ФСТЭК: кому обязательно нужно использовать сертифицированное ПО и почему
Введение: ФСТЭК — это не “по желанию”, а по закону.
Если вы когда-нибудь внедряли софт в госконтору или работали с данными россиян, то наверняка слышали фразу: “А есть ли у вас сертификат ФСТЭК?”
И это не паранойя. Это требование. Причём жёсткое. А за его нарушение — штрафы, блокировки и иногда даже уголовка.
В этой статье мы спокойно, без бюрократии, разберёмся:
- Что такое ФСТЭК и зачем нужна их сертификация
- Кому обязательно использовать только сертифицированные решения
- Какие есть правовые основания
- И почему нельзя просто “установить, что удобно”
Что такое ФСТЭК и почему все вокруг про неё говорят
ФСТЭК — это Федеральная служба по техническому и экспортному контролю. Они не “делают антивирусы” и не “проверяют сайты”. Они:
- Устанавливают требования по защите информации
- Контролируют соответствие программного обеспечения
- Выдают сертификаты соответствия
По сути, это “государственный СБ-шник” в мире айтишки. И если ты работаешь с защищаемой информацией, тебе с ФСТЭК по пути.
Кто обязан использовать сертифицированное ПО (и почему)
Если коротко: не все, но очень многие. Категории, где ФСТЭК — не рекомендация, а обязанность:
1. Государственные учреждения и органы власти
Обязаны применять только сертифицированные средства защиты информации, включая ОС, СЗИ и даже СУБД.
Основание:
- Постановление Правительства № 758
- ГОСТ Р 57580
- Приказ ФСТЭК № 239 от 30.12.2022
2. Компании, работающие с персональными данными (152-ФЗ)
Если вы обрабатываете ПДн и относитесь к 1–2 уровню защищённости, вы обязаны применять средства защиты информации, сертифицированные ФСТЭК.
Основание:
- Федеральный закон № 152-ФЗ
- Приказ ФСТЭК № 21 от 18.02.2013
- Методика определения уровня защищённости
3. Организации КИИ (критической информационной инфраструктуры)
Сюда входят банки, ТЭК, медицина, транспорт, связь.
Для них сертификация — неопровержимое требование, вплоть до уровня процессоров, СХД, ОС.
Основание:
- Федеральный закон № 187-ФЗ
- Приказ ФСТЭК № 239, № 31, № 55
4. Компании с лицензией ФСТЭК (или те, кто получает)
Если вы разрабатываете ПО, внедряете решения в госсектор, храните гостайну — без сертифицированных компонентов вы не пройдёте лицензию.
Почему государство обязует использовать сертифицированное ПО
Потому что сертификация — это:
- Проверка исходного кода
- Отсутствие недекларированных возможностей
- Проверка на закладки, уязвимости и бэкдоры
Это не “рекомендации для тех, кто боится”. Это защита суверенитета.
Именно поэтому на проекты с ФСТЭК возлагаются требования без права на отступление.
Что будет, если использовать несертифицированное ПО
- Госконтракт могут признать недействительным
- Проверка Роскомнадзора или ФСТЭК → штраф до 500 тыс.
- Срыв аккредитации или лицензии
- Отказ в сертификации КИИ
- Риск утечки данных — и как следствие, уголовная ответственность
Разница: сертифицированное ПО vs обычное
| Параметр | Обычное ПО | Сертифицированное ПО |
|---|---|---|
| Проверка исходного кода | Нет | Да, по методике ФСТЭК |
| Защита от утечек данных | Нет гарантий | Проверено на отсутствие закладок |
| Легальность в госзакупках | Не допускается | Обязательно к применению |
| Возможность использования в 1–2 уровне ПДн | Нет | Да |
| Отчётность перед регуляторами | Не принимается | Принимается |
Когда сертификация — преимущество, а не обуза
Да, это дороже. Да, не всё удобно.
Но если вы работаете с госсектором, персональными данными, на тендерах или в КИИ — у вас просто нет выбора.
Заключение: лучше сертифицироваться заранее, чем оправдываться потом
ФСТЭК — это не “бумажка ради бумажки”.
Это щит, без которого вам не доверят госданные, гостайну и госбюджет.
Это маркер доверия, без которого вам закроют путь в определённые рынки.
И если вы строите ИТ-бизнес в России — с сертификацией ФСТЭК вам по пути.
Часто задаваемые вопросы (FAQ)
1. А если мы просто сайт делаем — нам ФСТЭК не нужен?
Если вы не храните персональные данные (или храните на 3–4 уровне защищённости) — скорее всего нет. Но если появляются ПДн, госуслуги, финансы — проверяйте нормативку.
2. Кто проводит сертификацию — сама ФСТЭК?
Нет, проводят аккредитованные лаборатории, но только по методикам и под контролем ФСТЭК.
3. Можно ли купить обычное ПО и “досертифицировать” его?
Нет. ПО должно быть сертифицировано разработчиком или производителем. Сертифицировать чужой продукт вы не можете.
4. Нас обязывают использовать Linux с сертификатом. Это законно?
Да. В госсекторе и КИИ использовать несертифицированные ОС запрещено. Так что требование — обосновано.
5. Где можно проверить, есть ли сертификат ФСТЭК?
На официальном сайте ФСТЭК России: https://fstec.ru/component/fstecdoc/530-spisok-sertifikatov
Там можно найти по названию продукта или разработчику.
