ГИГАНТ Компьютерные системы: аттестация ГИС и КИИ по новым правилам 2026 года

Венера Сальманова 14 апреля, 8:56

С 1 марта 2026 года вступил в силу Приказ ФСТЭК России от 11.04.2025 №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Документ полностью заменяет действовавший более десяти лет Приказ №17 и знаменует фундаментальную смену парадигмы регулирования.

Раньше требования касались только государственных информационных систем (ГИС) в узком смысле. Теперь область применения расширена до всех информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений, а также муниципальных информационных систем. Под действие попадают тысячи организаций, которые ранее могли не задумываться о требованиях ФСТЭК.

Кибер Медиа вместе с экспертами рынка разобрали новый порядок регулирования и сформировали рекомендации для компаний, как перестроиться, чтобы избежать штрафов.

Алексей Колодка, Директор по работе с государственными заказчиками компании «ГИГАНТ Компьютерные системы»
Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Дополнительный риск связан с качеством сопровождения open source. За время эксплуатации подрядчики могли меняться, поддержка отдельных компонентов могла прекращаться, а требования к надежности и безопасности ГИС объективно остаются высокими. Отсутствие устойчивой модели сопровождения и обновления становится операционным риском, особенно в условиях повышенного внимания регулятора к уязвимостям и управлению жизненным циклом компонентов.

Алексей Колодка, Директор по работе с государственными заказчиками компании «ГИГАНТ Компьютерные системы»
С 1 марта 2026 года неисполнение требований приказа влечет оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.

 

Самая затратная часть — средства защиты информации, причём все они должны иметь действующие сертификаты ФСТЭК, а их класс обязан строго соответствовать классу аттестуемой системы. Для небольшой организации это могут быть сотни тысяч рублей, для крупной распределённой структуры — десятки миллионов.

Помимо закупки оборудования, потратиться нужно будет и на внедрение с пусконаладкой: правильную настройку, интеграцию с существующей инфраструктурой, обучение персонала. Стоимость этих работ зависит от сложности инфраструктуры и обычно составляет существенный процент от стоимости СЗИ.

Сама аттестация проводится лицензированными организациями и включает анализ документации, инструментальный контроль, а для ГИС первых двух классов — обязательное тестирование на проникновение. На рынке цены варьируются от трёхсот тысяч для небольших систем до нескольких миллионов для крупных распределённых объектов.

Что касается сроков, реалистичный горизонт для организации, начинающей с нуля — от 6 до 18 месяцев. Классификация и моделирование угроз займут около месяца, закупка СЗИ может растянуться на квартал из-за бюджетных процедур, внедрение — ещё полгода, если инфраструктура сложная. Аттестационные испытания длятся один-три месяца. Если же в организации уже есть выстроенная система ИБ и сертифицированные средства, сроки могут сократиться до трёх-шести месяцев.

Важно помнить о скрытых затратах. После получения аттестата требуется ежегодное продление лицензий на СЗИ, регулярный расчёт показателей защищённости и отчётность во ФСТЭК. Если своих компетенций для этого недостаточно, придётся привлекать внешних аудиторов на постоянной основе.

Главный совет для руководителя: закладывать на 2026 год бюджет, исходя из масштаба инфраструктуры, и не откладывать начало работ. Чем раньше пройдёт аудит текущего состояния, тем больше времени останется на устранение неизбежных несоответствий. И помните: новые требования превращают аттестацию из разового события в режим постоянного соответствия.

Источник: https://securitymedia.org/info/attestatsiya-gis-i-kii-po-novym-pravilam-2026-polnyy-razbor-prikaza-fstek-117.html?sphrase_id=2105

Источник: securitymedia.org (https://securitymedia.org/info/attestatsiya-gis-i-kii-po-novym-pravilam-2026-polnyy-razbor-prikaza-fstek-117.html?sphrase_id=2105)