Об изменениях в Порядке аттестации объектов информатизации
Официально опубликован приказ ФСТЭК России от 17.02.2026 № 60 «О внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29.04.2021 № 77 „Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну“». Ключевая новация − введение периодического контроля уровня защищенности информации на аттестованных объектах (включая анализ уязвимостей и тестирование на проникновение) с представлением его результатов во ФСТЭК России.
Приказ уже принят, но вступает в силу с 1 сентября 2026 года − поэтому речь идет о будущих обязательных требованиях с отложенным сроком применения.
1. Расширение сферы применения Порядка (п. 3). Ранее Порядок распространялся только на аттестацию объектов информатизации; в новой редакции он охватывает также проведение периодического контроля уровня защиты информации (далее — периодический контроль). Состав самих объектов при этом не изменился. Порядок распространяется на аттестацию и периодический контроль следующих объектов информатизации:
- государственных и муниципальных ИС, в том числе государственных и муниципальных ИСПДн;
- ИС управления производством, используемых организациями оборонно-промышленного комплекса (далее — ОПК), в том числе автоматизированных систем станков с числовым программным управлением;
- помещений, предназначенных для ведения конфиденциальных переговоров.
Порядок применяется также для аттестации объектов, для которых их владельцами установлено требование об оценке соответствия систем защиты информации требованиям по защите информации в форме аттестации:
- ИС государственных органов, государственных унитарных предприятий (далее − ГУП) и государственных учреждений (за исключением ГИС);
- ИСПДн (за исключением государственных и муниципальных ИСПДн);
- АСУ производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
2. Периодический контроль уровня защищенности (п. 6, 7, новые п. 31¹, 31²). Контроль уровня защищенности информации на аттестованном объекте проводится методами анализа уязвимостей и тестирования на проникновение. По результатам оформляется отчет (протокол) с установленным составом сведений:
- наименование и назначение объекта;
- класс защищенности/категория значимости;
- порядок и результаты анализа уязвимостей и тестирования на проникновение.
Отчет подписывается проводившими контроль специалистами и утверждается руководителем подразделения органа по аттестации либо работниками органа власти.
3. Тестирование на проникновение (новый п. 16¹). Тестирование на проникновение проводится в отношении ГИС, иных ИС государственных органов, ГУП, госучреждений 1 и 2 классов защищенности, имеющих подключение к сети «Интернет» и (или) взаимодействующих с иными ИС, в том числе с ИС подрядных организаций (за исключением случаев, когда такое взаимодействие реализовано с использованием сети шифрованной связи или виртуальных частных сетей с применением сертифицированных шифровальных средств).
4. Аттестация инфраструктуры и включение сегментов (новые п. 16², 16³). Если объект создается на базе информационно-телекоммуникационной инфраструктуры в соответствии с
Постановлением Правительства РФ от 01.07.2024 № 900 «О порядке учета ИТ-активов, используемых для осуществления деятельности по цифровой трансформации системы государственного (муниципального) управления» (вместе с «Положением об учете ИТ-активов, используемых для осуществления деятельности по цифровой трансформации системы государственного (муниципального) управления») (далее — ПП РФ № 900), такая инфраструктура аттестуется по классу защищенности не ниже класса защищенности объекта. В состав аттестованного объекта допускается включать сегменты, аналогичные по составу программных и программно-аппаратных средств и их конфигураций сегментам аттестованного объекта. По результатам аттестационных испытаний принимается решение о включении сегментов в состав аттестованной ИС либо о невозможности их включения в неё.
5. Бессрочный аттестат и поддержка безопасности (новая редакция п. 31). Аттестат соответствия, как и прежде, выдаётся на весь срок эксплуатации объекта информатизации. Новым является закреплённое в этой же редакции требование к владельцу поддерживать безопасность объекта в течение всего срока эксплуатации, в том числе проводить − самостоятельно или с привлечением лицензиата ФСТЭК России − периодический контроль уровня защищённости, результаты которого оформляются отчётом (протоколами) и включаются в технический паспорт объекта. Обратите внимание: в новой редакции прямо закреплено, что владелец вправе проводить такой контроль самостоятельно либо с привлечением организации, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации − при условии, что лицензия даёт право на проведение работ и оказание услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также по контролю защищённости конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации. Результаты контроля оформляются отчётом (протоколами) и включаются в технический паспорт на объект информатизации.
6. Периодичность контроля и отчетность во ФСТЭК России (новая редакция п. 32). Ранее владелец аттестованного объекта представлял во ФСТЭК России протоколы контроля уровня защиты информации не реже одного раза в 2 года; конкретный срок направления документов установлен не был. Теперь отчёт (протокол) по результатам контроля представляется не реже одного раза в 3 года − то есть периодичность увеличена, − при этом введён жёсткий срок направления: в течение 5 рабочих дней с даты завершения контроля во ФСТЭК России (территориальный орган). Основание для приостановления действия аттестата сохранилось: непредставление отчёта (протокола) по результатам контроля.
7. Дополнительные испытания при модернизации (новая редакция п. 33, новые п. 33¹-33³). Как и прежде, при развитии (модернизации) объекта, затрагивающем архитектуру или структуру системы защиты информации (изменение видов и типов программных, программно-технических средств и средств защиты информации, состава и мест расположения компонентов, исключение средств либо их замена на аналогичные), проводятся дополнительные аттестационные испытания, а действие аттестата соответствия не прекращается. Новым является то, что теперь прямо определены методы таких испытаний − функциональное тестирование и анализ уязвимостей − и их применение только к изменённым компонентам объекта, а также установлен обязательный состав сведений отчёта (протокола) по их результатам с порядком его подписания и утверждения. Отдельно закреплено: при модернизации, приводящей к повышению класса защищённости (уровня защищённости, категории значимости), проводится повторная аттестация.
8. Приостановление и прекращение действия аттестата (новые редакции п. 34, 38, 40). Основанием для приостановления действия аттестата становится непредставление отчетов по результатам контроля уровня защищенности (п. 32). Уточнены условия возобновления действия аттестата:
- устранение несоответствий и представление подтверждающих материалов;
- представление отчета по контролю;
- непредставление в установленный срок материалов об устранении недостатков или отчета;
9. Актуализация ссылок и состава комиссии (пп. 1, 4, 7). Актуализированы и конкретизированы ссылки на:
- действующий приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, ГУП, государственных учреждений» (далее − приказ ФСТЭК России № 117);
- подпункт «г» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (далее — ПП РФ № 79).
Кроме того, изменён порядок формирования аттестационной комиссии: ранее орган по аттестации назначал её только для проведения аттестационных испытаний, теперь — также и для проведения периодического контроля на аттестованных объектах информатизации. Состав комиссии сохранён прежним: руководитель комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.