Комплексная киберзащита субъектов КИИ «под ключ»: этапы и дорожная карта проекта

Защита КИИ под ключ — комплексный проект, в котором шесть обязательных этапов выстроены в единый конвейер: от предпроектного аудита до подключения к ГосСОПКА. Ниже разбираем каждый этап, называем нормативные основания, приводим типовую дорожную карту и даём авторскую матрицу зрелости, позволяющую оценить текущий уровень защищённости организации.

Этап 3. Проектирование СОИБ: от модели угроз до технического проекта

Система обеспечения информационной безопасности (СОИБ) проектируется индивидуально под каждый значимый объект КИИ. Приказ ФСТЭК № 235 определяет требования к структуре системы безопасности, а приказ № 239 — конкретный набор мер, который должен быть реализован.

Фазы проектирования

1. Моделирование угроз. Разработка модели угроз с учётом методики ФСТЭК 2025 года и коэффициента защищённости. Модель включает перечень актуальных угроз, нарушителей и векторов атак.
2. Техническое задание (ТЗ). На основе модели угроз и базового набора мер из приказа № 239 формируется ТЗ, определяющее состав подсистем безопасности, функциональные требования к СЗИ и порядок интеграции.
3. Технический проект. Детальная архитектура СОИБ: схемы размещения средств защиты, спецификация оборудования и ПО, описание взаимодействия подсистем.
4. Разработка ОРД. Четыре уровня организационно-распорядительной документации: политика ИБ, частные политики и регламенты, рабочие инструкции персонала, журналы учёта и контроля.

На практике ФСТЭК обращает особое внимание на полноту модели угроз и обоснованность адаптации базового набора мер. Если интегратор исключает какую-либо меру из приказа № 239, он обязан документально обосновать, почему угроза, которую эта мера нейтрализует, неактуальна для конкретного объекта.

Дерево решений: какие подсистемы необходимы

Объём технического проекта зависит от присвоенной категории значимости:

• 3-я категория — базовый набор: управление доступом, антивирусная защита, межсетевое экранирование, аудит событий, резервное копирование. Обычно достаточно 5–7 подсистем.
• 2-я категория — к базовому набору добавляются: обнаружение вторжений (IDS/IPS), контроль целостности, криптографическая защита каналов, двухфакторная аутентификация. Итого 8–12 подсистем.
• 1-я категория — полный набор мер приказа № 239 без исключений, включая средства доверенной загрузки, анализ защищённости, мониторинг в режиме реального времени (SIEM + SOC). 12–16 подсистем и более.

Для каждого уровня интегратор формирует спецификацию оборудования и ПО с учётом совместимости компонентов, наличия на рынке и сроков поставки — последнее особенно актуально в условиях дефицита отдельных отечественных решений.

Выходные документы: модель угроз, ТЗ на создание СОИБ, технический проект, комплект ОРД (15–25 документов).

Этап 4. Поставка и внедрение отечественных СЗИ

С 1 января 2025 года использование иностранных средств защиты информации на значимых объектах КИИ запрещено (Указ Президента № 250). Это означает, что проект защиты КИИ под ключ должен опираться исключительно на отечественные решения из реестра российского ПО и реестра сертифицированных СЗИ ФСТЭК.

Чек-лист подсистем и отечественных решений

Важно учитывать совместимость решений между собой и с существующей инфраструктурой организации. По нашему опыту, до 30 % бюджета проекта уходит на интеграцию и настройку взаимодействия подсистем — именно здесь комплексный интегратор информационной безопасности КИИ экономит заказчику время и ресурсы.

Практический совет: заранее проверяйте наличие продуктов в едином реестре российского ПО (Минцифры) и реестре сертифицированных средств защиты (ФСТЭК). Сертификат должен быть действующим на момент ввода СОИБ в эксплуатацию, а не на момент закупки.

Выходные документы: спецификация оборудования и ПО, акты поставки, протоколы пусконаладочных работ, акты ввода подсистем в опытную эксплуатацию.

Этап 5. Аттестация и оценка соответствия

Аттестация объекта информатизации — формальное подтверждение того, что реализованные меры защиты соответствуют предъявленным требованиям. Для значимых объектов КИИ 1-й категории аттестация обязательна, для 2-й и 3-й — допускается альтернативная оценка соответствия (приёмочные испытания).

Порядок аттестации

1. Предварительные испытания. Проверка комплектности документации, функциональное тестирование СЗИ, сверка реальной конфигурации с техническим проектом.
2. Опытная эксплуатация. Работа СОИБ в штатном режиме в течение 30–90 дней. Фиксация сбоев, ложных срабатываний, пропусков событий.
3. Аттестационные испытания. Проводятся органом по аттестации, имеющим лицензию ФСТЭК. Включают инструментальный контроль (сканирование уязвимостей, тестирование на проникновение) и документальную проверку.
4. Выдача аттестата соответствия. Срок действия — до 5 лет (с ежегодным контролем).

Подводный камень: ряд организаций путают аттестацию объекта информатизации и сертификацию средств защиты. Это разные процедуры. Сертификация касается продукта (СЗИ), аттестация — конкретного объекта с учётом его архитектуры, настроек и организационных мер.

Выходные документы: программа и методика испытаний, протоколы аттестационных испытаний, аттестат соответствия (или заключение о соответствии по результатам приёмочных испытаний).

Этап 6. Подключение к ГосСОПКА и выстраивание процессов реагирования

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) является обязательным элементом для субъектов КИИ, владеющих значимыми объектами. Подключение к ГосСОПКА — завершающий этап цикла «защита КИИ под ключ».

Варианты подключения

• Напрямую к НКЦКИ. Субъект направляет запрос в ФСБ России, получает реквизиты доступа к технической инфраструктуре НКЦКИ, настраивает автоматическую передачу событий из SIEM.
• Через ведомственный (корпоративный) центр ГосСОПКА. Актуально для холдингов и корпораций: головная структура создаёт собственный центр мониторинга (SOC), аккредитованный как центр ГосСОПКА.
• Через коммерческий SOC (MSSP). Аутсорсинг мониторинга и реагирования сертифицированному провайдеру, который берёт на себя взаимодействие с НКЦКИ.

Обязательные процессы после подключения

1. Уведомление НКЦКИ об инцидентах в течение 24 часов (для значимых объектов — 3 часа).
2. Предоставление результатов расследования инцидента в течение 48 часов.
3. Содействие ФСБ при реагировании на компьютерные атаки.
4. Ежеквартальная отчётность по инцидентам и мерам реагирования.

Какой вариант выбрать? Для средних организаций (до 500 сотрудников) оптимален вариант через коммерческий SOC — он не требует найма штата аналитиков и закупки дорогостоящей SIEM-инфраструктуры. Крупные холдинги с десятками значимых объектов, как правило, создают собственный центр ГосСОПКА, что позволяет консолидировать мониторинг и снизить удельную стоимость на объект.

Выходные документы: регламент взаимодействия с НКЦКИ, план реагирования на инциденты, журнал регистрации инцидентов, настроенное SIEM-подключение.

Дорожная карта проекта: сроки, вехи, ответственные

Ниже — типовая дорожная карта проекта комплексной защиты КИИ для организации среднего масштаба (50–200 значимых объектов). Сроки корректируются в зависимости от отраслевой специфики, числа объектов и степени готовности существующей инфраструктуры.

Итого: 10–18 месяцев от старта аудита до полноценной работы в ГосСОПКА. Параллелизация этапов (например, проектирование начинается до получения ответа ФСТЭК по категорированию) позволяет сократить общий срок на 20–30 %.

Понимание стоимости категорирования КИИ помогает спланировать бюджет первых двух этапов, а дальнейшие затраты зависят от категорий присвоенных объектам — чем выше категория, тем шире набор обязательных мер.

Матрица зрелости: как оценить текущий уровень и спланировать развитие

Ниже — авторская матрица зрелости субъекта КИИ, разработанная на основе практики реализации проектов. Она помогает CEO и CISO определить, на каком уровне находится организация, и понять, какие шаги предстоят.

Большинство российских организаций по состоянию на 2026 год находятся между уровнями 1 и 2. Регулятор всё чаще проверяет не наличие документов, а реальную работу средств защиты — и именно поэтому перечни типовых отраслевых объектов КИИ превращаются в инструмент контроля полноты категорирования.

Дополнительный стимул к ускорению — новые требования к ИТ-подрядчикам субъектов КИИ, вступающие в силу в 2026 году. Поставщики продуктов и услуг для значимых объектов обязаны соблюдать те же требования по информационной безопасности, что и сами владельцы ЗОКИИ. Это означает, что при выборе интегратора информационной безопасности КИИ необходимо убедиться, что сам подрядчик выполняет требования 187-ФЗ и подзаконных актов в отношении собственной инфраструктуры.

Итог

Комплексная киберзащита субъектов КИИ — это не разовый проект, а непрерывный цикл из шести взаимосвязанных этапов: аудит, категорирование, проектирование СОИБ, внедрение отечественных СЗИ, аттестация и подключение к ГосСОПКА. Попытка закрыть требования фрагментарно неизбежно приводит к разрывам в архитектуре безопасности, перерасходу бюджета и претензиям со стороны ФСТЭК.

Выбор единого интегратора информационной безопасности КИИ, который проведёт субъекта от первого аудита до первого отчёта в ГосСОПКА, позволяет:

• сократить общий срок проекта на 20–30 %;
• обеспечить совместимость всех подсистем СОИБ;
• получить единый комплект документации, прошедший проверку регулятора;
• выстроить процессы, а не просто «поставить галочки» в чек-листе ФСТЭК.

Нужна помощь с защитой КИИ? Оставьте заявку — специалисты «Астелс» проведут бесплатную экспресс-оценку текущего уровня защищённости вашей организации и составят индивидуальную дорожную карту проекта.