В 2025 году ФСТЭК проверила более 700 значимых объектов критической информационной инфраструктуры. Результат: 1 200+ нарушений, 603 протокола об административных правонарушениях, лишь 36% значимых объектов КИИ достигли даже минимального уровня защиты. Иными словами, 64% субъектов КИИ находятся в зоне регуляторного риска прямо сейчас.

При этом ландшафт требований продолжает меняться. 1 сентября 2025 года вступили в силу масштабные поправки в 187-ФЗ. С ноября - новые правила категорирования по ПП № 1762. Для компаний, которые проходили категорирование в 2021–2022 годах, 2026 год - год обязательного пересмотра. А значит, прямо сейчас тысячи организаций оказались перед выбором: перестроить работу с КИИ системно - или снова стихийно

При этом, ст. 274.1 УК РФ предусматривает уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру. Это не абстрактная норма, а реалии судебной практики. Ответственность несёт не организация, а конкретные должностные лица.

Что изменилось в сфере КИИ: 

Регуляторный ландшафт в сфере КИИ за последние 12 месяцев претерпел принципиальные изменения, и для большинства компаний это означает необходимость перестроить не отдельные документы, а весь подход к управлению ИБ.

Первое: категорирование придётся пройти заново. Новая редакция порядка категорирования смещает фокус на перечни типовых отраслевых объектов КИИ и отраслевые особенности категорирования. Кто категорировался по старым правилам, теперь обязан пересмотреть состав объектов. Это не формальность: новые критерии могут как добавить объекты в реестр, так и изменить их категорию значимости.

Второе: отчётность стала детальнее. В форме № 236 теперь обязательно указывать IP-адреса и доменные имена объектов. Изменился состав инфраструктуры - нужно уведомить ФСТЭК в течение 10 рабочих дней. Каждое такое изменение превращается в отдельную административную задачу, которую легко упустить в ручном режиме.

Третье: импортозамещение перешло из рекомендаций в требования. Субъекты КИИ должны планировать переход на ПО из реестра российского ПО в порядке и сроки, установленные уполномоченными органами. SECURITM входит в реестр российского ПО и имеет сертификат ФСТЭК по 4 уровню доверия, что важно для проектов импортозамещения и применения в регулируемых контурах, её использование на объектах КИИ легально и может быть отнесено к затратам на импортозамещение.

Одна из ключевых причин нарушений при проверках ФСТЭК - расхождение между заявленным составом объектов КИИ и их реальным состоянием. Это не злой умысел: просто инфраструктура живёт своей жизнью, а реестр - своей.

Почему это так сложно: три системные боли

• Реестр отстаёт от реальности. Инфраструктура меняется непрерывно: появляются новые серверы, устаревшее оборудование выводится, меняются владельцы систем и подрядчики. Реестр объектов КИИ, составленный год назад, уже не отражает действительность. Именно это «расхождение» при проверке ФСТЭК становится поводом для протокола.

• Документация готовится месяцами вручную. Типичная картина: два специалиста ИБ плюс внешний подрядчик готовятся к аттестации шесть месяцев. Стоимость одного цикла подготовки - около 6,96 млн рублей. И это при том, что нормативная база обновляется каждые несколько месяцев - значит, цикл повторяется снова. С SECURITM тот же процесс занимает 1,5 месяца.

• Статус соответствия не виден в моменте. Какие меры защиты реализованы по Приказу ФСТЭК № 239? Что ещё не закрыто? Какой процент выполнен? Без специализированной системы ответ на эти вопросы требует недель ручной работы - а при внеплановой проверке времени нет совсем.

Как SECURITM решает задачу КИИ: от объектов до отчёта

SECURITM - российская система управления информационной безопасностью, входящая в реестр отечественного ПО. Работа с КИИ в системе строится на взаимодействии трёх ключевых модулей: Активы (AM) как фундамент, Требования и Риски (RM) как инструменты управления соответствием, а RPA - как движок автоматизации процессов между ними.

Модуль активов (AM) - живой реестр объектов КИИ

Объекты КИИ в SECURITM - это активы с присвоенными атрибутами значимости. Модуль обеспечивает централизованный учёт всех типов: ИТ-системы, АСУ ТП, сети, оборудование, программное обеспечение. Данные обогащаются автоматически через настройку с Active Directory, Kaspersky Security Center, MaxPatrol VM, Zabbix и другими источниками - без ручного ввода.

Объекты КИИ корректно моделировать как актив/систему/АСУ/ИТС с полями категории значимости, с указанием связи с субъектом КИИ, комиссией, основанием категорирования, статуса направления сведений и связями с процессами, инфраструктурой, мерами, требованиями и доказательствами

Когда инфраструктура меняется - появляется новый хост, меняется IP-адрес сервера, новое устройство подключается к сети - система фиксирует изменение автоматически через интеграции. Синхронизация происходит по расписанию или в режиме реального времени, в зависимости от источника.

Важно понимать: модуль активов является базовым слоем для связей с требованиями, рисками, защитными мерами, уязвимостями, задачами, метриками и RPA. Достоверный реестр активов - это фундамент, без которого любые отчёты о соответствии теряют смысл.

Соответствие требованиям КИИ в реальном времени

Модуль содержит базу из более 200 нормативных документов, включая полный пакет требований КИИ: 187-ФЗ, ПП № 127, Приказы ФСТЭК № 235 и № 239, Приказы ФСБ № 282 и № 367, Указ Президента № 250. Требования автоматически коррелируются: дублирующиеся - объединены, пересекающиеся - связаны между собой.

Ключевое отличие от Excel-таблицы с галочками: каждое требование привязано к конкретным активам и мерам защиты. Статус требований оценивается автоматически, основываясь на связанных активах, защитных мерах и метриках. Вышло обновление нормативной базы - система получает его без ручной переработки.

При пересмотре категорий по ПП № 1762 комиссия получает готовую выгрузку из реестра активов за один день - а не за три месяца ручной работы. Дашборд «Соответствие 187-ФЗ» можно открыть для внешнего аудитора по публичной ссылке - без создания учётной записи.

Методика оценки показателя состояния технической защиты информации в информационных системах и значимых объектах критической информационной инфраструктуры – инструмент, позволяющий сразу понять, выполняются ли минимально необходимые требования по защите информации, и позволяющий собрать в едином месте всю доказательную базу (скриншоты, отчеты и т.д.), которые при необходимости легко могут быть представлены регулятору.

Модуль уязвимостей (VM) - КИИ под контролем сканеров

Уязвимости на объектах КИИ - отдельная история с повышенной ответственностью. Модуль VM интегрируется и принимает отчеты от 20+ сканеров (MaxPatrol VM, Kaspersky, Vulns.io, Metascan и другими), а результаты сканирования связываются с активами. При наличии корректной ресурсно-сервисной модели и заполненных атрибутов критичности/категории эти данные могут использоваться для приоритизации.

Критическая уязвимость на объекте 1-й категории значимости автоматически получает наивысший приоритет устранения - без ручной сортировки. Инженер открывает дашборд и сразу видит, где «горит» именно на объекте КИИ.

Модуль рисков (RM) - оценка рисков для объектов КИИ

Автоматическая идентификация рисков происходит через привязку к активам и угрозам из БДУ ФСТЭК и MITRE ATT&CK. Критичность каждого риска рассчитывается с учётом категории значимости объекта. Пересмотр категорий по ПП № 1762, при наличии ранее построенной модели активов, связей, угроз, уязвимостей и мер, можно проводить быстрее, без полного ручного восстановления контекста.

RPA - автоматизация обязательных процессов КИИ

Модуль RPA - это движок, который связывает изменения в активах с действиями в других процессах. Через конструктор команда настраивает сценарии под свои задачи: триггер на изменение актива - автоматическая проверка, не требует ли это обновления реестра во ФСТЭК; обнаружение нового устройства через интеграцию - задача на его классификацию и включение в реестр КИИ.

Для инцидентов на объектах КИИ строятся плейбуки реагирования: кто уведомляет, в какие сроки, через какой канал (ГосСОПКА). Нарушение срока уведомления ГосСОПКА -это отдельный состав административного правонарушения. Каждое действие команды фиксируется в системе и хранится как доказательная база.

Сценарии, которые случаются каждый год

Сценарий 1. Плановый пересмотр категорий

Промышленное предприятие проходило категорирование в 2021 году. В 2026 - обязательный пересмотр по ПП № 1762. За пять лет добавлено три новых АСУ ТП, часть серверов переехала в облако.

Без SECURITM: комиссия по категорированию три месяца вручную описывает состав объектов, сверяет с реальностью, переделывает акты. Высокий риск расхождений, который при проверке превратится в протокол.

С SECURITM: реестр активов уже актуален через синхронизацию с AD, KSC, MaxPatrol VM. Методолог формирует выгрузку для комиссии за один день. Новые объекты КИИ фиксируются с нужными атрибутами. Акт категорирования строится на данных, которые уже проверены.

Сценарий 2. Инцидент на объекте КИИ

На сервере 1-й категории значимости зафиксирована аномалия. По требованиям 187-ФЗ - уведомить ГосСОПКА в установленный срок.

Без SECURITM: из-за человеческого фактора, задача по уведомлению откладывается и уведомление происходит слишком поздно

С SECURITM: инцидент фиксируется в системе. RPA-плейбук автоматически создаёт задачу «Уведомление ГосСОПКА», назначает ответственного и его руководителя, устанавливает дедлайн с учётом требований регулятора. Каждое действие команды - кто, что и когда сделал - фиксируется в системе. По итогам формируется доказательная база: не «мы всё делали правильно», а «вот хронология действий с временными метками».

SECURITM – система управления и минимизации рисков в ИБ

Готовиться к проверке три месяца перед визитом ФСТЭК - устаревшая стратегия. Регулятор приходит внепланово. Инциденты случаются без предупреждения. Состав инфраструктуры меняется каждую неделю.

SECURITM делает каждый день работы службы ИБ прозрачным и доказуемым: реестр актуален, соответствие измеримо, сроки уведомлений не пропускаются. Это не подготовка к аудиту - это система непрерывного соответствия, где следующая проверка ФСТЭК становится не стрессом, а плановой процедурой.