«Конец золотой эпохи администрирования»: новые поправки ФСТЭК изолируют объекты КИИ от разработчиков

Федеральная служба по техническому и экспортному контролю России вынесла на общественное обсуждение проект поправок к приказам № 235 и № 239. Поправки предполагают различные изменения, среди которых требования по расчету показателей защищенности и уровня зрелости. Документ был вынесен на обсуждение 7 апреля 2026 года.

Обновление: в первоначальной версии материала (от 09.04.26, 18:15) ограничения в части запретов на действия в отношения ЗО КИИ согласно приказу № 239 были поданы как новация поправок. Это некорректно: данные запреты действительны с 2020 года. Однако поправками подразумевают также другие изменения — мы дополнили материал в соответствии с ними.

Приказ № 235 ФСТЭК касается требований к созданию систем безопасности на значимых объектах критической информационной инфраструктуры страны (ЗО КИИ). А приказ № 239 утверждает требования по обеспечению безопасности ЗО КИИ.

Будущие изменения в № 235 приказе заключаются в необходимости проведения расчета показателей уровня защищенности предприятий, также устанавливается периодичность проведения таких расчетов. 

Проект поправок также упоминает действующие запреты на действия в отношении ЗО КИИ. Эти ограничения были введены поправками к №239 от 2020 года, и будут действительны в случае принятия новых поправок:

• наличие удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;
• наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;
• передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе средств защиты информации, или иным лицам без контроля со стороны субъекта критической информационной инфраструктуры.

Новация поправок — дополнение пункта 31 требованием обязательной технической поддержки СЗИ со стороны разработчиков, причем фокус требований сужается именно на средства защиты информации.

Из действующего сейчас приказа следует, что «применяемые в ЗО программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой». 

Последние поправки говорят в этой части о том, что «применяемые в ЗО СЗИ должны быть обеспечены технической поддержкой со стороны разработчиков (производителей)». Таким образом, уточняется, что требования касаются СЗИ, а поддержку должны оказывать непосредственно его производители.

Также пункт № 31 дополняется следующим абзацем: 

«В случае невозможности обеспечения средств защиты информации технической поддержкой со стороны разработчиков (производителей) субъектом критической информационной инфраструктуры должны быть реализованы организационные и технические меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта в соответствии с настоящими Требованиями», — следует из текста поправок.

Ведущий инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко называет предстоящие поправки «жестким внедрением принципа нулевого доверия по отношению к самим создателям софта».

«Подходит к концу та золотая эпоха администрирования, когда техподдержка вендора могла зайти на объект КИИ через AnyDesk или удаленно получить дампы с «анонимной» телеметрией, — отмечает эксперт. — В данных приказах регулятор прямо запрещает любой бесконтрольный доступ третьих лиц к системам и требует, чтобы «каждое их слово» в исходящем трафике было санкционировано владельцем инфраструктуры».

Поправки приведут к тому, что техподдержки на удаленке для ЗО КИИ больше не будет, считает эксперт. Также окончательно стоит попрощаться с автоматическими «тихими» обновлениями и фоновой отправкой дампов памяти, crash-логов или статистики использования на сервера разработчиков. Поправки «однозначно означают» усложнение жизни для вендоров и разработчиков в плане технической поддержки. Привычный специалистам кейс из разряда «пришлите нам логи, мы глянем, что не так, и вышлем патч» теперь будет разбиваться об стену согласований.

Из-за этого также пострадает и диагностика багов — её придется проводить «вслепую», а значит, время решения инцидентов увеличится, отмечает эксперт. А отсутствие возможности выслать патч через условное облако приведет к тому, что администраторам придется пересмотреть всю свою сервисную модель. По итогу процесс патч-менеджмента полностью ляжет на плечи субъекта КИИ.

«Сам же вендор теперь может только «положить файлик» на свой официальный портал, а его установку и применение передать на зону ответственности заказчика», — подчеркивает Федосенко. — Для рынка это означает необходимость во взрослении: теперь вендорам придется научиться поддерживать продукты в условиях полной изоляции, а заказчикам быть готовыми брать на себя роль полноценного цензора для любого трафика и изменений».

Компаниям-заказчикам ничего не останется, кроме как реализовывать собственный контроль изменений и повышать собственную экспертизу. Если такие компании будут пускать инженера для работы в свою систему компонента КИИ, то будут полезны инструменты анализа защищенности инфраструктуры, вроде платформы Efros DefOps.

По словам эксперта, сообщество ИБ-специалистов сходится во мнении, что эти поправки — болезненный этап. Однако он необходим для повышения устойчивости КИИ к постоянно усложняющемуся ландшафту киберугроз, «особенно на актуальном сейчас геополитическом уровне».

«Переход от «удобной» поддержки к жестко регламентированному доступу — это хоть и кардинальный, но достаточно сильный способ гарантировать, что доверенное СЗИ не станет точкой входа для атаки», — говорит Федосенко.

В комментарии SecPost GR-специалист «СёрчИнформ» Дмитрий Вощуков отметил, что обновления продиктованы задачей минимизации угроз, связанных с действиями ИБ-подрядчиков субъектов КИИ. Ограничения доступа ИБ-компаний к системам заказчиков снижают риск утечки или нежелательных действий в информационной системе. Но, в то же время, они усложняют процедуру внедрения, масштабирования и обслуживания ИБ-решений.

«Как правило, при поставке лицензий ИБ-средств эти программы устанавливаются локально в инфраструктуре заказчика и доступ к ним «со стороны» ограничен для любых лиц. В современных средствах защиты информации (СЗИ), в частности, в решениях «СёрчИнформ», есть механизмы разграничения доступа к их подсистемам управления, а все действия операторов СЗИ регистрируются», — уточняет эксперт.

Но при принятии поправок к действующим приказам само развертывание или масштабирование СЗИ будет затруднено. Как уточняет Вощуков, часто эти процедуры производятся силами разработчика или интегратора — потому что современные СЗИ на объектах КИИ, вроде SIEM-систем, — это сложные многокомпонентные продукты. Их установкой занимаются специалисты по внедрению. Но новая инициатива предполагает, что эти процедуры должен будет выполнять специалист от заказчика.

«Это увеличивает риск возникновения ошибок и неполадок при внедрении и масштабировании СЗИ. Также повышается уровень необходимых компетенций сотрудников ИБ-подразделений в уже сложившихся реалиях дефицита квалифицированных ИБ-специалистов», — подчеркивает Вощуков.

Эксперт полагает, что поправки приведут к тому, что новым вектором развития российских ИБ-решений станет простота установки и настройки. Преимущество на рынке при этом получат разработки, которые могут полнофункционально работать «из коробки».