Гайки закручиваются: Сертификаты ИБ-компаний власти хотят отзывать после обнаружения первой незаявленной уязвимости

ФСТЭК заявила об ужесточении подхода к регулированию отрасли информационной безопасности. Если федеральная служба найдет в продукте ИБ-вендора еще не заявленную уязвимость, сертификат компании будет отозван.



Подход меняется

Федеральная служба по техническому и экспортному контролю (ФСТЭК) России будет отзывать сертификаты у ИБ-вендоров при обнаружении в их продуктах уязвимостей, о которых компания еще не успела сообщить, пишет ТАСС, ссылаясь на информацию директора по корпоративным продажам «Лаборатории Касперского» Марины Усовой.

«ФСТЭК буквально на днях нам сообщил, что они чуть-чуть меняют подход к вендорам, а именно — если уважаемый регулятор увидит уязвимость раньше, чем мы о ней сообщим, у нас отзовут сертификат. Так что будем еще безопаснее», — заявила Усова.

Детали пока не ясны

На каком основании будет отзываться сертификат пока неясно, сказал агентству источник на рынке информационной безопасности, подтвердивший существование такой инициативы. Не понятно также, что будет происходить с госинформсистемами, в которых используется программное обеспечение с отозванным сертификатом.

freepik ФСТЭК закручивает гайки в отношении поставщиков ИБ-продуктов

С технической точки зрения наличие уязвимости не всегда означает возможность ее эксплуатации или значимое влияние на безопасность конечного продукта, подчеркнул собеседник ТАСС.

Он полагает, что если у поставщика внедрен и эффективно работает процесс разработки безопасного ПО, дополнительное стимулирование ему не требуется. По ГОСТ 56939-2024 разработка безопасного ПО предусматривает в том числе выявление и снижение числа уязвимостей.

ФСТЭК не устраивает уровень информационной безопасности

Рост российского ИБ-рынка последнее время замедляется по сравнению с 2022–2023 гг., когда компании в авральном режиме заменяли решения ушедших западных вендоров.

Между тем количество угроз не снижается, а растет. В III квартале 2025 г. было зафиксировано 42 тыс. киберинцидентов, что на 73% больше показателей 2024 г.

Российские регуляторы и контрольные органы выявили более 1,1 тыс. нарушений в обеспечении безопасности объектов критической информационной инфраструктуры (КИИ), по словам начальника управления ФСТЭК Елены Торбенко, как писал «Интерфакс» в ноябре 2025 г.

В феврале 2025 г. ФСТЭК заявляла, что в общей сложности 47% организаций в стране не защищены от киберугроз, а в ИТ-системах 47% из 170 организаций, относящихся к КИИ, содержатся критические уязвимости. Большая часть уязвимостей, обнаруженных в государственных информационных системах имеет критический и высокий уровень опасности.

В 2026 г. власти намерены принять ряд нормативных актов, требующих и от ИТ-подрядчиков выполнения требований, предъявляемых к владельцам значимых объектов (ЗО) КИИ.