Изменения в Порядок аттестации объектов информатизации

В Министерстве юстиции РФ зарегистрирован приказ ФСТЭК России от 27.02.2026 № 60 "О внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29 апреля 2021 г. № 77".

Главное нововведение - обязательное тестирование на проникновение для государственных информационных систем 1-2 классов защищённости, имеющих выход в интернет или взаимодействующих с другими системами. Исключение сделано только для защищённых VPN-каналов с сертифицированной криптографией.

Аттестаты соответствия теперь выдаются на весь срок эксплуатации объекта, без ограничения по времени. Однако владельцы обязаны не реже одного раза в три года проводить периодический контроль защищённости - анализ уязвимостей и пентест, а отчёт направлять в ФСТЭК в течение пяти рабочих дней. Непредставление отчёта грозит приостановкой действия аттестата.

При модернизации системы проводятся дополнительные испытания изменённых компонентов, но аттестат остаётся действующим. Если же модернизация повышает класс защищённости, потребуется повторная полноценная аттестация.

Поправки уточняют перечень объектов: ГИС, системы персональных данных, АСУ ТП на критических объектах, предприятия ОПК, а также защищаемые помещения для переговоров. Уточнён и состав аттестационных комиссий - теперь не менее двух экспертов с соответствующей квалификацией.

Новые требования в первую очередь касаются госорганов, ГУПов, муниципальных учреждений и операторов значимых систем. Эксперты советуют заранее заложить ресурсы на периодические испытания и начать взаимодействие с лицензиатами ФСТЭК до сентября 2026 года.