ФСТЭК объявила о применении более строгих мер в сфере регулирования информационной безопасности. В случае, если ведомство выявит в продукте поставщика ИБ-решений не задекларированную уязвимость, организация лишится действующего сертификата.
Федеральная служба технического и экспортного контроля России намерена аннулировать сертификаты у разработчиков средств защиты информации при обнаружении в их программных решениях недостатков, о которых сами компании своевременно не уведомили. Об этом сообщает ТАСС со ссылкой на заявление Марины Усовой, занимающей должность директора по корпоративным продажам в «Лаборатории Касперского».
«Нам буквально на днях ФСТЭК довел до сведения, что подход к поставщикам несколько корректируется: если уважаемый регулятор обнаружит уязвимость раньше нашего официального оповещения, наш сертификат будет аннулирован. Так что нам придется стать еще более бдительными», — отметила Усова.
Критерии для отзыва сертификатов пока остаются не до конца определенными, сообщил агентству информированный источник в сфере информационной безопасности, подтвердивший сам факт подобной инициативы. Неясно также, какие последствия ждут государственные информационные системы, в которых применяется программное обеспечение с аннулированным сертификатом.
С технической стороны наличие уязвимости далеко не всегда подразумевает возможность ее практического использования или серьезное воздействие на защищенность конечного продукта, подчеркнул источник ТАСС.
По его мнению, если у производителя налажен и успешно функционирует процесс создания защищенного программного обеспечения, дополнительные меры стимулирования излишни. Согласно ГОСТ 56939-2024, разработка безопасного ПО включает, среди прочего, обнаружение и минимизацию количества уязвимостей.
В последнее время рост российского рынка информационной безопасности замедлился по сравнению с периодом 2022–2023 годов, когда компании в срочном порядке заменяли решения покинувших рынок зарубежных поставщиков.
Тем временем объем киберугроз не сокращается, а увеличивается. В третьем квартале 2025 года было зарегистрировано 42 тысячи киберинцидентов, что на 73% превышает показатели 2024 года.
По информации начальника управления ФСТЭК Елены Торбенко, российские контролирующие органы обнаружили свыше 1,1 тысячи нарушений в области защиты объектов критической информационной инфраструктуры (КИИ), как сообщал «Интерфакс» в ноябре 2025 года.
Андрей Аксенов, IXcellerate: Запуская третий кампус, мы инвестируем в цифровую инфраструктуру будущего
В феврале 2025 года ФСТЭК информировала, что в совокупности 47% отечественных организаций не имеют достаточной защиты от киберугроз, а в информационных системах 47% из 170 организаций, относящихся к КИИ, присутствуют критические уязвимости. Подавляющая часть выявленных в государственных информационных системах недостатков обладает критическим и высоким уровнем риска.
В 2026 году утверждение комплекса нормативных документов, которые обяжут поставщиков информационных технологий соблюдать стандарты, установленные для операторов ключевых объектов (КО) критической информационной инфраструктуры.
