От мониторинга до проверки: как будет проходить контроль за использованием запрещенного софта в госорганах

Для украинских госорганов и органов местного самоуправления наступает критический этап в обеспечении реализации цифровой безопасности. Длительное время использование программного обеспечения с российским происхождением, в частности 1С, «Парус» и BAS, оставалось зоной вне контроля.

Однако еще 22 октября 2025 года Правительство постановлением № 1335 установило четкие ограничения на применение ПО с российскими корнями в госсекторе. Документ закрепляет требования по переходу на легальное и безопасное программное обеспечение, соответствующее стандартам кибербезопасности Украины.

Документ внедряет процедуру формирования и ведения открытого перечня запрещенного к использованию ПО и сетевого оборудования. Это не просто технический реестр, а инструмент государственного контроля, который позволяет идентифицировать цифровые продукты, создающие угрозу национальной кибербезопасности.

О механизме формирования Перечня, текущем состоянии списка, работе в закрытых сетях, облачных сервисах и последствиях для систем читайте в предыдущем материале «Судебно-юридической газеты».

Что именно подпадает под запрет?

Законодатель расширил понятие киберугрозы на два ключевых направления:

• Программное обеспечение в значении «программный продукт». Сюда напрямую относят системы 1С, «Парус», BAS и другие продукты, попавшие под санкции. Сейчас в перечне 40 таких продуктов.
• Коммуникационное оборудование: устройства для организации сетей, аппаратное обеспечение для обмена данными, такие как коммутаторы, маршрутизаторы, межсетевые экраны.

Также в этот список включают системы видеонаблюдения, производители которых находятся в санкционных списках.

Важно: во время закупок систем видеонаблюдения специалисты должны на этапе маркетинговых исследований тщательно проверять, не находится ли производитель оборудования в санкционных списках.

Меры госконтроля, которые осуществляют специалисты Госспецсвязи

20 марта 2026 года Госспецсвязи официально предупредило, что использование подсанкционного программного обеспечения, такого как 1С, «Парус» и BAS, в госучреждениях влечет за собой не только технические риски, но и персональную административную ответственность для руководителей.

В соответствии с Порядком осуществления государственного контроля за соблюдением требований законодательства в сфере киберзащиты, меры государственного контроля, которые осуществляют специалисты Госспецсвязи, делятся на два основных направления: мониторинг состояния киберзащиты и проведение проверок.

Мониторинг состояния киберзащиты предполагает постоянный сбор и анализ отчетов об оценивании состояния киберзащиты информационных и коммуникационных систем объектов критической инфраструктуры и систем, где обрабатываются государственные ресурсы или гостайна.

Специалисты могут письменно запрашивать у госорганов дополнительные документы для подтверждения состояния выполнения требований законодательства, в частности во время подготовки к проверке или если в отчете не хватает подтверждений осуществленных мер. Субъекты обязаны предоставить ответ в течение 30 календарных дней.

Проверка является непосредственной мерой контроля, которую осуществляет специальная комиссия в составе не менее трех человек — должностных лиц Администрации Госспецсвязи или ее территориальных органов.

Плановые проверки проводятся согласно годовому плану не чаще чем раз в два года в отношении одного субъекта. А внеплановые проверки проводятся в случае сообщения о нарушении от правоохранителей, из-за неподачи отчетности или невыполнения требований предыдущих проверок.

Ответственность за использование 1С

Во время мер государственного контроля специалисты Госспецсвязи в первую очередь проверяют отсутствие санкционных продуктов в системах учреждения. Если такое ПО (например, 1С) обнаружат в автоматизированных системах, где обрабатываются персональные данные или конфиденциальная информация, учреждение ожидает:

1. Требование заменить запрещенную программу.
2. Отмена авторизации (КСЗИ).
3. Если учреждение не заменит ПО в определенный срок, на руководителя, ответственного за защиту информации, будет составлен админпротокол.

Риски и будущие санкции

Законодатель не планирует останавливаться на действующих мерах. Госспецсвязи совместно с Национальной полицией и СБУ выступили инициаторами законопроекта, цель которого — радикально изменить отношение руководителей к киберзащите.

Он предусматривает:

• Штрафы до 100 минимальных зарплат за невыполнение требований в сфере киберзащиты.
• Лишение свободы за наиболее грубые нарушения законодательства.

Важно отметить, что Госспецсвязи подчеркивает превентивную роль: главной целью является не наказание, а предотвращение нарушений. Руководителям учреждений рекомендуется воспользоваться открытостью Госспецсвязи к коммуникации и получить необходимые консультации для безопасного перехода на украинские или международные аналоги софта и оборудования.