- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Чек-лист: внутренний аудит ИБ перед плановой проверкой ФСТЭК субъекта КИИ
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Чек-лист: внутренний аудит ИБ перед плановой проверкой ФСТЭК субъекта КИИ
В 2025 году ФСТЭК выявила свыше 1 200 нарушений при проверках более 700 значимых объектов КИИ. В 2026 году количество контрольных мероприятий будет существенно увеличено. Данный чек-лист — инструмент системной самопроверки по четырём блокам: документация, организация и персонал, технические средства защиты, мониторинг и реагирование. Каждый пункт привязан к требованиям 187-ФЗ, Приказов ФСТЭК № 239 и № 235, учитывает новую методику расчёта КЗИ и типичные нарушения, фиксируемые инспекторами.
Плановые проверки ФСТЭК России в отношении субъектов критической информационной инфраструктуры (КИИ) перестали быть формальностью. По данным регулятора, озвученным на «Инфофоруме 2026», за 2025 год проверено более 700 значимых объектов КИИ и зафиксировано свыше 1 200 нарушений. Составлено 603 протокола об административных правонарушениях, направлено более 2 000 требований об исполнении законодательства. В 2026 году, по заявлению представителей ведомства, количество контрольных мероприятий будет существенно увеличено.
Для CISO и CIO это означает простую вещь: к проверке нужно готовиться системно, а не в последнюю неделю. Внутренний аудит информационной безопасности — единственный способ заранее обнаружить пробелы, которые инспектор найдёт обязательно. По нашему опыту работы с более чем 7 000 проектов, организации, проводящие предварительную самопроверку, получают в среднем в 3–4 раза меньше замечаний.
В этой статье — подробный чек-лист внутреннего аудита, разбитый на четыре функциональных блока. Он покрывает все ключевые области, которые проверяет ФСТЭК: документацию, организационные меры, технические средства защиты и процессы мониторинга. Каждый пункт привязан к конкретному нормативному требованию 187-ФЗ, Приказов ФСТЭК № 239 и № 235, а также учитывает новые правила 2026 года.
Прежде чем переходить к чек-листу, необходимо чётко понимать, что именно проверяет ФСТЭК и на основании каких документов. Ниже — карта нормативных актов, определяющих периметр контроля.
| Нормативный акт | Область регулирования | Что проверяет ФСТЭК |
|---|---|---|
| 187-ФЗ от 26.07.2017 | Общие обязанности субъектов КИИ | Факт категорирования, наличие системы безопасности, взаимодействие с ГосСОПКА |
| ПП-127 (ред. ПП-1762) | Порядок категорирования | Корректность категорирования, актуальность сведений в реестре, состав комиссии |
| Приказ ФСТЭК № 235 | Создание системы безопасности | Структура подразделения ИБ, ответственные, планирование, контроль |
| Приказ ФСТЭК № 239 | Требования по обеспечению безопасности ЗО КИИ | Реализация 17 групп мер, наличие ОРД, работоспособность СЗИ, оценка защищённости |
| Приказ ФСТЭК № 17 / № 117 (с 01.03.2026) | Защита информации в ГИС | Расчёт КЗИ, аттестация, непрерывный контроль (для ГИС, являющихся объектами КИИ) |
| Методика ФСТЭК от 11.11.2025 | Оценка показателя КЗИ | Числовое значение КЗИ, корректность расчёта, полнота данных |
| Указ Президента № 250 | Импортозамещение в сфере ИБ | Отсутствие СЗИ из «недружественных» стран с 01.01.2025 |
Ключевое изменение 2026 года: с 1 марта вступает в силу Приказ ФСТЭК № 117, который заменяет Приказ № 17. Вместо прежней логики «подготовились — прошли аттестацию — живём дальше» вводится режим непрерывного контроля, регулярного расчёта КЗИ и обязательной полугодовой отчётности. Для объектов КИИ, которые одновременно являются государственными информационными системами, это означает двойной контур требований.
Важный нюанс: даже если в уведомлении о проведении проверки указаны только значимые объекты КИИ, ФСТЭК уполномочена проверить корректность работы комиссии по категорированию в целом, включая объекты без присвоенной категории.
Понимание хронологии проверки помогает грамотно распределить усилия по подготовке. Ниже — тайм-лайн от уведомления до получения акта.
| Этап | Срок | Действия субъекта КИИ |
|---|---|---|
| Уведомление | Как правило, декабрь предшествующего года | Зафиксировать дату, начать подготовку |
| За 1–2 месяца до проверки | — | Провести полный внутренний аудит по данному чек-листу, устранить критические несоответствия |
| За 1 неделю | — | Проверить доступность всех документов, подготовить помещение для комиссии, провести повторный инструктаж персонала |
| Проверка | До 20 рабочих дней | Обеспечить доступ к объектам КИИ, предоставлять документы по запросу, фиксировать ход проверки |
| Акт проверки | 3 экземпляра | Получить акт, при несогласии — подать возражения в 15-дневный срок |
| Предписание | Срок устранения определяется ФСТЭК | Устранить нарушения, направить отчёт об устранении. Неисполнение — основание для внеплановой проверки |
Основание для плановой проверки: истечение 3 лет с момента внесения значимого объекта КИИ в реестр или с даты последней плановой проверки. Внеплановые проверки могут инициироваться при поступлении информации о нарушении, компьютерном инциденте, истечении срока предписания или по поручению Президента/Правительства РФ.
Теперь, когда нормативная рамка и порядок проверки понятны, переходим непосредственно к чек-листу.
Для кого эта услуга
Связь
Топливно-энергетический комплекс
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
Горнодобывающая промышленность
Транспорт
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Документарная проверка — первое, с чего начинает инспектор ФСТЭК. Отсутствие хотя бы одного обязательного документа автоматически квалифицируется как нарушение. По статистике 2025 года, 98% нарушений связаны с расхождением документов и фактического состояния объектов.
Чек-лист: Документация (Блок 1)
Критически важно: инспектор ФСТЭК сопоставляет акт категорирования с поданными сведениями. Любое расхождение — изменение состава объекта, смена ПО, добавление нового сегмента сети — которое не отражено в обновлённых сведениях, немедленно вызовет вопросы и с высокой вероятностью приведёт к составлению протокола по ст. 19.7.15 КоАП РФ.
Приказ ФСТЭК № 235 устанавливает требования к структуре и функционированию системы безопасности значимых объектов КИИ. Проверяющие оценивают не только наличие формальных приказов, но и реальное исполнение обязанностей.
Чек-лист: Организация и персонал (Блок 2)
Обратите внимание: ФСТЭК проверяет не только «наличие приказа», но и реальное исполнение. Если ответственный за безопасность КИИ назначен, но фактически совмещает эту роль с должностью системного администратора без выделенного времени на задачи ИБ — это будет квалифицировано как нарушение. Аналогично с обучением: разовый инструктаж при приёме на работу — не замена регулярных тренингов.
Отдельный акцент в 2026 году — контроль подрядчиков. ФСТЭК планирует ввести отдельные требования по информационной безопасности для организаций, имеющих доступ к значимым объектам КИИ на правах подрядчиков. Убедитесь, что в договорах с подрядчиками зафиксированы обязательства по соблюдению требований ИБ, ответственность за инциденты и порядок взаимодействия при компьютерных атаках. Если ваши подрядчики не имеют лицензий ФСТЭК, это также может стать предметом замечания.
Это самый объёмный блок проверки и наиболее «болезненный» для субъектов КИИ. Приказ ФСТЭК № 239 определяет 17 групп мер, и по каждой группе инспектор вправе запросить подтверждение реализации — как документарное, так и инструментальное.
| Группа мер | Что проверить | Критерий соответствия | Типичное несоответствие |
|---|---|---|---|
| ИАФ | Идентификация и аутентификация | МФА для привилегированных УЗ; пароли ≥ 12 символов; блокировка неактивных | Сервисные учётные записи без МФА, общие пароли |
| УПД | Управление доступом | Принцип минимальных привилегий, матрица доступа, учёт admin-УЗ | Избыточные права, «забытые» учётные записи уволенных |
| АВЗ | Антивирусная защита | Централизованное управление, охват ≥ 80% устройств, актуальные базы | Необновлённые антивирусные базы, отсутствие покрытия серверов |
| СОВ | Обнаружение вторжений | IDS/IPS на периметре, правила обновляются, инциденты обрабатываются | IDS установлена, но правила по умолчанию, алерты никто не анализирует |
| ЗИС | Межсетевое экранирование | 100% интернет-интерфейсов защищены МЭ L3/L4, сегментация | Незакрытые порты, «временные» правила ставшие постоянными |
| ОПО | Управление обновлениями | Критические уязвимости устранены за 30 дней, есть регламент | Устаревшие версии ОС и ПО с известными CVE |
| ОДТ | Резервное копирование | Регулярное бэкапирование, проверка восстановления | Бэкапы есть, но восстановление ни разу не тестировалось |
Дополнительно убедитесь в следующем:
Этот блок проверки связан с приказами ФСБ России № 196, 281, 282, 367, а также с группами мер АУД и ИНЦ Приказа ФСТЭК № 239. По весу в новой методике расчёта КЗИ мониторинг и реагирование составляют 30% — вторая по значимости группа после защиты информационных систем.
Чек-лист: Мониторинг и реагирование (Блок 4)
Практическая рекомендация: проведите «учебную тревогу» за месяц до проверки. Смоделируйте инцидент, пройдите весь цикл реагирования от обнаружения до формирования отчёта для НКЦКИ. Это позволит выявить слабые места в процессе и подтвердить работоспособность регламентов. Документы, фиксирующие результаты тренировки, станут дополнительным аргументом при проверке.
С 1 марта 2026 года расчёт коэффициента защищённости информации (КЗИ) становится обязательной полугодовой процедурой. Для целей внутреннего аудита рекомендуем провести предварительный расчёт КЗИ до проверки ФСТЭК — это даст объективную количественную картину состояния защиты.
| Группа | Вес Rj | Ваш статус | Действие при несоответствии |
|---|---|---|---|
| 1. Организация и управление | 0,10 (10%) | Ответственный назначен, документы актуальны, обучение проводится? | Оформить приказы, провести обучение, утвердить политики |
| 2. Защита пользователей | 0,25 (25%) | Парольная политика соблюдается, МФА внедрена, неактивные УЗ заблокированы? | Внедрить МФА, ужесточить парольную политику, провести аудит УЗ |
| 3. Защита ИС | 0,35 (35%) | МЭ на 100% периметра, уязвимости закрываются за 30 дней, антивирус ≥ 80%? | Закрыть критические уязвимости, настроить МЭ, расширить покрытие АВЗ |
| 4. Мониторинг и реагирование | 0,30 (30%) | SIEM работает, журналы хранятся, регламент реагирования выполняется? | Развернуть SIEM, настроить журналирование, утвердить регламент |
Механизм обнуления: если при тестировании на проникновение аудитор получает доступ через учётные записи — вся группа «Защита пользователей» (25%) обнуляется. Если доступ получен через уязвимости ПО — обнуляется группа «Защита ИС» (35%). Это означает, что КЗИ может упасть ниже 0,75 даже при идеально оформленных документах. Подробности формулы и расчёта — в нашей статье о методике ФСТЭК и коэффициенте КЗИ.
Анализ результатов проверок ФСТЭК в 2025 году и опыт взаимодействия с регулятором позволяет выделить ТОП-10 нарушений, которые встречаются чаще всего. Используйте этот список как дополнительный фильтр при самопроверке.
| № | Нарушение | Норма | Последствие |
|---|---|---|---|
| 1 | Несоответствие фактического состава ЗО КИИ данным реестра | ПП-127, Приказ № 236 | Протокол по ст. 19.7.15 КоАП (98% дел) |
| 2 | Отсутствие модели угроз или её неактуальность | Приказ ФСТЭК № 239, п. 11.1 | Предписание, ст. 13.12.1 ч. 1 КоАП |
| 3 | Применение СЗИ из «недружественных» стран | Указ Президента № 250 | Предписание, административный штраф |
| 4 | Невыполнение мероприятий по выявлению уязвимостей | Приказ ФСТЭК № 239, меры АУД | Предписание, ст. 13.12.1 ч. 1 КоАП |
| 5 | Необновлённые антивирусные базы | Приказ ФСТЭК № 239, меры АВЗ | Предписание |
| 6 | Неполный комплект ОРД (отсутствуют регламенты по отдельным группам мер) | Приказ ФСТЭК № 239, п. 26 | Предписание, ст. 13.12.1 ч. 1 КоАП |
| 7 | Мониторинг событий ИБ с обычных корпоративных ПК | Приказ ФСТЭК № 235, № 239 | Предписание |
| 8 | Отсутствие контроля за подрядчиками, имеющими доступ к ЗО КИИ | Приказ ФСТЭК № 235 | Предписание |
| 9 | Нарушение сроков информирования НКЦКИ об инцидентах | Приказы ФСБ № 282, 367 | Ст. 13.12.1 ч. 2 КоАП (до 500 000 ₽) |
| 10 | Новые объекты КИИ не прошли категорирование | 187-ФЗ, ПП-127 | Протокол по ст. 19.7.15 КоАП, предписание |
Отдельно стоит подчеркнуть: по данным ФСТЭК (Инфофорум 2026), только 36% организаций достигли минимального уровня защиты от злоумышленников с минимальными возможностями — годом ранее таких было лишь 13%. Эта статистика говорит о том, что большинству субъектов КИИ предстоит серьёзная работа, и начинать её нужно задолго до прихода инспектора.
Ниже — сводная таблица, объединяющая все блоки чек-листа с рекомендуемыми сроками выполнения. Используйте её как инструмент планирования подготовки к проверке.
| № | Пункт проверки | Блок | Когда проверить | Статус |
|---|---|---|---|---|
| 1 | Фактический состав ЗО КИИ = данные реестра ФСТЭК | Документы | За 2 месяца | ☐ |
| 2 | Комплект ОРД полный, терминология актуальна (без «критических процессов») | Документы | За 2 месяца | ☐ |
| 3 | Модели угроз актуализированы | Документы | За 2 месяца | ☐ |
| 4 | Ответственный за ИБ назначен, квалификация подтверждена | Организация | За 2 месяца | ☐ |
| 5 | Персонал обучен, инструктажи задокументированы | Организация | За 1,5 месяца | ☐ |
| 6 | Сканирование уязвимостей проведено, критические устранены | Техника | За 1,5 месяца | ☐ |
| 7 | Все СЗИ сертифицированы, нет СЗИ из «недружественных» стран | Техника | За 1,5 месяца | ☐ |
| 8 | МЭ, IDS/IPS, антивирус работают корректно, конфигурации проверены | Техника | За 1 месяц | ☐ |
| 9 | SIEM развёрнута, логи хранятся, алерты обрабатываются | Мониторинг | За 1 месяц | ☐ |
| 10 | Регламент реагирования актуален, тренировка проведена | Мониторинг | За 1 месяц | ☐ |
| 11 | КЗИ рассчитан, результат ≥ 1,0 или план устранения разрывов составлен | Оценка | За 3 недели | ☐ |
| 12 | Помещение для комиссии подготовлено, доступ к ЗО КИИ обеспечен | Логистика | За 1 неделю | ☐ |
| 13 | Повторный инструктаж персонала проведён | Организация | За 1 неделю | ☐ |
Главный принцип: готовиться к проверке нужно не в панике за неделю, а системно — начиная минимум за 2 месяца. Первый месяц — документарный и организационный аудит, устранение критических разрывов. Второй месяц — технический аудит, сканирование, расчёт КЗИ, финальная подготовка.
Если по результатам самопроверки обнаружены существенные пробелы, не пытайтесь скрыть их от инспектора. Более продуктивная стратегия — подготовить план мероприятий по устранению недостатков с конкретными сроками. Наличие утверждённого плана демонстрирует осознанный подход к управлению рисками и может быть учтено при формулировании предписания. Подробнее о стратегии взаимодействия с регулятором — в нашем материале об ошибках коммуникации с ФСТЭК.
Для субъектов КИИ, которые только начинают процесс категорирования или попали во вторую волну категорирования 2026 года, рекомендуем параллельно запустить работу по пошаговому руководству — это позволит синхронизировать категорирование и подготовку к проверке в рамках единого проекта.
Внутренний аудит ИБ перед плановой проверкой ФСТЭК — это не факультативное упражнение, а критическая необходимость. В 2026 году регуляторное давление на субъектов КИИ достигло беспрецедентного уровня: число проверок растёт, штрафы ужесточаются, а новый Приказ № 117 переводит контроль в режим непрерывного мониторинга.
Представленный чек-лист охватывает четыре ключевых блока: документацию, организационные меры, технические средства защиты и процессы мониторинга/реагирования. Каждый пункт привязан к конкретной норме 187-ФЗ, Приказов ФСТЭК № 239, № 235 и приказов ФСБ. Дополнительно мы интегрировали в чек-лист оценку КЗИ по методике ФСТЭК 2025 года — это позволяет получить объективную количественную картину защищённости до прихода инспектора.
Начните подготовку прямо сейчас: распечатайте сводный чек-лист, назначьте ответственных за каждый блок, установите контрольные точки по тайм-лайну. Организации, которые проводят предварительную самопроверку, получают в разы меньше замечаний — а значит, избегают штрафов, предписаний и внеплановых проверок.
Нужна помощь с подготовкой к проверке ФСТЭК или проведением аудита ИБ объектов КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут устранить критические разрывы до начала проверки. Звоните: 8(800) 70-70-144.
Медиа
Была ли полезна вам данная статья?
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000.
© ООО «Астелс» - Консалтинговая группа» 2012 - 2024
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 17.03.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград