С начала 2026 года в России вступили в силу новые стандарты в сфере информационной безопасности и работы с гособоронзаказом. Для предприятий, выполняющих гособоронзаказ, действуют Приказ Министра обороны РФ №33 от 26 января 2026 года и распоряжение Правительства РФ №360-р от 26 февраля 2026 года, которые ужесточили требования к прослеживаемости продукции и защите данных. Для организаций, эксплуатирующих государственные информационные системы (ГИС) и иные информационные системы государственных органов, унитарных предприятий и учреждений, с 1 марта 2026 года действует Приказ ФСТЭК России №117, заменивший несколько ранее действовавших документов. Эти изменения направлены на повышение уровня защиты информации, снижение рисков утечек и обеспечение технологической независимости.
Основные изменения
Для предприятий, выполняющих гособоронзаказ:
- Усиление требований к прослеживаемости продукции — необходимо обеспечить возможность отслеживания жизненного цикла изделия на всех этапах производства и поставки.
- Ужесточение норм по защите данных — повышены требования к конфиденциальности и целостности информации, связанной с гособоронзаказом.
Для организаций, подпадающих под действие Приказа ФСТЭК №117:
- Технологический запрет иностранного ПО. Полный запрет на использование иностранного программного обеспечения в информационных системах, подпадающих под действие приказа.
- Ограничение облачных сервисов. Запрет на использование публичных облачных сервисов для обработки критически важной информации.
- Обязательное использование сертифицированных средств защиты информации (СЗИ) и средств криптографической защиты информации (СКЗИ).
- Требования к системам искусственного интеллекта (ИИ). Допускается использование только доверенных технологий и российского ПО.
- Измеримые показатели и отчётность. Обязателен расчёт показателя защищённости каждые 6 месяцев, а также контроль системы защиты с отчётом в ФСТЭК раз в 2 года.
- Требования к персоналу. Не менее 30% сотрудников ИБ-подразделения должны иметь профильное образование или переподготовку в области информационной безопасности. Обязательная оценка знаний всего персонала проводится раз в 3 года. Внеочередное обучение после каждого компьютерного инцидента.
- Оперативные сроки реагирования. Критические уязвимости необходимо устранять в течение 24 часов.
- Расширение зоны ответственности. Требования теперь охватывают весь цифровой контур организации, а не только ГИС.
Чем грозят изменения
Несоблюдение новых требований может привести:
- К сбоям в работе ИТ-систем. Необходимость пересмотра ИТ-ландшафта, отказа от иностранных решений и облаков общего назначения может потребовать значительных временных и финансовых затрат.
- Репутационным потерям. Нарушения могут негативно сказаться на имидже организации и доверии со стороны партнёров и заказчиков.
- Юридическим последствиям. За нарушения предусмотрены административная и уголовная ответственность.
Санкции за нарушения
Административная ответственность:
По ст. 13.12 КоАП РФ — штрафы до 100 тыс. рублей за несоблюдение требований к защите информации.
По ст. 13.11 КоАП РФ — штрафы до 15 млн рублей за утечки данных.
По ч. 2.2 ст. 19.5 КоАП РФ — штрафы для должностных лиц от 16 до 20 тыс. рублей или дисквалификация до 3 лет, для юридических лиц — от 300 до 500 тыс. рублей за невыполнение требований по обеспечению безопасности ГИС или КИИ.
По ч. 4 ст. 19.5 КоАП РФ — штрафы для юридических лиц от 50 до 100 тыс. рублей или приостановление деятельности до 90 суток при повторном невыполнении предписания.
По ч. 1 ст. 19.7.15 КоАП РФ — штрафы для должностных лиц от 10 до 50 тыс. рублей, для юридических лиц — от 50 до 100 тыс. рублей за нарушение сроков направления сведений о категорировании во ФСТЭК.
Уголовная ответственность:
По ст. 274.1 УК РФ — лишение свободы до 10 лет за неправомерное воздействие на критическую информационную инфраструктуру (КИИ).
Новые стандарты Минобороны и КИИ: как избежать штрафов и сбоев в 2026 году? Чтобы обеспечить прослеживаемость продукции, автоматизировать отчётность и навести порядок в данных, необходим современный инструменты.
Пошаговый чек-лист по переходу на новые стандарты
Анализ текущего состояни:
- Проведите аудит ИТ-инфраструктуры, ПО и процессов защиты информации. Определите, какие системы и процессы требуют доработки или замены.
- Замена иностранного ПО и облачных сервисов. Откажитесь от использования запрещённого ПО и публичных облачных сервисов. Переведите критически важную информацию на сертифицированные российские решения.
- Внедрение сертифицированных СЗИ и СКЗИ. Убедитесь, что все используемые средства защиты информации имеют необходимые сертификаты.
- Пересмотр кадровой политики. Проверьте квалификацию сотрудников ИБ-подразделения. Организуйте обучение для тех, кто не соответствует требованиям. Внедрите систему регулярной оценки знаний персонала.
- Разработка и обновление документации. Составьте или обновите локальные акты, связанные с защитой информации (политики, регламенты, должностные инструкции).
- Настройка мониторинга и управления уязвимостями. Внедрите систему мониторинга информационной безопасности, установите сроки устранения уязвимостей (особенно критических — в течение 24 часов).
- Интеграция процессов ИБ в общую структуру управления. Сделайте информационную безопасность отдельной управляемой функцией, а не дополнительной нагрузкой на ИТ-отдел.
- Регулярные оценки и отчётность. Настройте процесс расчёта показателя защищённости каждые 6 месяцев и подготовку отчётов в ФСТЭК раз в 2 года.
- Подготовка к проверкам. Учитывайте, что ФСТЭК проводит плановые и внеплановые проверки. Невыполнение предписаний регулятора влечёт дополнительные санкции.
Заключение
Организациям, подпадающим под действие новых стандартов, необходимо начать работу по приведению своих систем в соответствие с требованиями незамедлительно. Игнорирование изменений может привести не только к штрафам, но и к остановке бизнес-процессов.