Грядущие изменения для лицензиатов ФСТЭК России 2026 – 2027 годах

Проект изменений в приказы ФСТЭК России № 235 и № 239 (ЗОКИИ)

Сентябрь 2026 г.

ФСТЭК России представила для общественного обсуждения проект изменений в приказы № 235 и № 239, которые будут действовать с 1 сентября 2026 г.

Проект устанавливает несколько изменений:

1. В приказ № 235 планируют добавить обязанность субъектов КИИ рассчитывать показатели защищенности КЗИ и уровня зрелости ПЗИ в рамках контроля состояния безопасности ЗОКИИ (по аналогии с требованиями приказа ФСТЭК России № 117). Данные изменения направлены на формализацию контроля эффективности мер ИБ и приведение их в соответствие с установленными нормативами. Методика оценки показателя КЗИ была утверждена ФСТЭК России 11.11.2025г., а Методика оценки показателя ПЗИ еще не опубликована.
2. В приказе № 239 планируют уточнить порядок работы с СЗИ (в п.31 акцент смещен с ПО/ПАК на СЗИ, требования к гарантийной поддержке планируют убрать, оставить только обязательную тех.поддержку, а при отсутствии тех.поддержки субъект КИИ обязан принимать меры по нейтрализации потенциальных угроз безопасности) и добавляют связку с пп.е п.1 Указа Президента РФ от 01.05.2022 № 250 в части обязательного применения дополнительных мер ЗИ, полученных от ФСБ России и ФСТЭК России.

Эти поправки инициируют переход от декларативных требований к измеримым метрикам и к усилению контроля над защищенностью объектов и поддержкой СЗИ, повышая общую устойчивость ЗОКИИ.

Существенные изменения для лицензиатов ФСТЭК России по технической защите конфиденциальной информации

Март 2027 г.

Ссылки на официальны публикации:

1)      проект редакции от 14.02.2026: https://regulation.gov.ru/projects/164629/ 2)      проект редакции от 06.04.2026: https://regulation.gov.ru/projects/166970/

06 апреля 2026 предоставлена уже вторая за этот год версия Проекта постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79», рассмотрим ключевые изменения:

• Ужесточение запрета на участие иностранных субъектов: помимо иностранных юридических лиц, запрет на осуществление работ по лицензируемым видам деятельности распространяется на ИП и юридические лица руководители которых имеют иностранное гражданство;
• Ужесточение требований к численности штата технических специалистов и уровню знаний:

 

• Импортозамещение СЗИ: выбор применяемых СЗИ при выполнении лицензируемых видов работ и услуг осуществляется с учетом требований р.4 250 Указа Президента (импортозамещение и запрет на применение СЗИ из недружественных стран);
• Повышение требований к качеству оказываемых работ/услуг: вводится новое требование о необходимости наличия системы производственного контроля (СПК) качества выполняемых работ и (или) оказываемых услуг (при выполнении работ, указанных в подпунктах «а», «б», «в», «г», с обязательным документальным подтверждением наличия системы (копия сертификата СМК, руководства по качеству или описание технологического процесса);
• Расширение перечня грубых нарушений: Имеющийся перечень грубых нарушений расширен, добавлен пункт п. «ж» ст.6 (соблюдением защиты информации ГИС и иных ИС гос. органов), а также «иными нарушениям», которые относятся к любым несоблюдением лицензионных требований, повлекшие за собой возникновение угрозы жизни, здоровью и экологии, а также наступление тяжких последствий для граждан, среды и госбезопасности;
• Расширение формы оценки соответствия: возможна выездная оценка, форма и порядок проведение определяются лицензирующим органом.

Заключение: предоставленный к общему рассмотрению проект постановления значительно ужесточает требования к соискателям лицензии и действующим лицензиатам ФСТЭК по ТЗКИ, что свидетельствуют о курсе регулятора на повышение качества оказываемых лицензионных услуг и работ.

Планируемый срок действия новых требований: 1 марта 2027 года

Существенные изменения для лицензиатов ФСТЭК России по разработке и производству средств защиты конфиденциальной информации

Март 2027 г.

Ссылки на официальны публикации:

1)      проект редакции от 29 января 2026: https://regulation.gov.ru/projects/164632/ 2)      редакция от 10 апреля 2026: https://regulation.gov.ru/projects/167110/

10 апреля 2026 предоставлена уже вторая за этот год версия Проекта постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171». Для ФСТЭК и для ФСБ требования гармонизированы, рассмотрим ключевые изменения:

• Расширение запрета на участие иностранных субъектов: помимо иностранных юридических лиц, запрет на осуществление работ по лицензируемым видам деятельности распространяется на ИП и юридические лица руководители которых имеют иностранное гражданство;

! Организациям необходимо будет проверить структуру собственности и, при необходимости, изменить учредителей до вступления новых правил.

• Ужесточение требований к численности штата технических специалистов и уровню знаний:

 

• Использование отечественных СЗИ и аттестация систем – добавлена связь с Указом Президента РФ 250, лицензиаты будут должны использовать отечественные СЗИ при лицензируемых видах деятельности. По новым требованиям также будут требоваться, по месту осуществления лицензируемого вида деятельности, аттестованные ИС и применение сертифицированных СЗИ.
• Повышение требований к качеству оказываемых работ/услуг: вводится новое требование о необходимости наличия системы производственного контроля (СПК) качества, охватывающей проверку ТСЗИ и строгий учет документации. Также необходимо реализовать процессы безопасной разработки программного обеспечения в соответствии с ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», потребуется подтверждение в виде копии сертификата соответствия процессов безопасной разработки или копии руководства по безопасной разработке.
• Расширение перечня грубых нарушений: Перечень грубых нарушений становится открытым с отсылкой к 99-ФЗ «О лицензировании отдельных видов деятельности». К «иным нарушениям» будут относиться любые несоблюдения лицензионных требований, повлекшие за собой возникновение угрозы жизни, здоровью и экологии, а также наступление тяжких последствий для граждан, среды и госбезопасности;
• Расширение формы оценки соответствия: возможна выездная оценка, форма и порядок проведение определяются лицензирующим органом.

Заключение

Проект 2026 г. значительно усиливает контроль за разработкой и производством средств защиты конфиденциальной информации, вводит новые стандарты качества и безопасности, а также расширяет ограничения для иностранных участников рынка. При утверждении требований проекта, организации лицензиаты должны будут пересмотреть кадровую политику, техническую базу и процедуры документооборота, чтобы соответствовать новым требованиям.

Планируемый срок действия новых требований: 1 марта 2027 года