Дата публикации: 20.02.2026
Статья
КИИ 2025−2026:
новые правила игры и как Ideco NGFW помогает организациям не остаться за бортом
новые правила игры и как Ideco NGFW помогает организациям не остаться за бортом
Введение: почему 1 марта 2026 года — это «час X»
Законодательство о безопасности критической информационной инфраструктуры (КИИ) переживает самые масштабные изменения с момента принятия Федерального закона № 187-ФЗ в 2017 году. В 2025 году вступил в силу ФЗ № 58, ужесточивший требования к субъектам КИИ и технологическому суверенитету. С 1 марта 2026 года вступает в силу ФЗ № 325, вводящий национальный контроль над КИИ, и Приказ ФСТЭК № 117, полностью обновляющий требования к защите информации в ГИС и иных информационных системах государственных органов. В Госдуму направлен законопроект о новой статье 13.12.2 КоАП с серьёзными штрафами за нарушения при эксплуатации объектов КИИ.
Для руководителей организаций и специалистов по информационной безопасности это означает одно: время адаптации заканчивается. Игнорировать требования закона стало не просто рискованно — это чревато персональной ответственностью, вплоть до уголовной.
В этой статье мы разберём ключевые изменения, покажем, какую ответственность несут конкретные должностные лица, и объясним, как Ideco NGFW — российский межсетевой экран следующего поколения — позволяет закрыть большинство новых регуляторных требований.
Для руководителей организаций и специалистов по информационной безопасности это означает одно: время адаптации заканчивается. Игнорировать требования закона стало не просто рискованно — это чревато персональной ответственностью, вплоть до уголовной.
В этой статье мы разберём ключевые изменения, покажем, какую ответственность несут конкретные должностные лица, и объясним, как Ideco NGFW — российский межсетевой экран следующего поколения — позволяет закрыть большинство новых регуляторных требований.
Что изменилось в законодательстве о КИИ
ФЗ № 58-ФЗ: усиление технологической независимости (с 1 сентября 2025 г.)
Федеральный закон от 07.04.2025 № 58-ФЗ внёс принципиальные изменения в ФЗ-187 :
Что это значит на практике: если ваша организация эксплуатирует ЗОКИИ, каждое средство защиты информации, включая межсетевые экраны, должно быть российским, включённым в реестр Минцифры и способным обеспечивать непрерывный обмен данными с ГосСОПКА.
- Расширены полномочия Правительства РФ — оно теперь вправе устанавливать порядок и сроки перехода на российское ПО и программно-аппаратные средства на значимых объектах КИИ (ЗОКИИ), а также требования к этим средствам.
- Введён единый перечень типовых отраслевых объектов КИИ, включающий типы информационных систем, ИТК-сетей и АСУ, обладающих признаком значимости.
- На ЗОКИИ обязательно использование ПО из реестра российского ПО, которое применяется в соответствующих требованиям о защите информации ГИС и иных информационных системах госорганов.
- Обязано непрерывное взаимодействие с ГосСОПКА — государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Что это значит на практике: если ваша организация эксплуатирует ЗОКИИ, каждое средство защиты информации, включая межсетевые экраны, должно быть российским, включённым в реестр Минцифры и способным обеспечивать непрерывный обмен данными с ГосСОПКА.
ФЗ № 325-ФЗ: национальный контроль над КИИ (с 1 марта 2026 г.)
Закон № 325-ФЗ от 31.07.2025 вводит фундаментальные ограничения :
Критически важно: ФЗ № 325 исключает возможность использования на объектах КИИ решений, принадлежащих иностранным компаниям или контролируемых из-за рубежа. Зарубежные NGFW (Cisco, Palo Alto, Fortinet, Check Point) не отвечают этим требованиям по определению.
- Доверенные российские программы и ДПАК — в перечни могут включаться только решения, исключительные права на которые принадлежат российским лицам или организациям, находящимся под контролем граждан РФ.
- Переходный период завершается 1 марта 2026 года — к этой дате организации обязаны привести структуру собственности и используемые технологии в соответствие с новыми требованиями.
Критически важно: ФЗ № 325 исключает возможность использования на объектах КИИ решений, принадлежащих иностранным компаниям или контролируемых из-за рубежа. Зарубежные NGFW (Cisco, Palo Alto, Fortinet, Check Point) не отвечают этим требованиям по определению.
Приказ ФСТЭК № 117: новые требования к защите информации (с 1 марта 2026 г.)
С 1 марта 2026 года прежний Приказ ФСТЭК № 17 утрачивает силу, его сменяет Приказ № 117. Ключевые нововведения:
Ключевой вывод: регулятор перешёл от формального подхода («чеклист мер») к содержательному — нужно доказать, что выбранные средства защиты реально нейтрализуют угрозы, актуальные для конкретной инфраструктуры.
- Уход от «жёстких» перечней мер по классам защищённости — меры теперь подбираются и верифицируются под конкретную архитектуру и актуальные угрозы.
- Обязательная модель угроз по Постановлению Правительства № 676 для ЗОКИИ при создании ГИС, она служит основой для выбора средств защиты.
- Строгая аутентификация для привилегированного доступа, а при технической невозможности — усиленная многофакторная аутентификация (MFA).
- Специальные требования к беспроводному доступу и возможность использования личных мобильных устройств (BYOD) только при наличии контроля со стороны оператора.
- Детализированные требования к описанию применяемых средств защиты с указанием реквизитов сертификатов или обоснованием их отсутствия.
Ключевой вывод: регулятор перешёл от формального подхода («чеклист мер») к содержательному — нужно доказать, что выбранные средства защиты реально нейтрализуют угрозы, актуальные для конкретной инфраструктуры.
Антифрод-платформа Минцифры (ФЗ № 41-ФЗ, с 1 марта 2026 г.)
ФЗ № 41-ФЗ от 01.04.2025 создаёт государственную информационную систему противодействия правонарушениям с использованием ИКТ. Участники — госорганы, ЦБ, банки, операторы связи, владельцы соцсетей, провайдеры хостинга, маркетплейсы.
К функциям относятся:
К функциям относятся:
- Сбор и обмен данными о кибермошенничестве, автоматический обмен сигналами о подозрительных событиях.
- Выявление фишинговых ресурсов и ограничение доступа к мошенническим сайтам.
- МФО с 1 марта 2026 года обязаны аутентифицировать клиентов по биометрии и взаимодействовать с АСОИ ФинЦЕРТ, системами Роскомнадзора, реестром запрещённых сайтов, СМЭВ.
Ответственность: кто и за что отвечает
Персональная ответственность руководителя
Указ Президента РФ от 01.05.2022 № 250 прямо устанавливает:
На руководителей органов (организаций) возлагается персональная ответственность за обеспечение информационной безопасности соответствующих органов (организаций).
Руководитель обязан:
Это не рекомендация — это обязанность первого лица. Генеральный директор, ректор, главный врач, глава администрации — именно они несут персональную ответственность, делегировав оперативное управление заместителю по ИБ.
На руководителей органов (организаций) возлагается персональная ответственность за обеспечение информационной безопасности соответствующих органов (организаций).
Руководитель обязан:
- Создать ИБ-подразделение или возложить функции на существующее.
- Назначить заместителя руководителя, ответственного за ИБ (с профильным образованием — специалитет/магистратура или переподготовка не менее 360 часов).
- Обеспечить отказ от средств защиты из "недружественных" стран.
Это не рекомендация — это обязанность первого лица. Генеральный директор, ректор, главный врач, глава администрации — именно они несут персональную ответственность, делегировав оперативное управление заместителю по ИБ.
Административная ответственность
Действующие санкции по ст. 13.12.1 КоАП РФ:
Вдобавок в Госдуму направлен законопроект о новой ст. 13.12.2 КоАП — ответственность за нарушение правил эксплуатации объектов КИИ:
Нарушение | Штраф для должностных лиц | Штраф для юридических лиц |
Несоблюдение требований к системам безопасности ЗОКИИ | 10 000 — 50 000 руб. | 50 000 — 100 000 руб. |
Нарушение порядка информирования о компьютерных инцидентах | 10 000 — 50 000 руб. | 100 000 — 500 000 руб. |
Нарушение порядка обмена информацией об инцидентах | 20 000 — 50 000 руб. | 100 000 — 500 000 руб. |
Вдобавок в Госдуму направлен законопроект о новой ст. 13.12.2 КоАП — ответственность за нарушение правил эксплуатации объектов КИИ:
Субъект | Штраф |
Граждане | 5 000 — 10 000 руб. |
Должностные лица | 10 000 — 50 000 руб. |
Юридические лица | 100 000 — 500 000 руб. |
Уголовная ответственность: ст. 274.1 УК РФ
Ст. 274.1 УК РФ — «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" — предусматривает наказания, которые должен знать каждый руководитель:
Обратите внимание на часть 4: если руководитель или ответственное должностное лицо своим бездействием допустило нарушение правил эксплуатации КИИ, и это было квалифицировано как деяние «с использованием служебного положения" — минимальный срок составляет 3 года реального лишения свободы.
Часть 5 — если инцидент привёл к тяжким последствиям (нарушение работы объектов обеспечения жизнедеятельности, транспортной инфраструктуры, сетей связи), срок вырастает до 10 лет.
Часть статьи | Деяние | Наказание |
Ч.1 | Создание/распространение вредоносных программ для КИИ | от 2 до 5 лет лишения свободы + штраф до 1 млн руб. |
Ч.2 | Неправомерный доступ к информации КИИ, повлёкший вред | от 2 до 6 лет лишения свободы + штраф до 1 млн руб. |
Ч.3 | Нарушение правил эксплуатации КИИ, повлёкшее вред | до 6 лет лишения свободы + запрет занимать должности |
Ч.4 | То же, с использованием служебного положения | от 3 до 8 лет лишения свободы |
Ч.5 | Тяжкие последствия | от 5 до 10 лет лишения свободы |
Обратите внимание на часть 4: если руководитель или ответственное должностное лицо своим бездействием допустило нарушение правил эксплуатации КИИ, и это было квалифицировано как деяние «с использованием служебного положения" — минимальный срок составляет 3 года реального лишения свободы.
Часть 5 — если инцидент привёл к тяжким последствиям (нарушение работы объектов обеспечения жизнедеятельности, транспортной инфраструктуры, сетей связи), срок вырастает до 10 лет.
Кто рискует конкретно
- Генеральный директор / руководитель организации — персональная ответственность за ИБ по Указу № 250.
- Заместитель руководителя по ИБ — оперативная ответственность за выбор и эксплуатацию средств защиты, взаимодействие с НКЦКИ.
- CISO / руководитель службы ИБ — ответственность за соответствие мер защиты требованиям ФСТЭК, ФСБ, за реагирование на инциденты.
- ИТ-директор / CIO — ответственность за использование несертифицированных или «недоверенных» средств в инфраструктуре КИИ.
- Специалисты эксплуатации — по ч. 3 ст. 274.1 УК РФ, за прямое нарушение правил эксплуатации.
Ideco NGFW: как закрыть требования закона
Российское происхождение и регуляторное соответствие
Ideco NGFW — межсетевой экран нового поколения, разработанный российской компанией с полностью российскими правами на ПО:
Компания также готовится сертифицировать Ideco NGFW по новым требованиям к многофункциональным межсетевым экранам уровня сети.
- Реестр российского ПО Минцифры — запись № 329 от 08.04.2016. Это прямое соответствие требованию ФЗ № 58 об использовании на ЗОКИИ ПО, включённого в реестр российского ПО.
- Сертификат ФСТЭК России № 4503 (срок действия до 28.12.2026) — соответствие требованиям к межсетевым экранам типа, А и Б 4-го класса защиты (ИТ.МЭ.А4.ПЗ, ИТ.МЭ.Б4.ПЗ), системам обнаружения вторжений (ИТ.СОВ.С4.ПЗ), требованиям доверия 4-го уровня.
- Соответствие ФЗ-187, Приказу ФСТЭК № 239, Указу Президента № 250 — решение допущено к защите ГИС, ИСПДн, объектов КИИ до 1-го класса защищённости включительно.
- Российская юрисдикция и контроль — исключительные права принадлежат российской компании, что отвечает критериям ФЗ № 325 для «доверенного» ПО и ДПАК.
Компания также готовится сертифицировать Ideco NGFW по новым требованиям к многофункциональным межсетевым экранам уровня сети.
Функциональность, закрывающая требования Приказа ФСТЭК № 117
Приказ № 117 требует подбирать меры защиты под конкретную архитектуру и актуальные угрозы. Ideco NGFW предоставляет полный набор инструментов для этого.
Сегментация сети и контроль доступа:
Предотвращение вторжений и контроль приложений:
Многофакторная аутентификация и привилегированный доступ:
Приказ № 117 требует строгой аутентификации для привилегированного доступа. Ideco NGFW обеспечивает:
BYOD и беспроводной доступ:
Сегментация сети и контроль доступа:
- Zone-Based Firewall — управление трафиком не только через хосты, но и через сетевые зоны, что упрощает микросегментацию инфраструктуры ЗОКИИ.
- Виртуальные контексты (VCE) в версии Novum — позволяют создавать логически изолированные периметры внутри одного устройства, что критически важно для разделения контуров ЗОКИИ различных категорий.
- L2-мост — режим прозрачной фильтрации без изменения схемы сети, что позволяет внедрить NGFW в существующую инфраструктуру ЗОКИИ без её перестройки.
Предотвращение вторжений и контроль приложений:
- Встроенная система предотвращения вторжений (IPS) с пропускной способностью до 31 Гбит/с (EMIX).
- Deep Packet Inspection (DPI) и контроль приложений на уровне L7.
- В комплексном режиме NGFW (FW + IPS + контроль приложений + контент-фильтрация) пропускная способность составляет до 15,5 Гбит/с.
- Поддержка до 21 000 000 одновременных TCP-соединений и до 800 000 новых сессий в секунду.
Многофакторная аутентификация и привилегированный доступ:
Приказ № 117 требует строгой аутентификации для привилегированного доступа. Ideco NGFW обеспечивает:
- Интеграцию с системой «МУЛЬТИФАКТОР» для многофакторной аутентификации.
- Аутентификацию через RADIUS, Active Directory, ALD Pro.
- Разделение VPN-зон для подключений Site-to-Site и Client-to-Site с разными политиками.
- GeoIP-фильтрацию и ограничения по сетям и протоколам.
BYOD и беспроводной доступ:
- Поддержка нативных VPN-протоколов (IKEv2, SSTP, SSL VPN) для мобильных устройств, включая ОС отечественного производства.
- Фильтрация VPN-трафика полным набором модулей NGFW — файрвол, IPS, контроль приложений, контент-фильтрация.
- HIP-профили (Host Integrity Protection) для проверки состояния устройства при подключении.
Высокая доступность и отказоустойчивость
Для объектов КИИ критична непрерывность работы. Ideco NGFW Novum обеспечивает:
- Кластеризацию Active-Passive с синхронизацией сессий.
- Балансировку VPN-соединений в режиме Active-Active.
- Поддержку LACP для агрегации каналов.
- Архитектуру DPDK/VPP с единым датаплейном и производительностью до 200 Гбит/с.
Противодействие фишингу и мошенничеству
В контексте антифрод-платформы Минцифры (ФЗ № 41-ФЗ) Ideco NGFW может выступать периметровым фильтром:
- Модуль контентной фильтрации с категоризацией сайтов (совместно с SkyDNS).
- Модуль DNS Security для блокировки обращений к фишинговым и вредоносным доменам.
- Возможность интеграции с внешними фидами и чёрными списками для автоматического обновления политик блокировки.
Мэппинг: требования закона → функции Ideco NGFW
Требования регулятора | Суть | Как закрывается Ideco NGFW |
ФЗ-187/58-ФЗ: использование ПО из реестра Минцифры на ЗОКИИ | Только российское ПО | Реестр Минцифры, запись № 329 |
ФЗ-325: доверенное ПО под контролем граждан РФ | Исключительные права — у российского лица | Российская компания, полные права на ПО |
ФЗ-187/58-ФЗ: взаимодействие с ГосСОПКА | Непрерывный обмен данными об инцидентах | syslog, SNMP, NetFlow, REST API, ICAP |
Приказ ФСТЭК № 117: меры защиты под архитектуру и угрозы | Гибкий подбор мер, модель угроз по ПП № 676 | Zone-Based FW, VCE, IPS, DPI, контент-фильтрация — настраиваются под конкретную модель угроз |
Приказ № 117: строгая аутентификация привилегированного доступа | MFA или строгая аутентификация | Интеграция с "МУЛЬТИФАКТОР", AD, ALD Pro, RADIUS |
Приказ № 117: контроль BYOD и беспроводного доступа | Контроль личных устройств | VPN с фильтрацией, HIP-профили, GeoIP |
Приказ ФСТЭК № 239: сертифицированные СЗИ для КИИ | Сертификация МЭ и СОВ | Сертификат ФСТЭК № 4503, МЭ А/Б 4-го класса, СОВ С4 |
Указ Президента № 250: отказ от СЗИ из "недружественных" стран | Российские средства защиты | Полностью российская разработка |
ПП № 1912: переход на ДПАК к 2030 г. | Доверенные программно-аппаратные комплексы | ПО в реестре Минцифры, возможность поставки как ПАК |
ФЗ-41-ФЗ: антифрод, блокировка фишинга | Ограничение доступа к мошенническим ресурсам | DNS Security, контент-фильтрация, интеграция с фидами |
Практические рекомендации
Для руководителей организаций
- Проведите аудит — убедитесь, что все средства защиты на ЗОКИИ и в ГИС включены в реестр российского ПО и имеют действующие сертификаты ФСТЭК. Помните: персональная ответственность за ИБ лежит на вас по Указу № 250.
- Назначьте (или переназначьте) заместителя по ИБ с необходимым образованием и полномочиями. Убедитесь, что он не является формальной фигурой.
- Утвердите план замены иностранных средств защиты до 1 марта 2026 года. По Ф З № 325 переходный период заканчивается именно в эту дату.
- Оцените риски бездействия — штрафы по КоАП (до 500 000 руб. для юрлица), и, главное, уголовная ответственность по ст. 274.1 УК РФ (до 10 лет лишения свободы при тяжких последствиях).
Для специалистов по ИБ и комплаенсу
- Актуализируйте модель угроз по ПП № 676 — с 1 марта 2026 года это обязательное требование для ГИС и ЗОКИИ.
- Проверьте сертификаты всех СЗИ — в новой форме отчётности (Приказ ФСТЭК № 247) нужно указывать реквизиты сертификатов или обоснование их отсутствия.
- Обеспечьте непрерывное взаимодействие с ГосСОПКА — это теперь не факультативно, а обязательно по ФЗ № 58.
- Подготовьте документацию: политики сегментации, правила МЭ, настройки IPS, журналы аудита — всё это понадобится при проверке ФСТЭК.
- Внедрите MFA для привилегированного доступа — это прямое требование Приказа № 117.
Для технических специалистов
- Спланируйте пилот Ideco NGFW — решение поддерживает режим L2-моста, что позволяет протестировать его в действующей инфраструктуре без перестройки сети.
- Реализуйте сегментацию ЗОКИИ — используйте Zone-Based Firewall и виртуальные контексты (VCE) для изоляции объектов различных категорий значимости.
- Настройте интеграцию с SIEM/SOC через syslog, NetFlow и REST API для выполнения требований по мониторингу и реагированию.
- Организуйте VPN-доступ с MFA для удалённых пользователей и BYOD-сценариев с обязательной фильтрацией трафика.
Заключение: цена промедления
До 1 марта 2026 года остаются считанные дни. Законодательство уже не оставляет свободы для интерпретаций:
Каждое из этих нарушений — повод для штрафа по КоАП. А если нарушение привело к инциденту с ущербом — для уголовного преследования по ст. 274.1 УК РФ руководителя и ответственных лиц.
Ideco NGFW — это не просто «галочка» для комплаенса. Это инструмент, который одновременно закрывает требования законодательства и обеспечивает реальную защиту: сегментация, IPS, DPI, контроль приложений, MFA, VPN с фильтрацией, мониторинг — в одном российском решении с сертификатом ФСТЭК. Переход возможен без перестройки сети (режим L2-моста), с открытым API и интеграцией в существующую экосистему безопасности.
Время действовать — сейчас.
- Нет российского ПО на ЗОКИИ — нарушение ФЗ-187, ФЗ-58, ФЗ-325.
- Нет сертифицированного МЭ — нарушение Приказа ФСТЭК № 239 и требований Приказа № 117.
- Нет MFA для привилегированного доступа — нарушение Приказа № 117.
- Нет взаимодействия с ГосСОПКА — нарушение ФЗ-58.
Каждое из этих нарушений — повод для штрафа по КоАП. А если нарушение привело к инциденту с ущербом — для уголовного преследования по ст. 274.1 УК РФ руководителя и ответственных лиц.
Ideco NGFW — это не просто «галочка» для комплаенса. Это инструмент, который одновременно закрывает требования законодательства и обеспечивает реальную защиту: сегментация, IPS, DPI, контроль приложений, MFA, VPN с фильтрацией, мониторинг — в одном российском решении с сертификатом ФСТЭК. Переход возможен без перестройки сети (режим L2-моста), с открытым API и интеграцией в существующую экосистему безопасности.
Время действовать — сейчас.
Ideco NGFW Novum для решения
ваших задач
Заполните форму, чтобы получить доступ к пилотированию
Узнайте, как аналогичную задачу можно решить в вашей компании
Другие публикации по теме