Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Внедрение передовых ИИ-решений для автоматизации процессов и повышения эффективности ИБ-команд
ИИ в кибербезопасности
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Разбор актуальных тем по информационной безопасности от экспертов УЦСБ
Вебинары
Регулярные ответы на вопросы по инфомационной безопасности
FAQ ИБ
Последние новости и мероприятия Центра кибербезопасности УЦСБ
Новости
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
ИИ в кибербезопасности
Внедрение передовых ИИ-решений для автоматизации процессов и повышения эффективности ИБ-команд
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
FAQ по вебинару «Изменения КИИ в 2026: от категорирования к системе контроля»
23 июня 2026
28 апреля состоялся вебинар, посвященный изменения в требованиях к критической информационной инфраструктуре (КИИ): новому перечню объектов КИИ, отраслевым особенностям категорирования, требованиям к защите значимых объектов КИИ (ЗОКИИ), переходу на российские программно-аппаратные комплексы, а также практическим вопросам автоматизации контроля с использованием решений CheckU.
По итогам вебинара мы собрали самые интересные вопросы участников и подготовили развернутые ответы экспертов.
28 апреля состоялся вебинар, посвященный изменения в требованиях к критической информационной инфраструктуре (КИИ): новому перечню объектов КИИ, отраслевым особенностям категорирования, требованиям к защите значимых объектов КИИ (ЗОКИИ), переходу на российские программно-аппаратные комплексы, а также практическим вопросам автоматизации контроля с использованием решений CheckU.
По итогам вебинара мы собрали самые интересные вопросы участников и подготовили развернутые ответы экспертов.
В пункте 125 Перечня типовых отраслевых объектов КИИ для кредитных организаций указаны системы, которые могут влиять на операционную надежность объектов КИИ. В каком объеме в этом пункте следует рассматривать информационные системы?
В п. 125 Перечня типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации (Перечень), утвержденного распоряжением Правительства РФ от 26.02.2026 № 360-р, включаются информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС), влияющие на операционную надежность объектов КИИ из п. п. 112–114 Перечня:
Состав процессов, влияющих на операционную надежность, определяется:
- п. 112 — ИС, АСУ, ИТКС дистанционного банковского обслуживания;
- п. 113 — ИС, АСУ, ИТКС, используемые банковскими организациями;
- п. 114 — ИС, АСУ, ИТКС, реализующие функционал перевода денежных средств (процессинга).
Состав процессов, влияющих на операционную надежность, определяется:
- Положением Банка России от 13.01.2025 № 850-П — для кредитных организаций;
- Положением Банка России от 15.11.2021 № 779-П — для некредитных финансовых организаций.
В случае использования кредитной организацией систем ДБО и процессинга на аутсорсе, необходимо ли проводить их категорирование и как при этом меняется подход?
Категорирование объектов КИИ обязательно для субъекта КИИ в том случае, если объект принадлежит ему на праве собственности, аренды или ином законном основании (ч. 4 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ). Использование услуги, оказываемой внешним провайдером, не означает, что система провайдера относится к объектам КИИ кредитной организации. Следовательно, подход зависит от схемы аутсорсинга.
Если кредитная организация только потребляет услугу, а система дистанционного банковского обслуживания (ДБО) принадлежит и эксплуатируется внешним провайдером, такая система не является объектом КИИ кредитной организации и категорированию с ее стороны не подлежит. Обязанность по категорированию в этом случае возникает у провайдера, если он отвечает признакам субъекта КИИ. Если же система ДБО принадлежит кредитной организации на праве собственности, аренды или ином законном основании, а на аутсорсинг передана только ее эксплуатация (сопровождение инфраструктуры), категорирование такого объекта КИИ проводит кредитная организация как субъект КИИ. При этом внешний провайдер приобретает статус эксплуатирующей организации, что требует указания сведений о нем в п. 4 сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, форма которых утверждена приказом ФСТЭК России от 22.12.2017 № 236, а также выполнения требований 187-ФЗ в рамках договорных обязательств в зависимости от распределения функций и ответственности за сопровождение инфраструктуры.
Договором на эксплуатацию должны быть однозначно определены следующие положения:
Если кредитная организация только потребляет услугу, а система дистанционного банковского обслуживания (ДБО) принадлежит и эксплуатируется внешним провайдером, такая система не является объектом КИИ кредитной организации и категорированию с ее стороны не подлежит. Обязанность по категорированию в этом случае возникает у провайдера, если он отвечает признакам субъекта КИИ. Если же система ДБО принадлежит кредитной организации на праве собственности, аренды или ином законном основании, а на аутсорсинг передана только ее эксплуатация (сопровождение инфраструктуры), категорирование такого объекта КИИ проводит кредитная организация как субъект КИИ. При этом внешний провайдер приобретает статус эксплуатирующей организации, что требует указания сведений о нем в п. 4 сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, форма которых утверждена приказом ФСТЭК России от 22.12.2017 № 236, а также выполнения требований 187-ФЗ в рамках договорных обязательств в зависимости от распределения функций и ответственности за сопровождение инфраструктуры.
Договором на эксплуатацию должны быть однозначно определены следующие положения:
- распределение функций и ответственности сторон в рамках оказания соответствующей услуги;
- правовые меры обеспечения безопасности объекта КИИ — условия выполнения требований к безопасности на стороне субъекта КИИ и эксплуатирующей организации.
В какие сроки после вступления в силу Перечня типовых отраслевых объектов КИИ и Постановления Правительства «Об утверждении отраслевых особенностей категорирования объектов КИИ» необходимо провести перекатегорирование? Или действует общее правило «не реже 1 раза в 5 лет»?
В соответствии с п. 21 Правил категорирования объектов КИИ Российской Федерации, утвержденных постановлением Правительства РФ от 08.02.2018 № 127 (ПП-127), субъект КИИ осуществляет пересмотр установленных категорий значимости в следующих случаях:
Кроме того, постановлением Правительства РФ от 07.11.2025 № 1762 «О внесении изменений в некоторые акты Правительства Российской Федерации» были внесены изменения в перечень показателей критериев значимости объектов КИИ РФ и их значений, утвержденных ПП-127, что является основанием для проведения процедуры пересмотра категории значимости объектов КИИ.
Изменения касаются следующих показателей:
- не реже одного раза в 5 лет, если иные сроки не установлены отраслевыми особенностями категорирования;
- при изменении показателей критериев значимости объектов КИИ или их значений;
- при изменении отраслевых особенностей категорирования объектов КИИ.
Кроме того, постановлением Правительства РФ от 07.11.2025 № 1762 «О внесении изменений в некоторые акты Правительства Российской Федерации» были внесены изменения в перечень показателей критериев значимости объектов КИИ РФ и их значений, утвержденных ПП-127, что является основанием для проведения процедуры пересмотра категории значимости объектов КИИ.
Изменения касаются следующих показателей:
- п. 10 — уточнен перечень субъектов КИИ финансовой сферы: добавлен оператор платформы цифрового рубля; скорректированы пороговые значения среднедневного количества операций по переводу денежных средств (III категория — до 70 млн. операций включительно, II категория — свыше 70 до 120 млн. включительно, I категория — свыше 120 млн. операций);
- п. 10(3) — скорректированы пороговые значения объема активов для субъектов КИИ, являющихся негосударственными пенсионными фондами (III категория — от 50 до 1 000 млрд. руб., II категория — от 1 000 до 2 000 млрд. руб., I категория — от 2 000 млрд. руб.);
- п. 10(4) — скорректированы пороговые значения объема активов для субъектов КИИ, являющихся страховыми организациями (III категория — от 100 до 1 500 млрд. руб., II категория — от 1 500 до 5 000 млрд. руб., I категория — от 5 000 млрд. руб.);
- п. 10(6) — введен новый показатель для субъектов КИИ, являющихся микрофинансовыми компаниями: прекращение или нарушение деятельности по предоставлению потребительских займов, оцениваемое суммой микрозаймов за годовой отчетный период (III категория — от 100 до 1 000 млрд. руб., II категория — от 1 000 до 5 000 млрд. руб., I категория — от 5 000 млрд. руб.);
- п. 10(7) — введен новый показатель для субъектов КИИ, являющихся бюро кредитных историй: прекращение или нарушение предоставления услуг, оцениваемое количеством хранящихся кредитных историй (III категория — от 30 до 200 млн. единиц, II категория — от 200 до 500 млн. единиц, I категория — от 500 млн. единиц).
ФСТЭК России 12 апреля 2026 г. утвердил новый Методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» с мерами защиты не только для ГИС, но и для значимых объектов КИИ. Данные меры касаются только значимых объектов КИИ, являющихся ГИС?
В пункте 22.1 приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (приказ ФСТЭК России № 239) уточнено, что при реализации мер по обеспечению безопасности значимых объектов КИИ применяются методические документы, разработанные ФСТЭК России.
Методический документ ФСТЭК России от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» (Методика ФСТЭК России от 12.04.2026) применяется ко всем значимым объектам КИИ, а не только к тем, которые одновременно являются государственными информационными системами (ГИС).
Пункт 1.2 Методики ФСТЭК России от 12.04.2026 устанавливает, что документ определяет мероприятия (процессы) и меры, в том числе для ИС субъектов КИИ, а также для обеспечения безопасности принадлежащих органам (организациям) значимых объектов КИИ.
Пункт 1.3 Методики ФСТЭК России от 12.04.2026 детализирует, что документ определяет содержание мер по защите информации (обеспечению безопасности), принимаемых в ИС и на значимых объектах КИИ.
Механизм выбора мер защиты информации для реализации в ИС, являющихся значимыми объектами КИИ, содержится в Приложении № 3 к Методике ФСТЭК России от 12.04.2026.
Методический документ ФСТЭК России от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» (Методика ФСТЭК России от 12.04.2026) применяется ко всем значимым объектам КИИ, а не только к тем, которые одновременно являются государственными информационными системами (ГИС).
Пункт 1.2 Методики ФСТЭК России от 12.04.2026 устанавливает, что документ определяет мероприятия (процессы) и меры, в том числе для ИС субъектов КИИ, а также для обеспечения безопасности принадлежащих органам (организациям) значимых объектов КИИ.
Пункт 1.3 Методики ФСТЭК России от 12.04.2026 детализирует, что документ определяет содержание мер по защите информации (обеспечению безопасности), принимаемых в ИС и на значимых объектах КИИ.
Механизм выбора мер защиты информации для реализации в ИС, являющихся значимыми объектами КИИ, содержится в Приложении № 3 к Методике ФСТЭК России от 12.04.2026.
Станки с ЧПУ зачастую являются значимыми объектами КИИ. Как к ним применять требования по переходу на российские программно-аппаратные комплексы (ПАК)?
Станки с числовым программным управлением (ЧПУ), отнесенные к значимым объектам КИИ, подпадают под действие постановления Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации», что означает два ключевых ограничения:
Приобретение и использование ПАК, не являющегося доверенным, допускается при наличии заключения Минпромторга России об отнесении продукции к промышленной продукции, не имеющей произведенных в РФ аналогов, в соответствии с постановлением Правительства РФ от 20.09.2017 № 1135.
- с 01.09.2024 на значимых объектах КИИ не допускается использование приобретенных с этой даты программно-аппаратных комплексов, не включенных в единый реестр российской радиоэлектронной продукции и (или) не соответствующих в части программного обеспечения требованиям постановления Правительства РФ от 22.08.2022 № 1478;
- до 01.01.2030 субъект КИИ должен осуществить переход на преимущественное применение доверенных ПАК.
Приобретение и использование ПАК, не являющегося доверенным, допускается при наличии заключения Минпромторга России об отнесении продукции к промышленной продукции, не имеющей произведенных в РФ аналогов, в соответствии с постановлением Правительства РФ от 20.09.2017 № 1135.
С учетом новых требований к категорированию и расширения состава объектов КИИ, видит ли ФСТЭК России риск массового «перекатегорирования вверх» (в более высокие категории значимости)? И планируется ли в этой связи пересмотр подходов к соразмерности мер защиты, чтобы не возникло ситуации, когда формальное повышение категории не подкреплено реальным ростом угроз?
Изменения в законодательстве о КИИ направлены не на создание условий для формального повышения категорий значимости, а на то, чтобы субъекты КИИ корректно определяли состав своих объектов КИИ и присваивали соответствующие категории значимости.
Введение Перечня решает задачу идентификации объектов, подлежащих категорированию. Согласно п. 3 Правил категорирования (ПП-127), категорированию подлежат именно те объекты, которые соответствуют типам, включенным в перечень типовых отраслевых объектов КИИ. Таким образом, регулятор устранил неопределенность в вопросе о том, что именно является объектом КИИ.
Отраслевые особенности категорирования не повышают категории формально, а определяют порядок расчета значений показателей критериев значимости с учетом специфики функционирования конкретного объекта (п. 6(1) ПП-127). Их цель — обеспечить объективность оценки, а не увеличить нагрузку на субъектов КИИ.
Введение Перечня решает задачу идентификации объектов, подлежащих категорированию. Согласно п. 3 Правил категорирования (ПП-127), категорированию подлежат именно те объекты, которые соответствуют типам, включенным в перечень типовых отраслевых объектов КИИ. Таким образом, регулятор устранил неопределенность в вопросе о том, что именно является объектом КИИ.
Отраслевые особенности категорирования не повышают категории формально, а определяют порядок расчета значений показателей критериев значимости с учетом специфики функционирования конкретного объекта (п. 6(1) ПП-127). Их цель — обеспечить объективность оценки, а не увеличить нагрузку на субъектов КИИ.
Требуется ли обязательная регистрация (наличие личного кабинета) в технической инфраструктуре НКЦКИ, если мы имеем возможность направлять необходимую информацию посредством электронной почты?
Согласно п. 3 Порядка непрерывного взаимодействия Национального координационного центра по компьютерным инцидентам (НКЦКИ) с субъектами КИИ, утвержденного приказом ФСБ России от 25.12.2025 № 548, субъекты КИИ обязаны направлять информацию о компьютерных атаках и компьютерных инцидентах и получать информацию об угрозах безопасности информации с использованием личного кабинета субъекта государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), зарегистрированного в технической инфраструктуре НКЦКИ.
Следовательно, наличие личного кабинета является основным способом непрерывного взаимодействия с НКЦКИ, а не альтернативным.
Почтовый адрес и адрес электронной почты рассматриваются Приказом ФСБ России № 548 как резервные каналы связи (используются в случаях технических сбоев и (или) отсутствия связи с личным кабинетом).
Следовательно, наличие личного кабинета является основным способом непрерывного взаимодействия с НКЦКИ, а не альтернативным.
Почтовый адрес и адрес электронной почты рассматриваются Приказом ФСБ России № 548 как резервные каналы связи (используются в случаях технических сбоев и (или) отсутствия связи с личным кабинетом).
Если информационная система (не ГИС) государственного органа является значимым объектом КИИ и одновременно попадает под Приказ ФСТЭК России № 117, то по какому приказу ее следует защищать — по 117-му или по 239-му?
Согласно п. 6 Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений (Требования приказа ФСТЭК России № 117), утвержденных приказом ФСТЭК России от 11.04.2025 № 117 (приказ ФСТЭК России № 117), в случае если ИС является значимым объектом КИИ РФ, защита содержащейся в ней информации должна обеспечиваться в соответствии с нормативными правовыми актами, принятыми на основании ст. 6 187-ФЗ, и Требованиями приказа ФСТЭК России № 117.
Приказ ФСТЭК России № 239 принят в соответствии с п. 4 ч. 3 ст. 6 187-ФЗ, а значит подпадает под п. 6 Требований приказа ФСТЭК России № 117, следовательно, если иная ИС государственного органа (не являющаяся ГИС) является значимым объектом КИИ, следует совместно руководствоваться приказами ФСТЭК России № 117 и № 239.
Механизм выбора мер защиты информации для реализации в ИС, являющихся значимыми объектами КИИ, содержится в Приложении № 3 к Методике ФСТЭК России от 12.04.2026.
Приказ ФСТЭК России № 239 принят в соответствии с п. 4 ч. 3 ст. 6 187-ФЗ, а значит подпадает под п. 6 Требований приказа ФСТЭК России № 117, следовательно, если иная ИС государственного органа (не являющаяся ГИС) является значимым объектом КИИ, следует совместно руководствоваться приказами ФСТЭК России № 117 и № 239.
Механизм выбора мер защиты информации для реализации в ИС, являющихся значимыми объектами КИИ, содержится в Приложении № 3 к Методике ФСТЭК России от 12.04.2026.
По какой методике производится распределение весовых значений в решении CheckU?
В CheckU возможна реализация любой методики проверки, это касается как требований. Возможна как разработка специалистами аналитического центра УЦСБ новой методики, так и самостоятельный перенос организацией собственной методики. Что касается весовых значений, они также проставляются экспертным путем: если методика создается, то веса определяются в рамках ее создания; если методика уже существующая, то веса переносятся в платформу CheckU.
В CheckU есть проверка требований по приказу ФСТЭК России № 239?
Да, проверка требований в CheckU может быть реализована по любому нормативно-правовому акту. Это касается не только сферы обеспечения безопасности КИИ, но и любых других сфер: например, ПДн, коммерческой тайны, требований к финансовым организациям.
Продукт CheckU автоматизирует процесс расчета КЗИ по методике ФСТЭК, который теперь проводится раз в полгода?
Да, методику расчета показателя КЗИ также можно занести в платформу CheckU и раз в полгода проводить оценку.
Как учитывать цифровые сервисы (облачные платформы, ИИ) при категорировании?
При категорировании объектов КИИ цифровые сервисы, такие как облачные платформы, системы искусственного интеллекта, подлежат категорированию на общих основаниях, если соответствуют типам объектов, включенным в Перечень, утвержденный распоряжением Правительства РФ от 26.02.2026 № 360-р (п. 3 Правил категорирования объектов КИИ РФ, утвержденных ПП-127).
При категорировании объектов КИИ учет цифровых сервисов, таких как облачные платформы и системы ИИ, осуществляется через оценку их влияния на выполнение значимых функций и масштаб возможных негативных последствий.
Если субъект КИИ использует внешнюю облачную платформу (принадлежащую иному лицу), то эта платформа может являться самостоятельным объектом категорирования у ее владельца, а субъект КИИ будет являться эксплуатирующей организацией. При оценке масштаба последствий учитывается отказ этого облачного сервиса.
Следовательно, если облачный сервис обеспечивает критически важные функции объекта КИИ (например, хранение данных, вычислительные мощности), это должно быть отражено и влиять на итоговую категорию значимости.
Договором на эксплуатацию облачной платформы должны быть однозначно определены следующие положения:
При использовании мультиоблачных решений или облачных сервисов с различной географической юрисдикцией необходимо учитывать, что программные и программно-аппаратные средства значимых объектов 1 и 2 категорий значимости, осуществляющие хранение и обработку информации, должны размещаться на территории РФ (п. 31 приказа ФСТЭК России № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»).
Если объект КИИ зависит от нескольких облачных платформ, каждая из них должна быть проанализирована на предмет критичности. Отказ любого из облачных компонентов, обеспечивающего критическую функцию, может привести к повышению категории значимости при определении негативных последствий в рамках расчета значений показателей критериев значимости.
При использовании систем ИИ необходимо провести оценку их специфических угроз безопасности информации, связанных с разработкой и эксплуатацией ИИ, как это предписано п. 3.18 Методики ФСТЭК России от 12.04.2026.
Необходимо собрать исходные данные с учетом архитектуры сервиса, его взаимосвязей и зависимости от других объектов (п. 10 ПП-127).
При категорировании объектов КИИ учет цифровых сервисов, таких как облачные платформы и системы ИИ, осуществляется через оценку их влияния на выполнение значимых функций и масштаб возможных негативных последствий.
Если субъект КИИ использует внешнюю облачную платформу (принадлежащую иному лицу), то эта платформа может являться самостоятельным объектом категорирования у ее владельца, а субъект КИИ будет являться эксплуатирующей организацией. При оценке масштаба последствий учитывается отказ этого облачного сервиса.
Следовательно, если облачный сервис обеспечивает критически важные функции объекта КИИ (например, хранение данных, вычислительные мощности), это должно быть отражено и влиять на итоговую категорию значимости.
Договором на эксплуатацию облачной платформы должны быть однозначно определены следующие положения:
- распределение функций и ответственности сторон в рамках оказания соответствующей услуги;
- правовые меры обеспечения безопасности объекта КИИ — условия выполнения требований к безопасности на стороне субъекта КИИ и эксплуатирующей организации (подрядчика).
При использовании мультиоблачных решений или облачных сервисов с различной географической юрисдикцией необходимо учитывать, что программные и программно-аппаратные средства значимых объектов 1 и 2 категорий значимости, осуществляющие хранение и обработку информации, должны размещаться на территории РФ (п. 31 приказа ФСТЭК России № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»).
Если объект КИИ зависит от нескольких облачных платформ, каждая из них должна быть проанализирована на предмет критичности. Отказ любого из облачных компонентов, обеспечивающего критическую функцию, может привести к повышению категории значимости при определении негативных последствий в рамках расчета значений показателей критериев значимости.
При использовании систем ИИ необходимо провести оценку их специфических угроз безопасности информации, связанных с разработкой и эксплуатацией ИИ, как это предписано п. 3.18 Методики ФСТЭК России от 12.04.2026.
Необходимо собрать исходные данные с учетом архитектуры сервиса, его взаимосвязей и зависимости от других объектов (п. 10 ПП-127).
CheckU — это коробочное решение? Какие сроки внедрения?
CheckU является коробочным решением, но сам контент решения наполняется индивидуально под конкретную организацию с учетом зрелости ИБ, ИТ-инфраструктуры, отраслевой специфики и существующих организационных мер. Это помогает получить максимальную эффективность при соблюдении требований.
Длительность внедрения зависит от конкретной инфраструктуры организации, но как правило внедрение занимает от нескольких дней до 2 недель.
Длительность внедрения зависит от конкретной инфраструктуры организации, но как правило внедрение занимает от нескольких дней до 2 недель.
Как в ближайшие 5 лет изменятся подходы к категорированию и защите информации с развитием квантовых вычислений, ИИ и блокчейна? Будет ли корректировка требований к безопасности объектов КИИ с учетом новых технологий и порождаемых ими угроз?
В ближайшие 5 лет требования будут корректироваться в сторону автоматизации защиты (мониторинга с применением ИИ), изоляции критических сегментов (микросегментация) и полного перехода на отечественное программное обеспечение.
Процедура категорирования станет более стандартизированной благодаря переходу на отраслевой принцип категорирования и типизации объектов КИИ. С развитием технологий отраслевой стандартизированный принцип категорирования не изменится, а будет обновляться и дополняться новыми сведениями и процедурами.
Развитие технологий приведет к обновлению и дополнению банка данных угроз безопасности информации ФСТЭК России, что необходимо учитывать при разработке и уточнении моделей угроз.
Предполагается, что технология блокчейн будет использоваться для обеспечения неизменности журналов аудита и контроля целостности программного обеспечения. Это исключит возможность сокрытия следов действий нарушителей внутри КИИ.
Процедура категорирования станет более стандартизированной благодаря переходу на отраслевой принцип категорирования и типизации объектов КИИ. С развитием технологий отраслевой стандартизированный принцип категорирования не изменится, а будет обновляться и дополняться новыми сведениями и процедурами.
Развитие технологий приведет к обновлению и дополнению банка данных угроз безопасности информации ФСТЭК России, что необходимо учитывать при разработке и уточнении моделей угроз.
Предполагается, что технология блокчейн будет использоваться для обеспечения неизменности журналов аудита и контроля целостности программного обеспечения. Это исключит возможность сокрытия следов действий нарушителей внутри КИИ.
Допускается ли использование иностранного ПО на объектах КИИ и если да, то в каких случаях?
Обязанность по использованию российского ПО сформулирована только в отношении значимых объектов КИИ. Согласно п. 5 ч. 3 ст. 9 187-ФЗ, субъекты КИИ, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, обязаны использовать на значимых объектах КИИ ПО:
- сведения о котором включены в единый реестр российских программ для электронных вычислительных машин (ЭВМ) и баз данных, предусмотренный ст. 12.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (149-ФЗ);
- которое используется в ГИС, соответствующих требованиям о защите информации, установленным ч. 5 ст. 16 149-ФЗ.
- обоснована невозможность соблюдения запрета на использование иностранного ПО (отсутствие в едином реестре российских программ для ЭВМ и БД ПО, отвечающего требуемым функциональным, техническим и (или) эксплуатационным характеристикам);
- закупка соответствует утвержденному Заказчиком плану перехода на преимущественное использование российского ПО;
- получено согласование уполномоченного органа (для кредитных организаций и некредитных финансовых организаций — Центрального банка Российской Федерации).
Опубликован проект приказа ФСТЭК России о поправках к приказам № 235 и № 239. Означает ли это, что после изменений ФСТЭК России сможет требовать внедрение дополнительных мер защиты, даже если они формально не нужны для установленной категории значимости объекта КИИ, но ведомство посчитает выполненные меры недостаточными?
Проектом приказа ФСТЭК России «О внесении изменений в приказы ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239» состав мер защиты значимых объектов КИИ перестает быть ограниченным только перечнем из приказа ФСТЭК России № 239 и будет зависеть от оценки их достаточности со стороны регулятора.
Выполнение даже всех базовых мер для значимого объекта КИИ не будет гарантировать полное соответствие требованиям. У ФСТЭК России появится прямое нормативное основание требовать от субъектов КИИ реализации дополнительных мер, которые могут выходить за рамки стандартного набора для категории значимости объекта КИИ. Дополнительные меры станут не рекомендацией, а прямым нормативным требованием.
Для проведения контроля состояния безопасности значимых объектов КИИ используются два количественных показателя:
Выполнение даже всех базовых мер для значимого объекта КИИ не будет гарантировать полное соответствие требованиям. У ФСТЭК России появится прямое нормативное основание требовать от субъектов КИИ реализации дополнительных мер, которые могут выходить за рамки стандартного набора для категории значимости объекта КИИ. Дополнительные меры станут не рекомендацией, а прямым нормативным требованием.
Для проведения контроля состояния безопасности значимых объектов КИИ используются два количественных показателя:
- защищенности (Кзи), который характеризует текущее состояние обеспечения безопасности от базового уровня угроз;
- уровня зрелости (Пзи), который определяет достаточность и эффективность проведенных мероприятий по обеспечению безопасности.
При реализации требований по защите информации в значимых объектах КИИ обязательно ли следовать только приказу ФСТЭК России № 239 или есть иные НПА для государственных органов и критичных объектов? Как учитывать специфику систем (например, облачных) при разработке мер безопасности согласно этому документу?
При реализации требований по защите информации в значимых объектах КИИ руководствоваться исключительно приказом ФСТЭК России № 239 будет недостаточно. Для обеспечения комплексной защиты необходимо применять и другие нормативные акты.
Помимо приказов ФСТЭК России, необходимо учитывать нормативные акты отраслевых регуляторов.
Приказ ФСТЭК России № 239 определяет защитные меры для самого значимого объекта КИИ, а Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (приказ ФСТЭК России № 235) устанавливает требования к процессам и системе управления безопасностью у субъекта КИИ. Оба документа являются частями единой системы.
Для ГИС и иных ИС государственных органов обязательны требования приказа ФСТЭК России № 117.
Ко всем значимым объектам КИИ применяется Методика ФСТЭК России от 12.04.2026.
Проектом приказа ФСТЭК России «О внесении изменений в приказы ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239» состав мер защиты значимых объектов КИИ перестает быть ограниченным только перечнем из приказа ФСТЭК России № 239 и будет зависеть от оценки достаточности реализованных защитных мер со стороны регулятора.
Приказ ФСТЭК России № 239 сам по себе не содержит детальных требований для облачных сред. Его подход к учету специфики любых технологий, включая облачные решения, основан на адаптации базового набора мер под конкретную архитектуру системы. В отличие от него, Методика ФСТЭК России от 12.04.2026 дает уже готовые, детализированные меры для разных технологий.
Таким образом, приказ ФСТЭК России № 239 дает гибкий механизм для защиты любых систем, включая облачные, но требует экспертного обоснования каждого шага. Для упрощения этой задачи и была разработана Методика ФСТЭК России от 12.04.2026.
Следовательно, специфика системы (например, переход в облако) обязывает внедрять целые дополнительные разделы мер защиты, предусмотренные новой Методикой ФСТЭК России от 12.04.2026.
Помимо приказов ФСТЭК России, необходимо учитывать нормативные акты отраслевых регуляторов.
Приказ ФСТЭК России № 239 определяет защитные меры для самого значимого объекта КИИ, а Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (приказ ФСТЭК России № 235) устанавливает требования к процессам и системе управления безопасностью у субъекта КИИ. Оба документа являются частями единой системы.
Для ГИС и иных ИС государственных органов обязательны требования приказа ФСТЭК России № 117.
Ко всем значимым объектам КИИ применяется Методика ФСТЭК России от 12.04.2026.
Проектом приказа ФСТЭК России «О внесении изменений в приказы ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239» состав мер защиты значимых объектов КИИ перестает быть ограниченным только перечнем из приказа ФСТЭК России № 239 и будет зависеть от оценки достаточности реализованных защитных мер со стороны регулятора.
Приказ ФСТЭК России № 239 сам по себе не содержит детальных требований для облачных сред. Его подход к учету специфики любых технологий, включая облачные решения, основан на адаптации базового набора мер под конкретную архитектуру системы. В отличие от него, Методика ФСТЭК России от 12.04.2026 дает уже готовые, детализированные меры для разных технологий.
Таким образом, приказ ФСТЭК России № 239 дает гибкий механизм для защиты любых систем, включая облачные, но требует экспертного обоснования каждого шага. Для упрощения этой задачи и была разработана Методика ФСТЭК России от 12.04.2026.
Следовательно, специфика системы (например, переход в облако) обязывает внедрять целые дополнительные разделы мер защиты, предусмотренные новой Методикой ФСТЭК России от 12.04.2026.
Что изменилось в практике оценки рисков с введением нового регламента при пересчете КЗИ по методике ФСТЭК России раз в полгода? Как инструменты автоматизации (например, ваш продукт) минимизируют ошибки при расчете КЗИ и насколько они соответствуют требованиям ФСТЭК России по частоте таких расчетов?
Автоматизированный расчет КЗИ может осуществляться по Методике оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ, утвержденной ФСТЭК России 11.11.2025 г. (Методика ФСТЭК России от 11.11.2025). Формализованность расчета в совокупности с возможностью назначить единого ответственного исполнителя снижает вероятность арифметических и методических ошибок и обеспечивает воспроизводимость результата при каждой очередной оценке.
Оценка рисков из периодической процедуры превратилась в непрерывный процесс.
Оценка рисков из периодической процедуры превратилась в непрерывный процесс.
- Периодичность. Расчет КЗИ проводится не реже одного раза в шесть месяцев (п. 12 Методики ФСТЭК России от 11.11.2025). Помимо плановых, предусмотрены внеочередные оценки при наступлении значимого инцидента информационной безопасности, изменении архитектуры ИС, по запросу руководителя организации или ФСТЭК России (п. 19 Методики ФСТЭК России от 11.11.2025). Просрочка расчета или непредставление подтверждающих материалов влечет обнуление соответствующих показателей;
- Отчетность. О значении КЗИ, не соответствующем нормированному значению (КЗИ = 1), информируется руководитель организации (п. 15 Методики ФСТЭК России от 11.11.2025). Результаты оценки предоставляются в ФСТЭК России, которая вправе запросить подтверждающие документы и материалы (п. 16 Методики ФСТЭК России от 11.11.2025);
- Последствия несоответствия. Если запрошенные ФСТЭК России материалы не представлены в течение 30 дней, показателю КЗИ и соответствующим частным показателям присваивается значение 0. ФСТЭК России вправе самостоятельно скорректировать значение КЗИ по итогам государственного контроля или анализа представленных документов и уведомить об этом организацию (п. 17 Методики ФСТЭК России от 11.11.2025);
- Доказательная база. Расчет должен подкрепляться конкретными свидетельствами: скриншотами настроек средств защиты информации, отчетами SIEM, ОРД. Успешно проведенный анализ защищенности методом тестирования на проникновение, выявивший возможность реализации недопустимых событий, обнуляет целые группы.
- Взаимодействие с подрядчиком рассматривается Методикой ФСТЭК России от 11.11.2025 как самостоятельная зона риска. Требования по информационной безопасности в договоре с подрядной организацией обязательны.
Обязательно ли объекты информатизации, обрабатывающие сведения, составляющие государственную тайну, должны иметь категорию значимости как объект КИИ?
Объекты информатизации, обрабатывающие сведения, составляющие государственную тайну, не признаются значимыми объектами КИИ автоматически.
Наличие государственной тайны не является прямым критерием для присвоения объекту КИИ одной из категорий значимости. Статус значимого объекта КИИ присваивается только по результатам проведения процедуры категорирования.
В состав постоянно действующей комиссии по категорированию субъекта КИИ обязательно включаются работники подразделения по защите государственной тайны, если рассматриваемый объект КИИ обрабатывает такие сведения (п. 11 ПП-127).
Обработка государственной тайны является характеристикой защищаемой информации, а значимость объекта КИИ определяется масштабом негативных последствий в случае возникновения компьютерных инцидентов.
Наличие государственной тайны не является прямым критерием для присвоения объекту КИИ одной из категорий значимости. Статус значимого объекта КИИ присваивается только по результатам проведения процедуры категорирования.
В состав постоянно действующей комиссии по категорированию субъекта КИИ обязательно включаются работники подразделения по защите государственной тайны, если рассматриваемый объект КИИ обрабатывает такие сведения (п. 11 ПП-127).
Обработка государственной тайны является характеристикой защищаемой информации, а значимость объекта КИИ определяется масштабом негативных последствий в случае возникновения компьютерных инцидентов.
Что мешает ФСТЭК России сделать такое решение, например, на базе ГосСОПКИ, чтобы не перегружать всех отчетами, контролями и проверками?
Реализуемые функции и полномочия ФСТЭК России определены Положением, утвержденным Указом Президента Российской Федерации от 16.08.2004 № 1085.
Создание и эксплуатация централизованных цифровых платформ для автоматизации контрольно-надзорной деятельности или сбора отчетности не отнесены к компетенции ФСТЭК России.
Полномочия по координации оперативного реагирования на инциденты и управление технической инфраструктурой ГосСОПКИ закреплены за ФСБ России. Создание единой платформы мониторинга на базе ГосСОПКИ силами ФСТЭК России невозможно, так как это означало бы выход регулятора за пределы его законных полномочий и вмешательство в сферу ответственности другого ведомства.
Создание и эксплуатация централизованных цифровых платформ для автоматизации контрольно-надзорной деятельности или сбора отчетности не отнесены к компетенции ФСТЭК России.
Полномочия по координации оперативного реагирования на инциденты и управление технической инфраструктурой ГосСОПКИ закреплены за ФСБ России. Создание единой платформы мониторинга на базе ГосСОПКИ силами ФСТЭК России невозможно, так как это означало бы выход регулятора за пределы его законных полномочий и вмешательство в сферу ответственности другого ведомства.
При категорировании нужно учитывать ущерб от компьютерных инцидентов. Как это сделать для строящегося объекта КИИ, если теперь порядок изменился: сначала категорирование, затем модель угроз?
Категорирование объекта КИИ в соответствии с ч. 1 ст. 7 187-ФЗ представляет собой установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
В рамках категорирования постоянно действующая комиссия по категорированию оценивает масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ (п. 14 «е» Правил категорирования объектов КИИ РФ, утвержденных ПП-127). При оценке учитываются особенности функционирования объекта КИИ, типовые функции (сервисы) для соответствующего типового отраслевого объекта КИИ, включенного в Перечень, и наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ (п. 14(1) ПП-127).
В рамках категорирования проводится только рассмотрение возможных действий нарушителей и анализ угроз безопасности по отношению к имеющимся у организации объектам КИИ, это следует из буквального толкования п. п. «г» п. 14 ПП-127.
Данный анализ может проводиться как на основании уже имеющихся для объектов КИИ моделей угроз и нарушителей, например, подготовленных ранее в рамках мероприятий по обеспечению безопасности ПДн или АСУ производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, так и на основании описания возможных действий нарушителей и угроз безопасности объектам информатизации организации, содержащегося, например, в Политике ИБ организации.
Модель угроз безопасности информации разрабатывается в рамках разработки организационных и технических мер по обеспечению безопасности значимого объекта КИИ в соответствии с п. п. «а» п. 11 и п. 11.1 Требований по обеспечению безопасности значимых объектов КИИ РФ, утвержденных приказом ФСТЭК России № 239.
В рамках категорирования постоянно действующая комиссия по категорированию оценивает масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ (п. 14 «е» Правил категорирования объектов КИИ РФ, утвержденных ПП-127). При оценке учитываются особенности функционирования объекта КИИ, типовые функции (сервисы) для соответствующего типового отраслевого объекта КИИ, включенного в Перечень, и наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ (п. 14(1) ПП-127).
В рамках категорирования проводится только рассмотрение возможных действий нарушителей и анализ угроз безопасности по отношению к имеющимся у организации объектам КИИ, это следует из буквального толкования п. п. «г» п. 14 ПП-127.
Данный анализ может проводиться как на основании уже имеющихся для объектов КИИ моделей угроз и нарушителей, например, подготовленных ранее в рамках мероприятий по обеспечению безопасности ПДн или АСУ производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, так и на основании описания возможных действий нарушителей и угроз безопасности объектам информатизации организации, содержащегося, например, в Политике ИБ организации.
Модель угроз безопасности информации разрабатывается в рамках разработки организационных и технических мер по обеспечению безопасности значимого объекта КИИ в соответствии с п. п. «а» п. 11 и п. 11.1 Требований по обеспечению безопасности значимых объектов КИИ РФ, утвержденных приказом ФСТЭК России № 239.
Если в организации есть объекты КИИ из перечня типовых отраслевых объектов КИИ, но они относятся к иной сфере деятельности (например, организация работает в ТЭК, а объект — из перечня для химической промышленности), нужно ли его категорировать?
Перечень описывает типовой объект КИИ через два признака:
Перечень структурирован по сферам деятельности субъектов КИИ, указанным в п. 8 ст. 2 187-ФЗ. Если организация осуществляет деятельность одновременно в нескольких сферах из числа перечисленных в п. 8 ст. 2 187-ФЗ, она признается субъектом КИИ в каждой из таких сфер, и категорирование проводится в отношении систем по соответствующим разделам Перечня.
- типовые процессы (функции), выполняемые типовым объектом КИИ;
- виды деятельности субъекта КИИ, для обеспечения которых используется типовой объект КИИ.
Перечень структурирован по сферам деятельности субъектов КИИ, указанным в п. 8 ст. 2 187-ФЗ. Если организация осуществляет деятельность одновременно в нескольких сферах из числа перечисленных в п. 8 ст. 2 187-ФЗ, она признается субъектом КИИ в каждой из таких сфер, и категорирование проводится в отношении систем по соответствующим разделам Перечня.
Если в организации реализованы процессы ИБ по стандарту ISO 27002:2021, будет ли этого достаточно для исполнения требований безопасности для объектов КИИ с категорией значимости и без нее?
Реализация информационной безопасности в соответствии со стандартом ISO/IEC 27002:2021 не является достаточным основанием для признания требований по обеспечению безопасности значимых объектов КИИ выполненными.
Обязанности субъекта КИИ, установленные п. 1 ч. 3 ст. 9 187-ФЗ, предписывают соблюдение требований по обеспечению безопасности значимых объектов КИИ, установленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ – ФСТЭК России. Такие требования утверждены приказом ФСТЭК России № 235 и приказом ФСТЭК России № 239.
Обязанности субъекта КИИ, установленные п. 1 ч. 3 ст. 9 187-ФЗ, предписывают соблюдение требований по обеспечению безопасности значимых объектов КИИ, установленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ – ФСТЭК России. Такие требования утверждены приказом ФСТЭК России № 235 и приказом ФСТЭК России № 239.
Если на объекте КИИ будет ПК из списка Минпромторга с отечественной ОС (например, Astra Linux), системой виртуализации и виртуальной машиной Windows с российским ПО для настройки ПЛК — будет ли это считаться достаточным для доверенного ПАК?
Использование описанной схемы для настройки программируемого логического контроллера (ПЛК) на объекте КИИ не будет считаться полностью достаточным для обеспечения соответствия требованиям к доверенному программно-аппаратному комплексу, особенно для значимых объектов КИИ.
Операционная система Microsoft Windows является зарубежным ПО, которое отсутствует в реестре российского ПО.
Если полный отказ от продукта Microsoft Windows технически невозможен (например, ПО для ПЛК работает только под управлением операционной системы Microsoft Windows), необходимо официально это обосновать.
Согласно правилам отнесения продукции к промышленной продукции, не имеющей произведенных в РФ аналогов, утвержденных постановлением Правительства РФ от 20.09.2017 № 1135, перед отнесением продукции к промышленной продукции, не имеющей произведенных в РФ аналогов, проводится экспертиза заявленной продукции – экспертная организация должна определить отличия параметров заявленной продукции от параметров произведенной в РФ промышленной продукции.
В целях получения акта экспертизы субъект КИИ формирует заявление о выдаче акта экспертизы и заключения об отсутствии аналогов посредством государственной информационной системы промышленности.
Далее необходимо разработать и внедрить компенсирующие меры, как того требует п. 26 приказа ФСТЭК России № 239. Данные меры должны обеспечивать эквивалентный уровень защиты и блокировать актуальные угрозы безопасности информации, что должно быть зафиксировано в проектном решении на систему защиты значимых объектов КИИ.
Операционная система Microsoft Windows является зарубежным ПО, которое отсутствует в реестре российского ПО.
Если полный отказ от продукта Microsoft Windows технически невозможен (например, ПО для ПЛК работает только под управлением операционной системы Microsoft Windows), необходимо официально это обосновать.
Согласно правилам отнесения продукции к промышленной продукции, не имеющей произведенных в РФ аналогов, утвержденных постановлением Правительства РФ от 20.09.2017 № 1135, перед отнесением продукции к промышленной продукции, не имеющей произведенных в РФ аналогов, проводится экспертиза заявленной продукции – экспертная организация должна определить отличия параметров заявленной продукции от параметров произведенной в РФ промышленной продукции.
В целях получения акта экспертизы субъект КИИ формирует заявление о выдаче акта экспертизы и заключения об отсутствии аналогов посредством государственной информационной системы промышленности.
Далее необходимо разработать и внедрить компенсирующие меры, как того требует п. 26 приказа ФСТЭК России № 239. Данные меры должны обеспечивать эквивалентный уровень защиты и блокировать актуальные угрозы безопасности информации, что должно быть зафиксировано в проектном решении на систему защиты значимых объектов КИИ.
Если нельзя использовать встроенные средства защиты в иностранном ПО, означает ли это, что нужно отменить применение паролей и функций разграничения доступа?
Пароль и функции разграничения доступа операционной системы Microsoft Windows перестают считаться его основным и достаточным средством защиты.
Необходимо обеспечить идентификацию, аутентификацию и управление доступом с опорой на доверенные (сертифицированные) решения, а не только на встроенные механизмы Microsoft Windows.
Требование состоит не в обязательном отключении встроенных функций, а в их дополнении (или замене) отечественными средствами защиты информации, которые перекрывают актуальные угрозы.
Согласно п. 5 ст. 9 ФЗ-187, субъекты КИИ обязаны использовать на значимых объектах КИИ ПО из единого реестра российского ПО.
Согласно п. 27 приказа ФСТЭК России № 239, СрЗИ, встроенные в ПО и (или) программно-аппаратные средства значимых объектов КИИ, используются в приоритетном порядке, только если они обеспечивают выполнение требований по безопасности.
В п. 2.14 Методики ФСТЭК России от 12.04.2026 указано, что зарубежное ПО создает угрозы закладок в программные и программно-аппаратные средства, возможность удаленного управления, что требует в ходе проектирования ИС анализа доступных отечественных решений.
Согласно пункту 31 приказа ФСТЭК России № 239, все СрЗИ должны иметь техническую поддержку от разработчика, а в случае невозможности обеспечения СрЗИ технической поддержкой, должны быть реализованы организационные и технические меры для блокирования угроз. Для встроенных средств операционной системы Microsoft Windows техническая поддержка сейчас невозможна.
Согласно п. 2.8 Методики ФСТЭК России от 12.04.2026, организационные меры и наложенные СрЗИ должны быть направлены на блокирование (нейтрализацию) угроз безопасности информации, сохранивших свою актуальность после применения безопасных архитектурных решений. Выбор архитектурных решений ИС на этапе их проектирования должен осуществляться на основе результатов моделирования угроз безопасности информации и описания поверхности компьютерных атак.
Необходимо обеспечить идентификацию, аутентификацию и управление доступом с опорой на доверенные (сертифицированные) решения, а не только на встроенные механизмы Microsoft Windows.
Требование состоит не в обязательном отключении встроенных функций, а в их дополнении (или замене) отечественными средствами защиты информации, которые перекрывают актуальные угрозы.
Согласно п. 5 ст. 9 ФЗ-187, субъекты КИИ обязаны использовать на значимых объектах КИИ ПО из единого реестра российского ПО.
Согласно п. 27 приказа ФСТЭК России № 239, СрЗИ, встроенные в ПО и (или) программно-аппаратные средства значимых объектов КИИ, используются в приоритетном порядке, только если они обеспечивают выполнение требований по безопасности.
В п. 2.14 Методики ФСТЭК России от 12.04.2026 указано, что зарубежное ПО создает угрозы закладок в программные и программно-аппаратные средства, возможность удаленного управления, что требует в ходе проектирования ИС анализа доступных отечественных решений.
Согласно пункту 31 приказа ФСТЭК России № 239, все СрЗИ должны иметь техническую поддержку от разработчика, а в случае невозможности обеспечения СрЗИ технической поддержкой, должны быть реализованы организационные и технические меры для блокирования угроз. Для встроенных средств операционной системы Microsoft Windows техническая поддержка сейчас невозможна.
Согласно п. 2.8 Методики ФСТЭК России от 12.04.2026, организационные меры и наложенные СрЗИ должны быть направлены на блокирование (нейтрализацию) угроз безопасности информации, сохранивших свою актуальность после применения безопасных архитектурных решений. Выбор архитектурных решений ИС на этапе их проектирования должен осуществляться на основе результатов моделирования угроз безопасности информации и описания поверхности компьютерных атак.
Входит ли в объем внедрения CheckU создание шаблонов проверки (аудита)?
Да, индивидуально под каждую организацию создаются шаблоны проверки. Наполнение этих шаблонов требованиями, весами и группировкой по конкретным группам требований.
Напишите нам на cybersec@ussc.ru или оставьте заявку
Нужна консультация
по изменениям требований к КИИ?
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных