Перечень сертифицированных средств защиты ФСТЭК — это официальный список программ и оборудования, которые государство проверило на уязвимости и отсутствие недекларированных возможностей (НДВ)*.
Сертифицированные СЗИ* обязаны использовать госорганы, банки, субъекты критической информационной инфраструктуры (КИИ)* и компании, обрабатывающие чувствительные персональные данные.
Запуск государственных систем или объектов КИИ без такого софта грозит невыдачей аттестата и крупными штрафами.
Оглавление:
Что такое реестр ФСТЭК и зачем он нужен бизнесу
ФСТЭК (Федеральная служба по техническому и экспортному контролю) отвечает за безопасность информации в России. Ведомство проверяет антивирусы, межсетевые экраны (МЭ)*, системы обнаружения вторжений и операционные системы на надежность. Если продукт успешно проходит испытания в независимой лаборатории, он попадает в государственные реестры сертифицированных средств защиты информации.
Для бизнеса этот перечень — единственный законный каталог софта при построении защищенной ИТ-инфраструктуры. Вы не можете просто купить любую удобную программу, если ваша компания подпадает под жесткие требования регулятора.
Проверьте реестр ФСТЭК по номеру сертификата здесь.
Кому нужны СЗИ из реестра ФСТЭК: КИИ, ГИС, ИСПДн
Требования касаются не всего бизнеса. Если вы держите небольшой пункт выдачи заказов Ozon или локальную кофейню, покупать сертифицированные решения не нужно. Обязанность возникает в трех случаях:
- Объекты КИИ. Это банки, предприятия ТЭК, телеком-операторы и медицинские учреждения. Если их инфраструктуру взломают, последствия затронут тысячи людей или остановят важные производства.
- ГИС* (государственные информационные системы). Порталы региональных правительств, системы Госуслуг и любые платформы, созданные по госзаказу.
- ИСПДн* (информационные системы персональных данных). Касается компаний, которым для соблюдения 152-ФЗ требуются высокие уровни защищенности. Например, частная клиника хранит биометрические данные и сведения о здоровье пациентов — ей потребуются сертифицированные СЗИ.
Таблица: Кому нужны сертифицированные СЗИ
Категория |
Примеры |
Обязательность |
Штрафы за несоблюдение |
|---|---|---|---|
Объекты КИИ |
Банки (Т-Банк, ВТБ), ТЭК, телеком |
Обязательно (ФЗ-187) |
До 500 000 руб. (ст. 13.12.1 КоАП) |
ГИС |
Госуслуги, региональные порталы |
Обязательно (ФЗ-8) |
Приостановка до 90 суток |
ИСПДн |
Клиники с биометрией (152-ФЗ) |
Уровни 1–4 |
До 500 000 руб. + аттестация |
Малый бизнес |
Кофейня, ПВЗ |
Не обязательно |
Нет |
Штрафы и риски: несертифицированные СЗИ в 2026 году
Без официального аттестата соответствия нельзя легально запустить ГИС в эксплуатацию или подключиться к государственным базам данных (например, к СМЭВ).
В сентябре–ноябре 2025 ФСТЭК приостановила аттестаты 12 испытательных лабораторий («Газинформсервис», «ЛИССИ-Софт», «НТЦ Ирбис»), что усилило контроль за СЗИ. Нарушения на КИИ выросли на 50% (1200+ случаев), РКН зафиксировал 118 утечек ПДн (52 млн записей).
В 2025–2026 годах регуляторы заметно ужесточили контроль за утечками данных. Использование несертифицированных СЗИ на значимых объектах КИИ ведет к штрафам по статье 13.12.1 КоАП РФ. Для юридических лиц сумма достигает 500 000 рублей за каждое нарушение правил эксплуатации.
Кроме штрафа, регулятор имеет право приостановить деятельность компании на срок до 90 суток. Для крупного ритейлера или ИТ-гиганта вроде Яндекса даже один день простоя оборачивается десятками миллионов рублей убытков и репутационными потерями.
Сертификат на «серию» или на «партию»: главная ловушка при закупке
В реестре ФСТЭК сертификаты выдаются по двум схемам: на серийное производство и на конкретную партию.
Серийное производство. Вендор сертифицировал сам процесс разработки. Вы можете докупать лицензии в любой момент, и они будут легитимны.
Партия (или единичный экземпляр). Сертификат выдается на строго определенное количество установок. Например, вы купили партию на 100 компьютеров.
Если компания выросла и купила 101-й компьютер, расширить партию нельзя. Придется заново проводить оценку соответствия или закупать новую партию, что требует времени и дополнительных расходов.
Совет! Перед покупкой всегда проверяйте сертификат ФСТЭК по номеру в реестре и убедитесь, что схема сертификации подходит под ваши планы роста.
Таблица: Сравнение серийного и партионного сертификата
Тип сертификата |
Преимущества |
Риски |
Пример |
|---|---|---|---|
Серийный |
Неограниченные закупки, масштабирование |
Дороже вендору |
Astra Linux Special Edition |
Партия/единичный |
Дешевле на старте |
Нельзя расширить без пересертификации |
100 лицензий на Kaspersky |
Обновления СЗИ ФСТЭК: почему нельзя автообновление
В обычной жизни операционные системы и антивирусы обновляются автоматически. В мире сертифицированных решений так делать нельзя. Любой патч или обновление безопасности меняет контрольные суммы программы (хеши).
Если системный администратор «накатит» обновление, скачанное с обычного сайта разработчика, софт автоматически потеряет статус сертифицированного. Государство не проверяло этот новый код на уязвимости и НДВ.
Чтобы сохранить нужный класс защиты и уровень доверия*, обновления нужно получать легитимным путем. Обычно вендоры предоставляют верифицированные патчи через специальные защищенные каналы или рассылают физические диски с голограммами. Из-за бюрократических процедур такие обновления выходят с задержкой в несколько месяцев.
Срок сертификата ФСТЭК: когда менять ПО по Приказу №55
Один из главных страхов бизнеса — срок действия сертификата в реестре подошел к концу. Начинается паника, выделяются срочные бюджеты на замену ПО. На практике сносить работающую систему требуется не всегда.
Согласно Приказу ФСТЭК России № 55, если срок действия сертификата истек, продукт можно продолжать использовать до вывода самой информационной системы из эксплуатации. Но есть условие: разработчик должен оказывать техническую поддержку и выпускать обновления безопасности для устранения новых уязвимостей.
Продление срока действия сертификата — задача вендора. Если статус продукта в реестре изменился на «Приостановлен», но у вас есть действующий договор техподдержки, вы ничего не нарушаете. Если же сертификат аннулирован принудительно (например, из-за критической уязвимости), софт придется экстренно менять.
Open Source в госсистемах: как легализовать бесплатный код
Существует миф, что в ГИС или КИИ запрещено использовать решения на базе Open Source. На самом деле, напрямую скачать бесплатный дистрибутив Linux или базу данных PostgreSQL и поставить их на сервер действительно нельзя — они не проходили проверку в лабораториях.
Однако бизнес активно использует открытый код через коммерческие форки от российских разработчиков. Компании берут Open Source решения, вычищают из них потенциальные вредоносные коды, добавляют собственные механизмы защиты и сертифицируют во ФСТЭК.
Самые известные примеры на российском рынке в 2026 году — это операционная система Astra Linux (базируется на Debian) и СУБД Postgres Pro. Вы покупаете не просто ядро Linux или базу данных, а продукт с подтвержденным уровнем доверия, который полностью закрывает требования регулятора.
Таблица: Open Source в реестре ФСТЭК (2026)
Продукт |
База |
Сертификат |
Цена/лицензия |
|---|---|---|---|
Astra Linux |
Debian |
Серийный, 4-й класс |
От 5000 руб./ПК |
Postgres Pro |
PostgreSQL |
Серийный, для ИСПДн |
От 100 000 руб./год |
Red OS |
RHEL |
Для КИИ |
Бесплатно базовая |
Статусы сертификатов ФСТЭК 2026: что значит каждый
Государственные реестры сертифицированных средств защиты информации публикуются в виде громоздких таблиц. Если вы решили скачать xls-файл с сайта ФСТЭК в 2026 году, то увидите документ более чем на 4500 строк.
Разобраться в этом массиве данных с первого взгляда сложно. Чтобы не купить лишнего и правильно проверить сертификат ФСТЭК по номеру, нужно понимать базовые принципы классификации регулятора и уметь читать основные столбцы таблицы.
Статусы сертификатов ФСТЭК: на что смотреть в таблице
Самый важный столбец в реестре — статус действия документа. Именно по нему инспекторы при проверке определяют, легитимен ли ваш софт. Всего в таблице встречается четыре варианта:
Действует. Продукт полностью соответствует требованиям регулятора. Можно смело закупать, внедрять и заявлять систему на аттестацию.
Переоформляется. Разработчик обновляет документы в лаборатории. Обычно это происходит при выпуске крупного обновления или добавлении поддержки новых версий операционных систем. Статус ни в чем вас не ограничивает, софт можно использовать.
Приостановлен. В продукте нашли уязвимость, и ФСТЭК дала вендору время (обычно до 90 дней) на выпуск патча. Закупать такие СЗИ, сертифицированные ФСТЭК России, для новых проектов нельзя. Но если программа уже работает в вашей инфраструктуре, удалять ее не нужно — при условии, что у вас оплачена техническая поддержка вендора.
Аннулирован. Сертификат отозван окончательно. Чаще всего это происходит, когда разработчик ушел с российского рынка или отказался исправлять критические дыры в коде. Использовать такой продукт запрещено, он приведет к провалу при аттестации объекта информатизации.
Таблица: Статусы сертификатов ФСТЭК
Статус |
Можно закупать? |
Можно использовать? |
Действия |
|---|---|---|---|
Действует |
Да |
Да |
Закупка/аттестация |
Переоформляется |
Да |
Да |
Ждать обновления |
Приостановлен |
Нет (новые проекты) |
Да (с техподдержкой) |
Патч от вендора |
Аннулирован |
Нет |
Нет |
Замена срочно |
Уровни доверия и классы защиты: переводим с чиновничьего на русский
В старых документах регулятор классифицировал программы по отсутствию недекларированных возможностей (НДВ). Сейчас для операционных систем, антивирусов и других СЗИ применяют унифицированный показатель — уровень доверия (УД). Чем меньше цифра, тем жестче проверки в испытательной лаборатории.
Всего существует шесть уровней доверия. Первые три (с 1 по 3) предназначены исключительно для защиты государственной тайны — коммерческий бизнес с ними не работает. Крупным компаниям для соблюдения 152-ФЗ и требований приказа № 21 нужны продукты с 4 по 6 уровень.
Чтобы не переплатить за избыточную защиту, сверяйтесь с простой матрицей:
Уровень доверия (УД) |
Для каких систем подходит по закону |
Примеры из российского бизнеса |
|---|---|---|
6 уровень |
ИСПДн (3 и 4 уровни защищенности), ГИС (3 класс) |
CRM-система небольшого интернет-магазина, база данных программы лояльности сети фитнес-клубов. |
5 уровень |
ИСПДн (2 уровень защищенности), ГИС (2 класс), КИИ (3 категория) |
Крупный ритейлер (базы данных покупателей), внутренний HR-портал корпорации. |
4 уровень |
ИСПДн (1 уровень защищенности), ГИС (1 класс), КИИ (1 и 2 категории) |
Биллинговые системы телеком-операторов, медицинские ИС (хранят данные о здоровье), процессинг банков. |
Важно! Для некоторых классов решений (например, межсетевых экранов — МЭ, или систем обнаружения вторжений — СОВ*) до сих пор применяется двойная маркировка. В таблице вы можете увидеть формулировку «МЭ типа Б 4 класса защиты». Класс защиты здесь указывает на пропускную способность и тип фильтрации трафика, а уровень доверия — на безопасность самого кода устройства.
Задание по безопасности в реестре ФСТЭК: что сертифицировано
В таблице ФСТЭК есть столбец «Наименование документа, на соответствие которому выдан сертификат». Обычно там указаны технические условия (ТУ) или задание по безопасности (ЗБ). На практике вендоры часто сертифицируют не весь продукт целиком, а только его базовые модули. Это делается для экономии времени на лабораторных проверках.
Таблица: Типы маркировки СЗИ
Тип СЗИ |
Маркировка в реестре |
Сертифицировано |
|---|---|---|
МЭ |
МЭ типа Б 4 класса |
Фильтрация трафика |
СОВ |
СОВ 5 ур. доверия |
Обнаружение вторжений |
NGFW |
Только МЭ (частич.) |
Не VPN/антивирус |
Например, вы покупаете дорогой отечественный NGFW (межсетевой экран нового поколения) со встроенным антивирусом и VPN. Но в реестре он проходит только как классический МЭ. Если вы включите несертифицированные функции VPN для защиты каналов связи в ИСПДн, инспектор при проверке зафиксирует нарушение.
Совет! Внимательно читайте формуляр — там четко описано, какие именно функции прошли оценку соответствия.
ПАК СЗИ ФСТЭК: почему нельзя апгрейдить железо
Часто компании закупают СЗИ не в виде дистрибутива, а как программно-аппаратный комплекс (ПАК). Это готовая «железка» со встроенным софтом, например, криптошлюз. Сертификат ФСТЭК в этом случае намертво привязан к конкретной аппаратной конфигурации, которую тестировали в лаборатории.
Если на таком сервере сгорит плашка оперативной памяти или вы решите добавить жесткий диск своими силами — сертификат моментально сгорает. Конфигурация изменилась, а значит, устройство больше не соответствует эталону. Ремонтировать и обновлять такие ПАКи можно только через официального производителя, который после работ наклеит новые защитные голограммы (знаки соответствия).
Иностранные СЗИ в реестре ФСТЭК 2026: запрет
В скачанном xls-файле до сих пор висят тысячи строк с продуктами Cisco, Fortinet, Check Point и Microsoft со статусом «Действует». Но в реалиях 2026 года легально использовать их в защищаемых контурах практически невозможно. Эти строки — скорее исторический артефакт.
Во-первых, Указ Президента РФ № 250 прямо запретил использовать средства защиты информации из недружественных стран на значимых объектах КИИ с 1 января 2025 года. Во-вторых, Приказ ФСТЭК № 55 требует обязательной техподдержки от производителя. Поскольку иностранные вендоры ушли из России, получать легитимные обновления безопасности нельзя. Вложитесь в такие решения — и бюджет можно считать потерянным. Окупаемости не будет, а вопросы останутся.
Ситуация обострилась в 2025-2026 годах. ФСТЭК не просто пассивно наблюдает, а активно «чистит» реестр: в одном из обновлений было приостановлено действие 56 сертификатов на продукты Cisco, Microsoft, Oracle, Red Hat, FortiGate, CyberArk, SUSE Linux, VMware и других иностранных разработчиков. Мало того — регулятор запустил процедуру отзыва сертификатов у IBM, Microsoft, Oracle, SAP, Vmware, ESET и Trend Micro. Главная причина — компании бросили своих российских клиентов без технической поддержки и обновлений. Формально сертификат могут приостановить, если в течение 90 дней поддержка не будет восстановлена, но в текущих реалиях это уже нереально.
Если кратко: формально строки в реестре есть, юридически использовать такие СЗИ больше нельзя, особенно на объектах КИИ. А риск для бизнеса огромен — штрафы, блокировка систем безопасности и полная неработоспособность защиты информации.
Таблица: Что будет, если оставить «старые» сертификаты
Фактор риска |
Что это значит на практике |
Последствия |
|---|---|---|
Устаревшие сигнатуры угроз |
Антивирусы и NGFW не получают обновлений. Новые вирусы и эксплойты система просто не видит. |
Заражение сетей, утечка данных, простой бизнеса. |
Незакрытые уязвимости |
Вендор нашел дыру в своем коде, но патча для российских пользователей нет. |
Злоумышленники могут легко взломать систему через известные уязвимости. |
Отсутствие техподдержки |
Сломалась интеграция с российским софтом или оборудованием? Вендор молчит. |
Инцидент ИБ можно не расследовать — поддержки все равно нет. |
Регуляторные риски |
Проверка ФСТЭК или прокуратуры. |
Предписание, крупный штраф и требование срочной замены всего оборудования. |
Совет! Ищите российские аналоги с сертификатом. На рынке уже есть зрелые решения. Например, межсетевые экраны Cisco, Fortinet, Check Point и Juniper успешно заменяют на российские аналоги, которые имеют сертификаты ФСТЭК и ФСБ.
Обновления реестра ФСТЭК: как избежать лагов
Официальный файл на сайте reestr.fstec.ru обновляется не в реальном времени. Обычно новые версии выгружают с задержкой в несколько недель. Это создает риски для бизнеса на этапе планирования архитектуры.
Типичная ситуация: ИТ-директор закладывает продукт в проект, видит в таблице статус «Действует» и согласовывает бюджет. А по факту ФСТЭК еще на прошлой неделе приостановила действие сертификата из-за найденной критической уязвимости. Правило хорошего тона у безопасников: перед оплатой счета всегда запрашивать у дистрибьютора скан-копию свежего формуляра с актуальными датами и проверять информацию напрямую у вендора.
Что делать, если срок действия сертификата ФСТЭК истек?
Самый частый сценарий в корпоративной безопасности: системный администратор открывает реестр и видит, что у корпоративного антивируса или межсетевого экрана истек срок действия сертификата. На самом деле, паниковать и сносить работающую систему нужно далеко не всегда. Правила здесь диктует Приказ ФСТЭК № 55. Ваши действия зависят от того, в каком именно статусе сейчас находится продукт и как ведет себя его разработчик.
Сценарий 1: Вендор продлевает сертификат
Представим, что дата в столбце «Срок действия» уже прошла. Но разработчик (вендор) продолжает выпускать патчи, закрывать уязвимости и оказывать техническую поддержку. В этом случае закон на вашей стороне.
Вы имеете полное право использовать это СЗИ до самого конца эксплуатации вашей информационной системы (ГИС, ИСПДн или объекта КИИ). Главное условие — у вас на руках должен быть действующий коммерческий договор на техподдержку от производителя.
Чего делать нельзя:
- Закупать новые лицензии этого продукта для масштабирования инфраструктуры.
- Ставить этот софт на новые объекты информатизации, которые только готовятся к аттестации.
Если вендор сейчас проходит лабораторные испытания для продления срока действия, в таблице будет стоять статус «Переоформляется». Просто дождитесь окончания процедуры — обычно это занимает от трех до шести месяцев, после чего в реестре появится новая дата.
Сценарий 2: Сертификат аннулирован
Худший вариант развития событий — статус документа изменился на «Аннулирован». Такое часто происходит, если регулятор находит в продукте критическую уязвимость (например, нулевого дня), а разработчик отказывается или не может выпустить обновление безопасности в установленный срок (обычно 90 дней).
Использовать аннулированные решения категорически запрещено. Если инспектор обнаружит такой софт в защищаемом контуре, аттестат соответствия системы будет немедленно отозван, а компании выпишут штраф.
Что делать сисадмину или безопаснику в такой ситуации:
- Изолировать сегмент. Временно ограничить доступ к уязвимому узлу или перенастроить правила маршрутизации, чтобы минимизировать риски взлома.
- Ввести компенсирующие меры. Например, если аннулировали сертификат на систему обнаружения вторжений (СОВ), усилить мониторинг трафика силами дежурной смены (SOC).
- Запросить бюджет на экстренную замену. Главный аргумент для бизнеса: отзыв аттестата на ГИС или банковский процессинг остановит операционную деятельность. Убытки от простоя несопоставимы со стоимостью новой лицензии из актуального перечня ФСТЭК.
Топ ошибок при закупке сертифицированных СЗИ в 2026 году
Закупка ИБ-решений кардинально отличается от оплаты подписки на обычный софт. В 2026 году системные интеграторы выделяют несколько главных промахов, которые бизнес совершает при работе с регуляторикой.
Ошибка №1: нет обновлений СЗИ ФСТЭК
Самая частая ситуация: компания покупает лицензии, но отказывается от расширенной технической поддержки вендора. ИТ-директор рассчитывает, что патчи безопасности будут скачиваться автоматически с официального сайта разработчика, как это происходит с обычными программами.
На практике сертифицированные обновления продаются как отдельная услуга. Вендор передает их на физических носителях или через выделенный защищенный канал связи. Если вы сэкономите на этом пункте, то при первой же найденной уязвимости не сможете легально обновить систему. Накатите обычный патч из интернета — софт потеряет статус доверенного, а аттестация объекта информатизации будет провалена.
Ошибка №2: покупка сертификата на «партию» вместо «серии»
Бизнес часто закупает решения «впритык». Например, компания приобретает межсетевые экраны из партии, которая была сертифицирована регулятором на строго ограниченное количество экземпляров — допустим, 50 штук.
Через полгода открывается новый филиал, ИТ-отдел докупает еще 10 устройств той же модели, но легализовать их в защищенном контуре уже нельзя. Лимит исчерпан. Чтобы не попасть в такую ловушку, перед оплатой счета всегда нужно проверить сертификат ФСТЭК по номеру. Убедитесь, что в реестре указано «серийное производство» — это позволит масштабировать инфраструктуру без бюрократических преград.
Ошибка №3: несовпадение классов защиты и уровней доверия
Поставщики софта иногда продают клиентам избыточные и дорогие решения. Например, региональному интернет-магазину для защиты базы покупателей и соблюдения 152-ФЗ вполне достаточно антивируса 6 уровня доверия. Но менеджер продает лицензии 4 уровня, которые стоят в два раза дороже и предназначены для значимых объектов КИИ (уровня инфраструктуры Т-Банка или Ростелекома).
Обратная ситуация приводит к штрафам. Если вы попытаетесь защитить государственную информационную систему (ГИС) 1 класса дешевым софтом с низким уровнем доверия, инспектор не подпишет акт ввода системы в эксплуатацию. Требования жестко прописаны в приказах № 17, № 21 и № 239 — сверяться с ними нужно до публикации тендера.
Ошибка №4: СЗИ в реестре есть, но на вашей ОС не работает
Менеджер видит DLP-систему в перечне сертифицированных средств защиты ФСТЭК и сразу оформляет закупку. При внедрении выясняется, что сертификат выдан исключительно на сборку под Windows. Версия под Linux у этого же разработчика либо вообще не проходила испытания на отсутствие НДВ, либо имеет другой уровень доверия. В итоге инфраструктура не работает, а ИТ-бюджет потрачен впустую.
Совет!| Всегда проверяйте в документации, для каких именно ОС валиден сертификат.
Ошибка №4: забыли запросить формуляр с голограммой
В корпоративном ИТ привыкли покупать софт онлайн: оплатил счет, скачал дистрибутив по ссылке, ввел лицензионный ключ. В мире государственных реестров сертифицированных средств защиты информации этот подход не работает. Огромная ошибка: купить электронную лицензию, но не запросить у поставщика физический пакет документов.
Для аудитора наличие продукта в Excel-таблице на сайте ведомства ничего не значит. У вас в сейфе должен лежать бумажный формуляр (или паспорт изделия) с уникальным номером и голографической наклейкой — знаком соответствия ФСТЭК России. Нет бумажного документа с голограммой — нет легитимного СЗИ.
Ошибка №5: SaaS не заменит СЗИ ФСТЭК
Не пытайтесь закрыть требования регулятора с помощью удобных облачных сервисов. Они подключают защиту от DDoS-атак или Cloud WAF по подписке (SaaS) и считают, что инфраструктура защищена по закону. На практике сертифицировать чистый SaaS крайне сложно из-за постоянно меняющейся кодовой базы провайдера.
Даже если вы арендуете защищенный сегмент в Яндекс Клауд (у которого есть аттестат соответствия 152-ФЗ), это не освобождает вас от ответственности. Облачный провайдер отвечает только за базовую инфраструктуру. Защищать виртуальные машины внутри своего контура, настраивать сертифицированные межсетевые экраны и антивирусы для вашей конкретной ГИС придется вам.
Ошибка №6: HA теряет сертификат
Инженеры закупают дорогие аппаратные шлюзы безопасности и собирают из них отказоустойчивый кластер (High Availability). Это логичный шаг, чтобы сеть не упала при поломке одного устройства. Ошибка кроется в том, что специалисты редко читают «Задание по безопасности».
Часто вендоры сертифицируют продукт только для работы в одиночном режиме (Standalone). Как только вы объединяете два устройства в кластер, меняется логика их работы и механизмы синхронизации. Для регулятора такой программно-аппаратный комплекс мгновенно теряет статус сертифицированного, даже если сами устройства остаются в реестре СЗИ ФСТЭК 2026 года.
FAQ: ответы на частые вопросы
Обязательно ли покупать СЗИ ФСТЭК для обычного интернет-магазина?
Нет, если вы не обрабатываете биометрию (например, отпечатки пальцев для входа) или данные о здоровье клиентов. Для стандартного e-commerce, который собирает только ФИО, телефон и адрес доставки, обычно устанавливается 3 или 4 уровень защищенности ИСПДн.
Согласно приказам регулятора, в таких случаях вы имеете право использовать обычные коммерческие антивирусы и файрволы. Главное — правильно составить модель угроз и обосновать, что этих мер достаточно. Тратить миллионы рублей на закупку сертифицированных решений вам не нужно.
Чем сертификат ФСТЭК отличается от сертификата ФСБ?
Это два разных ведомства с четким разделением зон ответственности. ФСТЭК России защищает информацию от несанкционированного доступа (НСД), утечек и скрытых программных закладок. В их ведении находятся операционные системы, антивирусы, системы обнаружения вторжений.
ФСБ занимается криптографией и шифрованием. Если вам нужно организовать защищенный VPN-канал между филиалами по алгоритмам ГОСТ или внедрить усиленную квалифицированную электронную подпись (УКЭП), вам потребуются продукты из реестра ФСБ. Например, криптопровайдер «КриптоПро CSP». Часто один сложный продукт (например, криптошлюз) имеет сразу два сертификата от обоих ведомств.
Что делать, если в перечне нет подходящего средства защиты?
В 2026 году такое случается редко. Российские вендоры (Positive Technologies, Лаборатория Касперского, Код Безопасности) уже адаптировали свои линейки под большинство корпоративных задач. Но если у вас уникальная самописная ИТ-архитектура, закон оставляет лазейку.
Вы можете провести оценку соответствия в форме испытаний или приемки. Для этого компания нанимает независимую лабораторию (лицензиата). Инженеры проверяют безопасность конкретно вашей сборки без внесения продукта в общие государственные реестры сертифицированных средств защиты информации. Процедура обойдется дорого, но это полностью легальный способ закрыть требования регулятора.
Мнение эксперта
«В 2026 году инспекторы приходят не просто сверить номера голограмм на серверах. Они проверяют реальную архитектуру: как настроены правила межсетевого экрана, не торчат ли наружу несертифицированные порты управления, и, главное, как оперативно накатываются обновления безопасности.
Мы видим четкий тренд: штрафы за утечки персональных данных и нарушения на объектах КИИ выросли кратно, а срок расследования инцидентов сократился. Бизнесу стало дешевле один раз грамотно спроектировать защищенный контур на базе отечественных СЗИ, чем каждый квартал отбиваться от предписаний Роскомнадзора и ФСТЭК или восстанавливать инфраструктуру после шифровальщиков».
Александр Апраксин
Практик с 15+ годами опыта в digital и eCommerce
Совладелец и генеральный директор digital-агентства MWI (входит в ТОП-10 Рейтинга Рунета)
Автор бестселлера «50 способов увеличения продаж интернет-магазина»
Ведущий популярного подкаста «Маркетологи»
Автор Telegram-канала «Апраксин Pro Бизнес»
Заключение
База регулятора постоянно меняется: разработчики выпускают новые версии, старые продукты теряют актуальность из-за найденных уязвимостей, а статусы в таблицах обновляются каждый месяц.
Чтобы успешно проходить проверки в 2026 году и не получать штрафы за нарушение работы КИИ или ИСПДн, бизнесу нужно выстроить системный процесс. Перед каждой закупкой обязательно открывайте свежий перечень сертифицированных средств защиты ФСТЭК, сверяйте уровни доверия с приказами регулятора и требуйте от поставщиков бумажные формуляры с голограммами. Обязательно закладывайте в ИТ-бюджет стоимость пакетов сертифицированных обновлений.
Проверять статус ваших действующих лицензий нужно минимум раз в квартал. Помните: безопасность инфраструктуры перед лицом закона держится не на факте покупки дорогой «коробки», а на легитимности сертификата и правильной эксплуатации продукта.
Запутались в приказах и не знаете, какие средства защиты купить для вашей инфраструктуры?
Не переплачивайте за избыточные лицензии и не рискуйте аттестатом. Оставьте заявку — мы проведем аудит вашей системы, составим модель угроз и подберем решения из актуального перечня сертифицированных средств защиты ФСТЭК. Мы возьмем на себя закупку, внедрение и подготовку объекта к успешной аттестации.Термины и сноски
* СЗИ (Средство защиты информации) — программы, оборудование или комплексы, которые защищают данные от утечек, изменения или блокировки (например, антивирусы, сканеры уязвимостей, DLP-системы).
* НДВ (Недекларированные возможности) — программные «закладки» или скрытые ошибки в коде, которые злоумышленник может использовать для взлома. В лабораториях софт проверяют именно на их отсутствие.
* Уровень доверия (УД) — показатель надежности СЗИ, сертифицированных ФСТЭК России. Чем меньше цифра (от 6 до 1), тем более строгие проверки проходил продукт.
* КИИ (Критическая информационная инфраструктура) — ИТ-системы и сети стратегически важных предприятий: банков, больниц, заводов, телеком-операторов.
* ИСПДн (Информационная система персональных данных) — любая база данных или корпоративная программа, где компания собирает, хранит и обрабатывает информацию о физических лицах по правилам 152-ФЗ.
* ГИС (Государственная информационная система) — ИТ-инфраструктура, созданная по заказу региональных или федеральных ведомств. Например, региональные порталы медуслуг или системы документооборота мэрии.
* МЭ (Межсетевой экран / Файрвол) — устройство или программа, которая контролирует входящий и исходящий сетевой трафик, блокируя подозрительные подключения.
* СОВ (Система обнаружения вторжений) — программно-аппаратный комплекс, который глубоко анализирует пакеты данных в сети и предупреждает администраторов о попытках хакерских атак.
