Сертификация СЗИ в 2026 году: какие лицензии и сертификаты нужны бизнесу

Рассказываем, каким компаниям нужна лицензия ФСТЭК, когда обязательна сертификация средств защиты информации и как ее пройти. 

Каким компаниям нужна лицензия ФСТЭК

Лицензию ФСТЭК обязаны получать компании, которые занимаются разработкой СЗИ. Речь идет не только о «железе», но и о программных и программно-технических решениях.

Например, если компания разрабатывает технические СЗИ, защищенные средства обработки данных, средства контроля эффективности защиты или аналогичные программные продукты, она обязана иметь лицензию ФСТЭК. 

Важно понимать: сертификация СЗИ — это процедура подтверждения соответствия конкретного продукта, а лицензия ФСТЭК подтверждает право компании заниматься определенным видом деятельности. Эти режимы не заменяют друг друга и часто применяются параллельно.

Требования для получения лицензии

Лицензирование в сфере ИБ привязано к реальным возможностям компании. Формальный «набор документов» здесь не работает.

Ключевые требования:

1. Наличие квалифицированного персонала. Руководитель работ должен иметь профильное высшее образование в области информационной безопасности или пройти профпереподготовку и обладать подтвержденным стажем. В штате также должны быть минимум два инженерно-технических специалиста с соответствующим опытом;
2. Наличие нежилых помещений на законном основании, где обеспечены условия для работы с информацией ограниченного доступа;
3. Собственное или законно используемое оборудование, включая испытательные стенды, измерительные приборы с поверкой, а также сертифицированные программные средства;
4. Комплект нормативной, технической и методической документации, необходимой для выполнения заявленных работ;
5. Выстроенная система производственного контроля. Для разработки и для производства она оформляется отдельно и должна подтверждать стабильность параметров выпускаемых средств.

Эти требования закреплены в Приказе ФСТЭК от 03.04.2018 №55. Здесь важно заранее сверяться с действующим положением о сертификации СЗИ и лицензионными регламентами, а не полагаться на устаревшую практику.

Какие компании должны получать сертификаты ФСТЭК

Сертификат ФСТЭК оформляется не «на компанию», а на конкретное средство защиты информации. Сертификацию нужно проходить, если продукт относится к одной из регулируемых категорий:

• средства техзащиты информации и инструменты контроля их эффективности;
• решения, предназначенные для противодействия техническим разведкам;
• средства обеспечения безопасности ИТ, включая защищенные инструменты обработки информации.

При этом система сертификации СЗИ ФСТЭК не распространяется на иностранные средства защиты, если их использование ограничено или запрещено нормативными актами РФ. Такой продукт просто не допустят к сертификационным испытаниям.

Во большинстве случаев без обязательной сертификации средств защиты информации продукт нельзя легально использовать в государственных ИС, КИИ и ряде систем, обрабатывающих персональные данные по ФЗ №152-ФЗ.

Где и как получить сертификат на СЗИ ФСТЭК

Сертификация СЗИ по требованиям ФСТЭК обычно выглядит следующим образом:

1. Обращение в орган по сертификации. Заявитель выбирает орган, аккредитованный ФСТЭК России. Именно через него подается заявка, согласуется схема сертификации и формируется комплект материалов для регулятора.
2. Проведение испытаний в аккредитованной лаборатории. Экспертизу выполняет испытательная лаборатория, включенная в перечень ФСТЭК. Лаборатория отбирает образцы СЗИ, проводит испытания, оформляет протоколы и техзаключение. Без этого получить сертификат нельзя.
3. Рассмотрение материалов ФСТЭК России. После завершения испытаний орган направляет материалы в ФСТЭК. Служба проверяет результаты, принимает решение о выдаче либо об отказе в выдаче сертификата и подписывает его.
4. Внесение сведений в государственный реестр. Информация о выданном сертификате вносится в госреестр. Именно наличие записи в реестре подтверждает юридическую силу сертификата.
5. Получение сертификата заявителем. Сертификат соответствия передается заявителю в установленный срок. С этого момента СЗИ считается сертифицированным и может применяться в регулируемых системах при соблюдении условий сертификата.

Важно учитывать, что обращаться можно только к тем органам и лабораториям, которые официально аккредитованы ФСТЭК России. Сертификация через посредников без реальных испытаний юридической силы не имеет и не подтверждает соответствие СЗИ требованиям по безопасности информации.

Как проводится сертификация 

Процедура начинается с отбора образцов. Их количество зависит от схемы сертификации и назначения средства. Для серийного производства партия должна превышать объем выборки минимум в два раза, для программных СЗИ чаще всего отбирается один образец.

Отбор фиксируется актом, где указываются сведения о продукте, заявителе, лаборатории, заводские номера и контрольные суммы ПО. После этого заявитель передает комплект технической и эксплуатационной документации.

Сами испытания включают:

• проверку соответствия функций безопасности установленным требованиям;
• оценку организации техподдержки;
• проверку производства, включая процедуры безопасной разработки ПО.

Результаты оформляются протоколами и техническим заключением. 

Сколько действует сертификат и можно ли продлить

Срок действия сертификата соответствия ФСТЭК — не более 5 лет (п.14 Приказа ФСТЭК от 03.04.2018 №55). Более длительный срок законодательством не предусмотрен, даже если средство защиты используется без изменений и успешно эксплуатируется много лет.

При этом сертификат выдается на срок, указанный в заявке. Заявитель сам определяет желаемый период действия, но в пределах установленного максимума. На практике срок выбирают исходя из жизненного цикла продукта, планов по его доработке и коммерческой модели.

Для серийно производимых СЗИ действует важное правило. Такое СЗИ считается сертифицированным, если одновременно выполняются три условия:

• СЗИ произведено в период действия сертификата на серийное производство;
• средство соответствует требованиям безопасности;
• изготовитель либо заявитель обеспечивает техподдержку СЗИ. 

Если хотя бы одно из этих условий нарушается, сертификат могут аннулировать даже до окончания срока действия.

Отдельно стоит учитывать специфику единичных образцов и партий СЗИ. Для них срок действия сертификата соответствия не устанавливается. Это означает, что сертификат привязан не ко времени, а к конкретному экземпляру или партии продукции. Однако такой сертификат нельзя автоматически распространять на последующее производство или модифицированные версии СЗИ.

Если срок действия сертификата заканчивается, заявитель вправе подать заявку на его продление. Регулятор оценивает, сохраняются ли характеристики, не изменились ли функции безопасности и соблюдаются ли условия производства и технической поддержки. Если в СЗИ вносились изменения, вопрос продления может быть увязан с необходимостью корректировки сертификата или проведения дополнительных испытаний.

Когда могут отказать в сертификации

Отказ возможен, если экспертное заключение указывает на несоответствие средства требованиям безопасности или на нарушения процедуры. ФСТЭК принимает такое решение в течение пяти рабочих дней после получения материалов.

Если недостатки носят устранимый характер, материалы возвращают на доработку. На исправление и повторные испытания отводится до 30 календарных дней. Если заявитель не укладывается в срок или не устраняет замечания, следует отказ.

При положительном решении сертификат подписывается, данные вносятся в реестр, а сам документ передается заявителю. Вся процедура строго привязана к регламентам и Постановлению Правительства от 26 июня 1995 г. №608. 

Как подготовиться к сертификации СЗИ

Подготовка начинается задолго до подачи заявки. Чтобы система сертификации не стала сюрпризом, стоит действовать поэтапно:

1. Зафиксируйте модель угроз и требования безопасности, под которые разрабатывается продукт.
2. Приведите в порядок документацию на СЗИ.
3. Проверьте, что процедуры безопасной разработки реально внедрены, а не существуют «на бумаге».
4. Убедитесь, что версия продукта для испытаний полностью совпадает с коммерческой.
5. Заранее выберите испытательную лабораторию и согласуйте схему сертификации.
6. Оцените сроки и ресурсы: сертификация почти всегда занимает больше времени, чем планируется.