
Сертификат ФСТЭК — обязательное условие для легального применения средств защиты информации в государственных системах, при обработке персональных данных и на объектах критической информационной инфраструктуры (КИИ). Без него продукт нельзя включить в проект аттестации, использовать в тендерной документации или поставить госзаказчику.
Для разработчиков СЗИ сертификат открывает доступ к рынку: без него участие в госзакупках закрыто, а крупные корпоративные и государственные заказчики просто не будут серьёзно рассматривать продукт. Для организаций сертификат определяет, какие СЗИ можно легально применять в конкретном классе системы.
В статье разбираем: кому и зачем нужна сертификация, как устроена процедура, как выбрать нужный уровень доверия и что происходит после получения сертификата.
Главное
- Сертификация ФСТЭК обязательна для защищаемых систем. СЗИ без сертификата нельзя легально применять в государственных информационных системах, информационных системах персональных данных и на значимых объектах КИИ.
- Сертифицируется конкретная версия продукта. Изменение кода или конфигурации требует повторного прохождения испытаний или инспекционного контроля.
- Уровень доверия определяет, в каких системах можно применять СЗИ. Шкала — от УД-6 (ГИС 3 класса, КИИ 3 категории) до УД-4 (ГИС 1 класса, КИИ 1 категории). УД-3 и выше — для систем с гостайной.
- Испытания проводит аккредитованная лаборатория, сертификат выдаёт ФСТЭК. Заявитель взаимодействует с лабораторией и органом по сертификации — ФСТЭК принимает финальное решение на основании экспертного заключения.
- После получения сертификата начинается инспекционный контроль. Ежегодная процедура подтверждает, что продукт соответствует заявленным характеристикам. При нарушениях сертификат может быть приостановлен или аннулирован.
- Сертификат с истёкшим сроком не означает запрет на эксплуатацию. Если производитель поддерживает продукт и запись в реестре ФСТЭК актуальна, продукт можно использовать дальше.
Что такое сертификация ФСТЭК и кто её проводит
Сертификация ФСТЭК — процедура подтверждения соответствия средства защиты информации требованиям безопасности, установленным Федеральной службой по техническому и экспортному контролю (ФСТЭК России).
По её итогам выдаётся сертификат соответствия — документ, без которого средство защиты информации нельзя легально применять в государственных информационных системах, системах обработки персональных данных и на объектах критической информационной инфраструктуры (КИИ).

Роль главного регулятора в этом процессе выполняет ФСТЭК России — федеральный орган исполнительной власти, подведомственный Министерству обороны. Служба устанавливает требования к защите информации, не составляющей государственную тайну, и контролирует их соблюдение в государственном и корпоративном секторе.
Что входит в полномочия ФСТЭК в части сертификации
- Формирование системы сертификации. ФСТЭК России создаёт и поддерживает нормативно-правовую базу системы сертификации СЗИ — устанавливает правила, процедуры и требования к участникам.
- Разработка требований и стандартов. Ведомство разрабатывает и утверждает требования по безопасности информации, уровни доверия к СЗИ и методики проведения испытаний.
- Аккредитация участников. ФСТЭК аккредитует органы по сертификации и испытательные лаборатории, ведёт их реестры.
- Выдача сертификатов. На основании протоколов испытаний и экспертного заключения органа по сертификации ФСТЭК принимает решение о выдаче сертификата и устанавливает срок его действия.
- Государственный реестр. Ведомство ведёт открытый реестр сертифицированных СЗИ — публичный перечень всех действующих сертификатов с возможностью проверки подлинности.
- Надзор и контроль. ФСТЭК проводит инспекционный контроль за сертифицированными продуктами и вправе приостанавливать или отзывать сертификаты при выявлении несоответствий.
Участники системы сертификации ФСТЭК России
Непосредственно испытания проводят аккредитованные испытательные лаборатории — независимые организации, прошедшие проверку ФСТЭК. Орган по сертификации (также аккредитованный ФСТЭК) проверяет результаты испытаний и принимает решение о выдаче сертификата. Заявитель (разработчик или производитель СЗИ) взаимодействует с обеими структурами.
| Участник | Роль в процессе |
|---|---|
| ФСТЭК России | Устанавливает требования, аккредитует участников, выдаёт и отзывает сертификаты, ведёт реестр |
| Орган по сертификации | Проверяет результаты испытаний, готовит экспертное заключение и проект сертификата |
| Испытательная лаборатория | Проводит сертификационные испытания СЗИ, передаёт материалы в орган по сертификации |
| Изготовитель СЗИ (заявитель) | Подаёт заявку, предоставляет изделие и документацию, взаимодействует с лабораторией и органом по сертификации |
Порядок сертификации средств защиты информации
Процедура сертификации регламентирована Приказом ФСТЭК России № 55 и включает последовательные этапы — от подачи заявки до получения сертификата соответствия. Каждый этап закреплён за конкретным участником системы: заявителем, испытательной лабораторией, органом по сертификации или непосредственно ФСТЭК России.
| № | Этап | Кто выполняет |
|---|---|---|
| 1 | Согласование заявки на сертификацию, выбор испытательной лаборатории | Заявитель |
| 2 | Подача заявки в ФСТЭК России | Заявитель |
| 3 | Выдача решения о проведении сертификации | ФСТЭК России |
| 4 | Предварительное ознакомление с изделием, передача документации | Заявитель → Испытательная лаборатория |
| 5 | Разработка и согласование программы и методики испытаний | Испытательная лаборатория + Орган по сертификации |
| 6 | Проведение сертификационных испытаний | Испытательная лаборатория |
| 7 | Передача материалов испытаний в орган по сертификации | Испытательная лаборатория → Орган по сертификации |
| 8 | Экспертиза материалов, подготовка заключения и проекта сертификата | Орган по сертификации → ФСТЭК России |
| 9 | Выдача сертификата соответствия | ФСТЭК России → Заявитель |
Что такое Приказ ФСТЭК России № 55?
Приказ ФСТЭК России № 55 от 03 апреля 2018 года — нормативный акт, утверждающий Положение о системе сертификации средств защиты информации в Российской Федерации. Документ устанавливает процедуры, требования и сроки для сертификации средств, предназначенных для защиты информации от несанкционированного доступа и других угроз информационной безопасности.
Что такое испытательная лаборатория?
Аккредитованные ФСТЭК испытательные лаборатории — это специализированные организации, получившие официальное признание и аккредитацию от Федеральной службы по техническому и экспортному контролю (ФСТЭК) России на проведение испытаний средств защиты информации и продуктов информационной безопасности. Реестр таких лабораторий ведёт ФСТЭК России и содержит сведения об аттестатах аккредитации, включая номер аттестата и дату выдачи.
Что такое аккредитованный орган по сертификации?
Аккредитованные ФСТЭК органы по сертификации — это организации, получившие официальное признание от ФСТЭК России на право проведения сертификации средств защиты информации и продуктов информационной безопасности в соответствии с требованиями российского законодательства. Ведение реестра таких органов осуществляется ФСТЭК России, который содержит полную информацию об аккредитованных сертификационных центрах и их полномочиях.
Зачем нужна сертификация ФСТЭК
- Подтверждение надёжности продукта. Испытания включают анализ исходного кода, проверку на уязвимости и тестирование заявленных функций безопасности. Для заказчика сертификат — независимое свидетельство того, что продукт проверен, а не просто задекларирован производителем как безопасный.
- Выполнение требований регуляторов. Для государственных информационных систем, информационных систем персональных данных и значимых объектов КИИ применение сертифицированных СЗИ обязательно.
- Допуск продукта на защищённый рынок. Разработчик СЗИ без сертификата ФСТЭК закрыт от госзаказчиков, операторов КИИ и большинства крупных корпоративных тендеров, где наличие сертификата — обязательное требование технического задания.
- Конкурентное преимущество. В сегменте продаж государственным заказчикам (B2G) и корпоративном секторе с регуляторными требованиями (B2B) сертификат ФСТЭК часто становится решающим аргументом при выборе между сопоставимыми продуктами.
Кому нужна сертификация ФСТЭК
Сертификация ФСТЭК требуется организациям, которые обрабатывают конфиденциальные данные, эксплуатируют объекты критической информационной инфраструктуры или поставляют средства защиты на рынок.
- Государственные органы и ГИС. Информационные системы, обрабатывающие государственные данные, обязаны использовать сертифицированные СЗИ. Это распространяется на федеральные и региональные органы власти, а также на организации, эксплуатирующие государственные информационные системы.
- Операторы персональных данных. Медицинские учреждения, банки, образовательные организации и любые другие операторы, проходящие аттестацию информационной системы персональных данных, обязаны применять сертифицированные средства защиты.
- Субъекты КИИ. Организации из энергетики, финансовой сферы, здравоохранения, транспорта и других отраслей, чьи объекты признаны значимыми, обязаны использовать СЗИ, прошедшие оценку соответствия требованиям ФСТЭК.
- Разработчики и поставщики СЗИ. Сертификат подтверждает, что антивирус, менеджер паролей, межсетевой экран, операционная система или другое средство защиты проверено на отсутствие уязвимостей и соответствует требованиям безопасности. Для поставщиков, работающих с госзаказчиками, сертификат — обязательное условие участия в закупках.
- Коммерческие компании. Для бизнеса без госконтрактов и вне периметра КИИ сертификация добровольна, но служит конкурентным преимуществом и упрощает выход на рынок с высокими требованиями к информационной безопасности.
Что подлежит сертификации ФСТЭК
Объект сертификации ФСТЭК — средство защиты информации. Это программный или программно-аппаратный продукт, реализующий функции защиты. Сертифицируется конкретная версия продукта с конкретной конфигурацией — изменение кода требует повторного прохождения процедуры или инспекционного контроля.
Согласно Приказу ФСТЭК России № 55 от 03.04.2018, сертификации подлежат три категории продуктов:
- Средства противодействия иностранным техническим разведкам — а также средства контроля эффективности такого противодействия. Применяются преимущественно в государственных и оборонных структурах.
- Средства технической защиты информации (СТЗИ) — включая средства, в которых они реализованы, и средства контроля эффективности технической защиты. Наиболее широкая категория на практике: сюда входят межсетевые экраны, средства защиты от НСД, антивирусные средства, средства обнаружения вторжений, средства доверенной загрузки, операционные системы и СУБД, применяемые в защищаемых системах.
- Средства обеспечения безопасности информационных технологий — включая защищённые средства обработки информации. Категория охватывает продукты, в которых функции безопасности встроены в общую функциональность: защищённые ОС, аппаратно-программные комплексы с функциями защиты.
Что не сертифицируется по линии ФСТЭК:
- Средства криптографической защиты информации (СКЗИ) — их сертифицирует ФСБ России по отдельной системе.
- СЗИ иностранного производства, в отношении которых установлены ограничения или запреты на использование в РФ, — прямой запрет закреплён в Приказе № 55 (в ред. Приказа ФСТЭК № 121 от 05.08.2021).
- Общесистемное ПО без функций защиты, бизнес-приложения (ERP, CRM), сетевое оборудование без встроенных функций защиты.
Корпоративные менеджеры паролей, применяемые в ГИС или на объектах КИИ, относятся ко второй категории объектов сертификации по Приказу ФСТЭК № 55 — средствам технической защиты информации (в нормативном смысле этот термин охватывает программные и программно-аппаратные СЗИ, а не только аппаратные решения). Если такой продукт используется в защищаемой системе, он должен быть сертифицирован.
Пассворк — единственный менеджер паролей, сертифицированный ФСТЭК России. Продукт включён в реестр отечественного ПО и имеет лицензии ФСБ на работу с криптографией, а также ФСТЭК на ТЗКИ и СЗКИ — это означает, что его можно применять в ГИС, ИСПДн и на значимых объектах КИИ без дополнительных согласований. Протестировать Пассворк в своей инфраструктуре можно бесплатно
Практические особенности сертификации ФСТЭК
Сертификация — постоянный процесс управления соответствием. Несколько аспектов, которые важно учитывать на практике.
- Сертифицированная версия отличается от коммерческой. Продукт эксплуатируется в зафиксированной конфигурации, которая прошла испытания. Из-за этого возникают задержки обновлений: пока новая версия проходит испытания (в среднем 5–12 месяцев), сертифицированная остаётся на предыдущем релизе. Часть функциональности может быть ограничена.
- СЗИ с истёкшим сертификатом не нужно немедленно менять. Если производитель продолжает техническую поддержку продукта и запись о сертификате остаётся в реестре ФСТЭК — продукт можно эксплуатировать дальше. Статус поддержки отображается в реестре отдельной графой, его можно проверить публично.
- Инспекционный контроль — ежегодная обязанность. После получения сертификата производитель проходит плановый инспекционный контроль раз в год. Внеплановый контроль возможен при выявлении нарушений или существенных изменениях в продукте. По результатам контроля сертификат может быть приостановлен или аннулирован.
- В одной организации могут сосуществовать разные требования. Если компания эксплуатирует несколько информационных систем с разными категориями данных, одна система может требовать сертифицированных СЗИ, другая — нет. Это допустимо, но системы должны быть чётко разделены: их пересечение исключено.
- Требования ФСТЭК регулярно обновляются. Модель угроз меняется, вслед за ней обновляется и реестр сертифицированных СЗИ. Продукт, соответствующий требованиям сегодня, может потребовать замены при следующем обновлении нормативной базы. Переход на новые СЗИ и повторная аттестация выполняются поэтапно, чтобы не создавать разрывов в защите действующих систем.
Правовая основа системы сертификации СЗИ
Правовая база системы сертификации ФСТЭК России включает федеральные законы, постановления Правительства РФ, а также основополагающий Приказ ФСТЭК России от 03.04.2018 № 55, который утверждает Положение о системе сертификации средств защиты информации.
Уровень 1: Федеральные законы (рамочные требования)
Федеральные законы устанавливают обязанность защищать информацию и подтверждать соответствие средств защиты, но не указывают конкретную форму — сертификат или декларирование.
| Закон | Что именно сказано | Для кого |
|---|---|---|
| 152-ФЗ «О персональных данных» | Оператор обязан применять СЗИ, прошедшие оценку соответствия (без уточнения формы) | ИСПДн |
| 187-ФЗ «О безопасности КИИ» | ФСТЭК уполномочена устанавливать требования к безопасности значимых объектов КИИ, включая параметры программно-аппаратных СЗИ | КИИ |
| 149-ФЗ «Об информации, информационных технологиях и о защите информации» | Обладатель информации обязан принимать меры по защите, состав мер определяют ФСБ и ФСТЭК (для ГИС) и Правительство (для остальных категорий) | ГИС |
| 184-ФЗ «О техническом регулировании» | Определяет формы оценки соответствия: сертификация (обязательная/добровольная) и декларирование | Все системы |
Вывод с этого уровня: федеральные законы говорят «надо защищать» и «надо подтверждать соответствие СЗИ», но не говорят «только сертификат ФСТЭК». Это решается ниже.
Уровень 2: Постановления Правительства РФ (конкретизация)
Постановления Правительства переводят рамочные требования законов в конкретные правила для каждого типа систем: устанавливают уровни защищённости, правила категорирования объектов и требования к импортозамещению. Именно здесь появляется привязка к классам защиты — от неё зависит, какой именно сертификат потребуется от СЗИ.
| Документ | Что устанавливает | Для кого |
|---|---|---|
| ПП № 1119 от 01.11.2012 | Уровни защищённости ПДн (4 уровня) и общие требования к их защите | ИСПДн |
| ПП № 676 от 06.07.2015 | Общие требования к созданию и эксплуатации ГИС, включая отсылку к необходимости защиты информации | ГИС |
| ПП № 127 от 08.02.2018 | Правила категорирования объектов КИИ | КИИ |
| ПП № 330 от 01.03.2025 | Требования к использованию российского ПО на объектах КИИ (импортозамещение) | КИИ |
Уровень 3: Приказы ФСТЭК (главный практический уровень)
На этом уровне уже прямо появляется слово «сертификат». Каждый приказ адресован конкретному типу систем и устанавливает, что СЗИ должны быть сертифицированы ФСТЭК, а класс защиты сертификата определяется классом или категорией защищаемой системы.
| Приказ | Полное название | Для кого | Что требует |
|---|---|---|---|
| № 117 (ранее № 17) | Требования к защите информации в ГИС | ГИС, КИИ | СЗИ должны иметь действующий сертификат ФСТЭК |
| № 21 | Состав и содержание мер по защите ПДн | ИСПДн | СЗИ должны иметь действующий сертификат ФСТЭК, класс СЗИ зависит от уровня защищённости ПДн (УЗ-1…УЗ-4) |
| № 31 | Требования к защите информации в АСУ ТП | АСУ ТП на КИИ | СЗИ — сертифицированные, класс защиты определяется категорией значимости объекта |
| № 239 | Требования по обеспечению безопасности значимых объектов КИИ | КИИ (значимые объекты) | СЗИ — только сертифицированные ФСТЭК (и/или ФСБ для СКЗИ) |
| № 55 | Положение о системе сертификации СЗИ | Все | Описывает саму процедуру сертификации: как подать, как испытывают, срок действия сертификата |
Вывод: приказы №117, №21, №31 и №239 создают спрос на сертификат. Приказ №55 описывает, как этот сертификат получить.
Уровень 4: Методические документы ФСТЭК (разъяснения)
Методические документы объясняют, как выполнять требования приказов. Прежде всего это касается определения актуальных угроз и выбора конкретных мер защиты: от этого зависит, какой класс СЗИ потребуется в конкретной системе.
| Документ | Что содержит |
|---|---|
| Методика оценки угроз безопасности информации (2021) | Как определять актуальные угрозы — от этого зависит требуемый класс СЗИ |
| Методический документ «Меры защиты информации в ГИС» (2014) | Таблицы соответствия: класс ГИС → конкретные меры → требуемый класс СЗИ |
Что такое уровень доверия ФСТЭК
Уровень доверия (УД) — это характеристика средства защиты информации, которая отражает глубину проверки продукта при сертификации: насколько тщательно испытательная лаборатория изучила исходный код, документацию и процессы разработки. Чем выше уровень доверия, тем строже требования к самому СЗИ и тем в более критичных системах его разрешено применять.
Шкала включает 6 уровней — от базового (УД-6) до максимального (УД-1). Уровни доверия введены Приказом ФСТЭК России № 76 от 02.06.2020, который с 1 января 2021 года заменил ранее действовавший Приказ № 131.
Уровень доверия и класс защиты — разные понятия. Уровень доверия описывает, насколько глубоко проверено само СЗИ. Класс защиты описывает требования к информационной системе, в которой это СЗИ применяется.
Минимально допустимый уровень доверия для каждого типа систем задаётся отраслевыми приказами ФСТЭК: № 17 — для ГИС, № 21 — для ИСПДн, № 239 — для значимых объектов КИИ (критической информационной инфраструктуры).
6 уровней доверия ФСТЭК
| Уровень доверия | Где применяется | Глубина проверки |
|---|---|---|
| УД-6 (базовый) | ГИС 3 класса, ИСПДн УЗ-3 и УЗ-4, КИИ 3 категории, АСУ ТП 3 класса | Архитектура безопасности, функциональная спецификация, тестирование, поиск уязвимостей по 6 уровню контроля |
| УД-5 | ГИС 2 класса, ИСПДн УЗ-2, КИИ 2 категории, АСУ ТП 2 класса | УД-6 + исходные тексты ПО, структурные схемы аппаратной платформы, поиск уязвимостей по 5 уровню контроля, реагирование на уязвимости в течение 60 дней |
| УД-4 | ГИС 1 класса, ИСПДн УЗ-1, КИИ 1 категории, АСУ ТП 1 класса, ИС общего пользования II класса | УД-5 + формальная модель безопасности, анализ скрытых каналов, поиск уязвимостей по 4 уровню контроля, реагирование на уязвимости в течение 48 часов |
| УД-3 — УД-1 | Системы, обрабатывающие сведения, составляющие государственную тайну | Требования содержатся в документах с ограниченным доступом и в публичной выписке Приказа № 76 не раскрываются |
Требования к процессам безопасной разработки ПО, которые влияют на получение более высоких уровней доверия, регулируются ГОСТ Р 56939-2024. Начиная с определённых уровней доверия соответствие этому стандарту становится обязательным условием сертификации.
Сертификация как часть архитектуры безопасности

Сертификат ФСТЭК подтверждает соответствие продукта требованиям безопасности на момент испытаний. Дальше начинается работа по поддержанию этого соответствия: инспекционный контроль, согласование обновлений с регулятором, актуализация документации при изменениях в продукте.
Организации, которые встраивают эти процессы в жизненный цикл разработки заранее, а не адаптируются к ним постфактум, проходят повторные сертификации быстрее и с предсказуемым бюджетом.
Требования ФСТЭК меняются вместе с моделью угроз. Продукт, соответствующий актуальным требованиям сегодня, может потребовать доработки при следующем обновлении нормативной базы. Это не недостаток системы — это её логика: сертификация отражает текущий уровень доверия, а не даёт бессрочную гарантию.
Для организаций, которым нужен сертифицированный менеджер паролей для выполнения требований ФСТЭК, Пассворк — готовое решение: продукт включён в реестр отечественного ПО, имеет лицензии ФСТЭК и ФСБ, что закрывает требования регуляторов без необходимости строить решение с нуля.
Пассворк сертифицирован ФСТЭК России по 4-му уровню доверия — это означает применимость в ГИС первого класса, ИСПДн УЗ-1, на значимых объектах КИИ первой категории и в АСУ ТП первого класса. Протестировать можно бесплатно
Часто задаваемые вопросы о сертификации ФСТЭК

Что такое сертификация ФСТЭК?
Сертификация ФСТЭК — процедура подтверждения соответствия средства защиты информации требованиям безопасности, установленным Федеральной службой по техническому и экспортному контролю. Сертификат обязателен для СЗИ, применяемых в государственных информационных системах, информационных системах персональных данных и на значимых объектах КИИ.
Сколько действует сертификат ФСТЭК?
Срок действия сертификата устанавливает ФСТЭК России при его выдаче — он фиксируется в самом документе. В течение срока действия производитель обязан ежегодно проходить инспекционный контроль. По его результатам сертификат может быть подтверждён, приостановлен или аннулирован.
Чем сертификация ФСТЭК отличается от лицензии ФСТЭК?
Сертификация подтверждает соответствие конкретного продукта требованиям безопасности — это документ на продукт. Лицензия ФСТЭК даёт организации право выполнять определённые виды деятельности по защите информации, например техническую защиту конфиденциальной информации (ТЗКИ) или разработку СЗИ — это документ на деятельность. Процедуры получения, органы и основания для выдачи у них разные.
Можно ли использовать несертифицированное СЗИ в госорганизации?
Нет, если речь идёт о государственной информационной системе или системе обработки персональных данных. Согласно Приказу ФСТЭК № 17 (для ГИС) и Приказу ФСТЭК № 21 (для ИСПДн), применяемые СЗИ должны быть сертифицированы и соответствовать требуемому уровню доверия. Использование несертифицированных СЗИ является нарушением и может повлечь административную ответственность.
Как проверить, действителен ли сертификат ФСТЭК?
Актуальный статус сертификата проверяется в реестре сертифицированных СЗИ на официальном сайте ФСТЭК России. Реестр содержит номер сертификата, наименование и версию продукта, срок действия и текущий статус. Проверку рекомендуется проводить перед закупкой СЗИ и при плановых аудитах информационной безопасности.
Что происходит с сертификатом при обновлении продукта?
Сертификат выдаётся на конкретную версию продукта в зафиксированной конфигурации. При выпуске обновления производитель согласовывает изменения с органом по сертификации в рамках инспекционного контроля. Существенные изменения в коде или архитектуре безопасности могут потребовать повторных испытаний. До завершения процедуры эксплуатировать разрешено только сертифицированную версию.
Нужна ли повторная сертификация при смене инфраструктуры?
Сертификат распространяется на продукт, а не на инфраструктуру, в которой он развёрнут. Смена серверов или переход на другую платформу сама по себе не требует повторной сертификации СЗИ. Однако если организация меняет категорию обрабатываемых данных (например, начинает обрабатывать персональные данные более высокого уровня защищённости) может потребоваться замена СЗИ на продукт с более высоким уровнем доверия.



Что такое сертификация ФСТЭК: кому нужна и как пройти
Разбираем систему сертификации ФСТЭК: кто обязан применять сертифицированные СЗИ, как устроена процедура от заявки до выдачи сертификата, чем отличаются уровни доверия УД-6 — УД-4 и какие обязательства возникают после получения сертификата.














