С 1 января 2023 года вступают в силу требования Приказа ФСТЭК России от 20.02.2020 №35, вносящего изменения и дополнительные меры в Требования по обеспечению безопасности значимых объектов КИИ, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239:

1. Необходимость соответствия средств защиты информации, не встроенных в общесистемное или прикладное программное обеспечение (наложенных), применяемых на значимых объектах КИИ по 6 или более высокому уровню доверия. Оценка средств защиты информации по уровням доверия проводится в форме сертификации, проводимой производителем (разработчиком), либо самостоятельно субъектом КИИ в форме оценки соответствия, процедура которая практически не отличается от сертификации. В виду сложности, трудозатратности и длительности по времени проведения оценки соответствия по уровням доверия, для субъектов КИИ, не имеющих опыт в сертификации (своей продукции или приобретаемых средств защиты) и не имеющих в своем составе испытательных лабораторий, экономически более выгодно приобретать сертифицированные средства защиты информации, в случаях:

• создания нового значимого объекта КИИ;
• модернизации значимого объекта КИИ в рамках отдельного частного технического задания (технического проекта);
• замене текущих (внедренных до 01.01.2023) средств защиты информации: замена на аналог, смена версии, покупка новых лицензий.

2. Для общесистемного программного обеспечения и встроенных в него средств защиты информации, применяемых на значимых объектах КИИ, необходимость соответствия требованиям к уровню доверия не установлена, в связи с чем для обеспечения безопасности (в том числе после 01.01.2023) допускается использование средств защиты информации, встроенных в общесистемное программное обеспечение, при условии их соответствия требованиям к функциям безопасности: установленным в техническом задании на создание значимого объекта КИИ и (или) техническом задании (частном техническом задании) на создание подсистемы безопасности значимого объекта КИИ.
3. Для прикладного программного обеспечения, планируемого к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта КИИ и обеспечивающего выполнение его функций по назначению, устанавливается необходимость его соответствия требованиям по безопасности (требованиям по безопасной разработке программного обеспечения, требованиям к испытаниям по выявлению уязвимостей в программном обеспечении, требованиям к поддержке безопасности программного обеспечения). Для субъекта КИИ это означает необходимость требования с разработчика прикладного программного обеспечения выполнения требований по безопасной разработке (DevSecOps), а для разработчика (производителя) прикладного программного обеспечения необходимость включения в процессы разработки программного обеспечения (DevOps) проверки на безопасность исходного кода.