Приказ ФСТЭК № 236: новые требования к подаче сведений о доменах и IP-адресах

С 1 сентября 2025 года приказ ФСТЭК № 236 дополнен новыми пунктами: субъекты КИИ обязаны указывать доменные имена и внешние сетевые адреса объектов критической информационной инфраструктуры. Разбираем, что конкретно нужно заполнять, какие ошибки допускают и как автоматизировать сбор данных.

Дерево решений: нужно ли вашему объекту КИИ заполнять п. 1.8

Прежде чем собирать данные, определите, какие именно объекты КИИ попадают под новое требование. Используйте следующий алгоритм:

Шаг 1. Объект КИИ взаимодействует с сетью электросвязи общего пользования (включая Интернет)?

• Да → переходите к Шагу 2.
• Нет (полностью изолированный сегмент) → п. 1.8 не заполняется. Поставьте прочерк.

Шаг 2. Объект КИИ имеет статический публичный IP-адрес?

• Да → укажите этот IP-адрес и все связанные доменные имена. Переходите к Шагу 4.
• Нет → переходите к Шагу 3.

Шаг 3. Объект получает адрес динамически (DHCP)?

• Да → укажите адрес DNS-сервера провайдера связи и доменные имена (если есть).
• Нет (объект за NAT, VPN или прокси) → укажите внешний IP точки выхода (NAT-шлюз, VPN-концентратор).

Шаг 4. У объекта несколько внешних интерфейсов (multi-homing, резервный канал, CDN)?

• Да → укажите все внешние IP и домены по каждому интерфейсу.
• Нет → формирование записи для этого объекта завершено.

Этот алгоритм стоит оформить как внутренний регламент и довести до каждого филиала. Особенно для организаций, которые работают с перечнями типовых отраслевых объектов — им придётся пройти эту процедуру для каждого объекта из перечня.

Автоматизация через SGRC: как собрать домены и IP без «Excel-ада»

SGRC (Security Governance, Risk & Compliance) — класс платформ, которые автоматизируют управление ИБ на уровне процессов, рисков и соответствия требованиям. В контексте приказа ФСТЭК № 236 SGRC решает ключевую задачу: непрерывная инвентаризация сетевых идентификаторов объектов КИИ.

Что SGRC делает для заполнения формы 236

Платформы уровня R-Vision SGRC, SecurityVision или MaxPatrol обладают встроенными механизмами безагентской инвентаризации: они сканируют сетевые сегменты, собирают данные о публичных IP, проверяют DNS-записи и агрегируют всё в единую карточку объекта КИИ. Результат — готовый к подаче пакет сведений.

Для субъекта КИИ с более чем 10 объектами переход на SGRC — вопрос не удобства, а выживаемости: без автоматизации невозможно уложиться в 20-дневный срок актуализации, установленный регулятором.

Пошаговый чек-лист подготовки сведений по форме 236

Используйте этот чек-лист для организации работы по формированию и подаче обновлённых сведений во ФСТЭК.

Этап 1. Организационная подготовка

• ☐ Назначить ответственного за сбор сведений о доменах и IP (рекомендуем — сотрудник службы ИБ с доступом к ИТ-инфраструктуре).
• ☐ Уведомить ИТ-службу и администраторов сети о новых требованиях п. 1.7 и п. 1.8.
• ☐ Запросить у провайдеров связи сведения о выделенных IP-адресах и DNS-серверах для каждой площадки.

Этап 2. Инвентаризация

• ☐ Составить реестр всех объектов КИИ, имеющих подключение к Интернету.
• ☐ Для каждого объекта зафиксировать: доменные имена (основные и алиасы), внешние IP-адреса (статические или DNS провайдера), тип подключения (прямое, NAT, VPN, CDN).
• ☐ Проверить наличие теневых доменов и IP через внешнее сканирование (Shodan, Censys или SGRC-платформу).

Этап 3. Верификация

• ☐ Сопоставить собранные данные с реестром DNS-регистратора (проверить, что все домены зарегистрированы на субъект КИИ или уполномоченное лицо).
• ☐ Убедиться, что IP-адреса принадлежат организации или её провайдеру (WHOIS-проверка).
• ☐ Согласовать итоговый перечень с комиссией по категорированию.

Этап 4. Формирование и подача

• ☐ Заполнить обновлённую форму 236 (все пункты, включая 1.7 и 1.8).
• ☐ Подготовить электронную копию в формате .ods.
• ☐ Направить сведения во ФСТЭК в бумажном виде + электронная копия.
• ☐ Сохранить копию в делопроизводстве организации с отметкой о дате подачи.

Подробнее о процедуре категорирования и сроках — в нашей статье «Постановление 1762: категорирование объектов КИИ».

Связь приказа № 236 с новым ПП-1762 и реестром ЗОКИИ

Приказ ФСТЭК № 236 не существует в вакууме. С 2025 года он стал частью обновлённой нормативной цепочки, где каждое звено усиливает требования к прозрачности объектов КИИ.

Нормативная цепочка

1. 187-ФЗ (базовый закон) → определяет понятие субъекта КИИ и обязанность категорирования.
2. ПП-127 в редакции ПП-1762 (с 18.11.2025) → устанавливает новый порядок категорирования через перечни типовых отраслевых объектов.
3. Приказ ФСТЭК № 236 (в ред. приказа № 247) → определяет форму, в которой субъект направляет результаты категорирования.
4. Приказ ФСТЭК № 227 (в ред. приказа № 254) → определяет, какие данные попадают в реестр ЗОКИИ, включая домены и IP.

Ключевой момент: сведения о доменах и IP, поданные по форме 236, транслируются в реестр значимых объектов КИИ. Если данные неполные или ошибочные — ФСТЭК вернёт их на доработку, и объект не будет включён в реестр до устранения замечаний. Это создаёт юридический вакуум: объект фактически работает, но формально не зарегистрирован, что увеличивает риски при проверках.

По нашему опыту сопровождения более 7000 проектов, задержки с подачей сведений — одна из трёх главных причин, по которым субъекты КИИ получают предписания ФСТЭК.

Типичные ошибки при подаче сведений о доменах и IP-адресах

На основе практики сопровождения субъектов КИИ мы выделяем пять ошибок, которые встречаются чаще всего.

Ошибка 1. Указан внутренний (серый) IP вместо внешнего. Адреса из диапазонов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 — это внутренние сетевые адреса. ФСТЭК ожидает публичный IP, через который объект виден из Интернета. Если объект за NAT — указывайте адрес NAT-шлюза.

Ошибка 2. Указан один домен при наличии нескольких. Если у объекта КИИ есть основной домен, поддомен API и CDN-алиас — все три должны быть в форме. Упустить один — значит предоставить неполные сведения.

Ошибка 3. Данные устарели к моменту подачи. Между сбором информации и отправкой формы прошло 2 месяца. За это время сменился провайдер, изменился пул IP. Рекомендация: верифицировать данные непосредственно перед подачей.

Ошибка 4. Не учтены объекты КИИ в филиалах. Головной офис заполнил форму за себя, «забыв» про филиальные объекты. ФСТЭК проверяет полноту — несоответствие между количеством объектов в реестре и в поданных сведениях станет основанием для замечания.

Ошибка 5. Пункт 1.8 оставлен пустым для объекта с Интернет-подключением. Если объект КИИ имеет хотя бы косвенный доступ в Интернет (через VPN, прокси, шлюз), поле должно быть заполнено. «У нас закрытый контур» — частая отговорка, не соответствующая реальной топологии.

Итог

Обновлённая форма приказа ФСТЭК № 236 — не формальная бюрократическая правка. Новые пункты 1.7 и 1.8 создают единое информационное поле, в котором ФСТЭК видит каждый объект КИИ не только по названию и категории, но и по его сетевому «отпечатку». Для субъектов с распределённой инфраструктурой ручной сбор этих данных — путь к просроченным срокам и предписаниям. Автоматизация на базе SGRC-платформ позволяет выстроить непрерывный процесс инвентаризации и формирования отчётности, соответствующий темпу регуляторных изменений.

Нужна помощь с категорированием объектов КИИ или подготовкой сведений по форме 236? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут сформировать пакет документов.