📍
🕒 Работаем с 9:00 до 18:00
📞 +7 (499) 403-32-37
💬 Консультация
📞 +7 (499) 403-32-37 Получить консультацию

Статус «Доверенный ПАК»: обязательность регистрации в реестре

Минпромторг

В последние годы на фоне роста цифровизации и ужесточения требований к информационной безопасности в России особое значение приобрела процедура регистрации программно-аппаратных комплексов (ПАК) в государственном реестре доверенных средств. Мы, как центр по сертификации товаров и услуг «СертЦентр», сталкиваемся с большим количеством запросов от организаций, которым требуется получить статус «Доверенного ПАК» для участия в государственных закупках, реализации критически важных ИТ-проектов и обеспечения соответствия требованиям национальных стандартов.

Требования законодательства: когда регистрация обязательна

Правила регистрации доверенного ПАК определяются совокупностью нормативных актов, среди которых ключевыми являются:

  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановление Правительства РФ от 26.09.2016 № 969 (в редакции от 2023 года) «О порядке формирования и ведения реестра российских программ для ЭВМ и баз данных»;
  • ГОСТ Р 57580.1-2017 и ГОСТ Р 56939-2016;
  • Приказы ФСТЭК России №17, №21, №31, касающиеся сертификации средств защиты информации.

Согласно этим документам, регистрация ПАК в реестре обязательна для:

  1. Организаций, участвующих в государственных закупках по 44-ФЗ и 223-ФЗ;
  2. Субъектов КИИ (критической информационной инфраструктуры);
  3. Компаний, обрабатывающих персональные данные (152-ФЗ);
  4. ИТ-разработчиков, претендующих на господдержку или налоговые льготы;
  5. Поставщиков ПО и оборудования для государственных и стратегических предприятий.

Включение ПАК в реестр становится фактически обязательным условием допуска к целому ряду рынков. Неучтённые или несертифицированные комплексы в таких сферах считаются нарушением требований информационной безопасности и могут привести к административным и финансовым санкциям.

Что такое статус «Доверенный ПАК»: понятие и отличия

Статус «Доверенного ПАК» — это подтверждение соответствия программно-аппаратного комплекса установленным государственным требованиям по безопасности, надежности, происхождению и контролю жизненного цикла. Такой статус позволяет:

  • Легально использовать ПАК в системах государственного значения;
  • Гарантировать отсутствие несанкционированных функций и закладок;
  • Обеспечить совместимость с российскими ИТ-средствами и соблюдение политики импортозамещения;
  • Получить приоритет при проведении закупок органами власти и госкомпаниями;
  • Участвовать в проектах цифровой трансформации и национальной технологической инициативы.

Важно понимать, что статус «Доверенный ПАК» отличается от обычной регистрации программ или оборудования: он предполагает обязательную экспертизу, испытания, а также сертификацию по ФСТЭК или ФСБ, если речь идет о средствах защиты информации.

Порядок регистрации ПАК в реестре: пошаговая инструкция

На практике процедура регистрации состоит из нескольких этапов:

  1. Подготовка комплекта документов.
    • Заявление установленного образца;
    • Описание технических характеристик и архитектуры ПАК;
    • Свидетельства о происхождении компонентов;
    • Документы, подтверждающие отсутствие иностранных закладок;
    • Протоколы испытаний и заключения по ГОСТам;
    • Сертификаты соответствия СЗИ (если применимо);
    • Договоры и лицензии на ПО.
  2. Подача заявки в уполномоченный орган (например, Минцифры РФ или ФСТЭК России).
  3. Экспертная и техническая экспертиза (проверка защищённости, соответствия стандартам, происхождения компонентов).
  4. Внесение записи в реестр доверенных средств и выдача свидетельства.

В зависимости от специфики ПАК, дополнительных требований к сертификации может быть больше, особенно если в составе комплекса есть средства криптографической защиты или системы управления КИИ.

Какие ГОСТы и нормативы применяются

Наиболее часто встречающиеся стандарты и нормативы:

ГОСТ/Документ Название/Область Обязательность
ГОСТ Р 57580.1-2017 Безопасность финансовых технологий. Защита информации финансовых организаций Обязателен для банков и финтеха
ГОСТ Р 56939-2016 Средства защиты информации. Общие требования Обязателен для СЗИ
ФСТЭК №17/21/31 Сертификация СЗИ для КИИ, государственных и военных систем Обязателен для госсектора
Постановление №969 Реестр российского ПО и ПАК Обязателен для госзакупок

Правильный подбор ГОСТа или нормативного акта для вашей сферы — половина успеха. Ошибки при определении класса защищённости или объекта сертификации часто приводят к отказам или избыточным затратам.

Ответы на часто задаваемые вопросы

  • Вопрос: Обязательно ли регистрировать ПАК, если он используется только внутри компании, не для государственных нужд?
    Ответ: В большинстве случаев — нет, однако если ПАК обрабатывает персональные данные или обеспечивает защиту критической инфраструктуры, регистрация становится обязательной (см. 152-ФЗ и 187-ФЗ).
  • Вопрос: Какие сроки занимает процедура регистрации?
    Ответ: В среднем — от 2 до 4 месяцев, включая подготовку документов и проведение экспертиз. В отдельных случаях — до полугода при необходимости дополнительных испытаний.
  • Вопрос: Сколько стоит оформление регистрации?
    Ответ: Стоимость зависит от сложности ПАК, наличия зарубежных компонентов и объема работ по подготовке документации. В среднем — от 200 000 до 700 000 рублей за полный цикл (без учета испытательных лабораторий). Если требуется сертификация по ФСТЭК или ФСБ — от 500 000 рублей и выше.
  • Вопрос: Какие наиболее частые причины отказа в регистрации?
    Ответ: Основные причины: неполный комплект документов, наличие иностранных программных компонентов без подтверждения происхождения, отсутствие сертификации СЗИ, несоответствие заявленных характеристик реальным испытаниям.

Реальные кейсы и опыт «СертЦентр»

За последние два года мы оформили свыше 60 регистраций ПАК для банков, промышленных предприятий и системных интеграторов. Приведём два типовых примера:

  • Кейс 1 (Банк, финансовый сектор):
    Разработан внутренний шлюз безопасности с отечественным ПО и аппаратными модулями. Для регистрации в реестре потребовались:

    • полный аудит происхождения компонентов (по Постановлению №719),
    • испытания на соответствие ГОСТ Р 57580.1-2017,
    • сертификация встроенного СЗИ по ФСТЭК.

    Срок оформления — 5 месяцев, стоимость работ — около 1 млн рублей.

  • Кейс 2 (Промышленная автоматизация):
    Внедрение ПАК для автоматизации производства с элементами SCADA и IoT. Критическим оказался вопрос документирования — большинство компонентов требовали подтверждения российского происхождения. После доработки документации и прохождения испытаний регистрация была завершена за 3 месяца, затраты — около 400 000 рублей.

В обоих случаях наличие у ПАК статуса «доверенного» позволило заказчикам участвовать в тендерах и реализовывать стратегические проекты без риска блокировки.

Последствия отсутствия регистрации и типовые ошибки

Несоблюдение требований по регистрации ПАК может привести к следующим последствиям:

  1. Отказ в участии в государственных закупках и тендерах;
  2. Штрафы и предписания надзорных органов (ФСТЭК, Роскомнадзор);
  3. Потеря репутации и доверия заказчиков;
  4. Расторжение контрактов по причине несоответствия требованиям безопасности;
  5. Блокировка продуктов на рынке КИИ и государственных информационных систем.

По нашему опыту, наиболее распространённые ошибки:

  • Использование зарубежных ПО/железа без подтверждения происхождения;
  • Подача неполных или устаревших документов;
  • Игнорирование сертификации СЗИ или криптосредств;
  • Отсутствие четкой политики по сопровождению жизненного цикла ПАК.

Рекомендации по подготовке к регистрации

Мы советуем:

  • Заранее провести аудит состава ПАК на предмет соответствия требованиям российского происхождения и безопасности;
  • Подготовить полный комплект документов, включая протоколы и сертификаты;
  • Привлечь специалистов по нормативному обеспечению и сертификации;
  • Регулярно отслеживать обновления законодательства и ГОСТов;
  • Оценивать целесообразность сертификации на ранних стадиях разработки ПАК.

При возникновении сложных или спорных ситуаций обращайтесь в наш центр — имеем большой опыт взаимодействия с ФСТЭК, Минцифры РФ, аккредитованными лабораториями и поможем оптимизировать процесс регистрации.

Заключение

Регистрация ПАК в реестре доверенных средств — не просто формальная процедура, а важнейший этап обеспечения информационной безопасности, конкурентоспособности и легальности вашей продукции. «СертЦентр» всегда готов проконсультировать и провести ваш проект от первичного аудита до получения свидетельства о статусе «Доверенный ПАК». Правильно оформленные документы и своевременное прохождение экспертиз открывают доступ к ключевым рынкам и защищают бизнес от рисков.