С 31 мая 2026 года вступил в силу Приказ ФСБ России от 22.04.2026 №161, утвердивший порядок аккредитации центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), по которому организация может получить статус аккредитованного центра ГосСОПКА . Документ отвечает на три практических вопроса: кто может аккредитоваться, в какие сроки и что для этого нужно.

ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) — это централизованная система для мониторинга, выявления и отражения кибератак на значимые информационные ресурсы страны, координируемая Национальным координационным центром по компьютерным инцидентам (НКЦКИ). Концептуально создана Указом Президента РФ № 31 от 15 января 2013 г., а законодательную основу получила в Федеральном законе № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

В систему передаются сведения о компьютерных инцидентах и атаках, данные о выявленных уязвимостях и угрозах информационной безопасности, а также результаты реагирования и ликвидации последствий. Взаимодействовать с ГосСОПКА обязаны прежде всего субъекты критической информационной инфраструктуры (КИИ) — государственные органы и учреждения, госкорпорации, а также российские организации, работающие в значимых отраслях (связь, энергетика, финансы, транспорт, здравоохранение, ОПК, наука и других), которые подключаются к системе через центры ГосСОПКА и направляют информацию об инцидентах в НКЦКИ.

Приказ  №161 основан на положении пп. «а» п.5 Указа Президента РФ №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности», по которому ФСБ России было поручено организовать аккредитацию центров ГосСОПКА.

Отметим, что вступление в силу Приказа №161 не означает прекращения оказания текущих мгновенной остановки текущих услуг в интересах органов и организаций, перечисленных в Указе №250. В соответствии с Приказом ФСБ России №543 от 01.11.2022 предусмотрен пятилетний переходный период — до 13.12.2027.

После этой даты мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак, а также реагирование на компьютерные инциденты в отношении федеральных органов исполнительной власти, высших региональных органов государственной власти, государственных фондов, госкорпораций и госкомпаний, стратегических предприятий и акционерных обществ, системообразующих организаций, а также субъектов КИИ смогут выполнять только аккредитованные организации. До этого момента оказание таких услуг возможно по соглашению с НКЦКИ.

Фактически у действующих центров есть чуть больше года, чтобы понять, готовы ли они стать аккредитованным центром ГосСОПКА входить в аккредитацию и перестраивать свои процессы, или останутся работать в других сегментах.

Структурно Приказ №161 состоит из двух основных приложений:

1. Описывает порядок аккредитации центров ГосСОПКА: процедуру, основания для приостановления и отзыва аккредитации, формы аттестата, заявления и декларации о соответствии требованиям.
2. Фиксирует требования к центрам ГосСОПКА и аккредитованным центрам: кадровые и технические требования, требования по ИБ и технической оснащенности, а также матрицу соответствия функций центра с направлениями деятельности.

Аккредитацию проводит ФСБ России силами Центра защиты информации и специальной связи, а сведения об аккредитованных центрах публикуются открыто по адресу gossopka.ru. В сумме приказ описывает не только юридическую процедуру, но и целевую модель центра: какие функции выполняет, чем оснащен, как построен и как включен во взаимодействие с НКЦКИ.

Логика приказа строится вокруг четырех направлений деятельности, от выбора которых зависит набор функций центра, требования к штату, инфраструктуре и режиму работы:

• обнаружение компьютерных атак и регистрация инцидентов;
• реагирование на инциденты и ликвидация их последствий;
• предупреждение компьютерных атак на информационные ресурсы;
• координация субъектов ГосСОПКА в рамках обнаружения, реагирования и предупреждения, а также анализ и выработка мер по повышению защищенности.

Организация может аккредитоваться сразу по нескольким направлениям. По итогам выдается аттестат со сроком действия не более пяти лет. От выбранной комбинации направлений зависит роль центра: от «операционного SOC» до опорного центра с координационной функцией.

Юридические и организационные условия:

• Центр создается в организации, которая не находится под юрисдикцией иностранных государств, не подконтрольна им прямо или косвенно и не аффилирована с ними. Речь идет о любом иностранном государстве, а не только о недружественных.
• Организация обязана иметь лицензию ФСБ России на выполнение работ с использованием сведений, составляющих государственную тайну.
• Для направлений «обнаружение компьютерных атак и регистрация инцидентов» и «реагирование на инциденты и ликвидация их последствий» требуется круглосуточный режим работы.

Взаимодействие с НКЦКИ:

• непрерывное автоматизированное взаимодействие;
• оперативное сообщение об инцидентах (до трех часов для ЗоКИИ и до 24 часов для остальных);
• предварительное уведомление о мероприятиях по проверке защищенности и пентестах и передача их результатов;
• промежуточные и итоговые отчеты по инцидентам;
• информирование о предоставлении ряда ИБ-услуг третьим лицам с предоставлением использованием данными клиентов;
• регулярные (не реже раза в квартал) сводки по защищенности и выявляемым атакам;
• трансляция клиентам рекомендаций НКЦКИ;
• хранение данных об инцидентах не менее трех лет;
• ежегодная независимая оценка защищенности через другой аккредитованный центр с обязательным устранением выявленных недостатков.

Техническая оснащенность:

• средства обмена с НКЦКИ, SIEM-системы, платформы реагирования (IRP) и киберразведки (TI) должны соответствовать Приказу ФСБ №554;
• используемые средства не должны быть связаны с недружественными государствами;
• антивирусы, средства обнаружения компьютерных атак (IDS), средства фильтрации сетевого трафика и межсетевого экранирования и СКЗИ должны быть сертифицированы ФСБ России.

То есть у центра должен быть не «набор разрозненных утилит», а выстроенный стек сертифицированных, доверенных и контролируемых решений. Для многих SOC это означает необходимость пересмотреть используемые продукты и архитектуру интеграций.

Требования к персоналу

Кадровый блок в Приказе №161 прописан достаточно подробно. Базовое правило для всех сотрудников центра: гражданство РФ без иного гражданства и повышение квалификации не реже раза в три года (не менее 40 часов).

Руководитель центра и заместитель:

• высшее образование по ИБ либо высшее образование плюс профпереподготовка по ИБ не менее 360 часов;
• стаж работы в ИБ или ИТ не менее пяти лет, из них не менее трех лет на руководящих должностях;
• допуск к гостайне;
• заместитель может совмещать роль начальника одного из подразделений.

В зависимости от видов деятельности выделяются подразделения:

1. Подразделение обнаружения компьютерных атак и регистрации инцидентов

• минимум один начальник и пять сотрудников;
• начальник: стаж в ИБ от двух лет и высшие по ИБ или переподготовка по ИБ не менее 360 часов;
• сотрудники: профильное высшее или среднее профессиональное образование по ИБ, либо любое высшее образование с переподготовкой 360 часов, либо техническое образование и опыт работы в ИТ от одного года;
• допускается брать сотрудников без опыта (при наличии профильного образования) или студентов последнего курса, но не более одного на трех штатных сотрудников.

2. Подразделения реагирования, предупреждения атак и координации субъектов ГосСОПКА

• минимум один начальник и два сотрудника;
• начальник: стаж в ИБ от трех лет и профильное высшее образование или переподготовка;
• сотрудники: требования по образованию и опыту такие же, как в подразделении по обнаружению;
• принимать сотрудников без опыта или студентов в эти подразделения нельзя.

В штате должны быть сотрудники, которые знают нормативную базу по безопасности КИИ и методические документы НКЦКИ и умеют применять их на практике при обнаружении атак и реагировании на инциденты.

Для проверки этого регулятор проводит тестирование. Оно может проходить очно по месту нахождения центра или дистанционно, при наличии технических условий. В тестировании принимает участие не менее 50% сотрудников центра по каждому направлению, но не менее минимального количества по штату; из них не менее 75% должны ответить правильно на 75% вопросов.

Отдельно установлены запреты:

• выполнять обязанности из‑за пределов РФ (за исключением случаев, когда речь идет о ресурсах РФ, находящихся за рубежом);
• передавать информацию об инцидентах и атаках кому‑либо, кроме производителей ПО по их продукту;
• предоставлять в НКЦКИ искаженные сведения об атаках, последствиях и результатах оценки защищенности, включая пентесты, либо не предоставлять информацию вовсе;
• препятствовать контролю за деятельностью центров ГосСОПКА.

Процедура аккредитации привязана к конкретным срокам и делится на несколько шагов. Общий путь от подачи заявления до решения не должен превышать 65 рабочих дней.

1. Подача заявления

Соискатель направляет заявление с пакетом документов. К заявлению прилагаются декларация о соответствии, сведения о руководителе, документы на помещения (нежилые, зарегистрированные в ЕГРН), сведения о работниках, положение о центре и составе сил и средств, информация о технической оснащенности, лицензии на гостайну и ТЗКИ (при наличии).

Декларация о соответствии подтверждает, что:

• организация не находится под иностранной юрисдикцией;
• руководитель организации, руководитель центра и заместитель не включены в реестр иностранных агентов;
• у руководителя центра и его заместителя нет неснятых или непогашенных судимостей и фактов уголовного преследования (кроме прекращенных по реабилитирующим основаниям).

2. Проверка комплектности — до 10 рабочих дней

Орган проверяет полноту документов и уведомляет соискателя по электронной почте.

3. Проверка знаний и достоверности сведений — до 50 рабочих дней

Достоверность проверяется в том числе через межведомственное взаимодействие.

4. Принятие решения — до пяти рабочих дней

Принимается решение об аккредитации или отказе. При положительном результате запись об организации появляется на gossopka.ru уже на следующий рабочий день.

Если данные на межведомственные запросы задерживаются, процедуру могут приостановить на срок до 30 рабочих дней.

Отказ возможен, если:

• представленные сведения неполные;
• нарушена процедура аккредитации;
• центр не соответствует требованиям;
• выявлена недостоверная информация;
• в течение трех последних лет аккредитация уже отзывалась (в дальнейшем).

Повторно подать документы можно через 50 рабочих дней, за исключением случая, когда изначально был неполный комплект — тогда можно дослать недостающие материалы быстрее.

Аккредитация может быть приостановлена до 40 рабочих дней после, если выявлены нарушения. Центр должен устранить недостатки в течение 30 рабочих дней, после чего в течение 10 рабочих дней проводится проверка. При повторных нарушениях, игнорировании сроков, оказании услуг, которые не предусмотрены аттестатом или по заявлению самого центра аккредитация может быть отозвана. 

Формальный срок в 65 рабочих дней — это ориентир, а не гарантия. С учетом приостановок и доработок реальный горизонт может оказаться длиннее, поэтому аккуратное планирование времени на аккредитацию — отдельная задача.

Таким образом, Приказ №161 задает достаточно понятные правила для центров ГосСОПКА: кто может претендовать на работу с ЗоКИИ и государственными объектами, в каком виде должен быть выстроен центр и как регулятор будет контролировать его деятельность. Логика проста: чтобы защищать наиболее значимые информационные ресурсы страны, сам центр должен быть устойчивым, предсказуемым и управляемым.

В настоящее время в перечне центров ГосСОПКА указано 98 организаций. В ближайшие годы станет ясно, какая часть действующих игроков пройдет через новый фильтр и как это изменит рынок услуг по мониторингу и реагированию.