СЗИ
Разбор нормативных требований Указа № 250, Постановлений № 1478 и № 1912. Пошаговый план миграции на российские СЗИ и доверенные ПАК без простоя сервисов.
Подключение к ГосСОПКА: обязательства субъектов КИИ и алгоритм взаимодействия
Разбираем порядок подключения субъектов КИИ к ГосСОПКА по актуальным приказам ФСБ 2025–2026: прямое подключение vs. корпоративный центр класса А, сроки информирования НКЦКИ, регламент обмена данными о компьютерных инцидентах.
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Добровольная сертификация, Сетификация ИСО, Сертификация услуг, Категорирование КИИ, Классификация гостиниц, Разработка СМК, ХАССП
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 06.04.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград