Криптография станет обязательной для всех IT-систем госорганов с 1 сентября

Минцифры России опубликовало проект приказа, который расширяет требования к защите информации в государственном секторе. Согласно документу, все разработчики IT-систем для государственных органов и муниципальных учреждений будут обязаны использовать средства криптографической защиты данных.

Новые правила вступят в силу с 1 сентября 2026 года и затронут не только государственные информационные системы (ГИС), но и вспомогательные ведомственные сервисы.

Что меняется: от ГИС до кадровых приложений

Ранее требования по защите информации распространялись исключительно на системы, имеющие официальный статус ГИС. После вступления приказа в силу под действие норм попадут:

• системы электронного документооборота;

• кадровые и финансовые приложения;

• региональные реестры;

• другие ведомственные IT-сервисы, обеспечивающие работу госорганов .

«Требования, которые раньше распространялись только на ГИС, теперь будут применяться и к вспомогательным системам государственных органов», — отметил директор по информационной безопасности РТК-ЦОД Денис Поладьев.

Требования к криптографической защите установлены приказом ФСБ России №117. Согласно документу, государственные органы и операторы их информационных систем обязаны использовать только сертифицированные средства шифрования высокого класса.

Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий подчеркнул: «С учётом текущей геополитической обстановки и того, что кибератаки на российские государственные органы зачастую организуются спецслужбами иностранных государств, класс применяемых средств криптографической защиты поднимается до максимально высокого уровня».

Кого коснутся новые правила: 478 компаний в списке

Наиболее существенные изменения затронут провайдеров, предоставляющих вычислительные мощности — коммерческие центры обработки данных (ЦОД). Проект приказа обязывает владельцев ЦОДов обеспечивать целостность и конфиденциальность данных на уровне IT-инфраструктуры.

В сводном отчёте к проекту приказа Минцифры указаны 478 компаний, на которые будут распространяться новые требования. В их числе:

• Selectel;

• «Ростелеком»;

• DataPro;

• IXcellerate и другие .

Важное уточнение: требования распространяются не на всех хостинг-провайдеров из реестра Роскомнадзора, а только на тех, кто предоставляет вычислительные мощности для размещения информационных систем государственных органов и муниципальных учреждений.

Эксперты: снижение рисков утечек и новые барьеры для малого бизнеса

Аналитик Центра стратегической поддержки отечественных технологий Константин Руденский положительно оценил инициативу:

«Поправки распространяют единые правила защиты на все системы, включая электронный документооборот, кадровые и финансовые приложения, региональные реестры и другие ведомственные IT-сервисы. Это позволит существенно снизить риски утечек данных и мошенничества».

По его мнению, новые требования также повысят спрос на надёжные дата-центры и услуги кибербезопасности .

Однако не все участники рынка смогут легко адаптироваться. Генеральный директор группы компаний ST IT, эксперт рынка TechNet НТИ Антон Аверьянов предупредил:

«Крупные игроки рынка в целом уже обладают необходимыми компетенциями, поскольку давно работают с государственными заказчиками. Но для небольших хостинг-провайдеров и облачных операторов, которые часто обслуживают региональных и муниципальных заказчиков, новые требования могут стать серьёзным барьером. Это связано с высокой стоимостью внедрения и необходимостью соответствовать жёстким регуляторным нормам».

Цена вопроса: более 3 миллиардов рублей за шесть лет

Внедрение криптографической защиты потребует значительных расходов. В самом проекте приказа указано, что затраты компаний на выполнение новых требований за шесть лет превысят 3 миллиарда рублей.

Распространение требований по защите информации, установленных ФСТЭК, ФСБ и Минцифры, на большее число систем приведёт также к росту бюджетных расходов, отмечает Алексей Лукацкий.

Впрочем, в Минцифры настроены оптимистично. Представитель ведомства подчеркнул, что на сегодняшний день большинство провайдеров хостинга уже соблюдает действующие требования и обладает необходимой IT-инфраструктурой. Фактические затраты отрасли в связи с введением новых норм, по оценке министерства, вырастут незначительно. Изменения были предварительно обсуждены с участниками рынка и получили их поддержку.

Что это значит для госсектора и бизнеса

Новые требования Минцифры знаменуют собой ужесточение подхода к информационной безопасности в государственном секторе. Если раньше криптографическая защита требовалась только для официальных ГИС, то теперь под контроль попадает вся экосистема вспомогательных сервисов.

Для госорганов и муниципалитетов это означает:

• необходимость пересмотра договоров с IT-подрядчиками;

• приведение всех используемых систем в соответствие с требованиями ФСБ №117;

• возможное увеличение бюджетных расходов на информационную безопасность.

Для провайдеров хостинга и ЦОДов:

• крупные игроки получат дополнительные конкурентные преимущества;

• небольшие компании столкнутся с необходимостью инвестировать в модернизацию инфраструктуры;

• рынок ожидает консолидация и, вероятно, уход части малых операторов.

Для разработчиков IT-систем:

• обязательное использование сертифицированных средств криптографической защиты станет стандартом;

• вырастут требования к квалификации персонала;

• расширится рынок услуг по аттестации и сопровождению защищённых систем.

Новый приказ Минцифры — это шаг к формированию унифицированного контура информационной безопасности государственных систем. Вопрос лишь в том, насколько быстро и безболезненно рынок сможет адаптироваться к новым реалиям.