ФСТЭК ужесточает требования: что происходит
В 2025 году заметно выросло число отказов в выдаче лицензий ФСТЭК. По итогам года лицензирование не прошли на 27% больше компаний по сравнению с предыдущим периодом.
Такая динамика говорит о том, что регулятор усиливает требования к участникам рынка информационной безопасности и более строго оценивает соответствие компаний установленным критериям.
Почему компании не проходят лицензирование
Основные причины отказов остаются системными.
Чаще всего компании не могут подтвердить:
- достаточную квалификацию специалистов;
- необходимый опыт работы сотрудников;
- наличие оборудования, соответствующего требованиям;
- соответствие помещений установленным нормам.
Фактически речь идёт не о формальных ошибках, а о несоответствии базовым условиям для выполнения лицензируемых работ.
Отдельная проблема — рынок кадров. По оценкам аналитиков, значительная часть работодателей сталкивается с искажением опыта со стороны кандидатов в сфере ИБ. Это напрямую влияет на прохождение проверок.
Усиление контроля и рост нарушений
Параллельно с ростом отказов изменилась и структура проверок.
Количество плановых проверок немного снизилось, однако их результативность выросла. Доля выявленных нарушений в сфере технической защиты конфиденциальной информации увеличилась до 40,7%.
Это означает, что:
- проверки становятся точнее;
- требования — строже;
- «формальное соответствие» всё реже проходит контроль.
При этом в сегменте разработки средств защиты ситуация улучшилась — доля нарушений там снизилась.
Типовые нарушения и реальные риски
Отдельный тренд — массовость типовых нарушений.
По данным регулятора, более 80% проблем в сфере защиты критической информационной инфраструктуры повторяются от компании к компании.
Всего было зафиксировано более 1 200 таких случаев, по которым оформлялись административные протоколы.
Для бизнеса это означает:
- риск штрафов до 500 000 рублей;
- возможные ограничения деятельности;
- проблемы с контрактами и тендерами;
- репутационные потери.
Что это значит для рынка ИБ
Ужесточение требований постепенно меняет сам рынок.
Можно выделить несколько последствий:
1. Порог входа растёт
Компании без выстроенных процессов и компетенций всё чаще не проходят лицензирование.
2. Усложняется работа подрядчиков
Заказчики начинают внимательнее проверять соответствие требованиям ФСТЭК.
3. Растёт роль процессов, а не только инструментов
Важно не просто внедрить решения, а доказать, как они используются и контролируются.
4. Усиливается давление на инфраструктуру безопасности
Компании вынуждены пересматривать подход к управлению доступами, хранению данных и аудиту действий.
Вывод
ФСТЭК не просто увеличивает количество отказов — меняется сама логика контроля.
Если раньше можно было «дотянуться» до требований, то теперь важна системность: люди, процессы, инфраструктура и подтверждаемость всех действий.
Для бизнеса это означает одно: информационная безопасность становится не формальностью, а полноценной частью операционной модели компании.
