Аудит на принадлежность к субъектам КИИ

Данный вид услуги представляет собой мини-аудит, который проводится командой квалифицированных специалистов с профильным высшим образованием по защите информации, действующих от лица лицензиата ФСТЭК России, и предназначен для тех компаний, руководство которых сомневается в том, что требования Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — 187-ФЗ) применимы к их компании.

Почему это актуально?

С каждым годом требования к безопасности значимых объектов КИИ становятся строже, а риски для их владельцев — все выше. Игнорирование или формальный подход к созданию системы безопасности приводит не только к финансовым, но и к уголовным последствиям.

Ключевые причины привлечением экспертов:

Особенности законодательства — существуют сложности в понимании и трактовании положений нормативно-правовых актов, которые могут трактоваться контролирующими органами не в пользу компании или ее сотрудников
Смешанные виды деятельности организации — в перечне видов деятельности организации могут быть неактуальные и избыточные виды деятельности
Сложность в соотнесении видов деятельности с реальными бизнес-процессами и применяемыми информационными технологиями
Возросшая ответственность за несоблюдение требований по защите информации, в том числе риск уголовной ответственности
Ежегодный рост количества кибератак и мошенничества
Появление судебной практики за последние 5 лет, рост количества административных и уголовных наказаний за неисполнение 187-ФЗ

Даже, если вы на 100% уверены, что не относитесь к субъектам КИИ, мы рекомендуем вам организовать комиссию, оформить юридически значимые документы и заключение комиссии. Привлечение лицензиата ФСТЭК России может обеспечить дополнительную гарантию и юридическую защиту.

Вы получаете

Пакет юридически значимых документов о создании комиссии и рекомендации по составу комиссии

Заключение о (не)принадлежности организации к субъектам КИИ с экспертным анализом видов деятельности, с печатью лицензиата ФСТЭК России

12 месяцев гарантии для корректировки документов на случай замечаний со стороны контролирующих органов

20 часов консультационных услуг наших специалистов по вопросам защиты КИИ и импортозамещения

Фиксированная стоимость услуги на 2026 год

Воспользуйтесь нашим готовым предложением или выполните работы самостоятельно, используя материалы из нашего Блога

Базовый аудит (1 ИНН)

277 800 ₽
Включено:
- аудит деятельности не более 1 (одного) юридического лица в любой точке Российской Федерации
- не более 30 (тридцати) эксплуатирующихся ИС/АСУ/ИТС
- документы для контролирующих органов
- консультации наших специалистов в объёме 20 часов
- 12 месяцев гарантии для корректировки документов на случай замечаний со стороны контролирующих органов
Длительность проекта: 40 рабочих дней

Формат проекта: дистанционно
Заказать
Пакет расширения

91 800 ₽
Приобретается только дополнительно к базовому аудиту. Количество не ограниченно.

Включено дополнительно:
- не более 10 (десяти) эксплуатирующихся ИС/АСУ/ИТС
- документы для контролирующих органов
- 12 месяцев гарантии для корректировки документов на случай замечаний со стороны контролирующих органов
Длительность проекта: +10 рабочих дней к базовому аудиту

Формат проекта: дистанционно
Заказать
Ваш проект

По запросу
Преимущества:
- без ограничений по количеству юридических лиц
- без ограничений по количеству эксплуатирующихся ИС/АСУ/ИТС
- возможность посещения организаций нашими специалистами с целью интервью и проведения заседаний комиссии
- существенные скидки за большие объемы работ
- опциональная разработка дополнительных документов и (или) предоставления услуг
- различные варианты длительности проекта
- расширенная гарантия, в том числе помощь при выездных плановых и внеплановых проверках регуляторов
Заказать

*ИНН — индивидуальный номер налогоплательщика; ИС — информационная система; АСУ — автоматизированная система управления; ИТС — информационно-телекоммуникационная сеть

Как выполняется проект?

Инициализация проекта	После заключения договора и формирования состава проектной команды инициируется установочная встреча в формате видео-конференц-связи, на которой специалисты Альтирикс Групп знакомятся с проектной командой Заказчика и подробно рассказывают о порядке действий в ходе реализации проекта. На каждый проект назначается архитектор проекта, обеспечивающий его качественную реализацию. В обязанности архитектора в том числе входят: организация коммуникаций, постановка задач специалистам, оформление итоговой документации и согласование ее с Заказчиком. На установочной встрече обсуждаются: этапы проекта и сроки; зоны ответственности Альтирикс Групп и Заказчика; форматы взаимодействия и обмена конфиденциальной информацией; другие организационные вопросы в зависимости от специфики проекта и Заказчика.
Сбор данных	Специалисты Альтирикс Групп: разрабатывают и согласовывают с Заказчиком Программу аудита, содержащую опросные листы и чек-листы; разрабатывают и направляют Заказчику адаптированные формы документов для создания комиссии и других необходимых мероприятий; согласовывают перечень лиц и структурных подразделений Заказчика для интервью; проводят интервью и агрегируют полученные данные из других источников.
Завершение проекта	Специалисты Альтирикс Групп анализируют полученные данные, разрабатывают и согласовывают с Заказчиком итоговые документы по проекту, включая Заключение о принадлежности организации к субъектам КИИ. Заказчику направляются электронные и бумажные версии Заключения для ответственного хранения, которые приобщаются к общему комплекту документов комиссии.
Гарантийная поддержка	В течение срока гарантийной поддержки специалисты Альтирикс Групп отвечают на запросы Заказчика, связанные с: внесением корректировок в согласованные ранее документы по замечаниям регуляторов; поступлением вопросов/запросов со стороны регулирующих органов (включая подготовку шаблонов ответов); другими вопросам по КИИ при наличии расширенной гарантии.

Интересные референсы

Специалисты Альтирикс Групп смогли обосновать регулятору, что управляющая компания одного из стратегических предприятий в сфере горнодобывающей промышленности не является субъектом КИИ

Крупный пятизвездочный курорт планировал оформить заключение о непринадлежности юридического лица к субъектам КИИ. В ходе аудита было установлено, что юр. лицо владеет системами в сфере здравоохранения, что позволило Заказчику актуализировать свои знания о собственных ИТ-активах и рассмотреть вопрос необходимости выделения некоторых бизнес-направлений в отдельное юр. лицо.

Специалисты Альтирикс Групп смогли обосновать регулятору, что компания в сфере топливно-энергетического комплекса не является субъектом КИИ в связи с недостаточной степенью автоматизации их технологических установок – удалось обосновать, что они не являются АСУ по определению

Не нашли нужное направление? Напишите нам

Частые вопросы и ответы

Кто относится к субъектам КИИ?

В соответствии с 187-ФЗ:

Субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Может ли субъект КИИ не владеть ИС/АСУ/ИТС на праве собственности, аренды или на ином законном основании?

Нет, не может. Владение ИС/АСУ/ИТС является одним из критериев отнесения к субъектам КИИ.

Как именно определяются сферы деятельности организации?

При определении сфер деятельности мы учитываем, как документированные виды деятельности, так и фактические. Документированные виды деятельности содержаться в ЕГРЮЛ и действующих лицензиях на виды деятельности организации. Фактические виды деятельности уточняются методами интервью с работниками организации. Информация, полученная таким образом, может быть передана юристам организации с целью исключения избыточных видов деятельности и снижения вероятности отнесения к субъектам КИИ.

Как именно определяется принадлежность той или иной ИС/АСУ/ИТС к конкретной сфере 187-ФЗ?

Мы учитываем несколько критериев: 1) соответствие архитектуры ИС/АСУ/ИТС терминологии (определению) в законодательстве и стандартах Российской Федерации; 2) наличие конкретного функционала, который можно отнести к одной из сфер 187-ФЗ; 3) влияние ИС/АСУ/ИТС на процессы или функционирование других ИС/АСУ/ИТС, которые уже отнесены к функционирующим в сферах; 4) наличие ИС/АСУ/ИТС в Перечне типовых отраслевых объектов критической информационной инфраструктуры.

Может ли компания подпадать под действие 187-ФЗ только из-за наличия систем регистрации (регистраторов) технологического процесса или локальных систем управления (ЛСУ)?

Да, может, если в составе указанной системы есть программируемый логический контроллер, а технологический процесс касается одной из 14 сфер КИИ

Можно ли снизить фиксированную стоимость за услугу при условии, что в нашей компании меньше информационных систем?

Нет, стоимость является фиксированной, т.к. системы могут функционировать в разных сферах, быть разного масштаба и разной архитектуры, т.е. анализ 10 систем в некоторых случаях может оказаться более трудоемким, чем 30 систем — поэтому в услуге учтены средние параметры систем.

Что если в ходе аудита выявлено больше систем, чем указано в пакете услуг?

Мы всегда идем навстречу нашим Заказчикам и допускаем увеличение границ проекта в пределах 10% без увеличения стоимости. Например, если вы выбрали пакет услуг на 30 систем, а после аудита мы обнаружили 33 системы, то дополнительные 3 системы мы включим в объем работ бесплатно.