Ужесточение сертификации средств защиты информации: ФСТЭК требует полной прозрачности компонентов

Приказ ФСТЭК №9 от 20 января 2026 года вносит существенные изменения в порядок сертификации средств защиты информации. Если раньше регулятор проверял только функциональность, то теперь требуется полное раскрытие состава продукта — включая все компоненты с открытым исходным кодом и образы контейнеров. Испытательные лаборатории должны оценивать не только работу функций безопасности, но и правильность описания заимствованных компонентов, а также корректность оценки рисков кибератак на них. В формуляр СЗИ теперь вносятся контрольные суммы исполняемых файлов для фиксации сертифицированной версии. Ключевая новация — обязанность разработчика в течение 5 календарных дней сообщать в ФСТЭК об изменениях в перечне open source-компонентов. Несоблюдение этого требования стало основанием для аннулирования сертификата. Для бизнеса это означает необходимость выстраивать процессы управления зависимостями и контроля версий практически в реальном времени.