Раньше требования касались только государственных информационных систем (ГИС) в узком смысле. Теперь область применения расширена до всех информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений, а также муниципальных информационных систем. Под действие попадают тысячи организаций, которые ранее могли не задумываться о требованиях ФСТЭК.

Кибер Медиа вместе с экспертами рынка разобрали новый порядок регулирования и сформировали рекомендации для компаний, как перестроиться, чтобы избежать штрафов.

Своим взглядом на новые правила поделился и Владислав Крылов, эксперт AKTIV.CONSULTING.

1. Что конкретно в 2026 году станет главной «головной болью» для владельцев ГИС и объектов КИИ по сравнению с предыдущими годами?

Ключевое изменение — теперь недостаточно формально выполнить набор мер защиты, нужно обосновать их выбор с учётом актуальных угроз и архитектуры системы. Регулятор будет требовать детального анализа уязвимостей, оценки последствий инцидентов и доказательства эффективности применяемых СЗИ в конкретных условиях эксплуатации. Это потребует глубокой переработки нормативной базы организации, пересмотра моделей угроз и адаптации процессов управления ИБ под новые критерии оценки.

2. Какие особенности аттестации систем, которая уже построена на полностью отечественном оборудовании, но использует open source? Есть ли особенности в этой процедуре с учётом реальной практики ФСТЭК?

Аттестация систем на отечественном оборудовании с компонентами open source создаёт ряд специфических вызовов. ФСТЭК России уделяет повышенное внимание подтверждению целостности и неизменности open‑source‑компонентов, а также анализу их соответствия требованиям к защите информации (в терминах безопасной разработки ПО – композиционный анализ). На практике проверяющие вправе требовать: подтверждения отсутствия недекларированных возможностей, регулярных проверок на уязвимости (в т. ч. через БДУ ФСТЭК России), контроля цепочки сборки и поставки ПО. Особое внимание уделяется наличию документации, описывающей конфигурацию и настройки open‑source‑решений.

3. Как выстраивать план подготовки к аттестации в 2026 году, чтобы закрыть вопросы по управлению уязвимостями разношерстного парка оборудования, когда вендоры не всегда успевают выпускать патчи?

В условиях современного динамичного мира, характеризующегося регулярно меняющимся ландшафтом киберугроз, зависимость от своевременного выпуска патчей вендорами становится неоправданно рискованным фактором. Учитывая, что временные рамки для выпуска обновлений зачастую непредсказуемы и нецелесообразны с точки зрения текущих операционных условий, необходимо переориентировать стратегию защиты на применение адаптивных методов. Следует реализовать архитектуру безопасности, базирующуюся на принципах сегментации сети, эшелонированной защиты и превентивного мониторинга аномальной активности.

4. Бюджеты на безопасность в 2026 году у многих остались на уровне прошлого года или урезаны. Какие организационно-технические мероприятия позволяют пройти аттестацию ГИС/КИИ без дополнительных затрат на сторонних экспертов?

При ограниченном бюджете фокус следует сместить на оптимизацию существующих ресурсов и процессов. Эффективны следующие меры:

• реорганизация внутренних регламентов и политик ИБ с учётом требований Приказа № 117;
• актуализация модели угроз и модели нарушителя;
• внедрение бесплатных инструментов для сканирования уязвимостей и мониторинга событий безопасности.

Также целесообразно перераспределить обязанности между текущими сотрудниками ИТ‑ и ИБ‑подразделений, закрепив зоны ответственности за управление уязвимостями, реагирование на инциденты и контроль конфигураций.

5. Какие есть неочевидные риски, связанный с приказом №117?

Неочевидные риски Приказа № 117 связаны с ужесточением требований к кадровому обеспечению. Проверяющие будут оценивать не только наличие сертифицированных СЗИ, но и квалификацию персонала (не менее 30 % специалистов должны иметь профильное образование или переподготовку).

Ссылка на источник