Юр-Чат
Юр-Чат
ГлавнаяБаза знанийНовостиЦены
Новости права/Аттестация объектов информатизации с 1 сентября 2026: обязательное тестирование на проникновение и новые правила контроля
ОфициальноЗаконСтатьяПринято

Аттестация объектов информатизации с 1 сентября 2026: обязательное тестирование на проникновение и новые правила контроля

Ольга Петрова

Ольга Петрова

Адвокат по уголовным делам на стадиях дознания, следствия и суда. Консультирует по мерам пресечения, допросам, обыскам и защите на судебном разбирательстве. Даёт сдержанные и точные разборы без обещаний гарантированного исхода.

9 июля 2026 г.·5 мин чтения·4 источникаГосударственные органыгосударственные унитарные предприятиягосударственные учреждения

ФСТЭК России утвердила масштабные изменения в порядок аттестации объектов информатизации. С 1 сентября 2026 года для государственных информационных систем высокого класса защищенности станет обязательным тестирование на проникновение, а владельцы аттестованных объектов должны будут раз в три года отчитываться перед регулятором о результатах контроля защищенности.

Что важно

  • Суть за 30 секунд: С 1 сентября 2026 года для государственных информационных систем 1 и 2 классов защищенности, подключенных к интернету, обязательно тестирование на проникновение, а отчеты о контроле защищенности нужно направлять в ФСТЭК раз в три года.
  • Кого касается: Государственные органы, государственные унитарные предприятия, государственные учреждения, организации оборонно-промышленного комплекса, владельцы объектов информатизации, органы по аттестации, эксперты по защите информации
  • Что сделать: Владельцам объектов информатизации необходимо до 1 сентября 2026 года пересмотреть программы аттестации, включить в них тестирование на проникновение для соответствующих систем, а также наладить процесс периодического контроля и отчетности перед ФСТЭК.
  • Срок/дата: 01.09.2026
  • Проверить документ: Проверить документ

Суть изменений: что именно поменялось в порядке аттестации

Приказ ФСТЭК России от 27.02.2026 № 60 вносит точечные, но крайне значимые коррективы в базовый документ — Порядок, утвержденный приказом № 77 от 29 апреля 2021 года. Главная цель — актуализировать процедуры аттестации под современные угрозы и унифицировать подходы к оценке защищенности. Разработчики не стали переписывать весь порядок, а сосредоточились на нескольких критических узлах: уточнили сферу применения, ввели обязательное тестирование на проникновение для наиболее критичных систем, изменили правила контроля и отчетности, а также скорректировали жизненный цикл аттестата соответствия.

Ключевая новация — легализация тестирования на проникновение как обязательного элемента аттестационных испытаний для государственных информационных систем 1 и 2 классов защищенности, имеющих подключение к интернету или взаимодействующих с внешними системами. Ранее этот метод лишь рекомендовался, теперь же его отсутствие будет означать неполноту аттестации. Одновременно вводится регулярный (раз в три года) контроль уровня защищенности с обязательным отчетом перед ФСТЭК, что превращает аттестацию из разовой процедуры в непрерывный процесс поддержания безопасности.

Контекст и предыстория: почему потребовались изменения

Порядок аттестации 2021 года создавался в иной технологической реальности. С тех пор резко возросла сложность кибератак, а государственные информационные системы стали мишенью номер один для злоумышленников. Практика показала, что формальное выполнение требований без реальной проверки стойкости к атакам не гарантирует защищенности. Многочисленные инциденты, включая утечки персональных данных и нарушения работы критической инфраструктуры, подтолкнули регулятора к ужесточению.

Кроме того, накопилась потребность в гармонизации с другими нормативными актами. Например, ссылки на новый приказ ФСТЭК № 117 от 11.04.2025 (требования к защите информации в государственных системах) и уточнение перечня объектов в соответствии с современной классификацией устраняют правовые пробелы. Отдельно стоит отметить влияние постановления Правительства № 900 об учете ИТ-активов — теперь аттестация может проводиться в отношении инфраструктуры, на базе которой создается объект, что отражает тренд на централизацию и виртуализацию госресурсов.

Как это работает: новые правила аттестации и контроля

Изменения затрагивают несколько этапов жизненного цикла объекта информатизации. На этапе аттестации для указанных выше систем в программу испытаний обязательно включается тестирование на проникновение. Оно проводится по методическим документам ФСТЭК и моделирует действия реального нарушителя. Результаты фиксируются в протоколах и влияют на выдачу аттестата соответствия.

После получения аттестата владелец объекта обязан поддерживать безопасность и не реже одного раза в три года проводить контроль уровня защищенности. Контроль включает анализ уязвимостей и тестирование на проникновение (даже если при первичной аттестации оно не требовалось). Отчет с подробными сведениями о составе системы, методах и результатах проверок направляется в ФСТЭК в течение 5 рабочих дней. Непредставление отчета — прямой путь к приостановлению аттестата.

При модернизации объекта, не меняющей класс защищенности, но затрагивающей архитектуру или состав средств защиты, проводятся дополнительные испытания (функциональное тестирование и анализ уязвимостей). Если же модернизация повышает класс защищенности, требуется повторная аттестация по полной программе. Аттестат теперь действует весь срок эксплуатации объекта, а не три года, что снимает необходимость регулярных переаттестаций, но взамен вводит непрерывный контроль.

К чему приведет: практические последствия для владельцев объектов

Для государственных органов, учреждений и предприятий ОПК новые требования означают необходимость срочного пересмотра внутренних регламентов и бюджетов на информационную безопасность. До 1 сентября 2026 года нужно:

- актуализировать перечни аттестуемых объектов с учетом нового пункта 3 Порядка;

- для ГИС 1 и 2 классов защищенности с интернет-подключением запланировать и провести тестирование на проникновение силами лицензированных организаций или собственных аттестационных комиссий (при наличии уведомления ФСТЭК);

- внедрить процедуру периодического контроля и отчетности, включая обучение персонала и закупку необходимых инструментов анализа уязвимостей.

Органы по аттестации и экспертные организации также столкнутся с новыми вызовами: потребуется освоение методик тестирования на проникновение, расширение штата квалифицированных специалистов и перестройка процессов оформления результатов. Для небольших учреждений, не имеющих собственных служб защиты информации, возрастет нагрузка на аутсорсинг, что может привести к дефициту предложения на рынке и росту стоимости услуг.

В долгосрочной перспективе изменения должны повысить реальную защищенность государственных информационных ресурсов. Однако переходный период будет сопряжен с рисками: не все успеют подготовиться к 1 сентября, а формальный подход к тестированию на проникновение может дискредитировать саму идею. Поэтому ФСТЭК, вероятно, усилит надзор за соблюдением новых требований, а приостановление и прекращение действия аттестатов станут более частыми инструментами воздействия на нарушителей.

Источники

  • Приказ Федеральной службы по техническому и экспортному контролю от 27.02.2026 № 60 "О внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29 апреля 2021 г. № 77" (Официальный интернет-портал правовой информации)

Материал носит информационный характер и не является индивидуальной юридической консультацией. Перед действиями проверьте актуальную редакцию нормативных актов.

Краткий вывод для шаринга

С 1 сентября 2026 года для государственных информационных систем 1 и 2 классов защищенности, подключенных к интернету, обязательно тестирование на проникновение, а отчеты о контроле защищенности нужно направлять в ФСТЭК раз в три года.

Частые вопросы

Какие объекты информатизации подлежат обязательной аттестации по новым правилам?

В обязательном порядке аттестуются государственные и муниципальные информационные системы (включая системы персональных данных), информационные системы управления производством организаций ОПК и защищаемые помещения. Для иных объектов (например, значимых объектов КИИ, информационных систем госорганов, не являющихся ГИС) аттестация проводится, если владелец установил такое требование.

Что такое тестирование на проникновение и для каких систем оно обязательно?

Тестирование на проникновение — это моделирование реальных атак для оценки возможности несанкционированного доступа к системе. Оно обязательно для государственных информационных систем 1 и 2 классов защищенности, которые подключены к интернету или взаимодействуют с иными системами (кроме случаев использования шифрованной связи или VPN с сертифицированными СКЗИ).

Как часто нужно проводить контроль уровня защищенности и куда направлять отчет?

Контроль проводится не реже одного раза в три года. Отчет (протокол) с результатами анализа уязвимостей и тестирования на проникновение направляется в ФСТЭК России (или ее территориальный орган) в течение 5 рабочих дней после завершения контроля.

Что будет, если не представить отчет о контроле защищенности?

Непредставление отчета является основанием для приостановления действия аттестата соответствия. Если после приостановления отчет не будет представлен в установленный срок, действие аттестата может быть прекращено.

Нужно ли проходить повторную аттестацию при модернизации объекта?

Если модернизация не меняет класс защищенности, но затрагивает архитектуру или состав системы защиты, проводятся дополнительные аттестационные испытания. Если же модернизация приводит к повышению класса защищенности, требуется повторная аттестация в полном объеме.

Поделиться

Был ли ответ полезен?

Оценка сохраняется только в этом браузере (демонстрация UX).

Вопросы пользователей

Для этого материала пользовательские вопросы отключены.

Коротко по делу

  • С 1 сентября 2026 года для государственных информационных систем 1 и 2 классов защищенности, подключенных к интернету или взаимодействующих с иными системами, обязательно тестирование на проникновение.
  • Уточнен перечень объектов, подлежащих аттестации: теперь в него прямо включены государственные и муниципальные информационные системы, системы управления производством организаций ОПК, защищаемые помещения.
  • Владельцы аттестованных объектов обязаны не реже одного раза в три года проводить контроль уровня защищенности и направлять отчет в ФСТЭК России.
  • Непредставление отчета о контроле является основанием для приостановления действия аттестата соответствия.
  • При модернизации объекта, не меняющей класс защищенности, проводятся дополнительные аттестационные испытания; при повышении класса — повторная аттестация.
  • Аттестат соответствия теперь выдается на весь срок эксплуатации объекта, а не на три года, как ранее.

Что проверить

Владельцам объектов информатизации необходимо ознакомиться с изменениями, скорректировать процедуры аттестации и контроля, обеспечить проведение тестирования на проникновение для соответствующих систем, а также подготовиться к представлению отчетов в ФСТЭК России.

Срок/дата: 01.09.2026

Приказ официально опубликован 25 июня 2026 года и вступает в силу 1 сентября 2026 года, что дает ограниченное время для подготовки к новым требованиям.

Темы

Информационная безопасностьТехническая защита информацииАттестация объектов информатизации

Источники

Первоисточники

  • Официальный интернет-портал правовой информации

Хронология события

  1. Принято · 9 июля 2026 г.

    ФСТЭК России утвердила изменения в порядок аттестации объектов информатизации

    Источник

Нужен разбор вашей ситуации?

Задайте вопрос юридическому ИИ-ассистенту и получите практический ответ со ссылками на нормы.

Задать вопрос бесплатно

Ещё новости

  • Как получить выписку из реестра медицинских изделий по новому регламенту Росздравнадзора
  • Спутниковая связь 5G-AMT-2020: четыре новых требования, которые вступили в силу задним числом
  • Новые тарифы на техприсоединение к сетям «Крымгазсети»: что изменилось с 2026 года
  • Правительство расширило перечень стратегически значимых лекарств: что изменилось для пациентов и бизнеса
  • Минцифры готовит требования к виртуальным АТС для оперативно-разыскных мероприятий
  • Обновлён состав рабочей группы «Безопасный город» в Калмыкии: что это значит для системы-112 и оповещения
  • Передача генетических данных за рубеж: новые правила с 19 июня 2026 года
  • Передача генетических данных за рубеж: Правительство РФ утвердило порядок
← Все новости
Юр-Чат
Юр-Чат

Юридический портал и AI-инструменты для практической работы с правом РФ: база ответов, новости, чат и документы.

Портал

  • Главная
  • База знаний
  • Каталог
  • Новости
  • Эксперты

AI-сервисы

  • AI-кабинет
  • Тарифы и цены
  • Личный кабинет
  • О сервисе

ИИ для юристов

  • ИИ-юрист онлайн
  • ИИ для юристов
  • Лучшие ИИ для юристов

Юридическое и поддержка

  • Политика конфиденциальности
  • Пользовательское соглашение
  • Отказ от ответственности
  • Политика cookie
  • Поддержка
  • Обратная связь
kiryrudov@gmail.com

Пн-Пт 9:00-18:00

Создать документ

  • Создать договор (общий)
  • Создать договор аренды недвижимости
  • Создать договор аренды транспорта
  • Создать договор займа
  • Создать договор купли-продажи недвижимости
  • Создать договор купли-продажи товаров
  • Создать договор оказания услуг
  • Создать договор подряда
  • Создать лицензионный договор
  • Создать трудовой договор
  • Создать ответ на претензию
  • Создать претензию контрагенту
  • Создать претензию УК / ЖКХ
  • Создать заявление в орган
  • Создать исковое заявление
  • Создать ходатайство в суд
  • Создать жалобу в прокуратуру
  • Создать жалобу в Роскомнадзор
  • Создать доверенность
  • Создать протокол общего собрания
ЮР-Чат 2006
Карта сайта