ГрамотаИБ ГрамотаИБ

Что такое СЗИ простыми словами: виды, классы и сертификация ФСТЭК

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Простое объяснение, что такое средства защиты информации (СЗИ): чем они отличаются от криптосредств (СКЗИ), какие бывают виды (межсетевой экран, антивирус, система обнаружения вторжений, средство защиты от несанкционированного доступа), что такое сертификация и уровни доверия ФСТЭК и когда обязательно применять именно сертифицированные средства.

При защите информации постоянно упоминают «СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК.» и «сертифицированные средства». Разберём простыми словами, что это такое, какие бывают виды СЗИ и когда нужны именно сертифицированные средства.

Что такое СЗИ

Средство защиты информации (СЗИ) — это техническое или программное средство, которое реализует меры защиты: разграничивает доступ, фильтрует трафик, обнаруживает атаки, блокирует вредоносное ПО. От СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. (средств криптографической защиты — шифрование, электронная подпись) СЗИ отличаются тем, что криптографию регулирует ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России, а техническую защиту без криптографии — ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России.

Какие бывают СЗИ

  • Межсетевой экран (МЭМежсетевой экран — Средство контроля и фильтрации сетевого трафика между сегментами сети.) — контроль и фильтрация сетевого трафика между сегментами;
  • Система обнаружения (предотвращения) вторжений (СОВСистема обнаружения вторжений — Средство выявления компьютерных атак и подозрительной сетевой активности.) — выявление компьютерных атак;
  • Средство антивирусной защиты (САВЗ) — защита от вредоносного ПО;
  • СЗИ от несанкционированного доступа (СЗИ от НСДНесанкционированный доступ — Доступ к информации в нарушение установленных правил разграничения доступа.) — идентификация, аутентификация и разграничение доступа;
  • Средство доверенной загрузки (СДЗ) — контроль целостности при старте системы;
  • средства контроля съёмных носителей, предотвращения утечек (DLPСистема предотвращения утечек данных — Класс решений для контроля и блокировки несанкционированной передачи данных (Data Loss Prevention).) и другие.

Сертификация и уровни доверия

Сертифицированное СЗИ — средство, прошедшее оценку соответствия требованиям безопасности во ФСТЭК России и включённое в её реестр. Для средств установлены уровни доверия (от 6-го, низшего, до 1-го, высшего; приказ ФСТЭК России от 02.06.2020 №76) и классы защиты по видам средств: чем выше требования к системе, тем выше должен быть уровень доверия и класс применяемого средства. Проверять наличие и параметры сертификата удобно по реестру сертифицированных СЗИ на сайте ФСТЭК России.

Когда нужны именно сертифицированные СЗИ

Сертифицированные средства обязательны прежде всего в регулируемых режимах: государственные информационные системы, значимые объекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ., определённые классы и уровни защищённости. Для обычной обработки персональных данных состав и обязательность сертифицированных средств определяются классом (уровнем защищённости), моделью угроз и применимыми требованиями — см. разбор приказа №21. Для адресатов Указа №250 и субъектов КИИ действует и курс на отечественные решения — см. статью об импортозамещении СЗИ.

Главное

СЗИ — это средства технической защиты информации (межсетевые экраны, антивирусы, системы обнаружения вторжений, средства защиты от НСД и другие), которые регулирует ФСТЭК России, в отличие от криптосредств (СКЗИ) под регулированием ФСБ. Сертифицированное СЗИ прошло оценку соответствия ФСТЭК и имеет уровень доверия и класс защиты. Сертифицированные средства обязательны в ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК., КИИ и при высоких требованиях; в остальных случаях их состав определяется классом, уровнем защищённости и моделью угроз.

Частые вопросы

Чем СЗИ отличается от СКЗИ?

СЗИ — средства технической защиты информации (межсетевые экраны, антивирусы, системы обнаружения вторжений, защита от НСД) под регулированием ФСТЭК России; СКЗИ — криптосредства (шифрование, электронная подпись) под регулированием ФСБ России.

Когда обязательны именно сертифицированные СЗИ?

Прежде всего в государственных информационных системах, на значимых объектах КИИ и при высоких классах или уровнях защищённости; в остальных случаях состав определяется классом, уровнем защищённости и моделью угроз.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Модель угроз ФСТЭК пошагово: как разработать по методике 2021 года

Пошаговый порядок разработки модели угроз безопасности информации по методике ФСТЭК России 2021 года: от определения негативных последствий и объектов воздействия к оценке нарушителей, способам и сценариям реализации угроз и определению их актуальности. Что использовать (Банк данных угроз, УБИ), как оформить и когда актуализировать модель.

Управление уязвимостями по ФСТЭК: БДУ, процесс и почему обновление стало риском

Как построить процесс управления уязвимостями (vulnerability management) по требованиям ФСТЭК: анализ уязвимостей как мера защиты (АНЗ в приказе №21, АУД в приказе №239), Банк данных угроз (БДУ), методический документ ФСТЭК 2023 года. Пошаговый процесс — инвентаризация, мониторинг, оценка критичности, устранение и контроль — и почему в текущих условиях само обновление ПО стало отдельным риском.

Импортозамещение СЗИ и ПО: запрет иностранного, реестр отечественного и что делать оператору

Кого и с каких сроков касается запрет иностранных средств защиты информации и программного обеспечения: Указ Президента №250 (СЗИ из недружественных государств), Указ №166 и 187-ФЗ (иностранное ПО на значимых объектах КИИ), реестр российского ПО и госзакупки. Практические шаги для оператора по переходу на отечественные сертифицированные решения.

Когда информационная система становится ГИС: признаки, кто определяет статус и последствия

Что делает информационную систему государственной (ГИС): признаки по 149-ФЗ, кто и как определяет статус, и какие наступают правовые и технические последствия — обязательная классификация (К1–К3), аттестация, сертифицированные средства защиты и требования приказов ФСТЭК №17 и №117. Разбираем и частую путаницу: делает ли подключение к чужой ФГИС вашу систему государственной.