В 2025 году ФСТЭК проверила более 700 значимых объектов критической информационной инфраструктуры. Результат: 1 200+ нарушений, 603 протокола об административных правонарушениях, лишь 36% значимых объектов КИИ достигли даже минимального уровня защиты. Иными словами, 64% субъектов КИИ находятся в зоне регуляторного риска прямо сейчас.

При этом ландшафт требований продолжает меняться. 1 сентября 2025 года вступили в силу масштабные поправки в 187-ФЗ. С ноября - новые правила категорирования по ПП № 1762. Для компаний, которые проходили категорирование в 2021–2022 годах, 2026 год - год обязательного пересмотра. А значит, прямо сейчас тысячи организаций оказались перед выбором: перестроить работу с КИИ системно - или снова стихийно

При этом, ст. 274.1 УК РФ предусматривает уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру. Это не абстрактная норма, а реалии судебной практики. Ответственность несёт не организация, а конкретные должностные лица.

SECURITM: от категорирования до расчёта КЗИ

SECURITM – система управления информационной безопасностью, в базе знаний которой загружены и скоррелированы между собой все основные нормативные документы по КИИ: 187-ФЗ, ПП №127, Приказы №239 и №235, а также Методика ФСТЭК по оценке КЗИ. Это позволяет специалисту службы ИБ управлять всем жизненным циклом защиты значимых объектов в единой среде.

Модуль Требований: оценка соответствия по каждому значимому объекту

Организация, имеющая несколько значимых объектов КИИ с разными категориями, обязана применять различные по составу наборы мер для каждого из них. SECURITM позволяет вести оценку соответствия по каждому значимому объекту КИИ отдельно: для ИС 1-й категории применяется полный состав мер Приказа №239, для 2-й и 3-й - усечённый в соответствии с матрицей.

В системе SECURITM доступна кросс-корреляция документов: требования Приказа №239 автоматически соотносятся с Приказом №235 и смежными стандартами. Выполняя одну меру, специалист видит, какие пункты других документов она одновременно закрывает, без ручного сведения таблиц.

Готовая база защитных мер

SECURITM содержит библиотеку готовых защитных мер с техническими примерами реализации и проектами документов по информационной безопасности. Для субъектов КИИ это особенно актуально: на практике большинство нарушений, фиксируемых ФСТЭК, связаны не с отсутствием понимания требований, а с отсутствием ресурсов для их методичного внедрения.

Каждая защитная мера привязана к конкретным пунктам Приказа №239 сразу для нескольких категорий значимости. Реализуя меру, специалист автоматически закрывает требования для всех применимых категорий - это сокращает трудозатраты при управлении разнородным портфелем значимых объектов.

Модуль Активов: актуальный реестр - ответ на требование ФСТЭК №1

По данным ФСТЭК, несоответствие реального состава объектов КИИ сведениям, направленным в реестр, в 98% случаев становится основанием для возбуждения административного дела по ст. 19.7.15 КоАП. SECURITM решает эту проблему через модуль управления активами, который автоматически собирает и актуализирует данные об IT-инфраструктуре через десятки интеграций.

Для каждого значимого объекта КИИ в системе ведётся отдельная «карточка» с полным составом информационных систем, АСУ ТП, телекоммуникационных сетей, программных и аппаратных средств, а также реализованных мер защиты. Актуальность реестра поддерживается автоматически - без зависимости от ручных проверок.

Методика ФСТЭК и расчёт показателя КЗИ

Методика оценки состояния технической защиты информации применяется как для государственных информационных систем, так и для значимых объектов КИИ. Она обязывает субъекта регулярно рассчитывать показатель КЗИ и обеспечивать его достижение уровня, при котором защита считается достаточной.

SECURITM автоматизирует этот расчёт: на основе зафиксированных активов, реализованных мер и результатов оценки соответствия платформа строит дашборды с динамическим пересчётом КЗИ. Система также служит единым хранилищем подтверждающих артефактов - свидетельств выполнения мер, которые могут быть предоставлены ФСТЭК в ходе проверки.

Управление инцидентами и взаимодействие с ГосСОПКА

Одна из ключевых обязанностей субъекта КИИ - незамедлительное информирование НКЦКИ/ГосСОПКА о компьютерных инцидентах на значимых объектах. SECURITM обеспечивает полный цикл управления инцидентами: обнаружение, фиксацию, классификацию, назначение ответственных и документирование принятых мер.

Задачи и автоматизация (RPA/SOAR)

Поддержание актуального состояния системы безопасности значимого объекта КИИ - это непрерывный операционный процесс, включающий регулярный контроль конфигураций, анализ уязвимостей, проверку работоспособности средств защиты. SECURITM автоматизирует эти задачи через интеграцию с RPA/SOAR: при наступлении заданных событий система автоматически инициирует цепочку действий. Это снижает рутинную нагрузку на специалистов службы ИБ и исключает пропуск критических событий из-за человеческого фактора.

Конструктор документов

Приказ №235 требует разработки и поддержания в актуальном состоянии обширного комплекта организационно-распорядительной документации: политик, регламентов, инструкций по реагированию, планов восстановления. Конструктор документов SECURITM позволяет формировать весь необходимый комплект ОРД на основе готовых шаблонов - с автоматической подстановкой актуальных данных из системы и возможностью адаптации под требования конкретного регулятора.

Практические шаги для субъекта КИИ

Выстраивание системы безопасности значимых объектов КИИ с помощью SECURITM требует последовательного подхода:

1. Зафиксировать перечень объектов КИИ в системе и для каждого указать присвоенную категорию значимости.

2. Запустить оценку соответствия по Приказу №239 в модуле «Комплайенс» - для каждого значимого объекта отдельно.

3. Сформировать план реализации мер с приоритизацией по категории значимости и результатам оценки.

4. Настроить автоматический сбор данных об активах через интеграции - для поддержания актуального реестра компонентов объектов КИИ.

5. Автоматизировать расчёт показателя КЗИ по Методике ФСТЭК и выстроить регулярный (не реже раза в полгода) мониторинг.

6. Подготовить комплект ОРД с помощью конструктора документов и сформировать архив подтверждающих артефактов для плановых и внеплановых проверок ФСТЭК.

Регулятор в 2026 году сместил фокус контроля с документов на фактическую работоспособность средств защиты. SECURITM, интегрируя управление комплайенсом, активами, инцидентами и задачами в единой платформе, позволяет субъекту КИИ обеспечить именно такую - реально работающую - систему безопасности.