- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Требования к защите значимых объектов КИИ (ЗОКИИ): разбор Приказа ФСТЭК № 239
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Требования к защите значимых объектов КИИ (ЗОКИИ): разбор Приказа ФСТЭК № 239
Приказ ФСТЭК № 239 определяет, какие именно меры защиты обязан реализовать субъект КИИ для каждого значимого объекта. Разбираем структуру требований, логику формирования перечня мер и практику проектирования подсистемы безопасности.
Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» — центральный технический документ для всех субъектов КИИ, которым присвоена категория значимости. Если 187-ФЗ задаёт правовую рамку, а Приказ № 235 определяет организационную структуру (кто отвечает, какие подразделения создаются), то Приказ № 239 отвечает на главный практический вопрос: что именно нужно сделать для защиты значимого объекта КИИ (ЗОКИИ).
Документ прошёл несколько редакций. Актуальная версия — в редакции от 28.08.2024 (Приказ ФСТЭК № 159), вступившей в силу 05.11.2024. Каждая редакция расширяла и уточняла требования: добавились нормы по безопасной разработке ПО, использованию доверенных программно-аппаратных комплексов (ПАК), защите от DDoS-атак и контролю удалённого доступа.
Приказ № 239 работает в связке с другими нормативными актами:
Требования Приказа № 239 обязательны для субъектов КИИ, объектам которых присвоена 1-я, 2-я или 3-я категория значимости по результатам категорирования. Объекты КИИ без категории значимости не попадают под действие этого приказа (для них действуют общие требования 187-ФЗ и отраслевые стандарты).
Требования применяются в следующих ситуациях:
На практике субъект КИИ обязан приступить к реализации требований сразу после внесения сведений о категорировании в реестр ФСТЭК. Срок создания подсистемы безопасности законом прямо не установлен, однако регулятор ожидает разумную оперативность — и при проверке отсутствие подсистемы безопасности квалифицируется как нарушение. Подробнее о санкциях — в статье «Штрафы и проверки по КИИ».
Приказ № 239 охватывает весь жизненный цикл подсистемы безопасности значимого объекта. Это принципиально важно: речь идёт не о разовом мероприятии, а о непрерывном процессе.
ТЗ на создание подсистемы безопасности должно содержать: цель и задачи обеспечения безопасности, категорию значимости объекта, перечень нормативных актов, описание объекта и его архитектуры, модель угроз, перечень организационных и технических мер.
Включает три ключевых действия:
Последовательность внедрения по Приказу:
Планирование мероприятий, управление конфигурацией, реагирование на инциденты (во взаимодействии с ГосСОПКА), управление обновлениями, периодический контроль уровня защищённости.
Архивирование информации, уничтожение данных, очистка машинных носителей — процедуры, которые часто забывают, но которые также регламентированы Приказом.
Приложение к Приказу № 239 содержит перечень мер обеспечения безопасности, объединённых в 17 групп. Каждая мера помечена знаком «+» для тех категорий значимости, для которых она является базовой (обязательной). Ниже — полная карта групп мер с описанием назначения.
Принцип простой: чем выше категория значимости объекта, тем больше мер из каждой группы входят в обязательный базовый набор. Для объектов 1-й категории базовый набор максимален — он включает практически все меры из приложения.
Для кого эта услуга
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Ключевой инструмент Приказа № 239 — таблица-приложение, где для каждой конкретной меры указано, является ли она базовой для объектов 1-й, 2-й или 3-й категории значимости. Ниже приведена сводная матрица с ориентировочным объёмом обязательных мер по группам.
Логика таблицы: «базовый» — минимальный обязательный набор мер для данной группы; «расширенный» — добавлены дополнительные меры по сравнению с базовым уровнем; «максимальный» — включены все или почти все меры группы. Для объектов 1-й категории значимости практически весь перечень мер из приложения является обязательным.
Приказ № 239 не требует слепого исполнения всего списка «из коробки». Пункт 10 документа устанавливает чёткий алгоритм формирования итогового перечня мер для конкретного объекта:
Определяется по категории значимости объекта из таблицы приложения. Это отправная точка — минимум, ниже которого опускаться нельзя.
Из базового набора исключаются меры, не применимые к конкретному объекту в силу используемых технологий или архитектуры. Например, если объект не использует виртуализацию — меры по защите среды виртуализации не применяются. Если нет беспроводных сетей — соответствующие меры ЗИС исключаются.
К адаптированному набору добавляются меры, необходимые для нейтрализации актуальных угроз, выявленных в модели угроз. Этот шаг привязывает технические требования к реальному ландшафту рисков конкретной организации.
Если объект КИИ одновременно является, например, государственной информационной системой (ГИС) или информационной системой персональных данных (ИСПДн), необходимо учесть требования соответствующих приказов ФСТЭК (Приказ № 17, Приказ № 21). Также учитываются отраслевые стандарты (например, ГОСТ Р 57580 для финансовых организаций).
Если конкретную меру из итогового перечня невозможно реализовать технически или экономически нецелесообразно, субъект КИИ вправе применить компенсирующие меры. Обязательное условие: компенсирующие меры должны обеспечивать эквивалентный или более высокий уровень защищённости по отношению к заменяемой мере.
Применение компенсирующих мер фиксируется документально с обоснованием. При проверке ФСТЭК потребуется доказать, что компенсация адекватна. На практике это означает, что нужен письменный документ с анализом: какая мера заменяется, почему, чем именно компенсируется и как это подтверждается.
В качестве компенсирующих мер могут рассматриваться:
Модель угроз — фундамент, на котором строится вся подсистема безопасности ЗОКИИ. Приказ № 239 прямо требует, чтобы проектирование подсистемы безопасности осуществлялось с учётом модели угроз и категории значимости объекта. Разберём практическую последовательность действий.
Модель угроз разрабатывается в соответствии с Методикой оценки угроз безопасности информации ФСТЭК (утверждена 05.02.2021). Основные элементы модели:
Подробно о методике — в статье «Модель угроз КИИ».
На основе модели угроз и категории значимости формируется итоговый перечень мер по алгоритму из раздела 6 настоящей статьи. Каждая актуальная угроза должна быть нейтрализована хотя бы одной мерой защиты.
Приказ № 239 устанавливает требования к СЗИ:
При этом приоритет — использование сертифицированных средств защиты. Если сертифицированных решений нет, допускается применение несертифицированных СЗИ, прошедших оценку соответствия в форме испытаний или приёмки.
Результат проектирования оформляется в виде технического проекта (или раздела по безопасности в составе общего проекта), который включает: структурную схему подсистемы безопасности, описание применяемых СЗИ, порядок их взаимодействия, спецификацию оборудования и ПО. Эта документация входит в состав ОРД по КИИ.
Проектирование обязательно учитывает результаты инвентаризации ИТ-активов: состав оборудования, сетевую топологию, используемые ОС и СУБД, внешние интеграции. Именно поэтому качественная инвентаризация — необходимое условие корректного проектирования.
Редакция от 28.08.2024 (Приказ ФСТЭК № 159) внесла ряд существенных изменений. Перечислим ключевые:
Добавлены требования по защите от атак типа «отказ в обслуживании» для объектов, взаимодействующих с сетью Интернет. Для объектов 1-й категории значимости пограничные маршрутизаторы, обеспечивающие доступ к Интернету, должны быть сертифицированы.
Ужесточены требования к организации удалённого доступа. Теперь субъект КИИ должен учитывать доступ не только собственных сотрудников, но и работников дочерних и зависимых обществ. При невозможности полного запрета удалённого доступа — обязательны компенсирующие меры: минимальные привилегии, мониторинг, защита каналов передачи данных.
Требование о размещении систем на территории РФ расширено: теперь оно распространяется на объекты и 1-й, и 2-й категорий значимости (ранее — только 1-й).
С 01.01.2023 прикладное ПО, используемое на ЗОКИИ, должно разрабатываться с применением практик безопасной разработки (SSDLC), проходить тестирование на уязвимости и иметь поддержку в рамках жизненного цикла.
Введены требования по использованию доверенных программно-аппаратных комплексов. На объектах КИИ 1-й категории значимости приоритет отдаётся отечественным ПАК из реестра российского оборудования. Это требование усиливает курс на импортозамещение в критической инфраструктуре.
Ниже — практический чек-лист для CISO и ИБ-инженеров. Используйте его для самопроверки перед аудитом ИБ или плановой проверкой ФСТЭК.
За годы работы с субъектами КИИ мы видим одни и те же ошибки. Перечислим главные — с пояснением, почему они опасны.
Модель угроз пишется «для галочки», без привязки к реальной инфраструктуре. В результате перечень мер защиты не соответствует реальным рискам: какие-то угрозы не учтены, а ресурсы тратятся на нейтрализацию неактуальных. При проверке ФСТЭК это квалифицируется как несоответствие.
Субъект исключает неудобные меры из базового набора без документального обоснования. Адаптация — это не произвольное удаление строк из таблицы. Каждое исключение должно быть обосновано архитектурой объекта и зафиксировано в проектной документации.
Если мера из базового набора не реализуется — необходимо документально оформить компенсирующую меру. Отсутствие такого обоснования — прямое нарушение п. 10 Приказа.
Установка средств защиты 6-го класса на объекте 1-й категории — грубое нарушение. Проверяйте соответствие классов и уровней доверия требованиям п. 28–29 Приказа.
Приказ требует проведения анализа уязвимостей до приёмочных испытаний. Многие субъекты пропускают этот этап, переходя сразу к приёмке. Это создаёт формальное несоответствие и реальные риски — уязвимости остаются в продуктиве.
Подсистема безопасности проектируется без участия ИТ-подразделения. Результат — СЗИ конфликтуют с прикладным ПО, снижают производительность, создают ложные срабатывания. О выстраивании взаимодействия читайте в статье «Взаимодействие ИБ и ИТ при категорировании КИИ».
Система создана, акт подписан — и забыта. Приказ № 239 требует непрерывных процессов: мониторинг, управление обновлениями, пересмотр мер защиты не реже одного раза в год. Использование SGRC-систем позволяет автоматизировать эти процессы.
Приказ ФСТЭК № 239 — не формальная бюрократическая нагрузка, а структурированная система требований, которая при грамотном подходе превращается в рабочий инструмент защиты критической инфраструктуры. Ключевые принципы, которые нужно запомнить:
Реализация требований Приказа № 239 — задача, требующая экспертизы в нормативном регулировании, архитектуре ИБ и конкретных технических решениях. Если вам нужна помощь на любом этапе — от категорирования до комплексной защиты КИИ под ключ — специалисты «Астелс» готовы подключиться.
Нужна помощь с выполнением требований Приказа № 239?
Оставьте заявку на бесплатную консультацию. Мы проведём экспресс-аудит текущего состояния защиты ЗОКИИ, определим разрывы с требованиями и предложим дорожную карту приведения в соответствие. Узнайте стоимость или свяжитесь с нами для консультации.
Приказ № 239 является обязательным для всех субъектов КИИ, владеющих значимыми объектами (1, 2 или 3 категории значимости). Требование установлено в рамках Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры». За невыполнение предусмотрена административная и уголовная ответственность.
Законодательство не устанавливает жёсткий срок в календарных днях, однако субъект КИИ обязан приступить к созданию системы безопасности незамедлительно после присвоения категории значимости. На практике ФСТЭК ожидает завершения основных работ в течение 6–12 месяцев. Затягивание процесса может быть расценено как нарушение при проверке.
Да, приказ предусматривает механизм компенсирующих мер. Если базовая мера технически неприменима или экономически нецелесообразна, её можно заменить альтернативной, обеспечивающей эквивалентный уровень защиты. Обоснование замены обязательно фиксируется в проектной документации на систему безопасности.
Различие заключается в объёме базового набора мер защиты: для 1 категории он максимальный, для 3 — минимальный. Чем выше категория, тем больше обязательных мер в каждой из 17 групп. При этом субъект вправе усилить набор мер для любой категории по результатам моделирования угроз.
Для проектирования и внедрения системы безопасности значимых объектов КИИ необходимо привлечение организации с лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации. Субъект КИИ может выполнить часть работ самостоятельно, но проектирование и оценку соответствия должен проводить лицензиат.
Стоимость зависит от категории значимости, масштаба инфраструктуры и текущего уровня защищённости. Для объектов 3 категории затраты обычно составляют от 500 тысяч до 2–3 млн рублей, для 1 категории — от нескольких миллионов и выше. Основные статьи расходов: средства защиты информации, проектирование, внедрение и аттестация.
Редакция 2024 года уточнила требования к защите удалённого доступа, усилила контроль цепочки поставок программного обеспечения и расширила перечень мер по управлению уязвимостями. Также конкретизированы требования к импортозамещению средств защиты информации на значимых объектах КИИ.
