Требования к защите значимых объектов КИИ (ЗОКИИ): разбор Приказа ФСТЭК № 239

Приказ ФСТЭК № 239 определяет, какие именно меры защиты обязан реализовать субъект КИИ для каждого значимого объекта. Разбираем структуру требований, логику формирования перечня мер и практику проектирования подсистемы безопасности.

5. Базовый набор мер по категориям значимости: матрица сравнения

Ключевой инструмент Приказа № 239 — таблица-приложение, где для каждой конкретной меры указано, является ли она базовой для объектов 1-й, 2-й или 3-й категории значимости. Ниже приведена сводная матрица с ориентировочным объёмом обязательных мер по группам.

Логика таблицы: «базовый» — минимальный обязательный набор мер для данной группы; «расширенный» — добавлены дополнительные меры по сравнению с базовым уровнем; «максимальный» — включены все или почти все меры группы. Для объектов 1-й категории значимости практически весь перечень мер из приложения является обязательным.

6. Адаптация, дополнение и компенсирующие меры

Приказ № 239 не требует слепого исполнения всего списка «из коробки». Пункт 10 документа устанавливает чёткий алгоритм формирования итогового перечня мер для конкретного объекта:

Шаг 1. Выбор базового набора мер

Определяется по категории значимости объекта из таблицы приложения. Это отправная точка — минимум, ниже которого опускаться нельзя.

Шаг 2. Адаптация базового набора

Из базового набора исключаются меры, не применимые к конкретному объекту в силу используемых технологий или архитектуры. Например, если объект не использует виртуализацию — меры по защите среды виртуализации не применяются. Если нет беспроводных сетей — соответствующие меры ЗИС исключаются.

Шаг 3. Дополнение адаптированного набора

К адаптированному набору добавляются меры, необходимые для нейтрализации актуальных угроз, выявленных в модели угроз. Этот шаг привязывает технические требования к реальному ландшафту рисков конкретной организации.

Шаг 4. Дополнение мерами из других нормативных актов

Если объект КИИ одновременно является, например, государственной информационной системой (ГИС) или информационной системой персональных данных (ИСПДн), необходимо учесть требования соответствующих приказов ФСТЭК (Приказ № 17, Приказ № 21). Также учитываются отраслевые стандарты (например, ГОСТ Р 57580 для финансовых организаций).

Шаг 5. Применение компенсирующих мер

Если конкретную меру из итогового перечня невозможно реализовать технически или экономически нецелесообразно, субъект КИИ вправе применить компенсирующие меры. Обязательное условие: компенсирующие меры должны обеспечивать эквивалентный или более высокий уровень защищённости по отношению к заменяемой мере.

Применение компенсирующих мер фиксируется документально с обоснованием. При проверке ФСТЭК потребуется доказать, что компенсация адекватна. На практике это означает, что нужен письменный документ с анализом: какая мера заменяется, почему, чем именно компенсируется и как это подтверждается.

В качестве компенсирующих мер могут рассматриваться:

• меры по обеспечению промышленной безопасности;
• меры функциональной безопасности;
• меры физической безопасности;
• иные меры, поддерживающие необходимый уровень защищённости.

7. Проектирование подсистемы безопасности на основе модели угроз

Модель угроз — фундамент, на котором строится вся подсистема безопасности ЗОКИИ. Приказ № 239 прямо требует, чтобы проектирование подсистемы безопасности осуществлялось с учётом модели угроз и категории значимости объекта. Разберём практическую последовательность действий.

7.1. Разработка модели угроз

Модель угроз разрабатывается в соответствии с Методикой оценки угроз безопасности информации ФСТЭК (утверждена 05.02.2021). Основные элементы модели:

• определение объектов воздействия (компоненты ИС, сетевая инфраструктура, СУБД, прикладное ПО);
• определение источников угроз (внешние нарушители, внутренние нарушители, техногенные факторы);
• определение актуальных угроз — на основе БДУ ФСТЭК и анализа конкретной инфраструктуры;
• оценка возможных последствий реализации угроз.

Подробно о методике — в статье «Модель угроз КИИ».

7.2. Формирование перечня мер

На основе модели угроз и категории значимости формируется итоговый перечень мер по алгоритму из раздела 6 настоящей статьи. Каждая актуальная угроза должна быть нейтрализована хотя бы одной мерой защиты.

7.3. Выбор средств защиты информации

Приказ № 239 устанавливает требования к СЗИ:

• для объектов 1-й категории — СЗИ не ниже 4-го класса защиты (по классификации ФСТЭК) и 4-го уровня доверия;
• для объектов 2-й категории — СЗИ не ниже 5-го класса защиты и 5-го уровня доверия;
• для объектов 3-й категории — СЗИ не ниже 6-го класса защиты и 6-го уровня доверия.

При этом приоритет — использование сертифицированных средств защиты. Если сертифицированных решений нет, допускается применение несертифицированных СЗИ, прошедших оценку соответствия в форме испытаний или приёмки.

7.4. Проектная документация

Результат проектирования оформляется в виде технического проекта (или раздела по безопасности в составе общего проекта), который включает: структурную схему подсистемы безопасности, описание применяемых СЗИ, порядок их взаимодействия, спецификацию оборудования и ПО. Эта документация входит в состав ОРД по КИИ.

7.5. Учёт архитектуры и особенностей объекта

Проектирование обязательно учитывает результаты инвентаризации ИТ-активов: состав оборудования, сетевую топологию, используемые ОС и СУБД, внешние интеграции. Именно поэтому качественная инвентаризация — необходимое условие корректного проектирования.

8. Изменения Приказа № 239 в редакции 2024 года

Редакция от 28.08.2024 (Приказ ФСТЭК № 159) внесла ряд существенных изменений. Перечислим ключевые:

Защита от DDoS-атак

Добавлены требования по защите от атак типа «отказ в обслуживании» для объектов, взаимодействующих с сетью Интернет. Для объектов 1-й категории значимости пограничные маршрутизаторы, обеспечивающие доступ к Интернету, должны быть сертифицированы.

Контроль удалённого доступа

Ужесточены требования к организации удалённого доступа. Теперь субъект КИИ должен учитывать доступ не только собственных сотрудников, но и работников дочерних и зависимых обществ. При невозможности полного запрета удалённого доступа — обязательны компенсирующие меры: минимальные привилегии, мониторинг, защита каналов передачи данных.

Локализация данных

Требование о размещении систем на территории РФ расширено: теперь оно распространяется на объекты и 1-й, и 2-й категорий значимости (ранее — только 1-й).

Требования к прикладному ПО

С 01.01.2023 прикладное ПО, используемое на ЗОКИИ, должно разрабатываться с применением практик безопасной разработки (SSDLC), проходить тестирование на уязвимости и иметь поддержку в рамках жизненного цикла.

Доверенные ПАК

Введены требования по использованию доверенных программно-аппаратных комплексов. На объектах КИИ 1-й категории значимости приоритет отдаётся отечественным ПАК из реестра российского оборудования. Это требование усиливает курс на импортозамещение в критической инфраструктуре.

9. Чек-лист: проверка готовности к выполнению требований Приказа № 239

Ниже — практический чек-лист для CISO и ИБ-инженеров. Используйте его для самопроверки перед аудитом ИБ или плановой проверкой ФСТЭК.

10. Типичные ошибки при реализации требований Приказа № 239

За годы работы с субъектами КИИ мы видим одни и те же ошибки. Перечислим главные — с пояснением, почему они опасны.

Ошибка 1. Формальная модель угроз

Модель угроз пишется «для галочки», без привязки к реальной инфраструктуре. В результате перечень мер защиты не соответствует реальным рискам: какие-то угрозы не учтены, а ресурсы тратятся на нейтрализацию неактуальных. При проверке ФСТЭК это квалифицируется как несоответствие.

Ошибка 2. Подмена адаптации игнорированием мер

Субъект исключает неудобные меры из базового набора без документального обоснования. Адаптация — это не произвольное удаление строк из таблицы. Каждое исключение должно быть обосновано архитектурой объекта и зафиксировано в проектной документации.

Ошибка 3. Отсутствие компенсирующих мер при замене базовых

Если мера из базового набора не реализуется — необходимо документально оформить компенсирующую меру. Отсутствие такого обоснования — прямое нарушение п. 10 Приказа.

Ошибка 4. Несоответствие класса СЗИ категории объекта

Установка средств защиты 6-го класса на объекте 1-й категории — грубое нарушение. Проверяйте соответствие классов и уровней доверия требованиям п. 28–29 Приказа.

Ошибка 5. Пропуск этапа анализа уязвимостей

Приказ требует проведения анализа уязвимостей до приёмочных испытаний. Многие субъекты пропускают этот этап, переходя сразу к приёмке. Это создаёт формальное несоответствие и реальные риски — уязвимости остаются в продуктиве.

Ошибка 6. Разрыв между ИБ и ИТ

Подсистема безопасности проектируется без участия ИТ-подразделения. Результат — СЗИ конфликтуют с прикладным ПО, снижают производительность, создают ложные срабатывания. О выстраивании взаимодействия читайте в статье «Взаимодействие ИБ и ИТ при категорировании КИИ».

Ошибка 7. Отсутствие процессов эксплуатации

Система создана, акт подписан — и забыта. Приказ № 239 требует непрерывных процессов: мониторинг, управление обновлениями, пересмотр мер защиты не реже одного раза в год. Использование SGRC-систем позволяет автоматизировать эти процессы.

11. Заключение

Приказ ФСТЭК № 239 — не формальная бюрократическая нагрузка, а структурированная система требований, которая при грамотном подходе превращается в рабочий инструмент защиты критической инфраструктуры. Ключевые принципы, которые нужно запомнить:

• Модель угроз первична. Без неё невозможно корректно сформировать перечень мер защиты.
• Базовый набор — не догма, а отправная точка. Алгоритм «выбор → адаптация → дополнение → компенсация» даёт гибкость.
• Категория определяет глубину. Для 1-й категории — максимальный объём мер и высокие классы СЗИ; для 3-й — достаточно базового набора.
• Документирование обязательно. Каждое решение (адаптация, компенсация, выбор СЗИ) должно быть зафиксировано.
• Безопасность — непрерывный процесс. Приказ охватывает весь жизненный цикл, от проектирования до вывода из эксплуатации.

Реализация требований Приказа № 239 — задача, требующая экспертизы в нормативном регулировании, архитектуре ИБ и конкретных технических решениях. Если вам нужна помощь на любом этапе — от категорирования до комплексной защиты КИИ под ключ — специалисты «Астелс» готовы подключиться.

Нужна помощь с выполнением требований Приказа № 239?
Оставьте заявку на бесплатную консультацию. Мы проведём экспресс-аудит текущего состояния защиты ЗОКИИ, определим разрывы с требованиями и предложим дорожную карту приведения в соответствие. Узнайте стоимость или свяжитесь с нами для консультации.