Приказ № 239 / Главная ошибка — это требование: «всё ПО должно быть сертифицировано ФСТЭК»

Это неверно.

Приказ №239 требует реализовать меры защиты, а не использовать исключительно сертифицированные продукты.

Сертификация нужна, только если ПО = средство защиты информации (СЗИ)

Точно нужно сертифицировать:

межсетевые экраны (МЭ)

антивирус / EDR

IDS/IPS

СЗИ от НСД (доступ, аутентификация)

СКЗИ (VPN, шифрование)

Не требует сертификации:

backup (резервное копирование)

SIEM (в большинстве случаев)

мониторинг (Zabbix и др.)

сканеры уязвимостей

Это не СЗИ, а эксплуатация и анализ

Пограничные случаи:

IAM / PAM

DLP

NAC

Зависит от роли: если реально ограничивают/защищают → может потребоваться сертификация

Главный принцип:

Не “что за продукт”, а “выполняет ли он функцию защиты”

Почему требуют «всё сертифицированное»:

страх проверок

лень обосновывать архитектуру

перестраховка закупок

Итог:

Сертифицируются СЗИ

Не всё ПО на КИИ

Backup ≠ СЗИ → сертификация не обязательна

Около минуты

Сегодня