Введение: точка невозврата пройдена
1 января 2026 года стало переломной датой для российской информационной безопасности. Федеральный закон №250-ФЗ вступил в полную силу, установив абсолютный запрет на использование иностранных средств защиты информации (СЗИ) в критической информационной инфраструктуре (КИИ). Для тысяч организаций, годами строивших свою защиту на западных продуктах - Palo Alto, CrowdStrike, Cisco, Fortinet, Splunk и других — это не просто технологическая смена вендора. Это фундаментальная трансформация подхода к информационной безопасности, требующая пересмотра архитектуры, процессов, компетенций и даже корпоративной культуры.По данным Центра стратегических разработок, российский рынок ИБ вырастет с 185,5 млрд рублей в 2022 году до 469 млрд рублей к концу 2026 года - в 2,5 раза. Но цифры рынка - это лишь вершина айсберга. Под водой скрываются реальные вызовы: технологические, организационные, кадровые и регуляторные. И те компании, которые воспринимают импортозамещение как формальную замену одного продукта на другой, рискуют оказаться в зоне повышенной уязвимости - и под прицелом регулятора.
В этой статье эксперты ИЦРС разбирают, что на самом деле изменилось с 1 января 2026 года, какие ловушки ждут бизнес на пути перехода и как выстроить стратегию, которая не просто обеспечит формальное соответствие, а реально повысит уровень защищённости.
Часть I. Что изменилось: от «рекомендаций» к жёсткому запрету
История вопроса: от мягких мер к жёсткому закону
Первые шаги к импортозамещению в сфере ИБ были предприняты ещё в 2014–2015 годах, когда западные санкции и угрозы информационной безопасности привели к принятию ряда нормативных актов. Однако до 2026 года ограничения носили преимущественно рекомендательный характер или касались узких сегментов - например, госсектора или оборонной промышленности.Федеральный закон №250-ФЗ кардинально изменил ситуацию. Теперь запрет на иностранные СЗИ в КИИ - это не рекомендация, не пожелание, а жёсткое требование закона. Нарушение грозит не только киберинцидентами, но и серьёзными административными санкциями, а для субъектов КИИ - приостановкой лицензий и даже уголовной ответственностью руководителей.
Кто попадает под действие закона
Объекты КИИ охватывают 13 ключевых отраслей российской экономики:- энергетика и ТЭК;
- транспорт (включая авиацию, железнодорожный и морской);
- финансовый сектор и банки;
- здравоохранение;
- оборонная промышленность и предприятия ВПК;
- телекоммуникации и связь;
- атомная энергетика;
- космическая отрасль;
- химическая промышленность;
- металлургия;
- пищевая промышленность;
- водоснабжение и водоотведение;
- информационные технологии.
Что именно запрещено
Под запрет попадают не только сами иностранные СЗИ, но и их компоненты, используемые в составе российских решений. Это означает, что «обёртка» вокруг зарубежного движка или «интеграция» через API уже не спасает. ФСТЭК проверяет состав продукта вплоть до уровня open source-компонентов - как показывает практика применения нового приказа №9 от 20 января 2026 года.Часть II. Технологические ловушки перехода: почему «заменить один в один» не работает
Разная логика работы
Одна из главных ошибок, которую совершают компании при импортозамещении, - попытка найти «аналог» и заменить иностранный продукт на российский «один в один». Это технически невозможно. Российские СЗИ создавались с иной архитектурой, иной моделью угроз и иными требованиями регулятора.Пример: западные SIEM-системы (Splunk, QRadar) строятся на концепции корреляции событий в реальном времени с фокусом на обнаружение сложных многоэтапных атак. Российские аналоги (например, «СёрчИнформ SIEM» или «Платформа Радар») часто ориентированы на соответствие требованиям регулятора - формирование отчётности, интеграцию с ГосСОПКА, учёт специфики российских угроз. Это не значит, что они «хуже» — это значит, что их нужно внедрять иначе, с пересмотром процессов мониторинга и реагирования.
Точки контроля и зоны ответственности
Иностранные решения часто предполагают централизованное управление через облако вендора. Российские СЗИ, напротив, чаще всего развёртываются on-premise или в российских облаках - и это требует иной инфраструктуры, иных компетенций и иного бюджета. Компании, привыкшие к SaaS-модели, сталкиваются с необходимостью содержать собственные ЦОДы или арендовать российские облака, что меняет экономику проекта.Интеграция с ГосСОПКА
Ключевое требование, которое отличает российские СЗИ от западных, - обязательная интеграция с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Это не просто «отправка логов» — это полноценный процесс обмена индикаторами компрометации, инцидентами и угрозами в форматах, утверждённых ФСТЭК. Многие организации обнаруживают, что их текущая инфраструктура не готова к такой интеграции, и требуется дополнительная доработка.Проблема совместимости
Смешанные среды - где часть СЗИ уже российская, а часть ещё иностранная — создают зоны неопределённости. Продукты разных вендоров могут конфликтовать, дублировать функции или, напротив, оставлять «белые пятна» в защите. Без тщательного проектирования архитектуры это приводит к снижению общей эффективности системы безопасности.Часть III. Регуляторный шторм: когда одного закона недостаточно
Конвергенция требований
Импортозамещение - это не единственное требование, с которым сталкиваются организации. Параллельно действуют:- 152-ФЗ «О персональных данных» - с требованиями защиты ПДн;
- 187-ФЗ «О безопасности критической информационной инфраструктуры» - с обязательствами по сертификации, инцидент-менеджменту и взаимодействию с ГосСОПКА;
- Приказ ФСТЭК №117 (вступил в силу 1 марта 2026 года) - с расширенными требованиями к ГИС/МИС и всем ИС госорганов;
- Приказ ФСТЭК №9 (20 января 2026 года) - с новыми правилами сертификации СЗИ и требованиями раскрытия open source-компонентов;
- Приказ ФСТЭК №239 - с требованиями к защите КИИ, который планируется дополнить количественными KPI.
Количественные KPI: конец «бумажной» безопасности
Особо стоит выделить тренд на введение измеримых показателей защищённости. ФСТЭК разрабатывает методику оценки уровня защищённости ИТ-систем КИИ с конкретными количественными KPI. Проверки станут регулярными - не реже раза в полгодие, а результаты будут отслеживаться на трёх уровнях: компания, отрасль, регион.Это означает конец эпохи «бумажной» информационной безопасности, когда достаточно было иметь «правильные» документы. Теперь регулятор будет измерять реальную защищённость - и штрафовать за её отсутствие.
Штрафы и ответственность
Несоблюдение требований по импортозамещению и защите КИИ влечёт за собой:- административные штрафы до 500 тысяч рублей;
- приостановку лицензий на осуществление отдельных видов деятельности;
- для субъектов КИИ - уголовную ответственность руководителей по статьям УК РФ, связанным с нарушением требований информационной безопасности.
Часть IV. Рыночная реальность: рост, дефицит и новые игроки
Цифры рынка
Рост рынка ИБ до 469 млрд рублей к концу 2026 года - это не абстрактный прогноз, а отражение реального спроса. Тысячи организаций одновременно начали закупки российских СЗИ, что привело к дефициту квалифицированных специалистов, удлинению сроков внедрения и росту цен.Кадровый голод
По оценкам экспертов, дефицит специалистов по информационной безопасности в России превышает 100 тысяч человек. Переход на российские СЗИ требует не просто «переобучения» - многие продукты требуют глубокого понимания архитектуры, настройки под конкретную инфраструктуру и постоянного сопровождения. Компании вынуждены конкурировать за кадры, предлагая зарплаты, сопоставимые с ИТ-рынком.Новые игроки и риски
Рост рынка привлёк множество новых игроков - как технологических стартапов, так и «переобувшихся» системных интеграторов. Не все из них обладают достаточной компетенцией и ресурсами для создания надёжных СЗИ. Компаниям-заказчикам нужно тщательно проверять вендоров: наличие сертификатов ФСТЭК, опыт внедрений, финансовую устойчивость, дорожную карту развития продукта.Часть V. Стратегия перехода: рекомендации экспертов ЕЦ-РС
Шаг 1. Аудит текущего состояния
Прежде чем закупать новые решения, необходимо провести тотальный аудит:- инвентаризация всех иностранных СЗИ в инфраструктуре;
- оценка их критичности для бизнес-процессов;
- анализ зависимостей - какие системы интегрированы друг с другом;
- выявление «белых пятен» - функций, которые покрываются только иностранными продуктами.
Шаг 2. Приоритизация и дорожная карта
Не всё нужно менять одновременно. Рекомендуется выстроить приоритеты:- Критичные системы (периметр, аутентификация, шифрование) - замена в первую очередь;
- Системы мониторинга и анализа - замена в течение 3–6 месяцев;
- Вспомогательные инструменты - замена в течение года.
Шаг 3. Выбор вендоров: не только сертификат
При выборе российских СЗИ важно оценивать:- наличие действующих сертификатов ФСТЭК;
- опыт внедрений в аналогичных отраслях;
- возможность интеграции с существующей инфраструктурой;
- наличие технической поддержки и SLA;
- дорожную карту развития продукта;
- финансовую устойчивость вендора.
Шаг 4. Пилотирование и миграция
Никогда не внедряйте новое СЗИ «в боевом режиме» сразу на всю инфраструктуру. Рекомендуется:- провести пилот на небольшом сегменте;
- оценить производительность, совместимость, удобство управления;
- отладить процессы мониторинга и реагирования;
- только после успешного пилота масштабировать на всю инфраструктуру.
Шаг 5. Непрерывный мониторинг и оптимизация
Импортозамещение - это не разовый проект, а постоянный процесс. После внедрения необходимо:- настроить непрерывный мониторинг эффективности СЗИ;
- регулярно проводить тестирование на проникновение;
- отслеживать обновления и уязвимости open source-компонентов;
- поддерживать актуальность сертификатов и документации.
Часть VI. Фокус на эффективность, а не на «галочки»
От закупок к харденингу
В условиях ограниченных бюджетов и кадрового дефицита ключевой тренд 2026 года - смещение фокуса с закупки новых решений к максимизации отдачи от уже внедрённых инструментов. Грамотная настройка, харденинг конфигураций, оптимизация правил корреляции — всё это может дать больший эффект, чем покупка очередного «коробочного» продукта.ИИ как двойной инструмент
Искусственный интеллект становится не только инструментом защиты, но и инструментом атаки. Злоумышленники используют ИИ для создания дипфейков, автоматизации социальной инженерии и проведения многоступенчатых атак. В ответ защитники должны применять ИИ для обнаружения аномалий, анализа поведения пользователей и прогнозирования угроз. Российские вендоры активно внедряют ИИ в свои продукты и компании должны уметь этим пользоваться.Заключение: импортозамещение как шанс
Импортозамещение в ИБ - это вызов, но и возможность. Организации, которые воспримут его не как вынужденную меру, а как стимул к модернизации, получат конкурентное преимущество: реальную, а не «бумажную» защищённость, соответствие требованиям регулятора, снижение зависимости от внешних факторов и, в конечном счёте, повышение доверия клиентов и партнёров.Ключ к успеху - системный подход: аудит, планирование, пилотирование, внедрение и непрерывное совершенствование. И, конечно, работа с проверенными экспертами, которые помогут пройти этот путь без потерь.
ИЦРС - эксперты в области информационной безопасности. Мы помогаем организациям выстроить эффективную защиту, соответствующую требованиям регулятора и реальным угрозам. Подробнее на сайте: https://www.ec-rs.ru