ФСТЭК введет требования по ИБ для подрядчиков критической инфраструктуры с 2026 года

Федеральная служба по техническому и экспортному контролю (ФСТЭК) планирует с 2026 года обязать подрядчиков, работающих со значимыми объектами критической информационной инфраструктуры (ЗО КИИ), выполнять требования в области информационной безопасности. Как пишут «Ведомости», это связано с отсутствием контроля за действиями таких организаций, что приводит к системным нарушениям.

С начала 2025 года ФСТЭК проверила более 700 объектов КИИ и зафиксировала 1100 нарушений. Среди типовых проблем отмечается несоответствие состава объектов данным реестра ЗО КИИ, что в 98% случаев приводит к административным делам по статье 19.7.15 КоАП.

Одним из частых нарушений стало применение средств защиты информации из недружественных стран, что запрещено указом президента № 250 с 2025 года. Ранее за такие нарушения не штрафовали, но теперь будут применяться меры административной ответственности.

Продолжение ниже

В сообщении компании CICADA8 подчеркивается, что более половины российских IT-подрядчиков имеют низкий уровень кибербезопасности. У 55% компаний как минимум один порт для удаленного доступа оставался незащищенным, что создает риски компрометации данных.

По данным экспертов, каждая десятая кибератака в 2025 году была реализована через уязвимости подрядчиков. Новые требования должны повысить уровень защиты, однако их эффективность будет зависеть от качества контроля и адаптации подрядчиков.

Для выполнения требований подрядчикам, возможно, придется создавать изолированные сегменты инфраструктуры для работы с ЗО КИИ. Это потребует дополнительных инвестиций, но позволит обслуживать клиентов с разными уровнями требований к безопасности.