Объекты КИИ в России: категории, защита, критерии оценки

Критическая информационная инфраструктура — каркас цифровой экономики и государственного управления. В её контур входят отрасли, на которых держится повседневная жизнь страны: промышленность, энергетика, транспорт, связь, финансы, социальный сектор.

Любой серьёзный сбой в этих сегментах быстро приводит к цепочке негативных эффектов: от срыва производственных процессов до угрозы безопасности людей. Поэтому объекты КИИ выделены в отдельную правовую категорию.

Российское регулирование КИИ строится вокруг № 187-ФЗ. Он вводит ключевые термины, определяет круг субъектов, устанавливает обязательства по защите и ответственность за нарушения. На этом уровне задаются понятия «субъект КИИ», «объект КИИ», «значимый объект КИИ», а также общая логика категорирования и последующей безопасной эксплуатации.

Любая работа с КИИ начинается с корректной квалификации систем по нормам №187-ФЗ: нужно определить, относится ли конкретная информационная система, АСУ ТП или ИКТ-сеть к объектам КИИ, какую функцию она поддерживает, какие последствия возникнут при отказе.

Решение принимаются по объективным, проверяемым критериям. В фокусе не название системы, не технологический стек, а влияние отказа объекта на жизненно важные процессы. Такой подход убирает двусмысленность: статус объекта формируют последствия, а не внутренние ярлыки.

Состав и отраслевой контекст КИИ

КИИ объединяет информационные системы, автоматизированные системы управления технологическими процессами и информационно-телекоммуникационные сети, которые поддерживают ключевые отрасли: энергетику, транспорт, банковскую сферу, связь, промышленное производство, здравоохранение, социальные сервисы.

Внутри этих отраслей именно критические функции формируют ядро КИИ. Объектом КИИ становится конкретный узел — сервер, контроллер, канал связи, площадка ЦОД, — отказ которого срывает критический процесс.

Статус не присваивается автоматически. Его подтверждает комиссия субъекта по результатам категорирования: специалисты анализируют критические процессы, взаимозависимости, угрозы и последствия, оформляют расчёты по критериям значимости, присваивают категорию, готовят акт и направляют сведения во ФСТЭК. Такой порядок снимает риск произвольной интерпретации.

Примеры объектов КИИ с разъяснениями по роли:

1. Серверы.
   Критичными признают те, что управляют технологическими процессами или проводят транзакции, влияющие на устойчивость отрасли. Классический случай — сервер диспетчеризации энергосистемы или расчётный узел банка. Сервер кадрового учёта обычно не попадает в КИИ, поскольку последствия его простоя ограничены внутренним контуром организации. Разграничение по последствиям упрощает планирование мер защиты.
2. Каналы связи.
   Статус объекта возникает там, где по каналу проходят управляющие сигналы, отраслевые сервисы или социально значимые услуги. Магистральный канал, через который регион связывается с экстренными службами, относится к критичным активам. Внутриофисный линк таким статусом не обладает: его отказ ограничивается периметром компании и не затрагивает жизненно важные сервисы. Правильная квалификация фиксирует приоритеты и концентрирует ресурсы на узлах, где сбой даёт наибольший ущерб.
3. ЦОД.
   Площадка входит в контур КИИ, когда поддерживает государственные сервисы, платёжную инфраструктуру либо отраслевые диспетчерские центры. Оценивается не тип ЦОДа, а последствия остановки. Если простой лишает доступа тысячи граждан, блокирует межбанковский обмен, объект тянет на КИИ. Если офлайн остаются несколько корпоративных сайтов, ущерб остаётся внутри бизнеса владельца — это не признак значимости.

Ключевой вопрос звучит так: какие функции нарушаются при отказе узла, как долго длится простой, на кого он воздействует. Ответ на него определяет статус объекта и глубину требований.

Закон выделяет класс значимых объектов КИИ. Категория значимости (I, II или III) зависит от масштаба потенциального вреда. Чем тяжелее последствия отказа, тем выше категория и тем жёстче набор обязательных мер.

Законодательное регулирование

Нормативная система устроена по слоям с чёткими ролями каждого документа:

1. Федеральный закон № 187-ФЗ. Фиксирует базовые понятия, обязанности субъектов, общие требования к защите, порядок категорирования и ответственность. На уровне закона формируется архитектура режима: кто входит в систему, по каким правилам действует и за что отвечает.
2. Постановление Правительства РФ № 127. Описывает критерии значимости и делит объекты по категориям. Здесь появляется измерительный аппарат: какие показатели использовать, как их сопоставлять и как принимать решение по итоговой категории.
   • Актуализация порядка с 27.09.2024 (ПП № 1281) изменила логику работы с КИИ. Отдельные перечни объектов больше не формируют — комиссии ориентируются на типовые отраслевые перечни. Субъект сразу проводит категорирование и передаёт во ФСТЭК акт с результатами.
3. Приказы ФСТЭК:
   • № 235 от 21.12.2017 — базовые требования к системе безопасности значимых объектов КИИ;
   • № 239 от 25.12.2017 — организация защиты значимого объекта на всем жизненном цикле: ввод, эксплуатация, модернизация, вывод. О безопасности КИИ по приказу ФСТЭК № 239 читайте наш обзор.

Получается последовательная схема: закон задаёт рамки и ответственность, ПП № 127 даёт методику и категории, приказы ФСТЭК расписывают организационные и технические меры, отчётность и подходы к построению контура безопасности. В сумме выходит полноформатное регулирование — от квалификации объекта до ежедневной практики защиты.

Разница между КИИ, ГИС и системами персональных данных

КИИ, государственные инфосистемы и ИСПДн пересекаются по объектам, но регулируют разные вещи:

• КИИ (№ 187-ФЗ). Главный критерий — влияние на устойчивость ключевых отраслей. В центре внимания последствия для людей, экономики и обороны.
• ГИС (№ 149-ФЗ). Системы органов власти и их исполнителей. Критическая функция может отсутствовать, но действует особый режим работы с государственными данными и повышенные требования к процессной дисциплине.
• ИСПДн — любая система с персональными данными: от сайта со сведениями о клиентах до CRM и кадрового портала. Здесь внимание акцентируется на конфиденциальности и законности обработки.

О том, что такое система защиты персональных данных, как ее правильно выстроить, читайте наш материал.

Одна платформа может одновременно попадать во все режимы. Например, государственная система, которая обрабатывает персональные данные граждан и поддерживает критическую функцию здравоохранения, сочетает статусы ГИС, ИСПДн и объекта КИИ.

В таких случаях модель угроз формируют с учётом всех применимых режимов регулирования, а набор мер и отчётность выстраивают по каждому. Этот подход снизит риск ошибок при категорировании, поможет выбрать обоснованные защитные мероприятия исходя из фактических функций системы и вероятных последствий её отказа.

Классификация и категорирование объектов КИИ

Категорирование — инструмент управления рисками на уровне отрасли и государства. Задача — выделить действительно критичные объекты, оценить возможный ущерб при отказе и назначить набор обязательных мер. Без категорирования невозможно корректно определить требования к защите, договориться с регуляторами о контрольных точках и выстроить процессы реагирования.

Значимые объекты — те, что получили I, II или III категорию. Для них действует фиксированный набор организационных и технических мер, отчётность и контроль. Незначимые — не проходят по критериям. Владелец всё равно отвечает за базовую безопасность, но регуляторные требования легче. Такая градация повышает концентрацию ресурсов на действительно важных узлах.

Критерии и категории значимости

Категорию назначают по результатам оценки последствий отказа по пяти блокам:

• Социальные последствия. Угроза жизни и здоровью, массовые инциденты, вред для населения.
• Политические последствия. Риски дестабилизации, снижение доверия к институтам власти, отказ критичных для общества сервисов.
• Экономические последствия. Прямой финансовый ущерб, существенные перебои в хозяйственной деятельности, каскадные остановки.
• Экологические последствия. Загрязнение среды, техногенные аварии, длительный ущерб природе и инфраструктуре.
• Значение для обороны и безопасности государства. Влияние на силовые структуры, обороноспособность, устойчивость специальных инфраструктур.

Показатели критериев и пороги закреплены в ПП № 127. Комиссия считает значения, сопоставляет с порогами, фиксирует обоснования.

Оценка идёт комплексно: объект с умеренным экономическим эффектом может получить высокую значимость из-за социальных или оборонных факторов. Такой баланс предотвращает искусственное занижение категории.

Коротко по терминам:

• Критерии значимости — Перечень показателей (ПП № 127) последствий с установленными пороговыми значениями для обоснования рисков.
• Категория значимости — итоговый класс: I, II, III либо «не подлежит категорированию» (п. 7 ПП № 127). Сведения направляют во ФСТЭК в течение 10 рабочих дней после утверждения акта.
• Связка «критерии → категория». Критерии отвечают на вопрос «чем грозит отказ», категория — «какой набор требований применим». Разделение снимает методологическую путаницу.

Пример. Отказ магистрального оператора связи затронет платежи, логистику, координацию служб, доступ к экстренным вызовам. Экономический урон сочетается с социальным воздействием. По совокупности факторов объект получит высокую категорию, даже если один из критериев по отдельности не кажется критичным.

Категорирование выполняет субъект КИИ комиссионно. Процесс проходит от сбора исходных данных до присвоения категории и отправки акта во ФСТЭК.

Исходные данные для категорирования

Комиссия работает с перечнем сведений из п.10 ПП № 127. В набор входят:

• назначение и архитектура объектов, используемое ПО, сетевые взаимодействия, точки интеграций
• критические процессы субъекта и их связь с отраслевыми задачами
• типы обрабатываемой информации и предоставляемые сервисы (управление, мониторинг, контроль)
• связи с промышленными и техногенными рисками: если объект обслуживает ОПО, ГТС или объекты ТЭК — подключают декларации и паспорта безопасности
• взаимозависимости: отказ одного узла может запускать каскад сбоев
• угрозы безопасности и история инцидентов — от попыток вторжений до внутренних ошибок
• типовые отраслевые перечни — если они утверждены, комиссия сверяет состав объекта с типовым списком

Качество исходных данных определяет корректность выводов: неполные сведения ведут к уязвимому обоснованию, которое сложно защищать при проверках.

Формирование комиссии по категорированию

Руководитель субъекта формирует комиссию внутренним распорядительным документом. В состав входят ИТ и ИБ-специалисты, технологи, эксперты по промышленной безопасности, по ГО и ЧС, по гостайне (если применимо), юристы, финансисты, представители филиалов. Для распределённых структур допускаются локальные комиссии, координацию ведёт головная. Такой состав закрывает технологический и правовой контур и сокращает количество возвратов на доработку.

Действия комиссии: что именно она делает

Комиссия действует по шагам, которые закреплены в п.14 ПП № 127:

1. Выделяет критические процессы — те, что влияют на жизненно важные функции субъекта и отрасли.
2. Определяет задействованные ИС, АСУ ТП, ИТ-сети — фактическую инфраструктуру, поддерживающую процессы.
3. Анализирует угрозы и моделирует нарушителя — целевые атаки, внутренние ошибки, каскадные отказы.
4. Рассчитывает показатели по критериям значимости с обоснованиями — собирает факты, готовит таблицы и пояснения.
5. Принимает решение по категории либо формулирует обоснованный отказ в присвоении.

При оценке обязательна ориентация на наихудшие сценарии: целевые атаки на критические функции, полные отказы, зависимые сбои. Такая оптика даёт реалистичную картину рисков и защищает организацию от «оптимистических» просчётов.

Акт категорирования

Результаты комиссия оформляет актом. Документ подписывают члены комиссии, утверждает руководитель. Допускается единый акт на несколько объектов одного субъекта. В состав отчета включают:

• идентификационные сведения об объекте
• присвоенную категорию или обоснование неприсвоения
• расчёты по критериям с пояснениями и ссылками на источники данных
• подписи членов комиссии

Акт действует до изменения категории или вывода объекта из эксплуатации. От его качества зависит скорость согласований и простота последующих проверок, поэтому внимание к расчётам и аргументации окупается.

Сроки процедур, установленные регулятором

После утверждения акта субъект направляет во ФСТЭК сведения в течение 10 рабочих дней — как о присвоении категории, так и о неприсвоении. Комплект включает данные об объекте и владельце, сетевые связи, применяемые СЗИ, анализ угроз и результаты по критериям (п. 17 ПП № 127).

Для новых объектов действует двухэтапная подача: часть сведений — через 10 рабочих дней после утверждения требований к объекту, оставшаяся часть — через 10 рабочих дней после ввода в эксплуатацию.

При изменениях статуса, состава СЗИ или угроз субъект направляет обновления не позднее 20 рабочих дней с момента изменения. Категории пересматривают не реже одного раза в 5 лет либо при изменениях условий. Эта периодичность поддерживает актуальность данных как для субъекта, так и для регуляторов.

Если сроки сорваны или сведения недостоверны, профильные органы и подконтрольные им юрлица обязаны сообщить о нарушениях во ФСТЭК в течение 30 рабочих дней.

Отрасли и ключевые регуляторы:

• Энергетика, ТЭК — Минэнерго России.
• Связь, ИТ, массовые коммуникации — Минцифры России, Роскомнадзор.
• Транспорт — Минтранс России, Росавиация, РЖД.
• Финансы — Минфин России, Банк России.
• Промышленность, ОПК — Минпромторг России, Ростех.
• Здравоохранение — Минздрав России, Роспотребнадзор.
• АПК, продовольственная безопасность — Минсельхоз России, Россельхознадзор.
• ЖКХ, городская инфраструктура — Минстрой России.
• Экология, водные ресурсы — Минприроды России, Росгидромет.
• Образование — Минобрнауки России.

В проверочных процедурах участвуют и подведомственные структуры, если у них есть соответствующие полномочия. Конструкция укрепляет вертикаль надзора, повышает качество реестровых данных.

Субъекты КИИ и ответственность

Субъект КИИ — организация, которая эксплуатирует объекты КИИ: орган власти, госкорпорация, системообразующее предприятие или коммерческая структура, а также индивидуальный предприниматель.

Основание владения не играет роли: собственность, аренда или иной законный титул — важен сам факт эксплуатации. Субъект выявляет объекты, проводит категорирование и направляет результаты во ФСТЭК. Присвоение I–III категории расширяет круг обязанностей.

Расширенные обязанности владельца значимого объекта:

• регулярное взаимодействие с ФСТЭК и ФСБ, отчётность по категорированию и инцидентам, участие в проверках
• разработка и утверждение плана защиты на уровне каждого значимого объекта с мерами, ролями, сценариями реагирования
• применение сертифицированных СЗИ по назначению с контролем сроков сертификатов
• подготовка персонала: инструктажи, обучение, аттестации; доступ получают только обученные сотрудники
• ведение документирования: акты, приказы, регламенты, журналы, отчёты — отсутствие документов приравнивается к нарушению

Фактически такие организации становятся участниками национальной системы кибербезопасности. Их дисциплина влияет на устойчивость отраслей и на доверие к цифровым сервисам государства.

Основные обязанности субъекта КИИ

Субъект должен:

• определить объекты на основании типовых перечней (изменения к ПП №127), провести категорирование и уведомить ФСТЭК
• построить систему защиты: организационные и технические меры, мониторинг, регламенты, регулярные проверки защищённости
• сдавать отчётность, проходить проверки, своевременно устранять замечания
• актуализировать сведения и категории при изменениях, направлять обновления в 20-дневный срок

С учётом обновлённого порядка: субъект опирается на отраслевые методики и типовые перечни, движется к отечественным решениям, взаимодействует с НКЦКИ и региональными центрами ГосСОПКА, по запросу раскрывает информацию о программном обеспечении на объектах.

Ответственность субъекта КИИ

За нарушения требований предусмотрена административная и, в ряде случаев, уголовная ответственность.

Административная:

1. Штраф до 500 000 руб. — за отсутствие информации или искажение сведений о категорировании (ст. 13.12 КоАП РФ).
2. Штраф до 1 000 000 руб. — за неисполнение обязанностей по организации безопасности значимого объекта.
3. Предписания и последующие проверки до устранения нарушений.

Уголовная:

1. Ст. 274.1 УК РФ — ответственность за противоправное воздействие на критические элементы инфраструктуры, в тяжёлых случаях — до 10 лет лишения свободы.
2. Ст. 293 УК РФ — халатность, если бездействие должностных лиц связано с инцидентом на объекте КИИ.

Дополнительно возможна приостановка деятельности и аннулирование лицензий.

Меры по обеспечению безопасности КИИ

Защиту выстраивают на двух уровнях: организационном и техническом. Глубина мер зависит от категории значимости. Контур должен работать непрерывно, без «провалов» между документами и инженерными реализациями.

Организационные меры

Правила организационной защиты закреплены в статье 8 Федерального закона № 187-ФЗ и подробно раскрыты приказом ФСТЭК России № 235 от 21.12.2017. Нормы закрывают полный цикл управления безопасностью объектов КИИ: распределяют роли и ответственность, задают структуру управления, регламентируют доступ, обучение персонала и контроль исполнения.

Субъект КИИ формирует устойчивый контур управления безопасностью, в который входят:

1. Назначение ответственных лиц. Руководитель определяет сотрудников, отвечающих за безопасность значимых объектов, координацию взаимодействия с ФСТЭК и ГосСОПКА, организацию обучения и допусков.
2. Разграничение зон ответственности. Внутренними документами фиксируют обязанности подразделений и конкретных должностей, порядок действий при инцидентах и аварийных ситуациях.
3. Профильные структурные единицы. Создают функции (или подразделения), которые ведут риск-менеджмент, администрируют доступы, контролируют выполнение мер и мониторинг состояния безопасности.

Такой каркас исключает персональную «размытость» и связывает процессы ИБ с управленческими решениями.

Каждый значимый объект КИИ должен иметь комплект актуальных внутренних документов, подтверждающих соответствие требованиям:

• Политика информационной безопасности организации. Определяет цели, область действия, принципы обработки конфиденциальных данных, роли и базовые правила.
• План безопасности значимого объекта КИИ. Описывает набор мер по объекту, сценарии реагирования, порядок эскалации, состав ответственных и точки контроля.
• Порядок управления доступом. Регламентирует учёт, предоставление, пересмотр и отзыв прав, требования к учётным записям и привилегиям.
• Инструкции для персонала. Фиксируют правила безопасной работы с оборудованием и ПО, требования к администрированию и эксплуатации.
• Планы реагирования на инциденты. Задают алгоритмы действий, сроки уведомлений, каналы коммуникации и критерии закрытия инцидента. Что входит в реагирование на инциденты, как выстроить максимально надежную систему, узнайте из нашей статьи.
• Материалы по обучению и аттестации. Программы, журналы инструктажей, протоколы проверки знаний и допуски к работам.

Комплект документов формирует единые правила поведения на объекте, упрощает аудит и ускоряет ввод новых сотрудников в контур.

Подготовка персонала организуется как непрерывный процесс:

1. Вводный инструктаж перед допуском. Каждый сотрудник, связанный с объектами КИИ, проходит начальную подготовку по установленной программе.
2. Периодическое обучение и повышение квалификации. Курсы обновляют знания о рисках, средствах защиты и регламентах работы. Как бороться с фишингом, читайте в статье.
3. Оценка знаний. Тестирование и аттестации фиксируют уровень подготовки, результаты вносят в учётные формы.
4. Ограничение доступа. Критические системы недоступны сотрудникам без действующего обучения и подтверждённого допуска.

Сильный кадровый контур снижает вероятность ошибок и ускоряет восстановление после инцидентов.

Политики и регламенты приводят в соответствие законодательству и подзаконным актам, в том числе приказу ФСТЭК № 239. Документы пересматривают на регулярной основе и актуализируют при изменении инфраструктуры, угроз или организационной структуры. Такой цикл держит организационные меры в рабочем состоянии и поддерживает доказательную базу на проверках.

Технические меры

Технический контур защиты строится вокруг трёх опор: конфиденциальность, целостность, доступность. Глубину мер определяет категория значимости объекта, а детализацию — приказ ФСТЭК России № 235 от 21.12.2017 и меры защиты по каждому значимому объекту. Любое решение закрепляют в документах и подтверждают практикой эксплуатации.

Сертификация и назначение средств. На объектах КИИ применяют только оборудование и ПО, прошедшие оценку соответствия ФСТЭК России. Средства используют по целевому назначению, исходя из категории объекта и класса защищаемых данных. Нарушение этих правил формирует регуляторные риски, поэтому подбор и ввод в эксплуатацию фиксируют в актах и журналах.

Базовый набор технических средств включает:

• Межсетевые экраны и IDS/IPS. Сегментируют контур, контролируют трафик на границах, выявляют попытки вторжений и блокируют известные сценарии атак.
• Средства криптографической защиты информации (СКЗИ). Шифруют каналы и хранилища, подтверждают подлинность сторон, фиксируют нарушение целостности данных.
• Антивирусная защита. Обнаруживает вредоносный код, контролирует запуск исполняемых файлов, проверяет файловые потоки и почтовый трафик.
• Механизмы разграничения доступа (ACL, RBAC). Приводят права пользователей к ролям, отделяют администрирование от повседневных операций, сокращают поверхность атаки.
• Резервные хранилища и средства восстановления. Формируют копии по регламентам, проверяют восстановление, документируют результаты контрольных восстановлений.

Такой стек закрывает типовые векторы атак и поддерживает требуемый уровень устойчивости для значимого объекта.

Регистрация событий и мониторинг. Все значимые события фиксируют централизованно, чтобы видеть картину в реальном времени и проводить расследования без пробелов в данных. Для этого применяют:

• SIEM. Сбор, корреляция и оповещения по событиям из разнородных источников.
• Журналы администраторов и пользователей. Учёт действий с повышенными правами и операций, влияющих на безопасность.
• Анализаторы трафика и поведенческая аналитика. Поиск аномалий в сетевых потоках и в поведении учётных записей.
• Интеллектуальная аналитика. Обогащение событий внешними индикаторами, построение сценариев выявления сложных инцидентов.

Единый мониторинг сокращает время обнаружения, повышает качество разборов инцидентов и создаёт доказательную базу для отчётности.

Устойчивость и отказоустойчивость. Объект КИИ должен продолжать работу при отказах компонентов и под нагрузкой атак. Минимальный набор мер включает:

• Резервирование серверов, каналов связи и электропитания. Дублирование критичных узлов с контролем состояния.
• Автоматическое восстановление из резервных копий. Регламенты восстановления, регулярные тесты, фиксация результатов.
• Отказоустойчивые конфигурации. Кластеры, зеркалирование, распределение сервисов по площадкам.
• Автоматическое переключение нагрузки. Маршрутизация при сбоях, поддержка горячего/тёплого резерва.

Эти решения фиксируют в архитектуре и плане безопасности, регулярно проверяют работоспособность, устраняют расхождения между схемами и фактическими настройками.

Управление инцидентами и взаимодействие с ГосСОПКА

Инцидент — любое событие, которое нарушает нормальную работу объекта КИИ или формирует угрозу. Реальная готовность проявляется в том, как субъект действует по регламенту: фиксирует факт, классифицирует, уведомляет адресатов, ограничивает распространение, восстанавливает работоспособность.

Как работает система ГосСОПКА и как наладить взаимодействие читайте в нашем материале.

Обязанности субъекта при инцидентах:

• выявлять и классифицировать события на объектах КИИ
• фиксировать данные в журналах, сохранять артефакты
• действовать по утверждённым сценариям реагирования
• оперативно уведомлять ГосСОПКА, если инцидент подпадает под критерии значимого
• организовать восстановление и оформить отчёт с выводами

Регуляторы внимательно смотрят на первичную диагностику: сбор логов, трассировку маршрутов атаки, восстановление хронологии. Отсутствие артефактов усложняет доказывание корректного реагирования.

ГосСОПКА — координационный механизм под управлением ФСБ, который собирает информацию об инцидентах, направляет запросы по мере необходимости, помогает синхронизировать реагирование.

Подключение формализуют соглашениями и регламентом обмена. Субъект, который входит в контур ГосСОПКА, становится частью общей системы противодействия угрозам. Нарушения регламента уведомлений и обмена данными ведут к предписаниям и штрафам — субъект рассматривают как участника системы госбезопасности, а не как изолированного владельца ИС.

Главное

Статус объекта формирует значимость функции. Название системы не определяет включение в КИИ. Решение принимает комиссия по итогам оценки последствий отказа.

Критерии и категория — разные сущности. Критерии измеряют последствия (социальные, экономические, экологические, политические, оборона и безопасность государства). Категория — итоговый класс: I, II, III либо «не подлежит категорированию».

Процедуры и сроки фиксированы. После утверждения акта — 10 рабочих дней на подачу сведений во ФСТЭК. Обновления — в течение 20 рабочих дней. Пересмотр категории — не реже одного раза в 5 лет либо при изменениях условий.

Значимые объекты — зона повышенных мер. Для них обязателен план безопасности, сертифицированные СЗИ, обученный персонал, непрерывный мониторинг, отчётность и взаимодействие с ГосСОПКА.

Сертификация СЗИ — без альтернатив. Применяют только решения, прошедшие оценку соответствия. Использование несертифицированных средств ведёт к административной ответственности.

Мониторинг — круглосуточный. Автоматизированная фиксация событий, централизованный сбор и аналитика — базовый стандарт значимого объекта.

Контроль многоуровневый. Помимо ФСТЭК и ФСБ, актуальность сведений контролируют отраслевые регуляторы и сообщают о нарушениях во ФСТЭК.

После 2024 года требования усилились. Категорирование учитывает типовые отраслевые перечни, усилилось взаимодействие с НКЦКИ, расширились запросы по используемому ПО, курс взят на отечественные решения.