Как пройти проверку ФСТЭК России по КИИ в 2025 году

Дата: 16.10.2025 г.
Автор статьи: Эмма Яндыбаева — Директор Департамента информационной безопасности в Альтирикс групп

Скачать презентацию и Дорожную карту↓

Как пройти проверку ФСТЭК России по КИИ в 2025 году

В 1-3 кв. 2025 г. существенно выросло количество мероприятий госконтроля выполнения требований по безопасности ЗОКИИ по сравнению с тем же периодом в 2024 г. Это связано, в первую очередь, с обязательными плановыми проверками ФСТЭК России тех ЗОКИИ, для которых истекло 3 года с момента их внесения в реестр ЗОКИИ РФ. Ожидается, что в 2026 г. план проверок ФСТЭК России субъектов КИИ будет еще внушительнее.

Мероприятия по госконтролю ЗОКИИ, в том числе, коснулись клиентов Альтирикс Групп. Все проверки ФСТЭК России, к которым привлекались наши сотрудники, прошли успешно, без выдачи предписаний. В настоящей статье мы поделимся своим опытом и рекомендациями, как лучше подготовиться к данному мероприятию.

Важно понимать, что основная задача ФСТЭК России в ходе проверки субъекта КИИ – помочь повысить уровень информационной безопасности  субъекта КИИ и выстроить процессы ИБ в соответствии с требованиями законодательства. Поэтому регулятор заблаговременно уведомляет субъекта о мероприятии госконтроля и открыт для диалога и консультаций:

• Уже в декабре ФСТЭК России уведомляет субъектов КИИ о том, что они вошли в план проверок следующего года.
• Для проверяемых организаций одной сферы может быть организована очная встреча в Управлении ФСТЭК России федерального округа для консультаций и разбора наиболее частых нарушений.
• Примерно за 1 месяц субъекту КИИ направляется уведомление о проверке, с точными сроками и областью проверки. Также субъект КИИ получает перечень документов, которые нужно будет предоставить проверяющим.

Процедура госконтроля, включая сроки уведомления, длительность мероприятия, права и обязанности проверяющих, регламентируется Постановлением Правительства РФ от 17.02.2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». При этом нет опубликованной программы проверки. Программа может меняться в зависимости от масштаба инфраструктуры ЗОКИИ и длительности проверки (от 1 до 20 рабочих дней).

Пример возможного сценария 5-дневной проверки

1 день:

• Инструктаж работников регулятора, получение  пропусков и спецодежды для посещения производственных площадок.
• Знакомство с ответственными за ИБ работниками субъекта КИИ.
• Выяснение зон ответственности по ИБ между подразделениями организации, а также подрядчиками.
• Проверка комплектности подготовленной субъектом КИИ документации в соответствии с ранее направленным запросом ФСТЭК России.
• Проверка состава комиссии по категорированию ОКИИ и документирования ее деятельности.
• Выявление новых создаваемых ОКИИ.

Не смотря на то, что в уведомлении о проведении мероприятия госконтроля вероятно зафиксированы только ЗОКИИ и не указаны прочие ОКИИ, ФСТЭК России все же уполномочена проверить корректность работы комиссии по категорированию ОКИИ. К этому относится, в том числе, работа комиссии по анализу создаваемых и модернизируемых систем в организации, их категорирование (при необходимости) и анализ отраслевых типовых перечней ОКИИ. Необходимо предоставить протоколы заседания комиссии, акты категорирования и исходящие письма во ФСТЭК России со сведениями о результатах категорирования. Не требуется демонстрировать сами технические средства ОКИИ, не вошедшие в область проверки.

2-3 дни:

• Осмотр технических средств в составе ЗОКИИ.
• Проверка соответствия состава технических средств и программного обеспечения (ПО) последней версии сведений о результатах категорирования, направленных во ФСТЭК России.
• Проверка соответствия настроек хостовых СЗИ требованиям ОРД субъекта КИИ.
• Интервью пользователей ЗОКИИ на знание требований по ИБ.
• Сканирование ЗОКИИ на наличие уязвимостей.

4 день:

• Проверка настроек прочих СЗИ (межсетевого экрана, SIEM и т.д.).
• Проверка ОРД субъекта КИИ на соответствие законодательству по ИБ КИИ (сотрудник ФСТЭК России называет требование законодательства, работник субъекта КИИ должен показать документ организации, в котором это требование прописано).
• Проверка должностных инструкций пользователей и администраторов ЗОКИИ, а также работников отдела ИБ и заместителя руководителя по ИБ.
• Проверка наличия документов, подтверждающих испытания и ввод в эксплуатацию СБ ЗОКИИ.

5 день:

Согласование и подписание акта проверки.

Дорожная карта подготовки к проверке

Мы составили Дорожную карту подготовки к плановой проверке ФСТЭК России по КИИ, которую вы можете скачать в конце статьи. Если недостаточно ресурсов для реализации всех мероприятий, в первую очередь рекомендуем выявить и устранить те нарушения, которые будет невозможно оперативно устранить на месте в ходе проверки и за которые предусмотрены отдельные статьи в КоАП РФ.

Отметим, что 1 пунктом в дорожной карте идет устранение уязвимостей в ЗОКИИ, т.к. с выполнением этой задачи чаще всего возникают наибольшие трудности и требуется значительное время для тестирования обновлений и устранения уязвимостей. Не откладывайте данное мероприятие на последний день! Работайте с уязвимостями методично и регулярно.

В случае выявления нарушения любого из требований по обеспечению безопасности КИИ (в том числе, не выполнения перечисленных в Дорожной карте мероприятий), если субъект КИИ не смог устранить его на месте в ходе проверки, регулятор обязан:

• выдать предписание субъекту КИИ с указанием срока устранения нарушения, который устанавливается в том числе с учетом утвержденных субъектом КИИ планов мероприятий по ИБ и по модернизации ЗОКИИ;
• проконтролировать в дальнейшем устранение выявленного нарушения.

Компенсирующие меры защиты информации

Что делать, если невозможно реализовать часть требований по ИБ ЗОКИИ? Это допускается в соответствии с п. 26 Приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» при условии, что  разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности ЗОКИИ. На практике это означает следующее:

• Выбор конкретных компенсирующих мер должен быть задокументирован в техническом проекте на СБ ЗОКИИ и/или в ОРД.
• Оценка реализации компенсирующих мер должна быть включена в Методики приемочных испытаний СБ ЗОКИИ.

Рассмотрим на примерах.

Пример 1. Нельзя прерывать сеанс оператора АСУ ТП из-за критичности технологического процесса. Идентификация и аутентификация пользователя в классическом варианте не реализуемы. Компенсирующей мерой является ведение бумажного вахтового журнала, в котором отмечается заступивший в смену оператор АСУ ТП. Соответствующий порядок прописывается в ОРД.

Пример 2. Выявлены критичные уязвимости в АСУ ТП, которые могут быть устранены обновлением ПО. По регламенту обслуживания данной АСУ ТП обновление ПО допускается только во время останова, который выполняется 1 раз в 2 года. Принятые компенсирующие меры: использование средства межсетевого экранирования на периметре АСУ ТП и средства анализа технологического трафика, снятого с коммутаторов АСУ ТП. Мероприятия по устранению уязвимостей вносятся в План мероприятий по ИБ. Причины невозможности устранения уязвимостей, компенсирующие меры и Планы по устранению уязвимостей документально зафиксированы в акте, подписанным администратором АСУ ТП и работниками отдела ИБ.

Пример 3. Необходимо реализовать доверенную загрузку ОС, но решения данного типа не совместимы с техническими средствами ЗОКИИ. В качестве компенсирующей меры используются мероприятия по физической безопасности: СКУД на входе предприятия, ограничение доступа в помещения с техническими средствами ЗОКИИ, оборудование ЗОКИИ размещается в запираемых пломбируемых шкафах. Ведется журнал учета пломб.

Проверка выполнения требований импортозамещения

Регулятор, в том числе, оценивает выполнение требований Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Мы не сталкивались со случаями, чтобы в ходе плановой проверки ФСТЭК России оценивала исполнение требований импортозамещения из иных нормативных правовых актов. Поэтому перед проверкой рекомендуется:

• Убедиться, что в техническом проекте на СБ ЗОКИИ, разработанном после опубликования Указа Президента РФ от 01.05.2022 № 250, не запроектированы СЗИ из недружественных стран (в том числе, не должны реализовываться меры групп ИАФ, УПД средствами ОС «Windows»).
• Если СЗИ из недружественных стран все еще используются, утвердить понятный, адекватный, достаточно детальный план мероприятий по их замене.
• Также для временно используемых СЗИ из недружественных стран провести оценку соответствия применяемого функционала ИБ.

Проверка выполнения требований безопасной разработки ПО

Требования к безопасной разработке ПО обязательны в отношении прикладного ПО, планируемого к внедрению в ЗОКИИ. Перечень таких случаев может быть коротким, но реализовать эти требования бывает крайне затруднительно. Чтобы в принципе иметь возможность требовать от поставщиков ПО выполнения этих условий, нужно заранее позаботиться о том, чтобы они вошли в ТЗ на создание / модернизацию ОКИИ. При этом на этапе формирования ТЗ на создание ОКИИ Вы можете не знать, будет ли он значимым или нет. Поэтому требования по ИБ, включая безопасную разработку ПО, нужно включать во все ТЗ, можно с оговоркой, что применимо в случае присвоения ОКИИ категории значимости. Мы часто сталкиваемся с тем, что субъекты КИИ ограничиваются добавлением одного краткого требования в ТЗ: «Выполнять требования Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Не рекомендуем так делать! Это не работает! Подрядчик не имеет должной квалификации, чтобы разбираться во всех тонкостях подзаконных актов. Заказчик не понимает какие требования проверять в ходе приемки. Поэтому рекомендуем добавить в ТЗ требования к безопасной разработке ПО в соответствии с п. 29.1 — 29.3 Приказа ФСТЭК России от 25.12.2017 № 239.

Рекомендуем придерживаться следующего алгоритма для соответствия минимально необходимым требованиям по безопасной разработке:

1. Тестирование ПО специализированными анализаторами с предоставлением Отчета о тестировании (требование Приказа ФСТЭК России № 239 п. 29.3.2)

Результат этапа:

• Отчет о статическом анализе.
• Отчет о фаззинг-тестировании.
• Отчет о динамическом тестировании.

2. Разработать в соответствии с требованиями ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»:
а. Руководство по безопасной разработке программного обеспечения (требования Приказа ФСТЭК России № 239 п. 29.3.1).
б. Модель угроз безопасности информации программного обеспечения в соответствии со структурой, представленной в Методическом документе ФСТЭК России от 05.02.2021 «Методика оценки угроз безопасности информации», только в отношении актуальных угроз для программного обеспечения — не информационной системы (требования Приказа ФСТЭК России № 239 п. 29.3.1).
в. Функциональную спецификацию и Базовый модульный проект, содержащий описание структуры ПО на уровне подсистем и результаты сопоставления функций ПО и интерфейсов, описанных в функциональной спецификации, с его подсистемами (требования Приказа ФСТЭК России № 239 п. 29.3.1).
г. Регламент отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения (требования Приказа ФСТЭК России № 239 п. 29.3.3).
д. Регламент информирования пользователей об уязвимостях программного обеспечения, включающий определение способов и сроков доведения Заказчиком до пользователей Изделия информации об уязвимостях Изделия, о компенсирующих мерах по защите информации или ограничениях по применению Изделия, способов получения пользователями Изделия его обновлений, проверки их целостности и подлинности, порядок информирования субъектов критической информационной инфраструктуры об окончании производства и (или) поддержки Изделия (требования Приказа ФСТЭК России № 239 п. 29.3.3).

3. Запросить у генподрядчика или производителя ПО Заключение о соответствии ПО, утвержденное лицензиатом ФСТЭК России и (или) испытательной лабораторией по сертификации средств защиты информации, для предоставления клиентам Заказчика в качестве подтверждения выполнения требований по безопасной разработке программного обеспечения.

Важно! Данные мероприятия не являются сертификацией ПО и выполняются значительно проще и дешевле. В зависимости от наличия у производителя ПО действующих организационных документов по разработке программного обеспечения, наименования документов могут быть изменены в ходе выполнения проекта. Главное, чтобы содержание документов соответствовало требованиям ФСТЭК России.

Важно! Проверка перечисленных выше документов должна быть включена в ПМИ СБ ЗОКИИ, а результаты проверки должны быть отражены в Протоколе испытаний СБ ЗОКИИ. В ходе госконтроля безопасности ЗОКИИ регулятор оценивает полноту проведенных испытаний.

Правила ввода СБ ЗОКИИ в эксплуатацию

Виды испытаний, порядок документирования испытаний и ввода в эксплуатацию СБ ЗОКИИ прописаны в п. 12.4-12.7 Приказа ФСТЭК России от 25.12.2017 № 239 . В ходе проверки ФСТЭК России проверяет корректность ввода в эксплуатацию СБ ЗОКИИ. Регулятору необходимо предоставить документы, оформляемые в ходе испытаний, перечисленные в таблице ниже.

Испытания СБ могут проводиться как отдельно, так и вместе с испытаниями создаваемого/модернизируемого ЗОКИИ. В случае большого количества лиц, чью зону ответственности касается внедряемая СБ ЗОКИИ, целесообразно приказом назначить комиссию, ответственную за проведение таких испытаний.

Пример состава комиссии:

• энергетик (если для оборудования СБ ЗОКИИ были выполнены работы по монтажу телекоммуникационного шкафа, а также если необходимо проверить переключение на резервный источник электропитания),
• начальник отдела ИБ,
• специалисты, обеспечивающие функционирование ЗОКИИ (специалисты ИТ и/или АСУ ТП),
• представители подрядчика, выполняющего пусконаладку и/или настройку ЗОКИИ (в случае замечаний к работе СБ ЗОКИИ могут потребоваться совместные усилия специалистов по ИБ и данного подрядчика для их устранения).

Подведение итогов госконтроля выполнения требований по безопасности ЗОКИИ

По результатам проверки должностными лицами ФСТЭК России составляется акт проверки в 3 экземплярах, один из которых вручается руководителю субъекта КИИ. В случае, если выявленные нарушения были устранены на месте, об этом делается соответствующая запись в акте проверки, но в предписание данные нарушения не попадают. В случае, если выявленные нарушения не были устранены, орган госконтроля выдает субъекту КИИ предписание об их устранении с указанием срока устранения. На основании выявленных нарушений может быть наложен штраф в соответствии с КоАП РФ ст. 13.12.1, ст. 19.4, ст. 19.4.1, ст. 19.5, ст. 19.7, 19.7.15. Ответственность может наступить как для юридического лица, так и для должностных лиц. Если предписание не было исполнено в срок, может быть наложен дополнительный штраф и, в зависимости от тяжести нарушений, вплоть до приостановления деятельности организации.
Для положительных результатов госконтроля рекомендуем заблаговременно начать готовиться к данному мероприятию и воспользоваться Дорожной картой, составленной нашими специалистами.

Желаем успехов!

Термины и сокращения, используемые в статье:

АСУ ТП — Автоматизированная система управления технологическим процессом

ЗОКИИ — Значимые объекты критической информационной инфраструктуры

ИБ — Информационная безопасность

КИИ — Критическая информационная инфраструктура

КоАП РФ — Кодекс Российской Федерации об административных правонарушениях

ОКИИ — Объекты критической информационной инфраструктуры

ОРД — Организационно-распорядительная документация

ОС — Операционная система

ПМИ — Программа и методика испытаний

ПО — Программное обеспечение

РФ — Российская Федерация

СБ ЗОКИИ — Система безопасности значимого объекта критической информационной инфраструктуры

СЗИ — Средства защиты информации

СКУД — Система контроля и управления доступом

ТЗ — Техническое задание

ФСТЭК России — Федеральная служба по техническому и экспортному контролю Российской Федерации

В начало статьи ↑

Соглашение об использовании шаблонов документов

Документы (их формы), размещенные в настоящем разделе сайта, являются интеллектуальной собственностью ООО «Альтирикс системс» (ИНН 7811463860) и подлежат правовой защите в соответствии с законодательством Российской Федерации. Использование данных материалов без разрешения правообладателя допускается исключительно в целях, не связанных с предпринимательской и иной приносящей доход деятельностью. Загружая документы, вы соглашаетесь с условиями использования документов.