текущий максимальный штраф за нарушение требований безопасности КИИ
дата запрета иностранных средств защиты информации для КИИ (Указ №250)
расширение обязательных требований на ФГУПы и организации с ГИС (октябрь 2025)
Ключевые выводы
- Ни один субъект КИИ не достиг полного соответствия требованиям ФСТЭК. Регулятор констатировал это в начале 2026 года. Причины: нехватка сертифицированных российских средств защиты, длительные циклы внедрения и отсутствие квалифицированных кадров на местах.
- С 01.01.2026 запрещены иностранные средства защиты информации для КИИ (Указ Президента №250). Организации, продолжающие использовать зарубежные межсетевые экраны, антивирусы и SIEM-системы, находятся в зоне прямого регуляторного риска.
- Приказ ФСТЭК №177 (октябрь 2025) расширил охват — под обязательные требования попали ФГУПы и организации, эксплуатирующие государственные информационные системы (ГИС). Ранее требования касались только значимых объектов КИИ.
- ФЗ-187 обязывает субъектов КИИ использовать ПО из единого реестра — для критически важных процессов допускается только сертифицированное российское программное обеспечение.
- Штрафы готовятся к пересмотру: текущий максимум 500 тыс. ₽ не мотивирует крупный бизнес. Минцифры и ФСТЭК обсуждают оборотные штрафы по аналогии с законом о персональных данных.
Контекст: зачем бизнесу разбираться в требованиях ФСТЭК
ФСТЭК требования 2026 года — это не абстрактная регуляторика. Для CTO и руководителей IT-подразделений это конкретный перечень действий, невыполнение которых влечёт штрафы, приостановку деятельности и личную ответственность. Проблема в том, что требования рассредоточены по нескольким нормативным актам: ФЗ-187, Указ №250, приказы ФСТЭК №239, №235 и свежий №177. Собрать их в единую картину — задача нетривиальная даже для штатного специалиста по информационной безопасности.
Этот обзор структурирует обязательные требования по приоритету: от того, что нужно сделать немедленно, до того, что можно планировать на горизонте 12–18 месяцев.
Субъекты КИИ — это не только банки и оборонка. С 2025 года под действие ФЗ-187 попадают: телеком, транспорт, энергетика, здравоохранение, наука, промышленность, ракетно-космическая отрасль и — после приказа №177 — все организации с ГИС. Если ваша компания обрабатывает данные в государственной информационной системе, вы — субъект КИИ.
Что именно обязательно: три уровня требований
Уровень 1. Немедленные обязательства (срок — уже наступил)
Требования, которые должны быть выполнены к моменту публикации этого обзора:
| Требование | Нормативный акт | Срок | Санкция |
|---|---|---|---|
| Замена иностранных СЗИ на сертифицированные российские | Указ №250 | 01.01.2026 | Штраф до 500 тыс. ₽, предписание ФСТЭК |
| Категорирование объектов КИИ | ФЗ-187, ПП №127 | Бессрочно (обязанность с 2018) | Штраф до 300 тыс. ₽ |
| Использование ПО из единого реестра для КИИ | ФЗ-187 | С момента категорирования | Предписание ФСТЭК |
| Назначение ответственного за безопасность КИИ | Приказ ФСТЭК №235 | Бессрочно | Предписание |
Критический момент: запрет иностранных средств защиты информации с 01.01.2026 — наиболее болезненное требование. Замена Cisco ASA, Fortinet, Palo Alto, CrowdStrike на российские аналоги (PT NGFW, Kaspersky KUMA, InfoWatch ARMA) требует не только закупки, но и перестройки архитектуры сетевой безопасности. По оценкам участников рынка, полный цикл замены занимает 6–12 месяцев.
Уровень 2. Расширенные обязательства (приказ №177, с октября 2025)
Приказ ФСТЭК №177, вступивший в силу в октябре 2025 года, распространил обязательные меры защиты на новые категории организаций:
- ФГУПы — федеральные государственные унитарные предприятия, ранее не подпадавшие под жёсткие требования
- Организации-операторы ГИС — любые компании, эксплуатирующие государственные информационные системы (включая региональные)
- Подрядчики субъектов КИИ — компании, имеющие удалённый доступ к инфраструктуре субъектов КИИ
Для этих организаций обязательны: аттестация информационных систем по классу защищённости, внедрение средств обнаружения вторжений (IDS/IPS) и регулярное тестирование на проникновение (не реже 1 раза в год).
Уровень 3. Перспективные требования (2026–2027)
Регулятор анонсировал ужесточение:
- Оборотные штрафы. По аналогии с ФЗ-152 (персональные данные) планируется введение штрафов в процентах от оборота за инциденты на объектах КИИ. Законопроект в стадии обсуждения.
- Обязательное подключение к ГосСОПКА. Все субъекты КИИ обязаны передавать данные об инцидентах в государственную систему обнаружения атак. Сейчас подключены менее 30% субъектов.
- Персональная ответственность руководителей. Указ №250 уже предусматривает назначение заместителя руководителя, ответственного за ИБ. Расширение ответственности до уголовной — в дискуссии.
Практический чек-лист: что проверить в первую очередь
Для CTO и руководителей IT-подразделений — минимальный набор действий для снижения регуляторного риска:
| Действие | Приоритет | Срок реализации | Ответственный |
|---|---|---|---|
| Провести инвентаризацию иностранных СЗИ | Критический | 1–2 недели | CISO / IT-директор |
| Составить план замены на сертифицированные аналоги | Критический | 1 месяц | CISO + закупки |
| Проверить категорирование объектов КИИ | Высокий | 2–4 недели | Юрист + CISO |
| Назначить ответственного за ИБ (зам. руководителя) | Высокий | 1 неделя | Генеральный директор |
| Провести аудит ПО на соответствие реестру | Средний | 2–4 недели | IT-отдел |
| Подключиться к ГосСОПКА | Средний | 2–3 месяца | CISO + интегратор |
| Провести тестирование на проникновение | Средний | 1–2 месяца | Внешний подрядчик |
Многие компании считают, что категорирование КИИ — разовая процедура. В действительности при изменении инфраструктуры (миграция в облако, смена ERP, подключение новых подрядчиков) категорирование необходимо пересмотреть. Невыполнение этого требования — частое основание для предписаний ФСТЭК.
Импортозамещение СЗИ: реальные альтернативы
Рынок российских средств защиты информации к 2026 году вырос до 350+ млрд ₽ (оценка TAdviser). Основные замены для бизнеса:
| Класс решения | Иностранный продукт | Российский аналог | Зрелость (1–5) |
|---|---|---|---|
| NGFW / межсетевой экран | Cisco ASA, Fortinet, Palo Alto | PT NGFW, UserGate, Ideco | 4 |
| SIEM | Splunk, IBM QRadar | Kaspersky KUMA, MaxPatrol SIEM | 4 |
| Антивирус / EDR | CrowdStrike, Symantec | Kaspersky EDR, Dr.Web | 5 |
| WAF | Cloudflare, Imperva | PT Application Firewall, Wallarm | 4 |
| DLP | Forcepoint, Digital Guardian | InfoWatch, Гарда (СёрчИнформ) | 4 |
| PAM / управление доступом | CyberArk, BeyondTrust | Indeed PAM, Avanpost | 3 |
Зрелость российских NGFW — главная проблема. Positive Technologies выпустила PT NGFW только в 2024 году, и продукт ещё не достиг функционального паритета с Palo Alto и Fortinet. UserGate — наиболее зрелый, но ограничен по производительности в крупных сетях. Для организаций с высокой нагрузкой переход потребует изменения сетевой архитектуры.
Бюджетные последствия
Затраты на выполнение требований для среднего субъекта КИИ (500–1000 рабочих станций):
- Замена СЗИ: 15–40 млн ₽ (зависит от класса решений и числа компонентов)
- Аттестация ИС: 2–5 млн ₽ (за одну систему)
- Подключение к ГосСОПКА: 1–3 млн ₽ (включая интеграцию с SIEM)
- Пентест: 500 тыс. — 2 млн ₽ (за одну итерацию)
- Найм или аутсорсинг CISO: 300–600 тыс. ₽/мес. (штатный) или 150–300 тыс. ₽/мес. (аутсорсинг)
Совокупные затраты на приведение в соответствие для среднего предприятия — 20–50 млн ₽ в первый год. При этом штраф за нарушение — до 500 тыс. ₽. Экономический разрыв между стоимостью соблюдения и стоимостью штрафа — основная причина, по которой 0% субъектов достигли полного соответствия. Введение оборотных штрафов изменит этот баланс.
Интерпретация
Регуляторная среда ФСТЭК в 2026 году находится в переходном состоянии: требования ужесточены, охват расширен, но механизм принуждения отстаёт. Текущие штрафы (до 500 тыс. ₽) не мотивируют крупный бизнес, а рынок сертифицированных российских решений не покрывает все потребности.
- Для CTO: начинать замену иностранных СЗИ необходимо сейчас — не из-за штрафов, а из-за рисков отзыва лицензий и обновлений иностранных вендоров, которые уже не поддерживают российских клиентов.
- Для CISO: приказ №177 создаёт новые зоны ответственности. Если ваша организация оперирует ГИС — подготовьте план аттестации до конца 2026 года.
- Для финансовых директоров: закладывайте 20–50 млн ₽ на соответствие требованиям в бюджет 2026–2027. Оборотные штрафы сделают экономику несоблюдения невыгодной.
Рекомендации
- Провести GAP-анализ. Сопоставить текущее состояние ИБ-инфраструктуры с требованиями приказов №239, №235, №177 и Указа №250. Результат — план устранения расхождений с приоритетами и сроками.
- Выделить бюджет на замену СЗИ. Приоритет: межсетевые экраны (NGFW) и SIEM — два класса решений с наибольшим регуляторным давлением и наибольшим сроком замены.
- Назначить или нанять ответственного за ИБ. Указ №250 требует заместителя руководителя, персонально отвечающего за безопасность. Без этой позиции организация формально нарушает указ.
- Подключиться к ГосСОПКА. Даже если обязательного требования для вашей категории ещё нет — подключение занимает 2–3 месяца и лучше не откладывать до последнего срока.
- Пересмотреть категорирование КИИ. Если инфраструктура изменилась с момента последнего категорирования — обновите документы. Это частая точка претензий ФСТЭК при проверках.
FAQ о требованиях ФСТЭК 2026
Кого касаются требования ФСТЭК 2026 года?
Все субъекты КИИ (ФЗ-187): телеком, транспорт, энергетика, здравоохранение, промышленность, банки, наука. С октября 2025 года (приказ №177) — также ФГУПы и организации с ГИС. Если ваша компания обрабатывает данные в государственной информационной системе, требования распространяются на вас.
Какие штрафы грозят за невыполнение?
Текущий максимум — 500 тыс. ₽ (КоАП ст. 13.12.1). Готовится введение оборотных штрафов. Кроме штрафов: предписание ФСТЭК, приостановка деятельности ИС, персональная ответственность руководителя (Указ №250).
Можно ли продолжать использовать Cisco и Fortinet?
Для объектов КИИ — нет, с 01.01.2026 (Указ №250). Для компаний вне периметра КИИ формального запрета нет, но вендоры не предоставляют обновления и техподдержку — это создаёт риски безопасности вне зависимости от регуляторных требований.
Сколько стоит привести компанию в соответствие?
Для среднего предприятия (500–1000 рабочих станций): 20–50 млн ₽ в первый год, включая замену СЗИ, аттестацию ИС, подключение к ГосСОПКА и пентест. Текущие расходы — 5–15 млн ₽/год на поддержку и обновление.
Парадокс ФСТЭК-2026: требования ужесточаются быстрее, чем рынок сертифицированных решений созревает. Ни один субъект КИИ не достиг полного соответствия — и это не халатность, а следствие объективного разрыва между нормативной базой и доступными инструментами. Для бизнеса это означает: начинать соответствие требованиям сейчас, принимая осознанные компромиссы по приоритетам, а не ждать идеальных решений.
Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Указ Президента Российской Федерации от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»
Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ»
Приказ ФСТЭК России №177 (октябрь 2025) — расширение требований на ФГУПы и организации с ГИС
TAdviser, рынок информационной безопасности в России — TAdviser, 2025
- Динамика регуляторики. Нормативная база активно обновляется; конкретные требования могут измениться после публикации обзора.
- Стоимостные оценки. Затраты на соответствие требованиям варьируются в зависимости от масштаба организации, текущего состояния ИБ и выбранных решений. Приведённые цифры — ориентировочный диапазон для средних предприятий.
- Зрелость альтернатив. Оценки зрелости российских СЗИ основаны на публичных данных и мнениях участников рынка; для конкретного выбора необходимо пилотное тестирование.
Исследование подготовлено редакцией it-institute.ru на основе анализа открытых источников с использованием собственной аналитической методологии. Все числовые утверждения основаны на данных из открытых нормативных актов и публичных аналитических отчётов.