По смыслу это не “самые дешёвые меры”, а обязательный базовый набор, который субъект КИИ должен выполнить как минимум (а всё, что сверх – по рискам, архитектуре и здравому смыслу).
Что говорит законодательство
В самом 187-ФЗ формулировки «минимально необходимые меры» как термина нет. Но есть принцип: требования к безопасности значимых объектов КИИ устанавливаются и дифференцируются по категории значимости (1/2/3).
Конкретный “набор мер” для значимых объектов КИИ раскрывается подзаконными актами ФСТЭК:
- Приказ ФСТЭК №239 – утверждает требования (меры) по обеспечению безопасности значимых объектов КИИ; именно он задаёт, что должно быть реализовано (по сути – тот самый «обязательный минимум», зависящий от категории).
- Приказ ФСТЭК №235 – требования к созданию системы безопасности значимого объекта и обеспечению её функционирования (роли, процессы, документы, эксплуатация). Это “организационный минимум”, без которого меры по №239 обычно не считаются выполненными.
Как это работает на практике
Когда компании спрашивают «какие минимально необходимые меры нам нужны по КИИ», на практике корректный ответ всегда такой:
3.1. Сначала – статус объекта
- Если объект НЕ значимый: прямой обязанности выполнять №239/№235 как обязательные обычно нет (их можно применять добровольно как лучший ориентир), но обязанности по 187-ФЗ (в т.ч. по инцидентам/взаимодействию) остаются.
- Если объект значимый: “минимум” = обязательные меры по №239 для вашей категории + система безопасности по №235.
3.2. Что обычно понимают под «минимумом» для значимого объекта
Это не 1–2 средства, а связка “меры + процессы”, например:
- на периметре/в сети: сегментация, фильтрация, контроль соединений, мониторинг трафика;
- на хостах/серверах: управление доступом, антивредоносная защита, контроль целостности, журналирование;
- эксплуатация: порядок изменений, обновлений, резервного копирования/восстановления, реагирование на инциденты;
- доказательная база: документы, журналы, регламенты и подтверждения фактической настройки.
И всё это выбирается строго по категории значимости (что “обязательно”, а что “рекомендуемо/по рискам” – определяется логикой №239 и вашей моделью угроз).
Выводы и рекомендации
Юридически «минимально необходимые меры» – это не официальный термин в 187-ФЗ. Корректнее говорить: обязательные требования/меры по безопасности значимого объекта, дифференцированные по категории. Практически под “минимумом” почти всегда понимают:
№239 (меры по категории) + №235 (система безопасности и её функционирование).
