8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Критическая информационная инфраструктура » Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°)

Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°)

  • Для кого?
    Для руководителей предприятий, относящихся к ЗОКИИ. Мы избавляем их от текущих и потенциальных проблем.
  • Цель проекта
    Радикальное снижение рисков для субъекта КИИ в целом и руководства субъекта в частности.

Условия продажи
Проведение работ требует высокого уровня принятия решений и оперирует критичными сведениями, вследствие чего взаимодействие с Заказчиком должно осуществляться на уровне руководителя субъекта КИИ, либо ответственного за защиту ЗОКИИ. Готовность к частичному аутсорсингу.

Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°) - услуги RTM Group
Комплексное обеспечение безопасности значимого объекта критической информационной инфраструктуры (ЗОКИИ 360°) - от RTM Group
Узнать стоимость?
Перейти

Эксперты по обеспечению комплексной безопасности ЗОКИИ

Эксперт по обеспечению комплексной безопасности ЗОКИИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по обеспечению комплексной безопасности ЗОКИИ Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по обеспечению комплексной безопасности ЗОКИИ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

При выполнении работ по комплексному обеспечению безопасности для субъекта КИИ эксперты проходят несколько ключевых этапов.

1. OSINT по предприятию в целом и руководству организации

Собирается расширенный набор сведений по работе предприятия и сотрудникам организации.

Целью данного этапа является выявление источников данных, которые потенциально доступны злоумышленникам в открытых источниках.

Особый интерес на данном этапе составляют сведения о высшем руководстве и ответственных лицах субъекта КИИ.

Зачастую такие сведения содержат следующую информацию:

  1. Контактные данные
  2. Сведения о частной жизни, компрометирующие сотрудника
  3. Парольная или иная информация, напрямую связанная с информационной безопасностью

В дальнейшем будут подготовлены рекомендации по блокировке или изменению этих сведений в разрезе разных объектов (организация, сотрудник, собственник).

Рекомендации могут включать в себя:

  • Заявки на удаление или корректировку данных с ресурсов
  • Отказ от использования тех или иных учетных данных
  • Смена аутентификационных сведений
  • Зашумление информационного поля
  • Другое

Собранные данные и результаты их анализа являются базой для старта второго этапа работ.

2. Расширенное тестирование на проникновение ЗОКИИ и сбор технических данных

Проводится технический аудит безопасности, целью которого является выявление критичных проблем с безопасностью, которыми могут воспользоваться злоумышленники в настоящий момент.

Параллельно работает две команды Исполнителя:

  1. Первая команда проводит тестирование на проникновение
  2. Вторая команда (независимо от первой) собирает данные по инфраструктуре и процессам Заказчика

Сбор данных осуществляется различными способами, в зависимости от организации IT в структуре Заказчика.

Возможны комбинации следующих подходов:

  1. Анализ данных в действующих у Заказчика системах мониторинга
  2. Автоматизированный сбор сведений техническими средствами Исполнителя
  3. Ручной сбор сведений
  4. Интервьюирование

Осуществляется сбор таких данных как:

  • Применяемые аппаратные и программные решения
  • Сетевые потоки данных и маршрутизация
  • Настройки средств защиты информации
  • Регламенты по работе с IT, АСУ ТП и т. д.

В ходе проведения работ широко применяется практика экспертной инициативы. Инициатива может быть направлена на корректировку области проведения работ, изменение глубины исследования в отдельных направлениях и даже корректировку целей самих работ.

Все изменения в рамках экспертной инициативы согласуются с Заказчиком.

Результатом этапа будет перечень недостатков информационной безопасности в направлениях:

  1. Уязвимости прикладного и системного ПО
  2. Недостатки в составе и настройках средств защиты
  3. Пробелы в организации системы ИБ
  4. Компоненты «человеческого фактора»
  5. Нарушения требований регуляторов

С учетом общего перечня рисков формируется план их обработки, включая:

  • Снижение рисков (модернизация системы информационной безопасности)
  • Перенос рисков (работа с аутсорсингом/страхование)
  • Принятие рисков (требует взаимодействия с высшим руководством субъекта КИИ)

3. Документарное обеспечение в тематике КИИ (от категорирования и назначения ответственных до выстраивания процессов)

На данном этапе обрабатываются выявленные риски нарушения законодательства.

После предыдущих этапов Исполнитель обладает значительным массивом данных по работе предприятия и имеющимся процессам.

Полученные данные соотнесены с требованиями по обеспечению безопасности КИИ и иных нормативов в направлении информационной безопасности. Исполнитель готовит документы, которые необходимы для снижения регуляторных рисков с учетом особенностей функционирования Заказчика.

Одновременно разрабатываются документы по таким направлениям как:

  • КИИ
  • ПДн
  • Коммерческая тайна
  • СКЗИ
  • Взаимодействие с контрагентами
  • Другое

При разработке документации учитываются не только непосредственные требования регуляторов (ФСТЭК, ФСБ, РКН), но и богатый опыт прохождения проверок данных регуляторов, а также лучшие практики. Обязательным критерием при разработке документации является ее непротиворечивость и направленность на объективную практическую результативную безопасность.

Сформированные документы должны быть не просто подписаны Заказчиком и сложены на полку, но и пройти все этапы применения от конечных пользователей до контролирующих подразделений и высшего руководства.

4. Обучение персонала ЗОКИИ

Для субъектов со значимыми объектами требуется квалифицированный персонал – как среди сотрудников службы информационной безопасности, так и среди обычных пользователей информационных систем.

  1. Для первых – эксперты RTM Group могут проводить стажировки и повышение квалификации, основываясь не на академических программах, которые устаревают к моменту своего появления, а на практике и актуальной нормативно-правовой базе.
  2. Для повышения осведомленности остальных сотрудников возможны как обучение с нашими экспертами, так и самостоятельное повышение при помощи модуля обучения в системе MEDOED.

Объем, периодичность, программы обучения и тестирования формируются на основе собранных на этапах 1-2 сведениях и учитывают организационно-распорядительную документацию, разработанную на этапе 3.

5. Проектирование защиты значимых объектов КИИ и планирование будущих работ/поставок

На данном этапе Исполнитель готовит обязательную проектную документацию, а также планы, которые необходимы по текущим требованиям.

Проектирование ведется с учетом требований приказов ФСТЭК и практики внедрения систем защиты ЗОКИИ.

Данный этап является одним из самых ответственных с точки зрения регуляторных рисков, а также рисков некорректного бюджетирования.

Проект учитывает весь комплекс требований, которые могут предъявляться к Заказчику, в том числе:

  1. Требования регуляторов
  2. Нормативы партнеров и контрагентов
  3. Внутренний риск-аппетит Заказчика

6. Поставка оборудования и лицензий, включая средства защиты информации

Осуществляется выбор технических решений, их пилотирование и поставка.

7. Создание и организация системы управления информационной безопасностью на базе Платформы MEDOED

Осуществляется ряд следующий мероприятий:

  1. Разворачивается корпоративная версия Платформы MEDOED, которая является базой для обеспечения соответствия требованиям и организации системной работы по направлению информационно безопасности
  2. Проводится обучение заинтересованных лиц Заказчика
  3. По запросу добавляются материалы в модуль повышения осведомленности

Платформа включает в себя, как минимум, следующий функционал, способный сократить время реакции и трудозатраты сотрудников ИБ:

  • Категорирование КИИ
  • Обработка персональных данных
  • Учет СКЗИ
  • Обучение персонала
  • Планирование действий сотрудников информационной безопасности

8. Постановка на постоянный аутсорсинг или ежегодный аудит безопасности ЗОКИИ

После проведения всех работ RTM Group принимает на себя обязательства по постоянному обслуживанию организации ЗОКИИ по информационной безопасности.

Доступны два основных формата обслуживания: «Ежегодный» и «Постоянный».

Почему RTM Group?

  • Большой опыт в проектировании СБИ;
  • Широкая номенклатура смежных услуг позволит развивать работы по совершенствованию системы безопасности при наличии такой потребности;
  • Высокое качество услуг, консультационная поддержка по завершении проекта.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по обеспечению комплексной безопасности ЗОКИИ

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:




Оглавление:

OSINT по предприятию в целом и руководству организации Расширенное тестирование на проникновение ЗОКИИ и сбор технических данных Документарной обеспечение в тематике КИИ Обучение персонала ЗОКИИ Проектирование защиты ЗОКИИ и планирование будущих работ/поставок Поставка оборудования и лицензий, включая средства защиты информации Создание и организация системы ИБ на базе Платформы MEDOED Постановка на постоянный аутсорсинг или ежегодный аудит безопасности ЗОКИИ Почему RTM Group?10  Заказать комплексную защиту ЗОКИИ 11  Стоимость комплексной защиты ЗОКИИ


Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по обеспечению комплексной безопасности ЗОКИИ

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

OSINT организации или руководства

Разведка по открытым источникам с целью поиска требуемых данных или связей.
Срок проведения: 2 недели

от 250 000 руб.

Тестирование на проникновение ЗОКИИ

Тестирование системы защиты компании с целью определения наличия уязвимостей, доступных для эксплуатации злоумышленником.
Срок проведения: от 4 недель

от 500 000 руб.

Разработка ОРД по защите ЗОКИИ

Разработка комплекта документации, содержащего положения, регламенты и политики, необходимые для полного регламентирования процесса защиты ЗОКИИ.
Срок проведения: от 5 недель

от 500 000 руб.

Обучение персонала ЗОКИИ

Консультации в области защиты КИИ, обучение персонала основам безопасной работы, проведение контрольных мероприятий по итогу обучения.
Срок проведения: 4 недели

от 200 000 руб.

Проектирование и планирование защиты ЗОКИИ

Подготовка проектной документации на разрабатываемую систему безопасности ЗОКИИ.
Срок проведения: от 5 месяцев

от 1 500 000 руб.

Создание и организация системы управления информационной безопасностью на базе Платформы MEDOED

Внедрение платформы MEDOED для управления процессами информационной безопасности.
Срок проведения: 4 недели

от 300 000 руб.

Аутсорсинг ИБ

Передача работ внешним исполнителям в разрезе информационной безопасности.

от 400 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Наши отзывы по обеспечению комплексной безопасности ЗОКИИ

Благодарственное письмо от АО «Газпромбанк»
25.11.2025
Директору Технического Департамента ООО «РТМ ТЕХНОЛОГИИ» Ф.А. Музалевскому Банк ГПБ (АО) «Газпромбанк» Уважаемый Федор Александрович! Банк ГПБ (АО) выражает искреннюю благодарность компании RTM Group за качественное и профессиональное выполнение работ по оценке соответствия требованиям законодательства в области защиты персональных данных и значимых объектов КИИ. Эти работы являются основой для обеспечения безопасности обработки и хранения данных в нашей организации, и мы высоко ценим Ваш вклад в этот процесс. Особую признательность хотим выразить исполнителям проектов - Павлу Шрамко и Андрею Невскому. Благодаря их профессионализму, вниманию к деталям и ответственному подходу проекты были реализованы на самом высоком уровне. Ваши специалисты продемонстрировали отличные компетенции и глубину знаний в области информационной безопасности, что является важной составляющей нашего успешного сотрудничества. Также хочется отметить оперативность выполнения работ, гибкость, открытость, и отзывчивость Ваших сотрудников, готовность к обсуждению любых вопросов в рамках профессиональных компетенций, а не только в рамках проводимых работ. Мы уверены, что RTM Group и дальше будет покорять новые высоты и достигать выдающихся результатов в области безопасности данных. Желаем Вашей компании динамичного развития, благодарных клиентов и успешной реализации всех новых проектов! Исполнительный Вице-Президент-начальник Департамента защиты информации И.А. Киндеев

Услуги для вас

Услуга Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

— Для чего необходимы работы по обеспечению безопасности
— Результат работ
— Основные этапы выполнения работ
— Описание этапов работ
— Начало работ и взаимодействие
Услуга Анализ уязвимостей ПО для ЗО КИИ (Приказ ФСТЭК №239)

Анализ уязвимостей ПО для ЗО КИИ (Приказ ФСТЭК №239)

В 2020 году приказом ФСТЭК России от 20.02.2020 № 35 в Приказ № 239 внесен, в частности, пункт 29.3.2, который предъявляет требования к испытаниям по выявлению уязвимостей в программном обеспечении значимых объектов КИИ.
Услуга Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

— Подробное описание всех этапов категорирования (с примерами)
— Образцы документов по КИИ
— Какие работы необходимо выполнить после внесения в реестр КИИ?
— Для чего необходима экспертиза проведенных работ по КИИ?
Услуга Проектирование системы защиты информации

Проектирование системы защиты информации

Проектирование СБИ, как процесс, является как частью best practice, так и входит в перечень некоторых требований государственных регуляторов РФ.
Услуга OSINT: Разведка по открытым источникам

OSINT: Разведка по открытым источникам

Разведка открытых источников или OSINT является одним из направлений введения разведки путем сбора и последующего анализа информации, полученной из открытых источников.
Услуга Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры)

Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры)

- Для каких предприятий подойдет экспресс-категорирование объектов КИИ?
- В чем отличие от стандартной услуги по категорированию?
- Этапы работы
- Ограничения и преимущества

Продукты и решения для вас

Anti-DDoS и WAF

Anti-DDoS и WAF

Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.

Security Awareness

Security Awareness

Security Awareness — это категория продуктов и решений, направленных на формирование киберграмотности и повышение осведомленности сотрудников о потенциальных угрозах. Человеческий фактор остаётся одним из ключевых векторов атак, поскольку ошибки, невнимательность или недостаток знаний могут привести к утечке данных, успешным фишинговым атакам и другим инцидентам.

Менеджер паролей

Менеджер паролей

Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.

Многофакторная аутентификация

Многофакторная аутентификация

Пароли уже не обеспечивают достаточного уровня безопасности, поскольку их можно украсть, подобрать или перехватить. Именно поэтому многие компании и сервисы внедряют многофакторную аутентификацию (MFA), позволяющую значительно усложнить несанкционированный доступ к учётным записям.

МФУ и печатная техника

МФУ и печатная техника

МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.

Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.

ПК (АРМ)

ПК (АРМ)

ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.

Сервер

Сервер

Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.

Система инвентаризации

Система инвентаризации

Система инвентаризации — это средство учёта и контроля ИТ-активов и средств защиты: какие устройства, ПО, учетные записи, сервисы и компоненты инфраструктуры существуют, где они находятся, кому принадлежат и в каком они состоянии. Она дает помогает управлять обновлениями, контролировать соответствие требованиям.

Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.

СХД

СХД

Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.

Удаленный доступ и управление конфигурациями устройств

Удаленный доступ и управление конфигурациями устройств

UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.

DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.

SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.

Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.

Цифровая криминалистика

Цифровая криминалистика

Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

Полезные статьи

Статья Обеспечение защиты и безопасности объектов критической информационной инфраструктуры (КИИ)

Обеспечение защиты и безопасности объектов критической информационной инфраструктуры (КИИ)

15 января 2013 года был опубликован Указ Президента Российской Федерации от № 31 «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», а в июле 2017 г. был подписан Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности КИИ Российской Федерации», который вступил в силу с 1 января 2018 года, что послужило началом актуальной и глобальной работы по регулированию и контролю в направлении обеспечения безопасности объектов КИИ.
Статья Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

ФСТЭК России предоставила предварительные проекты национальных стандартов, касающихся обеспечения безопасности КИИ.
Статья На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

В данной статье рассмотрен новый порядок такого перехода и описаны потенциальные сложности, с которыми могут столкнуться как государственные учреждения, так и коммерческие компании.
Статья Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

— Что является «объектом КИИ», а что «субъектом»?
— Какие объекты КИИ подлежат категорированию?
— Пошаговый рабочий алгоритм категорирования объектов
— Какая информация понадобится для подачи во ФСТЭК?
— Как определиться по срокам?
— Практические примеры по конкретным отраслям и организациям
Статья Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

Для функционирования в штатном режиме, финансовым организациям необходимо реализовать правильную систему защиты информации (далее — система ЗИ). Контроль за исполнением необходимых требований осуществляют регуляторы в лице Банка России (далее — БР), ФСБ, ФСТЭК, Роскомнадзора и Минцифры. Они предоставляют компаниям необходимую нормативную базу, позволяющую правильно выстроить систему ЗИ в компании.
Статья Моделирование угроз на предприятии

Моделирование угроз на предприятии

Особенности процессов моделирования угроз и расчета рисков, их взаимосвязи и рекомендации к их составлению для тех, на кого распространяются требования к моделированию угроз (операторы ПДн, субъекты КИИ и т.д.) и оценка рисков (кредитные и некредитные финансовые организации).
Статья Что такое SGRC (Security Governance, Risk Management, Compliance)?

Что такое SGRC (Security Governance, Risk Management, Compliance)?

SGRC-системы помогают автоматизировать информационную безопасность, управление рисками и выполнение законодательных требований, обеспечивая комплексный подход и оптимизацию процессов.
Статья LMS — системы управления обучением

LMS — системы управления обучением

LMS (Learning Management System) — это программная платформа, которая помогает организовывать, проводить и контролировать обучение сотрудников или студентов.
Статья IRP и SOAR – что могут и чем отличаются?

IRP и SOAR – что могут и чем отличаются?

Системы для управления инцидентами и автоматизации работы с ними применяются не только SOC-ами крупных компаний, но и все большую нишу занимают для среднего и малого бизнеса – ведь число инцидентов растет существенно быстрее, чем количество специалистов по работе с ними.
Статья Новые правила для КИИ с 1 сентября: что именно становится обязательным

Новые правила для КИИ с 1 сентября: что именно становится обязательным

С 1 сентября 2025 года в российском регулировании критической информационной инфраструктуры (КИИ) наступает важный этап — в силу вступают ключевые поправки в федеральном законодательстве, которые напрямую меняют правовой статус и обязанности субъектов КИИ.

Статья Аттестация безопасности по ФСТЭК: кому нужна, когда обязательна и как пройти по Приказу № 77

Аттестация безопасности по ФСТЭК: кому нужна, когда обязательна и как пройти по Приказу № 77

Аттестация — оценка объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

FAQ: Часто задаваемые вопросы

Подскажите, пожалуйста: что необходимо иметь к прокурорской проверке по вопросу о безопасности КИИ?

Проверка по КИИ может различаться по наличию значимых объектов.

При их отсутствии необходимо иметь только результаты категорирования и документы, подтверждающие их отправку во ФСТЭК и регулятору (для провайдера связи это Минкомсвязи)

При наличии значимых объектов необходимо иметь подтверждение исполнения многочисленных требований по обеспечению их безопасности.

В случае категорирования КИИ в банке, расположенном в Самаре, куда следует направлять на согласование предварительный перечень объектов под категорирование?

Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59. На 16.04.2020 экспедиция работает в штатном режиме, не смотря на пандемию.
Регионаьных отделений ФСТЭК для направления подобной информации не предусмотрено.
Также в соответствии с письмом Банка России №56-ОЭ/22253 от 15.08.2018 необходимости направлять перечень объектов КИИ в ЦБ нет.

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

Прошу Вас направить содержание документа «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» (или АКТ внутреннего аудита безопасности).

Этот акт для ЗО КИИ должен делаться ежегодно. Больше всего интересует оформление и мероприятия, указанные в данном акте. Ни где не могу найти информацию о составе данного акта.

«Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» содержит следующее:

1) Проверка состава ЗО КИИ (что-то добавилось, что-то выведено из эксплуатации)
2) Проверка выполнения требований по защите по пунктам:
— подтверждение актуальности МУ
— подтверждение выполнения технических требований
— подтверждение организационных требований (в том числе планов)
— проверка обучения
3) Контроль обработки инцидентов
4) Подтверждение состава комиссии по категорированию и ответственных сотрудников за защиту и реагирование на инциденты.

В общем, это всё. Второй пункт можно детализировать до требований 239 приказа.

В течение какого срока необходимо провести анализ уязвимостей ПО для ЗО КИИ, чтобы соответствовать требованиям 239 приказа ФСТЭК?

Чтобы соответствовать 239 приказу ФСТЭК, необходимо провести анализ уязвимостей ПО,
как только у субъекта КИИ появляется категория значимости.

Здравствуйте! Скажите, пожалуйста, медицинскому колледжу необходимо проходить процедуру КИИ?

Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иных сферах финансового рынка;
  • топливно-энергетический комплекс;
  • атомная сфера;
  • сфера обороны;
  • ракетно-космическая;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность.

Т.е. образовательные учреждения (д/с, школы, колледжи и т.д.) не будут являться субъектом КИИ и не имеют отношения к КИИ, т.к. осуществляет свою деятельность в сфере образования.

Добрый день! Надо ли подавать информацию во ФСТЭК при измененном / модернизированном объекте КИИ? В объекте КИИ добавлены новые информационные системы и была доработка старых информационных систем. В нормативных документах такой информации не нашел.

Добрый день.
Случаями подачи информации во ФСТЭК являются:
— плановый пересмотр объектов КИИ, не реже чем один раз в 5 лет
— при изменениях состава объектов КИИ
— изменение показателей критериев значимости объектов КИИ или их значений.
В данных случаях проводится повторное категорирование (п. 21 приложения к Постановлению правительства РФ от 8 февраля 2018 г. N 127) и сведения направляются во ФСТЭК, а также в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Также, исходя из Приказа № 75 от 28.05.2020 г., во ФСТЭК направляется информация при подключении значимого объекта КИИ к сети общего пользования.
Следовательно, в Вашем случае при измененном / модернизированном объекте КИИ проводится повторное категорирование объектов и ,если объекты значимы и подключены к  сети общего пользования, необходимо провести процедуру согласования со ФСТЭК.

Добрый день! Подскажите, относятся ли речные Порты к субъектам КИИ??

Добрый день.

Да, речные порты являются субъектами КИИ — как относящиеся к транспортной отрасли.

Подскажите, к объектам КИИ относятся станки с числовым программным управлением (ЧПУ)?

Если не относятся, то нужно ли все равно проводить процедуру категорирования, даже если нет объектов КИИ.

Предприятие работает в области машиностроения, выполняет гособоронзаказ (ГОЗ).

Исходя из рекомендаций ФСТЭК, станки ЧПУ рекомендовано относить к объектам КИИ типа АСУ в следующих случаях:

  1. Выход из строя устройства несет последствия по показателям значимости (учитывая выполнение гособоронзаказа – это затрагивает показатель по обеспечению обороны страны, безопасности государства и правопорядка и экономический показатель);
  2. Наличие компьютерного (сетевого) порта управления устройством;
  3. Нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства;
  4. Если станок с ЧПУ является частью АСУ ТП (не Ваш случай).

Доброго дня!
Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
Спасибо!

Добрый день.

Согласно п.8 ст.2 187-ФЗ:
субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

Что будет, если не провести анализ уязвимостей ПО значимых объектов КИИ?

Невыполнение требований влечет за собой наложение административного штрафа до 500к рублей и требование об устранении недостатка в короткие сроки.

В случае, если с не тестированным ПО произойдет инцидент, возможна уголовная ответственность по статье 274.1

При составлении перечня объекта КИИ, кто является ответственным за ИС?

Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.

Подскажите, следует ли категорировать Систему обработки вызовов экстренных оперативных служб (Систему-112)? Если следует, к какому пункту перечня её отнести?

Всё зависит от архитектуры системы. Если в составе системы имеется полноценная АТС, есть основания отнести её к объекту категории ИС (п. 3 типового перечня).

У нас незначимый объект КИИ, ФСТЭК признал это письмом. Если в составе этого незначимого объекта изменился адрес (добавилось рабочее место) — необходимо ли уведомлять ФСТЭК?

Да, уведомить ФСТЭК в данном случае необходимо — в соответствии с п. 19-1 Постановления Правительства РФ № 127.

Если объект ЗОКИИ законсервирован, а АРМы демонтированы — какие сведения о ЗОКИИ необходимо предоставлять: по проекту или фактически?

Категорирование проводится и сведения подаются только в отношении эксплуатируемых объектов. Если объект ЗОКИИ выведен из эксплуатации, рекомендуем зафиксировать этот факт актом и при подаче новых сведений приложить данный акт в качестве обоснования исключения объекта из перечня.

Если ранее категорирование не проводилось — какие сроки установлены? Год на проведение категорирования из ПП № 127 убрали. Также непонятна ситуация с 20-дневным сроком уведомления об изменениях в реестре, ведь фактически объект в реестре ещё отсутствует.

Если категорирование до сих пор не проводилось, субъект фактически нарушает требования законодательства. Рекомендуем приступить к проведению работ в кратчайшие сроки.

Подскажите, пожалуйста, как правильно ориентироваться в ОКВЭДах при отнесении к КИИ? Ситуации:
1) Написан код 63 — распространяется ли он на все подкоды? Если у организации ОКВЭД 63.11, попадает ли она под действие?
2) Написан код 84.11, а у ОИВ код 84.1 — подпадает ли он, поскольку 84.1 включает деятельность по 84.11?

Под действие попадают все ОКВЭДы групп 63 и 84, однако необходимо учитывать сферу деятельности, в которую они входят. В столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» уточняется, в рамках каких процессов и систем рассматривается данный ОКВЭД. Одним из дополнительных определяющих факторов в этом направлении является наличие лицензии Минцифры.

Дайте, пожалуйста, рекомендацию по ситуации, вызывающей у нас путаницу (с точки зрения оператора ЦОД).

Для типовой ИС и ЦОДа, предоставившего ей мощности, указаны коды 63.11 и 63.11.1. Если ИС не принадлежит оператору ЦОДа, а принадлежит только ЦОД — применяется код 63.11 («Деятельность по обработке данных, предоставление услуг по размещению информации»), и ЦОД является объектом КИИ. Это понятно.

Но если и ИС, и ЦОД принадлежат одному оператору — для ИС работает код 63.11.1 («Деятельность по созданию и использованию баз данных»), и ИС является КИИ. Будет ли в таком случае ЦОД также являться объектом КИИ? Можно ли считать, что код 63.11 не применяется, поскольку оператор никому не «предоставляет услуг», а размещает свою ИС на собственных мощностях?

Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая ЦОД), являются критическими.

Формально в столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» указаны функции, которые может исполнять типовой объект. Многие формулировки свидетельствуют о том, что ЦОД такие функции исполняет и является объектом, поскольку его мощности и оборудование составляют части облачных ИС субъектов КИИ.

Таким образом, есть основания признавать любой ЦОД субъектом КИИ, а его системы — объектами, с уточнением: «ИС, АСУ, ИТКС, размещённые в ЦОД и обеспечивающие предоставление информационных, вычислительных и телекоммуникационных ресурсов для функционирования ЗОКИИ». То есть если в ЦОД размещается ЗОКИИ — ЦОД является объектом КИИ. Практика по данному вопросу пока формируется.

Чья ответственность за размещение ИС в ЦОДе, который также может быть признан объектом КИИ (например, в сфере медицины)? Оператор ЦОДа должен самостоятельно провести категорирование, или его об этом должен уведомить владелец размещённой ИС?

Каждый субъект несёт ответственность за категорирование и обеспечение безопасности собственных систем. Если, например, больница разместила свою МИС-ЗОКИИ в вашем ЦОДе, но не уведомила вас об этом, ответственность лежит на больнице.
Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая ЦОД), являются критическими.

Добрый день! Отменяются ли отраслевые перечни министерств с изданием Распоряжения № 360-р?

Да, отраслевые перечни министерств отменяются.

Являются ли технологические компоненты (контроллер домена, DNS, прокси-сервер, файловые серверы и т. д.) информационными системами и подлежат ли они категорированию?

Данное программное обеспечение является частью ИС (общесистемным или прикладным ПО, ПО для обеспечения функционирования). Если ИС, в состав которой они входят, обладает признаками объекта КИИ, то и эти компоненты, как её составные части, также будут являться частью данного объекта.

Если у организации несколько ОКВЭДов, нужно ориентироваться только на основной вид деятельности или учитывать также дополнительные?

При отнесении к субъектам КИИ учитываются все виды деятельности организации, в том числе дополнительные ОКВЭДы.

После ноябрьского изменения ПП № 127 при заполнении формы направления сведений во ФСТЭК мы использовали данные по бюджету РФ и прочие показатели за 2024 год, поскольку категорирование проводилось в 2025 году. Теперь, при следующем представлении сведений, необходимо использовать данные уже за 2025 год?

Формально — да. На практике при ближайшем пересмотре объектов рекомендуем использовать актуальные данные. Такой пересмотр рекомендуем проводить не реже одного раза в год.

Если субъект КИИ работает в области оборонной промышленности и является головным исполнителем по ГОЗ — будет ли ИС, предназначенная для ведения бухгалтерского учёта, являться значимым объектом КИИ по критерию 13(1), если она непосредственно не участвует в выполнении ГОЗ?

Системы бухгалтерского учёта (например, 1С) на практике редко признаются объектами КИИ. Встречаются случаи присвоения такому объекту категории значимости, однако данный вопрос неоднозначен: существуют как нормативные основания, так и различные позиции сотрудников ФСТЭК. Необходимо рассматривать каждый конкретный случай в отдельности. Если рассуждать теоретически, то скорее всего, такая система объектом КИИ не является.

Если по критерию 13.1 объекту присваивается 1-я категория значимости, нужно ли при этом рассматривать остальные критерии для организации, выполняющей ГОЗ?

Да, такое допущение предусмотрено Постановлением Правительства РФ № 127. Рассматривать остальные критерии в этом случае не обязательно.

К какому номеру типового перечня КИИ следует относить шлюзы ДБО (например, «Фактура»)?

Шлюзы ДБО следует рассматривать применительно к позициям № 112 и № 125 типового перечня объектов КИИ.

Если ИС внутри организации называется «АБС» — нужно ли в форме приказа № 236 указывать только «типовое» наименование из Распоряжения № 360-р?

Необходимо указывать ссылку на типовой объект из перечня, наиболее соответствующий фактическому типу информационной системы.

Правильно ли я понимаю: если объект есть в типовом перечне и категорирование по нему уже проводилось ранее, необходимо пройти полный цикл перекатегорирования или достаточно направить обновлённые сведения с прежними данными, дополнив их ссылкой на типовой объект?

Данные необходимо обновить в том случае, если они устарели. Если же данные актуальны, достаточно дополнить сведения ссылкой на соответствующий типовой объект.

Здравствуйте! Мы — субъект КИИ в отрасли связи. Категорирование провели в начале 2025 года. Правильно ли я понимаю, что в настоящее время нам ничего переделывать не нужно и следует дождаться публикации отраслевых особенностей категорирования и перечня типовых объектов для сферы связи от Минцифры?

Да, после утверждения отраслевых особенностей потребуется пересмотр результатов категорирования. Предполагается, что они будут утверждены в ближайшее время — ряд особенностей уже опубликован. Ожидание их выхода перед пересмотром сведений является обоснованным решением.

Не совсем понял ситуацию с ЦОДами. Почему ИТКС ЦОДа, в котором субъект КИИ разместил свои объекты, становится объектом КИИ? И если ИТКС такого ЦОДа признаётся объектом — становится ли юридическое лицо, владеющее ЦОДом и оказывающее услуги, субъектом КИИ?

Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая услуги ЦОД), являются критическими.

Формально в столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» указаны функции типового объекта. Многие формулировки свидетельствуют о том, что ЦОД такие функции исполняет и является объектом, так как его мощности и оборудование составляют части облачных ИС субъектов КИИ.

Таким образом, есть основания признавать любой ЦОД субъектом КИИ, а его системы — объектами, с уточнением: «ИС, АСУ, ИТКС, размещённые в ЦОД и обеспечивающие предоставление информационных, вычислительных и телекоммуникационных ресурсов для функционирования ЗОКИИ». То есть если в ЦОД размещается ЗОКИИ — ЦОД является объектом КИИ. Практика по данному вопросу пока формируется.

Необходимо ли отдельно категорировать систему хранения данных (СХД), входящую в состав локальной сети, которая уже прошла категорирование?

Предпочтительнее включить СХД в состав перечня ПО и программно-аппаратных комплексов (ПАК) других объектов КИИ. Допускается также вынести её в отдельный объект — это не является нарушением.

Какие последствия возможны, если не уложиться в 20-дневный срок при перекатегорировании ОКИИ?

На данный момент практика привлечения к ответственности за такое нарушение не сложилась. Как правило, регулятор выдаёт предписание с требованием провести категорирование в срок около 1–2 месяцев.

Согласно типовому перечню, такие системы, как СКУД, пожарная и охранная сигнализация, система оповещения территориального уровня и система управления беспилотными воздушными судами, могут являться ЗОКИИ. Если эти системы не имеют системы управления и лишь принимают сигналы оповещения — будут ли они всё равно признаваться объектами ЗОКИИ?

Отнесение таких систем к объектам КИИ определяется индивидуально с учётом степени автоматизации, категорий опасности объектов и иных факторов. Если речь идёт исключительно о пассивных датчиках (например, датчиках задымления без системы управления) — вероятнее всего, они объектами КИИ не являются.

Если организация является головным исполнителем поставок продукции, работ и услуг по государственному оборонному заказу — присваивается ли ей 1-я категория значимости по п. 13.1 Перечня показателей критериев значимости? Если да — присваивается ли она всем объектам организации?

Категория значимости присваивается конкретным объектам КИИ, а не организации в целом. Если объект непосредственно участвует в исполнении ГОЗ (напрямую или в качестве обеспечивающей системы) — он подпадает под показатель 13.1. Если нет — не подпадает.

Возможны коллизии с позицией ФСТЭК: данный вопрос был дискуссионным ещё до введения показателя 13.1 (применительно к показателю 13). Формально, не все системы организации подпадают под критерий 13.1.

Если организация является субъектом КИИ по 187-ФЗ, но ни одна из её ИС/ИТКС не соответствует объектам из Типового перечня и при этом нет новых создаваемых систем, подлежащих включению в перечень — требуются ли от такой организации какие-либо действия? Получается, что объектов для категорирования нет?

Если объектов КИИ не выявлено, рекомендуем задокументировать факт рассмотрения типового перечня, провести сопоставление с собственными системами и зафиксировать сделанные выводы.

Вместе с тем, если в типовом перечне отсутствует объект, аналогичный имеющемуся у субъекта, субъект обязан самостоятельно определить такие объекты и направить предложения во ФСТЭК о расширении перечня.

Согласно п. 3 Постановления № 127, категорированию подлежат объекты КИИ, соответствующие типам, включённым в отраслевые перечни. Какие объекты КИИ целесообразно относить к информационно-телекоммуникационным сетям, используемым кредитными организациями в целях обеспечения переводов денежных средств на платёжном участке Банка России?

К ИТКС в общем случае относятся все сегменты сети и сетевое оборудование, находящееся в зоне ответственности субъекта КИИ: локальная вычислительная сеть (ЛВС), демилитаризованная зона (ДМЗ) и иные аналогичные компоненты.

Если мы используем информационную систему сторонней организации для осуществления вида деятельности, делающего нас субъектом КИИ, — кто должен проводить категорирование данной ИС?

Каждый субъект категорирует ту часть ИС, которая находится в его зоне ответственности, — вплоть до одного автоматизированного рабочего места (АРМ), с которого осуществляется доступ к системе.

Наша организация включена в реестр ОПК, однако фактически ни одна из наших систем не может оказать влияние на безопасность государства или граждан. Наша позиция — объектов КИИ у нас нет, и категорировать нечего. Есть ли шансы отстоять эту позицию перед ФСТЭК и прокуратурой?

Шансы маловероятны. Ключевым является вопрос о применимости показателей 13 и 13.1: важно, исполняете ли вы государственный оборонзаказ. Деятельность в рамках ОПК и исполнение ГОЗ фактически означают участие в обеспечении обороноспособности страны, что является одним из ключевых критериев значимости.

В сфере здравоохранения типовой перечень содержит только ИС — АСУ как таковые в нём не описаны. Получается, что аппарат УЗИ сам по себе объектом КИИ не является, но может им стать в составе МИС. Должны ли мы подавать такое медицинское оборудование как системы автоматизации медицинской деятельности?

Данный вопрос в настоящее время изучается на практике. Программируемое медицинское оборудование ранее лишь частично входило в область регулирования КИИ. Предварительно: такое оборудование может либо не учитываться в типовом перечне, либо подпадать под п. 3 или пп. 7–12 перечня. До получения официальных разъяснений рекомендуем исходить из того, что оно по-прежнему подлежит категорированию.

Ранее в сфере здравоохранения под категорирование подпадали АСУ, однако в новом отраслевом перечне указаны только ИС. Следует ли теперь исключить АСУ из состава объектов КИИ?

Данный вопрос в настоящее время изучается на практике. Программируемое медицинское оборудование ранее лишь частично входило в область регулирования КИИ. Предварительно: такое оборудование может либо не учитываться в типовом перечне, либо подпадать под п. 3 или пп. 7–12. До получения официальных разъяснений рекомендуем исходить из того, что оно по-прежнему подлежит категорированию.

Что делать, если объект ранее признавался объектом КИИ, а теперь он отсутствует в актуальных перечнях? Следует ли его исключить?

Вывод объекта из перечня маловероятно будет принят регулятором без надлежащего обоснования. Необходимо провести анализ реального влияния данного объекта на критические процессы и, при наличии оснований для исключения, подготовить развёрнутое обоснование для ФСТЭК.

Как организовать в организации сбор сведений обо всех объектах КИИ, принадлежащих ей на законном основании?

Рекомендуем вести реестр информационных систем и перечень оборудования в электронном виде с регулярным обновлением.

Мы — субъект КИИ, однако домен является общим, а ответственность за информационную безопасность возложена на головную компанию (холдинг). Должна ли головная компания иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ)? При этом ответственность за ЗОКИИ несут сотрудники на местах.

Вопрос комплексный и содержит существенную юридическую составляющую. Предварительно: в подобных случаях, как правило, существуют основания для требования наличия у головной компании лицензии на ТЗКИ.

Если несколько типовых объектов можно объединить — допустимо ли это? Например, СКУД и СХД в составе локально-вычислительной сети?

Определённая гибкость в данном вопросе допустима, и претензий, как правило, не возникает. Однако не рекомендуем объединять другие объекты с ЛВС, так как она зачастую получает самостоятельную категорию значимости.

В какие сроки необходимо перекатегорировать объекты финансовой организации, если отраслевые особенности утверждены 06.02.2026, а типовой перечень — 26.02.2026?

Необходимо обновить сведения о соответствии объекта типовому в соответствии с п. 19-1 Постановления Правительства РФ № 127 в течение 20 рабочих дней — то есть не позднее 26 марта 2026 года.

Категорирование проводилось уже после изменений в ПП № 127. ИС и ИТКС не выполняют ГОЗ и потому признаны незначимыми объектами. Требуется ли тем не менее проводить их категорирование по показателю 13.1?

Если категорирование проводилось до введения показателя 13.1, то необходимо провести повторное категорирование.

Являются ли объекты кредитной организации, осуществляющие обмен с платёжной системой Банка России (АРМ КБР-Н), объектами КИИ?

Да, АРМ КБР-Н являются объектами КИИ.

Если в ЦОД используется только услуга colocation собственного оборудования — необходимо ли учитывать ЦОД при проведении категорирования?

Да, сведения о ЦОД необходимо учитывать. В форме сведений об объектах КИИ предусмотрен ряд полей, в которых указываются данные о ЦОД: сведения об эксплуатируемых каналах связи, операторе связи, адресе размещения оборудования и, вероятно, самом оборудовании.

Допускается ли объединение нескольких автоматизированных систем (АС) в один объект КИИ?

Да, объединение нескольких автоматизированных систем в один объект КИИ допускается.

Добрый день! А если обратная ситуация: согласно типовому перечню, наши ранее незначимые объекты КИИ теперь вовсе перестают быть объектами КИИ (сфера науки) — как правильно оформить документы для ФСТЭК, чтобы вывести эти объекты из-под регулирования КИИ? Нужно ли провести перекатегорирование и составить акт о том, что согласно перечню они не являются объектами КИИ?

Если вы планируете вывести объект из перечня, рекомендуем подготовить развёрнутое сопроводительное письмо с подробным описанием причин, факторов и выводов, послуживших основанием для этого решения. В рамках данной процедуры необходимо убедить ФСТЭК в обоснованности вывода — регулятор, как правило, запрашивает детальные разъяснения.

В типовом перечне указаны «информационные системы, предназначенные для обеспечения управления оборудованием лучевой терапии». Означает ли это, что рентгеновский аппарат теперь не является АСУ? Необходимо ли его перекатегорировать?

Вопрос касается классификации объектов. Если это единственное изменение, затрагивающее данный объект, рекомендуем рассмотреть его при ближайшем плановом пересмотре сведений.

Если объекты попадают под п. 13.1, являются ли они ЗОКИИ, при условии что п. 13.1 является подпунктом п. 13 и доказано отсутствие снижения показателей по п. 13?

Показатели 13.1 и 13 являются самостоятельными и применяются независимо друг от друга — описанной зависимости между ними нет. Вместе с тем, если организация фактически не исполняет ГОЗ и не имеет планов по его исполнению, это может служить основанием для признания показателя 13.1 неактуальным.