Пресс-релизы //

ГИГАНТ - Компьютерные системы: аттестация ГИС и объектов КИИ в 2026 году

Алексей Колодка, директор по работе с государственными заказчиками компании «ГИГАНТ - Компьютерные системы» рассказал о главных изменениях в аттестации ГИС и объектов КИИ в 2026 году, об особенностях для систем на open source, а также затронул неочевидные риски: утерянные данные об open source в старых системах, кадровые требования, интеграцию сертифицированных СЗИ с открытой архитектурой и зону неопределённости с ИИ.

Что конкретно в 2026 году станет главной «головной болью» для владельцев ГИС и объектов КИИ по сравнению с предыдущими годами?
Главной «головной болью» для владельцев ГИС и объектов КИИ в 2026 году станет вступление в силу приказа ФСТЭК России №117 от 11.04.2025 и изменение регуляторной логики контроля. С 1 марта 2026 года неисполнение требований приказа будет влечь оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.
Существенное изменение касается не только самих ГИС, но и иных информационных систем государственных органов, включая ФАИВ и РАИВ. Регулирование становится шире по охвату, а требования - более комплексными. При этом исчезает привычная модель контроля через фиксированный перечень мер защиты. Вместо нее вводятся показатели защищенности и показатели уровня зрелости процессов обеспечения безопасности. Показатели защищенности подлежат оценке не реже одного раза в полгода, а показатели зрелости - не реже одного раза в два года. Это означает переход от формального подтверждения наличия мер к оценке устойчивости и управляемости всей системы обеспечения защиты информации.
Отдельный акцент приказ делает на применении сертифицированных средств защиты информации. Формально требование использовать сертифицированные СЗИ сохраняется, однако теперь оно рассматривается в более широком контексте политики технологического суверенитета и импортозамещения. В документе учитываются ограничения, связанные с запретами, установленными пунктом 6 указа Президента Российской Федерации от 01.05.2022 №250, что требует дополнительной проверки применяемых решений на соответствие этим ограничениям.
Важным практическим вопросом становится статус действующих аттестатов соответствия. Аттестаты, выданные до 01.03.2026, сохраняют свою силу до окончания срока их действия. Однако системы, вводимые в эксплуатацию после этой даты либо проходящие повторную процедуру оценки, должны аттестовываться уже по новым правилам с привлечением лицензированных организаций ФСТЭК России. Это создает дополнительную нагрузку на рынок и требует более раннего планирования работ.
Таким образом, в 2026 году основным вызовом станет не отдельная техническая мера, а совокупность факторов: усиление ответственности, переход к показателям вместо перечня мер, акцент на зрелости процессов и обязательное соблюдение ограничений в части используемых решений. Именно изменение самой модели регулирования станет для владельцев ГИС и объектов КИИ ключевым источником сложностей по сравнению с предыдущими годами.

Какие особенности аттестации систем, которая уже построена на полностью отечественном оборудовании, но использует open source? Есть ли особенности в этой процедуре с учётом реальной практики ФСТЭК?
Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Весь используемый open source должен быть детально описан в составе аттестационных материалов: необходимо указать точные версии, источники получения, условия лицензирования и характер встраивания в систему. Для регулятора принципиально важно понимать, какие именно компоненты используются, откуда они получены и в каком виде эксплуатируются. Отсутствие такой детализации воспринимается как недостаток управляемости.
Отдельно требуется анализ потенциальной поверхности атаки, связанной с применением open source. Заказчик, инициирующий аттестацию, обязан формализованно описать возможные векторы внешнего воздействия, оценить риски эксплуатации уязвимостей и обосновать принятые меры защиты. Эти сведения отражаются в модели угроз и сопутствующей документации по обеспечению безопасности.
Также необходимо документально подтвердить реализацию функций безопасности в архитектуре системы - фактически показать, каким образом обеспечивается выполнение требований по защите информации с учетом использования сторонних компонентов. В ряде случаев формируется отдельный перечень ссылок на исходные коды и используемые версии open source, чтобы обеспечить прослеживаемость и воспроизводимость конфигурации.
Дополнительно с 2025 года усиливаются требования к учету всех программных компонентов, входящих в состав системы. Организация должна вести актуальный перечень используемого программного обеспечения, включая open source, с указанием версий и статуса сопровождения. В реальной практике ФСТЭК проверяется не только наличие такого перечня, но и его актуальность, а также связка с процессом управления уязвимостями.

Как выстраивать план подготовки к аттестации в 2026 году, чтобы закрыть вопросы по управлению уязвимостями разношерстного парка оборудования, когда вендоры не всегда успевают выпускать патчи?
При подготовке к аттестации в 2026 году ключевым является не столько факт наличия отдельных неустраненных уязвимостей, сколько наличие системно выстроенного процесса управления ими в соответствии с требованиями приказа №117. Процедура оценки включает анализ исходного кода, применение инструментов статического и динамического анализа, проведение тестирования на проникновение и экспертную оценку уязвимостей - это стандартный комплекс работ при подтверждении соответствия.
В ситуации, когда парк оборудования и программных компонентов разнороден, а вендоры не всегда оперативно выпускают патчи, критично продемонстрировать регулятору управляемость процесса. Если производитель не выпустил обновление, само по себе это не является автоматическим нарушением. Значение имеет наличие формализованной программы управления уязвимостями: регулярный мониторинг информации о новых уязвимостях, классификация по степени критичности, фиксация решений о применении компенсирующих мер, документирование сроков устранения и контроль их соблюдения.
ФСТЭК России оценивает не только техническое состояние системы в конкретный момент времени, но и зрелость процессов. В рамках проверок, как правило, предоставляется время на устранение выявленных несоответствий, если организация демонстрирует системный подход и реальную работу по снижению рисков. Поэтому план подготовки к аттестации должен включать актуализацию регламентов управления уязвимостями, инвентаризацию активов, настройку инструментов сканирования, формирование приоритетов устранения и внедрение компенсирующих мер там, где обновление временно невозможно.
Иными словами, при разношерстном парке оборудования акцент необходимо делать на прозрачности процессов и документированной управляемости рисков. Если организация уже выстроила подобную модель работы, ее целесообразно сохранить и адаптировать под требования приказа №117, не меняя принципиально подход, а усилив дисциплину исполнения и контроль сроков.

Бюджеты на безопасность в 2026 году у многих остались на уровне прошлого года или урезаны. Какие организационно-технические мероприятия позволяют пройти аттестацию ГИС/КИИ без дополнительных затрат на сторонних экспертов?
В части аттестации ГИС и объектов КИИ стоит учитывать, что ФСТЭК России в 2024-2025 годах проводила системную работу с государственными организациями по приведению информационных систем в соответствие требованиям приказа №117. В результате значительная часть ГИС и объектов КИИ уже прошла необходимые процедуры оценки соответствия, а выданные аттестаты продолжают действовать.

Контактное лицо: ГИГАНТ
Компания: ГИГАНТ
Добавлен: 23:48, 08.05.2026 Количество просмотров: 243
Страна: Россия

На конференции «Нулевой клик» представят SGO — новый стандарт продвижения в эпоху ИИ-поиска, Корпорация "Интеллектуальные фракталы", 23:14, 10.06.2026, Россия111

Когда ответ на запрос дают ChatGPT, Perplexity или Яндекс GPT, а не поисковые системы — кто решает, чей бренд прозвучит в этом ответе?

«Нетрика Медицина» и eMed Support Systems подписали меморандум о развитии цифрового здравоохранения на Ближнем Востоке, Нетрика, 23:14, 10.06.2026, Россия102

Компании «Нетрика Медицина» (входит в N3.Group и ГК «Ташир МЕДИКА») и eMed Support Systems FZ-LLC заключили меморандум о стратегическом сотрудничестве. Документ подписан 3 июня на Петербургском международном экономическом форуме (ПМЭФ-2026).

МегаФон и банк ДОМ.РФ договорились о цифровом взаимодействии, МегаФон и ДОМ.РФ, 23:10, 10.06.2026, Россия104

Банк ДОМ.РФ и МегаФон на ПМЭФ-2026 подписали соглашение о партнерстве в области реализации цифровых решений. Сотрудничество предусматривает взаимодействие в сфере повышения защиты клиентов от мошенничества, кибербезопасности, внедрения программного обеспечения для хранения данных.

DataSpace Cloud реализовал вируальную комнату данных (VDR) для ITBreeze с целью защищённого обмена инженерной документацией, DataSpace, 23:09, 10.06.2026, Россия97
Облачный провайдер DataSpace реализовал проект по внедрению виртуальной комнаты данных (VDR) для инженерной компании ООО «АйТиБриз».

МегаФон поможет цифровизации нового туристического кластера на Байкале, МегаФон, 23:08, 10.06.2026, Россия106

МегаФон примет участие в развитии цифровой инфраструктуры туристических территорий, создаваемых в рамках федерального проекта «Пять морей и озеро Байкал».

Robort от 3Logic Group поставил РТУ МИРЭА гуманоидов и робособак, Robort от 3Logic Group, 23:05, 10.06.2026, Россия106
Robort от 3Logic Group расширил лабораторную базу РТУ МИРЭА, внедрив гуманоидных и четвероногих роботов для обучения и исследований в сфере ИИ и телеуправления.

«КОРУС Консалтинг» и OSMI IT разработали конструктор ИИ-агентов для «Авандок.ИИ», OSMI IT, 23:03, 10.06.2026, Россия104

Инструмент позволяет создавать ИИ-сценарии и рабочие процессы через визуальный интерфейс. Разработанные агенты доступны в модулях «Авандок.ИИ Чат» и «ИИ-Ассистент Про».

Серверы Crusader внедрены в инфраструктуру Дальневосточного федерального университета, 3Logic Group, 23:03, 10.06.2026, Россия104

Компания 3Logic Group, дистрибьютор комплектующих и ИТ-решений, завершила поставку серверного оборудования Crusader для Дальневосточного федерального университета — одного из крупнейших вузов Дальнего Востока России и ключевого научно-образовательного центра Азиатско-Тихоокеанского региона.

Группа «Борлас» (включая компанию BeringPro) вошла в топ лидеров цифровой трансформации промышленности России, Группа "Борлас", 23:03, 10.06.2026, Россия101

Группа «Борлас» (ГК Softline) подтвердила статус одного из ключевых игроков рынка промышленной цифровизации, заняв ведущие позиции в рейтинге «Лидеры информационных технологий для промышленности – 2026».

Вадим Юн на ПМЭФ-2026 предложил расширить меры поддержки российского ПО для робототехники[, Крайон, 22:53, 10.06.2026, Россия97

Генеральный директор компании Крайон Вадим Юн выступил на дискуссионной сессии «Государственная поддержка роботизированных решений в российской экономике: стимулы и перспективы импортозамещения», состоявшейся в рамках Петербургского международного экономического форума.

Глава Тюмени наградил юного изобретателя, Альянс СОНКО, 22:50, 10.06.2026, Россия108
3 июня 2026 года в филиале МАУК «ЦГБС» «Индустриальный парк «Литера» Герцену Георгию Николаевичу вручена Признательность от главы города Тюмени

Blitz Identity Provider и корпоративный мессенджер «Пачка» подтвердили совместимость SSO, Blitz Identity Provider, Пачка, 22:49, 10.06.2026, Россия46

Сервер аутентификации Blitz Identity Provider и российский корпоративный мессенджер «Пачка» успешно прошли проверку совместимости SSO.

Представители частной медицины обсудили ключевые аспекты цифровизации отрасли на XXII Форуме частных медицинских организаций регионов России в Санкт-Петербурге, ЭлНетМед, 22:06, 03.06.2026, Россия673

27-28 мая 2026 года в Санкт‑Петербурге состоялся XXII Форум частных медицинских организаций регионов России, организованный Ассоциацией независимых экспертов «Частное здравоохранение» совместно с компанией «ЭлНетМед», разработчиком интеграционной платформы N3.Health.

SpaceVM позволяет развернуть отказоустойчивый кластер виртуализации за 15 минут, ДАКОМ М, 22:05, 03.06.2026, Россия683

Платформа виртуализации SpaceVM позволяет создать полноценный отказоустойчивый кластер за 15 минут. За это время администратор может подключить серверы, организовать общее хранилище данных и подготовить инфраструктуру к запуску виртуальных машин.

Axenix: крупный бизнес в России меняет подход к ERP, Axenix, 22:05, 03.06.2026, Россия665

Крупный бизнес больше не рассматривает замену зарубежных ERP-систем как формальную ИТ-задачу. Компании реального сектора связывают такие проекты с устойчивостью операционной модели, управляемостью данных и снижением зависимости от зарубежной ИТ-инфраструктуры.