Программное обеспечение: нужен ли сертификат и как его получить в России в 2026 году

Программное обеспечение — это не просто «код», а полноценный товар, который может быть частью опасного оборудования, средства шифрования или системы управления атомной станцией. В отличие от физических изделий, здесь не нужен сертификат на прочность или электробезопасность, но требования к документам существуют — и нарушение этих требований может стоить разработчику тендера, а государственному заказчику — безопасности.

Вокруг сертификации ПО существует много мифов. Говорят, что она обязательна для любого софта, или наоборот, что это просто «маркетинговая наклейка». На самом деле всё сложнее. Программный продукт может вообще не требовать никаких документов, а может нуждаться в разрешении ФСБ, ФСТЭК или Минпромторга. Всё зависит от того, где и как его планируют использовать.

На всей территории ЕАЭС обязательной сертификации подлежит только то программное обеспечение, которое входит в состав регулируемой продукции. Проще говоря, если ваш софт является встроенным компонентом промышленного станка, медицинского прибора, системы связи или автомобиля, то он должен пройти оценку вместе с оборудованием. Для отдельного приложения, которое продаётся на диске или скачивается из интернета, обязательной сертификации как таковой не существует. Однако есть три больших исключения.

Криптографические средства — самое строгое требование. Любое ПО, содержащее шифровальные модули (SSL/TLS в браузере, средства электронной подписи), подлежит оценке в системе ФСБ России. Без сертификата ФСБ такое ПО нельзя распространять на территории России.

Оборудование, работающее во взрывоопасных средах. Если ПО управляет технологическим процессом на химическом заводе, в шахте или на буровой установке, где возможны утечки газа или пыли, то оно должно быть сертифицировано как взрывозащищённое. Это требование технического регламента о безопасности оборудования для взрывоопасных сред.

Государственные информационные системы. С 1 марта 2026 года вступили в силу новые требования ФСТЭК к защите информации в государственных информационных системах. Обязательным стало использование систем управления базами данных, сертифицированных ФСТЭК, а также анализ не менее 95% исходного кода на наличие уязвимостей.

Одна из самых важных «добровольных» сертификаций для разработчиков — это сертификат совместимости. Сам по себе он не требуется законом, но без него невозможно включить программу в реестр отечественного ПО, а без этого — претендовать на господдержку, льготы и участие в госзакупках.

Согласно изменениям, вступившим в силу с 30 ноября 2025 года, для включения в реестр российского и евразийского ПО продукт должен быть совместим минимум с двумя доверенными операционными системами (например, Astra Linux, РЕД ОС, «Аврора»). Для офисного ПО это требование начнёт действовать с 1 сентября 2026 года.

Сертификат совместимости выдаётся после комплексного тестирования программы в лаборатории. Проверяется, что приложение устанавливается, запускается и выполняет все заявленные функции на целевой операционной системе без сбоев и ошибок.

Это подтверждение не является обязательным для продажи на рынке, но для серьёзных проектов и госзаказчиков оно стало фактическим стандартом.

Программное обеспечение может проходить оценку по разным направлениям, и здесь важно не перепутать их.

Сертификация по требованиям безопасности информации (ФСТЭК) — обязательна для ПО, которое обрабатывает государственную тайну, персональные данные, работает в государственных информационных системах или на объектах критической информационной инфраструктуры (КИИ). Сертификат ФСТЭК подтверждает, что программа не имеет недекларированных возможностей, защищена от вредоносного кода и соответствует российским стандартам защиты информации.

Сертификация по требованиям ФСБ — обязательна для криптографических средств. Здесь проверяется корректность реализации шифровальных алгоритмов и отсутствие закладок.

Сертификация совместимости — добровольная процедура, которая подтверждает, что программа работает в определённой операционной среде.

• Сертификация по требованиям заказчика — часто проводится для крупных промышленных проектов. Заказчик может выдвинуть собственные требования к производительности, надёжности, безопасности и потребовать их подтверждения через сертификацию.

Набор испытаний зависит от типа сертификата. Для сертификации совместимости проверяют функциональную полноту: устанавливается ли программа, запускается ли, выполняет ли все основные действия без ошибок.

Для сертификации ФСТЭК и ФСБ процесс значительно глубже. С недавних пор обязательным стало проведение статического и динамического анализа исходного кода — выявление уязвимостей, недекларированных возможностей, проверка корректности работы с памятью. Анализируется не менее 95% исходного кода — это требование действует для государственных информационных систем.

Проверяется, что при обмене данными с внешними системами используются только российские криптографические алгоритмы. Также оцениваются процессы безопасной разработки: как выявляются и устраняются уязвимости, как обучаются сотрудники.

Процесс стандартный для любой сертификации, но имеет свою специфику. Заявитель подаёт заявку в аккредитованный орган по сертификации — например, в лабораторию ФСТЭК или коммерческий орган с соответствующей лицензией. Предоставляется пакет документов: техническое описание, руководство по эксплуатации, тестовые примеры, а в некоторых случаях и исходный код. Образцы ПО устанавливаются в тестовую среду, где проводятся функциональные и нагрузочные испытания.

При сертификации ФСТЭК дополнительно проводится анализ исходного кода на предмет уязвимостей и недекларированных возможностей. Эксперты проверяют документацию: соответствие руководств по эксплуатации реальной функциональности, наличие инструкций по безопасной установке и настройке. При положительных результатах выдаётся сертификат сроком действия от 1 до 5 лет (для сертификации совместимости) или до 3 лет (для сертификации ФСТЭК с последующим подтверждением).

Для программного обеспечения, используемого на объектах критической информационной инфраструктуры (КИИ) — атомные станции, космодромы, объекты транспорта, предприятия оборонной промышленности — действуют самые строгие требования.

С 1 сентября 2025 года на значимых объектах КИИ разрешено использовать только российское ПО. Разработчик обязан подтвердить, что его программа разработана в соответствии с требованиями безопасной разработки. Приказ ФСТЭК № 239 предъявляет требования к прикладному ПО, обеспечивающему выполнение функций значимых объектов КИИ. Компания должна иметь процессы отслеживания и исправления ошибок и уязвимостей, а также документальное подтверждение соответствия. Без соблюдения этих требований ПО не может быть допущено к эксплуатации на объектах КИИ.

Для ПО, управляющего оборудованием на опасных производственных объектах (нефтегазовая отрасль, химическая промышленность, металлургия), дополнительно требуется сертификация по промышленной безопасности. Здесь проверяется, что программа не выдаст ошибочных команд, которые могут привести к аварии, корректно обрабатывает аварийные ситуации и имеет средства защиты от несанкционированного доступа.

Ответственность за использование несертифицированного ПО там, где оно требуется, может быть очень серьёзной. Для должностных лиц и организаций, эксплуатирующих объекты КИИ, предусмотрены административные штрафы и приостановка деятельности. Если использование несертифицированного ПО привело к утечке персональных данных, аварии на опасном производственном объекте или иному тяжкому последствию, наступает уголовная ответственность.

Для разработчика последствия рыночные: государственные заказчики не имеют права приобретать несертифицированное ПО, коммерческие заказчики с высокими требованиями к безопасности также отказываются от сотрудничества.

Если закон не требует сертификации, зачем она вообще нужна? Для производителя ПО добровольный сертификат решает две задачи: доступ к госзакупкам и укрепление репутации. Без сертификата совместимости невозможно включить ПО в реестр отечественного программного обеспечения, а значит, нельзя претендовать на господдержку, налоговые льготы и участие в тендерах. Добровольный сертификат соответствия подтверждает, что программа действительно работает так, как заявлено в документации, совместима с различными операционными системами и имеет необходимый уровень устойчивости. Это весомый аргумент при переговорах с крупными корпоративными заказчиками.

Как шутят программисты, сертификат на ПО — как паспорт для путешественника: без него ты вроде бы есть, а в другую страну не пустят. Чтобы ваш софт не остался за бортом, лучше заранее разобраться, какие именно документы ему нужны.

Если коротко и по делу:

• Обязательная сертификация требуется только для ПО в составе регулируемой продукции, криптографических средств и оборудования для взрывоопасных сред.
• Для государственных информационных систем и объектов КИИ обязательна сертификация ФСТЭК.
• Сертификат совместимости — добровольный, но необходим для включения ПО в реестр отечественного софта, участия в госзакупках и получения льгот.
• Испытания проверяют функциональность, совместимость, безопасность исходного кода, отсутствие недекларированных возможностей, а для КИИ — процессы безопасной разработки.
• Процедура включает подачу заявки, предоставление документации и исходного кода (при необходимости), тестирование и анализ.
• Ответственность за использование несертифицированного ПО в госсекторе и на КИИ — штрафы, приостановка деятельности, уголовная ответственность при тяжких последствиях.
• Добровольный сертификат — пропуск в госзакупки, маркетинговый инструмент и подтверждение качества.

Остались вопросы по вашему программному продукту — пишите, разберёмся.