Декларирование и подтверждение соответствия ИТ-продукции: регуляторный гид

Рынок информационных технологий в Российской Федерации регулируется сложной системой нормативных актов. Для производителей и заказчиков ИТ-продукции критически важно различать требования технического регулирования (безопасность оборудования) и требования в области защиты информации (информационная безопасность). Ошибки в классификации продукции могут привести к невозможности легальной продажи, штрафам или недопуску к государственным закупкам.

В данном материале мы разберем два основных трека подтверждения соответствия: декларирование по 184-ФЗ (техническое регулирование) и сертификацию средств защиты информации (СЗИ) по требованиям ФСТЭК России, а также дадим пошаговое руководство к действию.

---

1. Два контура регулирования

Важно понимать, что «ИТ-продукция» может подпадать под разные режимы в зависимости от ее назначения.

Контур 1: Техническое регулирование (184-ФЗ)

Регулирует безопасность продукции для жизни, здоровья, имущества и окружающей среды.

• Нормативная база: Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании».
• Что подтверждается: Электромагнитная совместимость (ЭМС), электробезопасность (низковольтное оборудование).
• Форма подтверждения: Чаще всего Декларация о соответствии. Сертификат требуется реже (для специфических видов продукции).
• Нюанс для ПО: Программное обеспечение само по себе, как правило, не подлежит обязательному подтверждению соответствия в рамках 184-ФЗ, если оно не вшито в оборудование, подпадающее под технические регламенты (например, ТР ЕАЭС 020/2011 «Электромагнитная совместимость»).

Контур 2: Защита информации (ФСТЭК, ФСБ)

Регулирует безопасность информации (государственная тайна, персональные данные, критическая инфраструктура).

• Нормативная база:
  • 152-ФЗ «О персональных данных»
  • 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»
  • 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • Постановление Правительства № 1119
• Что подтверждается: Соответствие средств защиты информации (СЗИ) требованиям по безопасности информации.
• Форма подтверждения: Сертификат соответствия ФСТЭК России (реже — декларация для отдельных видов продукции не для гостайны, но в практике доминирует сертификация по Приказу ФСТЭК № 55).
• Обязательность: Использование сертифицированных СЗИ обязательно для государственных информационных систем (ГИС), информационных систем персональных данных (ИСПДн) высоких уровней защищенности и значимых объектов КИИ.

---

2. Сертификация средств защиты информации (СЗИ)

Если ваша продукция предназначена для защиты информации (межсетевые экраны, антивирусы, средства контроля доступа, СЗИ от НСД и т.д.), основным документом, регламентирующим процесс, является Приказ ФСТЭК России от 03.04.2018 № 55 «Об утверждении Положения о системе сертификации средств защиты информации».

Кто участвует в процессе

1. Заявитель: Изготовитель или организация, планирующая применять СЗИ.
2. Испытательная лаборатория (ИЛ): Проводит тестирование образца.
3. Орган по сертификации (ОС): Оценивает материалы испытаний и готовит проект сертификата.
4. ФСТЭК России: Федеральный орган по сертификации, принимает окончательное решение и ведет реестр.

Схемы сертификации

Согласно Положению (Приказ № 55), применяются три основные схемы:

1. Для единичного образца: Испытания образца + проверка техподдержки. (Для заказчиков, если нет серийного аналога).
2. Для партии: Испытания выборки + проверка техподдержки.
3. Для серийного производства: Испытания выборки + проверка производства и техподдержки. (Для разработчиков/вендоров).

Срок действия

• Для серийного производства: не более 5 лет.
• Для единичного образца или партии: срок не устанавливается (действует для конкретной партии/образца).

Требования к заявителю

• Изготовители СЗИ для государственной тайны должны иметь лицензию ФСТЭК (в соответствии с 99-ФЗ «О лицензировании отдельных видов деятельности»).
• Изготовители СЗИ для конфиденциальной информации (не гостайна) также должны иметь лицензию ФСТЭК на разработку и производство СЗИ.
• Заявитель обязан осуществлять техническую поддержку (устранение уязвимостей, обновления) в течение всего срока действия сертификата.

---

3. Когда требуется сертифицированное СЗИ?

Наличие сертификата ФСТЭК на продукт часто является обязательным требованием заказчика. Это регулируется отраслевыми приказами:

Тип системы	Нормативный акт	Требования к СЗИ
ГИС (Гос. информ. системы)	Приказ ФСТЭК № 17	Для 1 и 2 класса защищенности обязательно применение сертифицированных СЗИ (не ниже 4 и 5 класса соответственно).
ИСПДн (Перс. данные)	Постановление № 1119, Приказ ФСТЭК № 21	Для 1 и 2 уровня защищенности обязательно применение сертифицированных СЗИ (4-6 классы в зависимости от уровня).
АСУ ТП (Пром. объекты)	Приказ ФСТЭК № 31	Для 1 и 2 класса защищенности обязательно применение сертифицированных СЗИ.
КИИ (Крит. инфраструктура)	Приказ ФСТЭК № 239	Для значимых объектов 1 и 2 категории требуется использование сертифицированных СЗИ.

Важно: Если вы разрабатываете ИТ-систему для госзаказчика, скорее всего, вам потребуется интегрировать сертифицированные СЗИ или сертифицировать свой продукт как СЗИ, если он заявляет функции защиты.

Дополнительные методические документы для оценки угроз

При проектировании систем защиты информации рекомендуется использовать:

• «Базовая модель угроз безопасности персональных данных» (ФСТЭК, 2008)
• «Методика определения актуальных угроз безопасности ПДн» (ФСТЭК, 2008)
• «Методика оценки угроз безопасности информации» (ФСТЭК, 2021)
• Банк данных угроз ФСТЭК — актуальная база угроз для моделирования рисков.

---

4. Пошаговое руководство к действию

Этап 1. Классификация продукции

Определите, под какое регулирование попадает ваш продукт.

• Это «железо» (серверы, ПК, сетевое оборудование)? → Требуется Декларация/Сертификат по 184-ФЗ (ЭМС, БЭ).
• Это средство защиты информации (СЗИ)? → Требуется Сертификат ФСТЭК (Приказ № 55).
• Это обычное прикладное ПО? → Обязательная сертификация не требуется, но может потребоваться для участия в тендерах (как подтверждение качества) или если ПО встраивается в СЗИ.

Этап 2. Подготовка документации (для СЗИ)

Для начала процедуры сертификации по Приказу № 55 необходимо подготовить:

1. Заявку на сертификацию (по форме Приложения № 1 к Приказу № 55).
2. Технические условия (ТУ) или Техническое задание (ТЗ) — в соответствии с ГОСТ 2.114-2016 и ГОСТ Р 56939-2024.
3. Задание по безопасности (ЗБ) — документ, описывающий требования к безопасности, на соответствие которым проводится сертификация (согласовывается с ФСТЭК, см. Руководство по разработке профилей защиты и заданий по безопасности).
4. Формуляр (паспорт) на средство защиты.
5. Перечень заимствованных компонентов (Open Source, контейнеры) — новое требование, введенное изменениями 2026 года (Информационное сообщение ФСТЭК от 14.04.2026 № 240/22/2457).

Этап 3. Выбор партнеров

• Выберите аккредитованную испытательную лабораторию (реестр на сайте ФСТЭК).
• Выберите орган по сертификации.
• Заключите договоры с ИЛ и ОС.

Этап 4. Испытания

• Предоставьте образцы в лабораторию (или обеспечьте доступ на своей базе, если оборудование громоздкое).
• Лаборатория разрабатывает Программу и методику испытаний (ПМИ), утверждает их в ОС.
• Проводятся испытания (функциональные, на уязвимости, на НДВ).
• Оформляется Техническое заключение.

Этап 5. Получение сертификата

• Орган по сертификации готовит Экспертное заключение.
• Материалы направляются во ФСТЭК.
• ФСТЭК принимает решение (срок рассмотрения до 30 дней после получения материалов).
• Сведения вносятся в Государственный реестр сертифицированных СЗИ.
• Вы получаете бланк сертификата.

См. также: Порядок проведения сертификации, утв. приказом ФСТЭК России от 01.12.2023 № 240

Этап 6. Маркировка

Продукт должен быть промаркирован знаком соответствия системы сертификации ФСТЭК России.

• Формат:РОСС RU.01.XXXXX.XXXXXX
  • РОСС RU.01 — система сертификации ФСТЭК.
  • Вторая группа — номер сертификата.
  • Третья группа — заводской/серийный номер образца.
• Маркировка наносится на корпус или съемный носитель. Для ПО, распространяемого по сети, используется электронная подпись или иной способ подтверждения подлинности.

---

5. Аттестация информационных систем vs Сертификация продукта

Часто возникает путаница между сертификацией продукта и аттестацией системы.

• Сертификация СЗИ (Приказ № 55): Подтверждает, что конкретный продукт (например, антивирус) соответствует требованиям безопасности. Проводится производителем.
• Аттестация ИС (Приказ № 17 для ГИС): Подтверждает, что конкретная информационная система (совокупность ПО, железа, СЗИ и документов) соответствует требованиям защиты. Проводится оператором системы перед вводом в эксплуатацию (Положение по аттестации объектов информатизации).
  • Связь: Для аттестации ГИС 1 и 2 класса необходимо использовать сертифицированные СЗИ.

---

6. Риски и контроль

Поддержание соответствия

Сертификат действует до 5 лет, но его можно приостановить или прекратить, если:

• Выявлены уязвимости, которые не устраняются.
• Прекращена техническая поддержка продукта.
• Внесены изменения в продукт без уведомления ФСТЭК (например, изменен перечень Open Source компонентов — требуется уведомление в течение 5 дней согласно Информационному сообщению ФСТЭК от 14.04.2026).

Государственный контроль

ФСТЭК проводит контроль за сертифицированными средствами. Обнаружение недекларированных возможностей (НДВ) или угроз безопасности ведет к отказу в сертификации или аннулированию сертификата.

Актуальные требования по безопасности информации

При разработке и сертификации СЗИ необходимо учитывать профильные требования ФСТЭК:

• Требования по безопасности информации (Приказ № 64 от 14.04.2023)
• Требования по безопасности информации (Приказ № 76 от 02.06.2020)
• Требования по безопасности информации (Приказ № 187 от 27.10.2022)

Профили защиты для типовых СЗИ

Для ускорения разработки и сертификации рекомендуется ориентироваться на утвержденные профили защиты:

• Межсетевые экраны
• Операционные системы типов Б и В
• Системы обнаружения вторжений
• Средства антивирусной защиты
• Средства доверенной загрузки
• Средства контроля съемных носителей

---

7. Чек-лист для руководителя проекта

1. [ ] Анализ назначения: Является ли продукт СЗИ или общим ПО?
2. [ ] Анализ рынка: Требуют ли заказчики (госзаказ, КИИ, банки) сертификат ФСТЭК?
3. [ ] Лицензирование: Есть ли у компании лицензия ФСТЭК на разработку СЗИ (если планируется сертификация)?
4. [ ] Документация: Готовы ли ТУ, Задание по безопасности, описание архитектуры?
5. [ ] Бюджет и сроки: Сертификация — процесс затратный (испытания, работа ОС) и длительный (от 6 месяцев).
6. [ ] План поддержки: Готов ли процесс выпуска обновлений и патчей безопасности в соответствии с требованиями сертификата?
7. [ ] Мониторинг изменений: Отслеживаются ли актуальные информационные сообщения ФСТЭК (например, от 26.04.2024 № 240/24/1958)?

---

Полезные ресурсы

• Официальный сайт ФСТЭК России — реестры, приказы, методические документы
• Сайт Роскомнадзора — реестр операторов ПДн, разъяснения по 152-ФЗ
• Реестр операторов, осуществляющих обработку персональных данных
• Банк данных угроз ФСТЭК

---

Заключение

Декларирование и сертификация ИТ-продукции в России — это не разовая акция, а часть жизненного цикла продукта. Для общего оборудования приоритетом является 184-ФЗ (Декларация ТР ЕАЭС). Для продуктов в сфере информационной безопасности ключевым документом является Сертификат ФСТЭК (Приказ № 55).

Понимание разницы между этими процессами позволяет избежать правовых рисков и открывает доступ к защищенному сегменту рынка (госорганы, госкомпании, объекты КИИ). При планировании вывода продукта на рынок рекомендуется закладывать ресурсы на процедуру оценки соответствия на ранних этапах разработки.

Важно: Нормативная база в сфере ИБ динамично меняется. Рекомендуется регулярно отслеживать обновления на официальных ресурсах ФСТЭК России и Роскомнадзора.