Добавить в корзинуПозвонить
Найти в Дзене
АНО ДПО "Международная академия современного образования"

Нужно ли сертифицировать ПО для КИИ в 2026 году: разбор требований Приказа №239

2
3 мин
Нужно ли сертифицировать всё программное обеспечение на объектах КИИ? Это один из самых частых вопросов при проектировании систем защиты информации. На практике многие компании закладывают избыточные требования, что приводит к росту бюджета и усложнению внедрения. В этой статье разберём: ● когда требуется сертификация ПО для КИИ, ● какие средства защиты информации (СЗИ) подлежат обязательной сертификации, ● в каких случаях можно использовать несертифицированные решения, ● типичные ошибки при реализации требований Приказа №239. Сертификация требуется не из-за принадлежности к КИИ, а из-за функций ПО. Если программное обеспечение: ● реализует меры защиты информации → требуется сертификация, ● выполняет вспомогательные функции → сертификация не обязательна. Это напрямую следует из логики Приказа №239: ● требуется реализовать меры защиты, ● но не требуется использовать исключительно сертифицированное ПО. Ниже — перечень случаев, когда сертификация обязательна. Ключевые запросы: идентификац
Оглавление

Нужно ли сертифицировать всё программное обеспечение на объектах КИИ?

Это один из самых частых вопросов при проектировании систем защиты информации. На практике многие компании закладывают избыточные требования, что приводит к росту бюджета и усложнению внедрения.

В этой статье разберём:

● когда требуется сертификация ПО для КИИ,

● какие средства защиты информации (СЗИ) подлежат обязательной сертификации,

● в каких случаях можно использовать несертифицированные решения,

● типичные ошибки при реализации требований Приказа №239.

Ключевой принцип сертификации ПО для КИИ

Сертификация требуется не из-за принадлежности к КИИ, а из-за функций ПО.

Если программное обеспечение:

● реализует меры защиты информации → требуется сертификация,

● выполняет вспомогательные функции → сертификация не обязательна.

Это напрямую следует из логики Приказа №239:

● требуется реализовать меры защиты,

● но не требуется использовать исключительно сертифицированное ПО.

Когда сертификация ПО обязательна (СЗИ)

Ниже — перечень случаев, когда сертификация обязательна.

1. Средства идентификации и аутентификации

Ключевые запросы:

идентификация и аутентификация КИИ, MFA сертификация, ИАФ ФСТЭК

Сертификация требуется, если ПО:

● управляет учетными записями,

● реализует MFA,

● выступает как отдельное средство защиты.

2. Средства управления доступом (УПД)

Ключевые запросы:

разграничение доступа КИИ, IAM сертификация, контроль доступа ФСТЭК

Сюда относятся:

● IAM/IdM системы,

● системы разграничения прав доступа.

Если это отдельное решение — требуется сертификация как СЗИ от НСД.

3. Межсетевые экраны (Firewall, NGFW)

Ключевые запросы:

межсетевой экран ФСТЭК, NGFW сертификация, firewall КИИ

Сертификация обязательна во всех случаях использования как меры защиты.

4. IDS/IPS (обнаружение вторжений)

Ключевые запросы:

IDS IPS сертификация, обнаружение атак КИИ

Если система:

● анализирует трафик,

● выявляет атаки,

она должна быть сертифицирована.

5. Антивирусная защита

Ключевые запросы:

антивирус ФСТЭК, EDR сертификация КИИ

Включает:

● антивирусы,

● EDR/XDR решения.

Требуется обязательная сертификация.

6. Криптография (СКЗИ)

Ключевые запросы:

СКЗИ сертификация, VPN ФСБ, криптозащита КИИ

Если используется:

● шифрование,

● VPN,

● защита каналов,

требуется:

● сертификация СКЗИ,

● иногда дополнительная сертификация.

7. Контроль целостности

Ключевые запросы:

контроль целостности ФСТЭК, integrity monitoring КИИ

Специализированные решения должны быть сертифицированы.

Когда сертификация НЕ требуется

Ключевые запросы:

несертифицированное ПО КИИ, требования к ПО КИИ, что не требует сертификации

1. Резервное копирование

● системы backup не требуют сертификации,

● если не выполняют функции защиты.

Исключение: если используются как средство защиты (например, шифрование).

2. Мониторинг инфраструктуры

● Zabbix, Prometheus и аналоги,

● не относятся к СЗИ.

Сертификация не требуется.

3. SIEM-системы

Ключевые запросы:

SIEM сертификация ФСТЭК, нужна ли сертификация SIEM

Обычно не требуется, если:

● нет активного предотвращения атак.

4. Системы управления ИТ

● CMDB,

● системы администрирования,

● оркестраторы.

Не являются средствами защиты информации.

5. Базовое ПО

● гипервизоры,

● СУБД,

● прикладные системы.

Не требуют сертификации сами по себе.

Главный критерий: функция защиты

Перед внедрением задайте вопрос:

Это ПО защищает или просто обеспечивает работу?

Тип ПО

Сертификация

Защита от НСД, атак

✔ Обязательна

Эксплуатация и доступность

❌ Не требуется

Смешанные функции

⚠️ Анализ

Роль модели угроз и ТЗ

Ключевые запросы:

модель угроз КИИ, требования ФСТЭК КИИ, ТЗ безопасность КИИ

Даже не-СЗИ может потребовать сертификации, если:

● указано в модели угроз,

● прописано в ТЗ,

● требуется заказчиком.

Типичная ошибка при внедрении КИИ

❌ «Нужно сертифицировать всё ПО»

Это неверно.

✔Правильно:

сертифицируются только средства защиты информации.

Почему требуют лишнюю сертификацию

Ключевые запросы:

проверки ФСТЭК КИИ, аудит КИИ требования

Причины:

● страх проверок,

● упрощение закупок,

● недостаток компетенций.

Это избыточная практика, а не нормативное требование.

Практические рекомендации

Чтобы правильно реализовать требования КИИ:

1. Определите перечень мер защиты

2. Привяжите ПО к каждой мере

3. Выделите СЗИ

4. Проверьте требования к сертификации

5. Не закладывайте лишние ограничения

Вместо вывода

✔ Сертификация ПО для КИИ обязательна, только если оно является СЗИ

✔ Большая часть инфраструктурного ПО, может использоваться без сертификации

✔ Ключевой фактор — роль в системе защиты информации

©Автор-эксперт: Владислав Халяпин