Что меняется с 2 мая 2026 года

Как ИТ‑компания‑интегратор, мы проанализировали новые требования и готовы помочь вам адаптироваться к ним. Вот основные изменения, которые затронут все проекты с использованием сертифицированных СЗИ:

1. Прозрачность состава продукта

Теперь недостаточно подтвердить только функциональность СЗИ. Разработчики обязаны:

• раскрывать полный состав продукта — включая собственный код и заимствованные элементы;

• предоставлять перечень программных компонентов с открытым исходным кодом (open source) и образов контейнеров — эти документы стали обязательной частью сертификационного досье.

2. Контрольные суммы исполняемых файлов

В формуляр или паспорт СЗИ нужно вносить контрольные суммы для однозначной идентификации образца, прошедшего испытания. Это позволит отследить любые последующие изменения.

3. Оперативное уведомление об изменениях

Если разработчик вносит правки в перечень open source‑компонентов, он обязан в течение 5 календарных дней сообщить об этом в ФСТЭК и предоставить обновлённый перечень.

4. Жёсткие сроки согласования

Программа и методика испытаний должна включать план проверки заимствованных компонентов. Сроки рассмотрения:

• орган по сертификации рассматривает документы в течение 10 календарных дней;

• общий цикл с учётом доработок не должен превышать 30 дней.

5. Гибридный формат подачи документов

Требования к оформлению:

• технические условия, задание по безопасности и формуляр — на бумаге и в электронном виде;

• протоколы испытаний, перечни open source и контейнеров — только в электронном виде (при этом электронные копии должны полностью соответствовать бумажным оригиналам).

Как это повлияет на ваши проекты

Новые требования могут привести к:

• увеличению сроков сертификации — если лаборатория найдёт недостатки в перечнях компонентов, заявителю придётся дорабатывать документы;

• риску срыва сроков внедрения — несертифицированные СЗИ не могут использоваться в госсекторе и сфере КИИ;

• дополнительным затратам на актуализацию документации при любых изменениях в составе ПО;

• необходимости пересмотра контрактов с вендорами — убедитесь, что ваши поставщики СЗИ готовы соответствовать новым требованиям.

Наша поддержка: как мы поможем минимизировать риски

Как ваш надёжный интегратор, мы предлагаем следующие решения для плавного перехода на новые правила:

• аудит текущих решений — проверим, соответствуют ли используемые вами СЗИ новым требованиям;

• консультации по выбору сертифицированных решений — поможем подобрать продукты, уже адаптированные под новые правила;

• помощь в подготовке документации — возьмём на себя формирование перечней open source, SBOM (Software Bill of Materials) и других обязательных документов;

• внедрение инструментов автоматизации — настроим системы для отслеживания изменений в составе ПО и генерации актуальных перечней;

• сопровождение процесса сертификации — поможем пройти все этапы с минимальными задержками.

Особое внимание рекомендуем уделить SBOM (Software Bill of Materials — «ведомость материалов ПО»). Этот структурированный список компонентов:

• помогает выявлять уязвимости;

• упрощает управление рисками безопасности;

• обеспечивает контроль лицензионной чистоты кода.

Компании, которые уже используют SBOM, окажутся в более выигрышном положении при прохождении сертификации.

Вывод

ФСТЭК движется к модели, где безопасность определяется не только функционалом системы, но и её внутренним устройством. Прозрачность состава и управляемость изменений становятся обязательными атрибутами сертифицированного ПО.

Что делать прямо сейчас:

1. Проведите инвентаризацию используемых СЗИ и проверьте их текущий статус сертификации.

2. Свяжитесь с нами для получения персональной консультации — мы поможем выстроить процессы так, чтобы изменения не повлияли на сроки и бюджет ваших проектов.

Мы готовы сопровождать вас на каждом этапе — от аудита до успешной сертификации решений. Наша цель — обеспечить бесперебойность ваших бизнес‑процессов в условиях новых регуляторных требований.