Сертификация ФСТЭК облачных КИИ: пошаговое руководство 2026

Сертификация ФСТЭК облачных решений КИИ — это обязательная процедура подтверждения соответствия облачных платформ требованиям безопасности для объектов критической информационной инфраструктуры. По состоянию на июнь 2026 года процесс включает технические испытания, проверку документации и аудит мер защиты, а итогом становится запись в реестре Росаккредитации и получение сертификата сроком на 3–5 лет. Средний цикл сертификации занимает 8–12 месяцев при бюджете от 2 до 5 млн рублей, при этом ужесточение импортозамещения обязывает использовать преимущественно российские программные и аппаратные компоненты из реестра Минцифры.

Кому адресован этот материал: техническим директорам облачных провайдеров, руководителям проектов по цифровизации госсектора и владельцам КИИ-систем, которые планируют ввод облачных решений в контур критической инфраструктуры. Статья даёт прикладную дорожную карту — от подготовительного обследования до получения сертификата — и разъясняет взаимосвязь сертификации с реестром Минцифры и политикой импортозамещения. Вся информация актуальна на середину 2026 года с учётом обновлённых приказов ФСТЭК России и практики аккредитованных лабораторий.

Нормативная база сертификации облачных КИИ

Процедура сертификации облачных решений для КИИ опирается на несколько ключевых нормативных актов. Центральный документ — Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который определяет перечень субъектов КИИ и обязывает их внедрять сертифицированные средства защиты. Конкретные требования к облачным платформам закреплены в Постановлении Правительства № 127, а также в приказах ФСТЭК № 239, № 17 и № 21.

Федеральный закон № 187-ФЗ устанавливает базовые принципы защиты КИИ и категорирование объектов.
Постановление № 127 описывает требования к средствам защиты информации, используемым в КИИ.
Приказ ФСТЭК № 239 утверждает методику оценки угроз безопасности информации.
Приказ ФСТЭК № 17 регламентирует требования к защите информации в автоматизированных системах управления.
Приказ ФСТЭК № 21 детализирует состав мер защиты для облачных сред различного уровня защищённости.

Для облачных решений дополнительно применяются методические документы ФСТЭК, такие как «Требования к облачным вычислениям» (2024) и профиль защиты для виртуализации. Совокупность этих актов формирует исчерпывающую систему оценок, которая обязательна для лабораторий при проведении сертификационных испытаний.

Системный администратор настраивает серверное оборудование для сертификации

Какие облачные решения подлежат сертификации

Под сертификацию попадают не все облачные сервисы, а только те, что становятся частью объекта КИИ или обрабатывают информацию, отнесённую к категории значимой. Согласно 187-ФЗ, субъект КИИ проводит категорирование, и если уровень критичности средний или высокий, применяемые облачные платформы должны иметь сертификат ФСТЭК. Соответственно, сертифицируются:

Инфраструктурные облачные сервисы (IaaS), предоставляющие виртуальные машины и хранилище.
Платформенные облачные сервисы (PaaS), управляемые среды разработки и базы данных.
Программные облачные сервисы (SaaS), если они встраиваются в контур КИИ.

Важно различать сертификацию самой облачной платформы и сертификацию средств защиты, встроенных в неё. Для SaaS-решений, построенных на базе уже сертифицированного IaaS, объём сертификации может быть сокращён, однако интеграционные компоненты всё равно подлежат оценке.

Требования ФСТЭК к облакам в 2026 году

С 2026 года ФСТЭК усилил контроль за облачной безопасностью КИИ. Основные требования теперь включают:

Обязательное применение средств защиты информации из реестра отечественного ПО (сертифицированные межсетевые экраны, средства антивирусной защиты, системы обнаружения вторжений).
Реализацию многоуровневой модели безопасности: изоляция виртуальных машин, доверенная загрузка гипервизора, защита каналов передачи данных.
Непрерывный мониторинг событий безопасности с передачей логов в ГосСОПКА — для объектов КИИ высокой критичности.
Наличие аттестованной по требованиям ФСТЭК системы управления доступом и аутентификации (включая двухфакторную).

Для импортозамещения КИИ критично, чтобы все ключевые компоненты платформы были российскими: гипервизор (например, СКАДА-В, pVE), операционные системы (Alt, Astra Linux), СУБД (PostgresPro, Tantor). Иностранные решения допустимы лишь при официальном заключении о невозможности замещения, что на практике с 2026 года становится труднодостижимым.

Этапы сертификации облачных решений КИИ

Типовой маршрут сертификации облачной платформы для КИИ состоит из шести этапов. Продолжительность каждого может варьироваться, но общая практика на 2026 год укладывается в коридор 8–12 месяцев.

Предварительное обследование. Лаборатория оценивает текущее состояние безопасности облачной платформы, сопоставляет его с требованиями ФСТЭК и выявляет недостатки. Длительность: 2–4 недели.
Разработка программы и методик испытаний. На основе обследования формируется документ, определяющий перечень проверяемых функций, тестовых сценариев и критериев оценки. Длительность: 3–5 недель.
Сертификационные испытания. Проводятся на стенде заявителя или в лаборатории. Включают тестирование защитных механизмов, попытки вторжений, проверку документации. Длительность: 2–4 месяца.
Анализ результатов и оформление протоколов. Лаборатория фиксирует все выявленные замечания и соответствия. Если находятся критические несоответствия, заявитель должен их устранить и пройти повторные испытания. Длительность: 1–2 месяца.
Передача документов в ФСТЭК. Пакет сертификационных материалов направляется в центральный аппарат для принятия решения. Длительность: 1–2 месяца.
Выдача сертификата и внесение в реестр. Положительное решение фиксируется в реестре Росаккредитации, сертификат действует 3 или 5 лет. Длительность: 2–3 недели.

Этап	Средняя длительность	Типичные сложности
Предварительное обследование	2–4 недели	Неполное документирование архитектуры
Разработка ПМИ	3–5 недель	Разногласия по объёму испытаний
Сертификационные испытания	2–4 месяца	Выявление ранее неизвестных уязвимостей
Анализ результатов	1–2 месяца	Необходимость переделки компонентов
Передача в ФСТЭК	1–2 месяца	Затянутое рассмотрение при высокой нагрузке
Выдача сертификата	2–3 недели	—

Документы по включению в реестр Минцифры на столе эксперта

Роль реестра Минцифры при сертификации

Сертификация ФСТЭК для облачных платформ КИИ тесно увязана с реестром отечественного ПО и радиоэлектронной продукции, который ведёт Минцифры. В 2026 году действует правило: для объектов КИИ категории значимости «высокая» все применяемые средства защиты, включая встроенные в облачную платформу, должны быть включены в реестр. Это означает, что облачный провайдер должен не только сертифицировать своё решение по требованиям безопасности, но и подтвердить его «отечественность».

Процедура включения в реестр Минцифры сама по себе требует отдельного пакета документов: исходный код, сведения о разработчике, экспертное заключение. При совмещении с сертификацией ФСТЭК логично подавать заявки параллельно, так как материалы перекликаются. Лаборатории при испытаниях проверяют наличие регистрационных номеров в реестре для каждого критичного компонента — операционных систем, СУБД, средств виртуализации.

Сроки и стоимость сертификации в 2026 году

Бюджет сертификации облачной платформы КИИ складывается из нескольких статей и сильно зависит от размера и сложности решения. Минимальный ориентир на 2026 год — 2,5 млн рублей, верхняя граница для крупных провайдеров достигает 5–7 млн рублей.

Оплата услуг лаборатории: от 1,5 до 3 млн рублей, включая испытания и оформление протоколов.
Государственная пошлина за рассмотрение заявки в ФСТЭК: около 200 тыс. рублей.
Разработка и доработка документации (частная аналитика, моделирование угроз): от 300 до 800 тыс. рублей.
Модернизация инфраструктуры: затраты на установку недостающих средств защиты, обновление версий ПО — от 500 тыс. до 2 млн рублей.

С точки зрения сроков, помимо самого сертификационного цикла (8–12 месяцев), закладывайте ещё 2–4 месяца на подготовку: кадровое обучение, настройку стендов, пилотные испытания. В итоге от старта до выхода на сертифицированное облако проходит от 12 до 18 месяцев.

Типичные ошибки и как их избежать

Большинство отказов при сертификации облачных решений КИИ связаны с тремя проблемами: неполное импортозамещение, слабое документирование мер безопасности и недостаточное тестирование перед подачей в лабораторию.

Ошибка 1: использование иностранного гипервизора или ОС без заключения о невозможности замещения. Решение: провести внутренний аудит стека на соответствие реестру Минцифры до обращения в лабораторию.
Ошибка 2: формальное описание модели угроз без привязки к реальной архитектуре облака. Решение: привлечь специалистов по безопасности для составления детализированной модели, учитывающей виртуальные сети, хранилища и каналы управления.
Ошибка 3: неготовность стенда к нагрузочным тестам — отказ в отказоустойчивости, деградация при атаках. Решение: провести хотя бы одни внутренние приёмочные испытания по методике лаборатории.

Дополнительный риск — пропуск обновлений нормативной базы. За 2025–2026 годы ФСТЭК выпустила ряд разъяснений, ужесточающих требования к журналированию. Если платформа не собирает расширенный аудит событий безопасности, она не пройдёт испытания.

Процесс планирования бюджета на сертификацию облачной платформы

Поддержание действия сертификата

Сертификат ФСТЭК на облачную платформу КИИ — не вечный документ. Он требует периодического инспекционного контроля: для сертификатов на 5 лет — каждые 2 года, для 3-летних — за полгода до истечения. Инспекционный контроль включает выезд лаборатории, тестирование обновлённых компонентов и анализ изменившихся угроз.

Если облачная платформа претерпела значительные изменения — например, смена гипервизора или переход на новую версию основных компонентов — может потребоваться модификация сертификата или повторная сертификация. Поэтому рекомендуем сразу закладывать в бюджет ресурсы на сопровождение и держать в штате специалиста, отвечающего за поддержание сертификационного соответствия.

Перспективы развития регулирования

К концу 2026 года ожидается внедрение единого реестра сертифицированных облачных решений КИИ, который будет синхронизирован с реестром Минцифры. Это сократит дублирование проверок и упростит заказчикам выбор платформы. Также обсуждается проект поправок в 187-ФЗ, расширяющий перечень субъектов КИИ за счёт крупных коммерческих компаний в секторах связи и транспорта, что увеличит спрос на сертифицированные облака.

Тренд на ужесточение импортозамещения сохранится: к 2027 году планируется запрет на использование в КИИ любых иностранных облачных платформ, не прошедших углублённую проверку на предмет недекларированных возможностей. Облачным провайдерам, нацеленным на работу с госсектором, имеет смысл начинать процесс сертификации уже сейчас, чтобы успеть до вступления новых ограничений в силу.

Частые вопросы

Можно ли сертифицировать облачное решение на базе иностранной платформы, если нет российского аналога?

В 2026 году для КИИ категорий «высокая» и «средняя» потребуется официальное заключение Минцифры о невозможности импортозамещения конкретного компонента. Такое заключение выдаётся крайне редко и только при условии глубокой экспертизы. На практике облачная платформа, хотя бы частично построенная на иностранном ПО, почти гарантированно не пройдёт сертификацию.

Какие санкции грозят за использование несертифицированного облака в КИИ?

Ответственность установлена ст. 274.1 УК РФ и ст. 13.12 КоАП: для должностных лиц — штраф до 50 000 рублей или дисквалификация до 3 лет, для организаций — до 100 000 рублей. При повторном нарушении или причинении ущерба наказание может быть вплоть до лишения свободы. С 2026 года ФСТЭК активизировала проверки, поэтому риски существенны.

Сколько времени занимает повторная сертификация после серьёзного обновления облачной платформы?

При модификации платформы, затрагивающей механизмы безопасности (новая версия гипервизора, смена СУБД, внедрение нового средства защиты), потребуется пройти инспекционный контроль, а в большинстве случаев — полноценную пересертификацию. Это займёт от 6 до 10 месяцев, поскольку необходимо перепроверить всю модель угроз и повторить базовые испытания.

Какие документы нужны для включения облачной платформы в реестр Минцифры параллельно с сертификацией ФСТЭК?

Потребуются: заявление с описанием функционала, исходный код (или его фрагменты), сведения о разработчике и исключительных правах, экспертное заключение технического совета. Часть материалов, таких как архитектурное описание и модель угроз, уже готовится для ФСТЭК, поэтому подавать документы в Минцифры удобнее параллельно.

Как влияет категория значимости объекта КИИ на объём сертификационных испытаний облака?

Чем выше категория, тем строже требования. Для «высокой» значимости лаборатория проверяет все заявленные меры защиты в полном объёме, включая стресс-тесты и симуляцию целевых атак. Для «низкой» значимости перечень может быть сокращён, но базовая проверка на соответствие приказам ФСТЭК всё равно остаётся обязательной.

Комментарии · Вопросы читателей

На вопросы отвечает редакция LeanTech AI-хаба. Хотите свой вопрос — напишите на info@leantech.ai.

Ольга Семёнова· Руководитель отдела безопасности облачного провайдера3 июня 2026 г.

Мы планируем сертифицировать свою PaaS-платформу, но часть компонентов использует open-source библиотеки с зарубежными корнями. Достаточно ли будет их просто указать в модели угроз или потребуется полная замена?

Алексей Тихоновредакция3 июня 2026 г.

Если библиотеки являются частью сертифицируемого решения, лаборатория будет рассматривать каждую из них. Open-source сам по себе не запрещён, но критично, чтобы библиотека была проверена на отсутствие уязвимостей, а её происхождение не создавало рисков зависимости от недружественных юрисдикций. Рекомендую заранее получить заключение экспертного технического совета о допустимости использования.

Денис Королёв· Технический директор разработчика облачного ПО5 июня 2026 г.

Насколько критична роль реестра Минцифры в 2026 году? Можем ли мы пройти сертификацию ФСТЭК, если наше решение ещё не включено в реестр, но мы подали заявку?

Алексей Тихоновредакция5 июня 2026 г.

На начало испытаний достаточно предоставить уведомление о подаче заявки в Минцифры. Однако для получения итогового сертификата ФСТЭК регистрация в реестре должна быть завершена, иначе сертификат не выдадут. Поэтому запускайте процессы параллельно и закладывайте запас времени на рассмотрение в Минцифры.

Анна Гришина· Проектный менеджер в госсекторе7 июня 2026 г.

Какова реальная длительность этапа передачи документов в ФСТЭК? Слышал, что заявки могут висеть до полугода.

Алексей Тихоновредакция7 июня 2026 г.

Официальный регламент — до 2 месяцев, но после ужесточения контроля в 2026 году действительно случаются задержки до 4–5 месяцев из-за возросшей нагрузки. Минимизировать риск можно, обратившись в лабораторию, которая имеет налаженное взаимодействие с ФСТЭК и заранее выверяет пакет документов на соответствие всем формальным признакам.