Стресс-тест объектов КИИ

Данный вид услуги позволяет выполнить поручение Правительства Российской Федерации от 14.01.2022 № ММ-П13-14сс и поручение Заместителя Председателя Правительства Российской Федерации Д.Н. Чернышенко от 02.03.2022 № ДЧ-П10-3024кс по вопросам импортозамещения программного обеспечения в соответствии с которыми, организациям топливно-энергетического комплекса необходимо провести самостоятельное стресс-тестирование процессов, связанных с функционированием иностранного программного обеспечения согласно сценариям и методическим рекомендациям, принять меры реагирования по результатам тестирования, а также направить информацию о результатах проведения стресс-тестирования и о принятых мерах реагирования в адрес Минэнерго России в возможно короткий срок. Методические рекомендации и сценарии направлены Минэнерго России письмом от 10.03.2022 № ПС-2787/10.

Почему это актуально?

С каждым годом требования к безопасности и импортозамещению объектов КИИ становятся строже, а риски для их владельцев — все выше. Игнорирование или формальный подход к обеспечению безопасности и импортозамещению приводит не только к финансовым, но и к уголовным последствиям.

Ключевые причины привлечь экспертов и выполнить стресс-тест:

Сложности или полное отсутствие возможности приобретения/продления/обновления зарубежного программного обеспечения
Ужесточение требований по импортозамещению программного обеспечения и оборудования
Ежегодный рост количества кибератак и мошенничества
Трудоемкость задач — нехватка персонала и необходимость привлечения внешних экспертов
Возросшая ответственность за несоблюдение требований по защите информации, в том числе риск уголовной ответственности
Появление судебной практики за последние 5 лет, рост количества административных и уголовных наказаний за неисполнение 187-ФЗ

По состоянию на 2025 год ФСТЭК России инициировала плановые проверки субъектов КИИ на предмет реализации технических и организационных мер по защите информации, о чем направила им соответствующие уведомления. Дальнейшее промедление чревато повышенными рисками административной и уголовной ответственности.

Вы получаете

Заполненные Отчет и Протокол для Минэнерго по результатам стресс-тестирования

Инвентаризацию программного обеспечения для выбранных объектов КИИ

Перечень угроз и рисков для выбранных объектов КИИ

Меры противодействия выявленным рискам и угрозам (рекомендации)

Фиксированная стоимость услуги на 2025 год

Воспользуйтесь нашими готовыми предложениями, составленными с учетом спроса и актуальности у наших клиентов

Стартовый

243 180 ₽
Включено:
- обследование 1 (одного) объекта КИИ в любой точке Российской Федерации
- не более 30 единиц оборудования в составе объекта КИИ
- документы: Отчет и Протокол для Минэнерго по результатам стресс-тестирования
- 12 месяцев гарантии на корректировки документации на случай замечаний от Минэнерго
Длительность проекта: 60 рабочих дней

Формат проекта: дистанционно
Заказать
3в1

620 109 ₽
Включено:
- обследование 3 (трех) объектов КИИ в любой точке Российской Федерации
- не более 90 единиц оборудования в составе объектов КИИ
- документы: Отчет и Протокол для Минэнерго по результатам стресс-тестирования
- 12 месяцев гарантии на корректировки документации на случай замечаний от Минэнерго
Длительность проекта: 70 рабочих дней

Формат проекта: дистанционно
Заказать
Пакет расширения*

206 703 ₽
Включено дополнительно к пакетам Стартовый или 3в1:
- обследование 1 (одного) объекта КИИ в любой точке Российской Федерации
- не более 30 единиц оборудования в составе объекта КИИ
- документы: Отчет и Протокол для Минэнерго по результатам стресс-тестирования
- 12 месяцев гарантии на корректировки документации на случай замечаний от Минэнерго
Длительность проекта: +10 рабочих дней к основному пакету

Формат проекта: дистанционно
Заказать

*Пакет расширения может быть приобретен только дополнительно к одному из пакетов Стартовый или 3в1. Количество приобретаемых пакетов расширения не ограниченно.

Как выполняется проект?

Инициализация проекта	После заключения договора и формирования состава проектной команды инициируется установочная встреча в формате видео-конференц-связи, на которой специалисты Альтирикс Групп знакомятся с проектной командой Заказчика и подробно рассказывают о порядке действий в ходе реализации проекта. На каждый проект назначается архитектор проекта, обеспечивающий его качественную реализацию. В обязанности архитектора в том числе входят: организация коммуникаций, постановка задач специалистам, оформление итоговой документации и согласование ее с Заказчиком. На установочной встрече обсуждаются: этапы проекта и сроки; зоны ответственности Альтирикс Групп и Заказчика; форматы взаимодействия и обмена конфиденциальной информацией; другие организационные вопросы в зависимости от специфики проекта и Заказчика.
Сбор данных	Специалисты Альтирикс Групп: разрабатывают и согласовывают с Заказчиком Программу аудита, содержащую опросные листы и чек-листы; разрабатывают и направляют Заказчику шаблоны документов для предварительного согласования ожиданий результатов проекта; согласовывают перечень лиц и структурных подразделений Заказчика для интервью; проводят интервью и агрегируют полученные данные из других источников.
Завершение проекта	Специалисты Альтирикс Групп анализируют полученные данные, разрабатывают и согласовывают с Заказчиком итоговые документы по проекту. Выполняется согласование документов в несколько итераций при необходимости. Заказчику направляются электронные или бумажные версии документов для ответственного хранения.
Гарантийная поддержка	В течение срока гарантийной поддержки специалисты Альтирикс Групп отвечают на запросы Заказчика, связанные с внесением корректировок в согласованные ранее документы по замечаниям Минэнерго.

Методология работ

Осуществляем анализ деятельности предприятия и процессов объекта КИИ (основной процесс, поставщики, потребители, входящие материальные потоки, исходящие материальные потоки, информационные потоки), формируем Перечень основных и вспомогательных процессов

Формируем Карту потока создания ценности

Формируем Схему бизнес-процессов

Формируем Схему функциональной структуры объекта КИИ

Формируем Перечень недопустимых событий

Формируем Сценарии реализации недопустимых событий

Формируем точки проникновения для реализации недопустимых событий

Распределяем категории риска по уровням ущерба

Формируем критерии уровней возможного ущерба от действия угроз

Формируем Перечень угроз и рисков

Определяем Перечень программного обеспечения и сценарии тестирования в зависимости от угроз

Проводим тестирование

Разрабатываем отчетные документы и согласовываем с Заказчиком

Не нашли нужное направление? Напишите нам

Частые вопросы и ответы

Кто относится к субъектам КИИ?

В соответствии с 187-ФЗ:

Субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Какие объекты КИИ подлежат стресс-тестированию в первую очередь?

Приоритет отдается системам, использующим иностранное ПО, от которого зависит непрерывность критических процессов.

Какие именно сценарии стресс-тестирования применяются?

Используются типовые сценарии, утвержденные Минэнерго, включая:

Полное прекращение поддержки иностранного ПО
Блокировка обновлений и исправлений
Отключение от зарубежных серверов лицензирования/аутентификации
Введение ограничений на передачу данных за рубеж
Внедрение вредоносного программного кода и бэкдоров

Как определяется перечень иностранного ПО для тестирования?

Анализируется:

Страна-разработчик ПО
Наличие зависимостей от зарубежных серверов
Критичность функций, выполняемых ПО
Возможность замены на российские аналоги

Какие исходные данные нужны для тестирования?

Необходимо предоставить:

Полные инвентаризационные списки иностранного ПО с указанием версий
Схемы взаимодействия ПО с другими системами
Данные о лицензионных соглашениях и условиях поддержки
Информацию о ранее выявленных уязвимостях

Как оценивается потенциальный ущерб?

Ущерб классифицируется по:

Времени простоя критических процессов
Финансовым потерям
Рискам для безопасности населения
Вероятности возникновения каскадных отказов

Кто должен участвовать со стороны заказчика?

Рекомендуется привлекать:

Ответственных за эксплуатацию тестируемых систем
Специалистов по информационной безопасности
Представителей технологических подразделений
Юристов (для анализа лицензионных соглашений)

Чем стресс-тест отличается от пентеста?

Стресс-тест является исключительно аналитическим проектом, который заключается в сборе большого количества данных и их анализе. Пентест же представляет собой практические мероприятия по выявлению и эксплуатации уязвимостей.