Как выбрать лицензиата ФСТЭК и ФСБ для категорирования и защиты КИИ: 5 критериев

Выбор подрядчика для работ по категорированию и защите объектов КИИ — стратегическое решение, от которого зависит и уровень реальной защищённости, и результаты проверок ФСТЭК. Разбираем пять ключевых критериев оценки: от наличия лицензий ФСТЭК и ФСБ до квалификации инженеров с международными сертификатами OSCP, CISA и CISSP.

Критерий 4. Сертифицированные инженеры: OSCP, CISA, CISSP

Лицензия ФСТЭК требует от компании минимум трёх штатных специалистов по ИБ. Однако минимум — это именно минимум. Для сложных проектов по защите значимых объектов КИИ важно, чтобы в команде подрядчика были инженеры с международными сертификатами. Вот почему:

Запросите у подрядчика обезличенный список сертификатов команды (без персональных данных, но с указанием количества специалистов по каждому сертификату). Особенно это важно при работе с объектами 1-й и 2-й категории значимости, где методика ФСТЭК 2025 года предъявляет повышенные требования к уровню защиты.

Нюанс: наличие только российских удостоверений о переподготовке — необходимый минимум для лицензии, но недостаточный индикатор глубины экспертизы. Международные сертификаты (OSCP, CISSP, CISA) подтверждают, что специалист не просто прослушал курс, а сдал сложный экзамен и регулярно подтверждает квалификацию.

Критерий 5. Комплексность услуг и сопровождение «после проекта»

Категорирование — это только начало. После присвоения категории субъект КИИ обязан реализовать комплекс мер по защите значимых объектов в соответствии с Приказом ФСТЭК № 239. Поэтому пятый критерий — способность подрядчика пройти с вами весь путь, а не только этап категорирования.

Дерево решений: какой объём услуг вам нужен

• Если объекты без категории → достаточно категорирования + подачи сведений во ФСТЭК. Подрядчик нужен на 2–4 месяца.
• Если объекты 3-й категории → категорирование + проектирование + внедрение базовых мер. Проект на 6–12 месяцев.
• Если объекты 1-й или 2-й категории → полный цикл: категорирование, моделирование угроз, проектирование, внедрение, аттестация, подключение к ГосСОПКА, постоянный мониторинг. Проект на 12–24 месяца с последующим сопровождением.

Оцените, предлагает ли подрядчик:

1. Категорирование объектов КИИ с формированием актов и подачей сведений.
2. Разработку модели угроз и техзадания на систему безопасности.
3. Проектирование и внедрение системы защиты (включая подбор сертифицированных СЗИ).
4. Подключение к ГосСОПКА и организацию мониторинга инцидентов.
5. Сопровождение при проверках ФСТЭК и обновление документации при изменении законодательства.

Подрядчик, который берётся только за категорирование, может выполнить эту работу формально — ведь последствия (штрафы за непринятие мер защиты) лягут на вас, а не на него. Комплексный интегратор заинтересован в качественном результате на каждом этапе, потому что от категорирования зависят объём и стоимость последующих работ.

Чек-лист: 20 пунктов проверки подрядчика перед подписанием договора

Ниже — сводный чек-лист, который мы рекомендуем использовать при оценке потенциального лицензиата. Распечатайте его и поставьте галочки по каждому подрядчику:

Совет: если подрядчик набирает менее 14 из 20 пунктов — рассмотрите альтернативы. Если менее 10 — отказывайтесь однозначно.

Красные флаги: когда от подрядчика лучше отказаться

За годы работы мы выявили типичные признаки, сигнализирующие о проблемном подрядчике:

• «Сделаем за 2 недели». Полноценное категорирование даже небольшой организации занимает 1,5–3 месяца. Если подрядчик обещает уложиться в 2 недели — он планирует «нарисовать» документы формально, без реального анализа бизнес-процессов.
• «Категорируем всё без категории». Подрядчик, который заранее гарантирует, что все объекты окажутся без категории значимости — либо некомпетентен, либо собирается занизить результаты. Категория определяется по объективным критериям ПП РФ № 127, и обещать результат до анализа невозможно.
• Нет лицензии, но «оформим в процессе». Получение лицензии ФСТЭК занимает от 45 рабочих дней. Работать без лицензии — незаконно, а результат таких работ регулятор не примет.
• Стоимость в 3–5 раз ниже рынка. Демпинг — верный признак того, что подрядчик планирует сэкономить на глубине анализа. Ориентируйтесь на рыночную стоимость категорирования.
• Отказ предоставить референс-лист. Если компания работает на рынке 5+ лет, но не может назвать ни одного клиента — это повод задуматься.
• «Наш юрист всё знает». Категорирование КИИ — техническая задача. Если в команде подрядчика нет инженеров с профильным опытом, а проект ведёт юрист или менеджер — качество будет соответствующим.

Сравнительная таблица: инхаус-команда vs. внешний лицензиат

Перед обращением к подрядчику некоторые организации рассматривают вариант «сделаем сами». Разберём оба подхода:

Оптимальный вариант — комбинированный подход: внешний лицензиат выполняет категорирование и проектирование, а внутренний специалист контролирует процесс и обеспечивает передачу знаний. Это позволяет сочетать глубину экспертизы подрядчика со знанием внутренних процессов организации.

Пошаговый алгоритм выбора подрядчика по КИИ

Рекомендуем следующую последовательность действий:

1. Определите объём работ. Вам нужно только категорирование или полный цикл (категорирование + защита + мониторинг)? Ответ определит требования к подрядчику.
2. Сформируйте лонг-лист из 5–7 компаний. Используйте реестр ФСТЭК (reestr.fstec.ru/reg1), рекомендации коллег по отрасли, рейтинги интеграторов (CNews, TAdviser).
3. Проверьте лицензии. Убедитесь, что лицензия ФСТЭК ТЗКИ действующая и покрывает нужные виды работ. При необходимости — проверьте лицензию ФСБ.
4. Запросите референс-лист и отберите 3 финалиста. Отсейте компании без опыта в вашей отрасли.
5. Проведите технические встречи. Попросите финалистов представить подход к проекту: методологию, этапы, состав команды, сроки. На встрече должен быть технический специалист, а не только менеджер по продажам.
6. Оцените коммерческие предложения. Сравните не только стоимость, но и состав работ, гарантийные обязательства, условия доработки при замечаниях ФСТЭК.
7. Проверьте финансовую устойчивость. Посмотрите баланс на bo.nalog.ru, судебные дела на kad.arbitr.ru. Подрядчик с нулевой выручкой и десятком исков — риск.
8. Заключите договор с детализацией. Закрепите в договоре: перечень работ, сроки каждого этапа, стоимость, гарантию доработки, NDA, SLA.

Представьте ситуацию: ваша организация прошла проверку ФСТЭК по Приказу № 236, и регулятор обнаружил несоответствия. Подрядчик, с которым вы работали полгода назад, отказывается помогать — «договор закрыт». Именно поэтому условия сопровождения после завершения проекта необходимо фиксировать в договоре на этапе выбора.

Итог

Выбор лицензиата ФСТЭК и ФСБ для работ по КИИ — решение, которое определит уровень реальной защищённости вашей организации и результаты будущих проверок. Пять критериев, которые мы разобрали — лицензии, отраслевое портфолио, квалификация команды, комплексность услуг и прозрачность работы — помогут отсеять «бумажных» подрядчиков и найти настоящего партнёра.

Ключевой вывод: проверяйте факты, а не обещания. Реестры ФСТЭК и ФСБ открыты. Референс-листы можно запросить. Сертификаты инженеров — проверить. Единственное, что нельзя проверить заранее — это ответственность подрядчика. Но её можно закрепить договором.

Нужна помощь с выбором подрядчика по категорированию и защите КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и подберут оптимальный формат сотрудничества.