ГрамотаИБ ГрамотаИБ

Импортозамещение СЗИ и ПО: запрет иностранного, реестр отечественного и что делать оператору

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Кого и с каких сроков касается запрет иностранных средств защиты информации и программного обеспечения: Указ Президента №250 (СЗИ из недружественных государств), Указ №166 и 187-ФЗ (иностранное ПО на значимых объектах КИИ), реестр российского ПО и госзакупки. Практические шаги для оператора по переходу на отечественные сертифицированные решения.

Курс на отечественные решения в информационной безопасности закреплён рядом актов: часть организаций уже не вправе использовать иностранные средства защиты и ПО. Разберём, кого это касается, с каких сроков и что делать оператору.

Кого касается импортозамещение

Требования об отказе от иностранных решений адресованы прежде всего государственному сектору и критической инфраструктуре, а не любому бизнесу:

  • органы и организации из сферы Указа Президента РФ №250 (госорганы, госфонды, госкорпорации, субъекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ., системообразующие и стратегические организации);
  • субъекты КИИ, эксплуатирующие значимые объекты;
  • государственные и муниципальные заказчики при закупках.

Ключевые запреты и сроки

  • СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК. из недружественных государств. Для адресатов Указа №250 с 1 января 2025 года не допускается использование средств защиты информации, странами происхождения которых являются недружественные государства либо производителями которых являются подконтрольные им организации.
  • Иностранное ПО на значимых объектах КИИ. По Указу Президента РФ от 30.03.2022 №166 закупка иностранного ПО (в том числе в составе программно-аппаратных комплексов) для использования на значимых объектах КИИ требует согласования с 31 марта 2022 года, а с 1 января 2025 года использование иностранного ПО на значимых объектах КИИ запрещено.
  • Госзакупки. При закупках для государственных и муниципальных нужд действует запрет допуска отдельного иностранного ПО при наличии российских аналогов (реестр российского ПО).

Курс на импортозамещение для значимых объектов КИИ задан Указами Президента №166 и №250, законом о КИИ (187-ФЗ) и подзаконными актами; регулирование продолжает развиваться.

Реестр российского ПО

Отечественное происхождение программного обеспечения подтверждается включением в единый реестр российских программ для ЭВМ и баз данных (статья 12.1 149-ФЗ), который ведёт Минцифры России. При выборе и закупке решений ориентируются на этот реестр, а для средств защиты — дополнительно на реестр сертифицированных ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России средств защиты информации.

Что делать оператору

  • определите, попадаете ли вы в сферу Указа №250 и есть ли у вас значимые объекты КИИ;
  • проведите инвентаризацию используемых СЗИ и ПО, отметьте иностранные компоненты;
  • спланируйте замену на отечественные сертифицированные решения из реестров, с учётом сроков и совместимости;
  • для оценки защищённости и работ привлекайте лицензиатов ФСТЭК России и (или) ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России.

Кого касается Указ №250 и какие требования он вводит — в статье о квалификационных требованиях к специалистам по ИБ; про субъектов КИИ — в статье про 187-ФЗ.

Главное

Импортозамещение в ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз. обязательно не для всех, а прежде всего для адресатов Указа №250 и субъектов КИИ со значимыми объектами: для них с 1 января 2025 года действует запрет на СЗИ из недружественных государств, а на значимых объектах КИИ ограничено использование иностранного ПО. Отечественность подтверждается реестром российского ПО (Минцифры) и реестром сертифицированных СЗИ (ФСТЭК). Оператору стоит провести инвентаризацию, спланировать замену и привлекать лицензиатов ФСТЭК/ФСБ.

Частые вопросы

Кого касается запрет иностранных СЗИ?

Прежде всего адресатов Указа №250 (госорганы, госкорпорации, субъекты КИИ, системообразующие и стратегические организации) и субъектов КИИ со значимыми объектами — для них с 1 января 2025 года запрещены средства защиты из недружественных государств. Обычного бизнеса запрет напрямую не касается.

Как подтвердить, что программное обеспечение отечественное?

Включением в единый реестр российских программ для ЭВМ и баз данных (Минцифры России), а для средств защиты — наличием действующего сертификата ФСТЭК России в реестре сертифицированных СЗИ.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Модель угроз ФСТЭК пошагово: как разработать по методике 2021 года

Пошаговый порядок разработки модели угроз безопасности информации по методике ФСТЭК России 2021 года: от определения негативных последствий и объектов воздействия к оценке нарушителей, способам и сценариям реализации угроз и определению их актуальности. Что использовать (Банк данных угроз, УБИ), как оформить и когда актуализировать модель.

Что такое СЗИ простыми словами: виды, классы и сертификация ФСТЭК

Простое объяснение, что такое средства защиты информации (СЗИ): чем они отличаются от криптосредств (СКЗИ), какие бывают виды (межсетевой экран, антивирус, система обнаружения вторжений, средство защиты от несанкционированного доступа), что такое сертификация и уровни доверия ФСТЭК и когда обязательно применять именно сертифицированные средства.

Управление уязвимостями по ФСТЭК: БДУ, процесс и почему обновление стало риском

Как построить процесс управления уязвимостями (vulnerability management) по требованиям ФСТЭК: анализ уязвимостей как мера защиты (АНЗ в приказе №21, АУД в приказе №239), Банк данных угроз (БДУ), методический документ ФСТЭК 2023 года. Пошаговый процесс — инвентаризация, мониторинг, оценка критичности, устранение и контроль — и почему в текущих условиях само обновление ПО стало отдельным риском.

Когда информационная система становится ГИС: признаки, кто определяет статус и последствия

Что делает информационную систему государственной (ГИС): признаки по 149-ФЗ, кто и как определяет статус, и какие наступают правовые и технические последствия — обязательная классификация (К1–К3), аттестация, сертифицированные средства защиты и требования приказов ФСТЭК №17 и №117. Разбираем и частую путаницу: делает ли подключение к чужой ФГИС вашу систему государственной.