Какие требования есть к средствам защиты информации на объекте КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Требования к средствам защиты на объекте КИИ – это не “купить конкретный бренд”, а обеспечить нужные функции защиты (доступ, журналирование, антивирус, сетевой периметр, резервирование, реагирование и т.д.) в объёме, который обязателен для вашей категории значимости.
То есть регулятор смотрит не на «что стоит», а на то, закрыты ли обязательные меры и можете ли вы доказать это документами и настройками.

Что говорит законодательство

Если объект КИИ признан значимым (категория 1/2/3 и реестр), субъект КИИ обязан:

• создать систему безопасности значимого объекта и обеспечить её функционирование – по требованиям ФСТЭК (в логике 187-ФЗ);
• выполнять обязательные меры защиты для значимых объектов – по требованиям ФСТЭК.

На практике это “разложено” по двум ключевым приказам ФСТЭК:

• №235 – требования к созданию и функционированию системы безопасности значимого объекта КИИ (организация процессов, ролей, эксплуатации);
• №239 – требования по обеспечению безопасности значимых объектов КИИ (набор мер и их обязательность по категориям 1/2/3).

Для средств защиты (СЗИ) важны 3 правовые идеи:

• меры должны быть реализованы (не “на бумаге”) и подтверждаемы;
• СЗИ должны обеспечивать функции, которые требуются приказом №239 для вашей категории;
• если используется криптография (СКЗИ), применяются требования по использованию СКЗИ и сертификации по линии ФСБ (это отдельный контур регулирования).

Как это работает на практике

Ниже – самые типичные “требования к СЗИ” в реальной реализации (то, что обычно проверяют аудитом/надзором).

3.1. Требования не к бренду, а к функциям (по №239)

СЗИ подбираются так, чтобы закрыть обязательные блоки мер, например:

• идентификация/аутентификация (в т.ч. админов), управление учётками;
• управление доступом (роли, минимальные привилегии, разделение обязанностей);
• журналирование и аудит (события безопасности, админ-действия, хранение/защита логов);
• защита от вредоносного кода (антивирус/EDR с управлением и контролем);
• сетевая защита (межсетевое экранирование, сегментация, DMZ, защищённый удалённый доступ);
• обнаружение атак/вторжений (IDS/IPS/мониторинг – в подходящем для объекта виде);
• контроль целостности (контроль изменений, доверенная загрузка/контроль конфигураций – где применимо);
• обеспечение доступности (резервирование, бэкапы, восстановление, защита от DoS там, где релевантно);
• управление обновлениями и уязвимостями (регламенты, окна, тестирование, контроль);
• реагирование на инциденты (процедуры + техническая возможность фиксировать/собирать артефакты).

3.2. Требование “доказуемости” и управляемости СЗИ

Почти всегда от субъекта ждут:

• матрицу соответствия: мера из №239 → какое СЗИ/настройка её реализует → где подтверждение (регламент, скрин, выгрузка, журнал);
• централизованное управление (где возможно): политики, обновления, сбор логов, контроль состояния агентов;
• защиту самих средств защиты: ограничение админ-доступа к СЗИ, журналирование изменений политик, резервные копии конфигураций.

3.3. Сертификация/доверие к средствам защиты

Без “магии”:

• если для выполнения мер используются СЗИ, которые по смыслу относятся к средствам защиты информации, на практике безопаснее выбирать сертифицированные решения (ФСТЭК), особенно для периметра, хоста, контроля целостности и т.п.;
• если применяете СКЗИ (VPN с криптографией, шифрование каналов/данных), обычно требуется использование средств, соответствующих требованиям по линии ФСБ (сертификация/допуск).

Важно: не всегда “только сертифицированное” – но на значимых объектах это один из ключевых способов доказать соответствие и снизить риски на проверке.

3.4. Специфика АСУ ТП (если объект – технологический)

Для АСУ ТП типовые ожидания такие:

• сегментация IT/OT, технологическая DMZ, “jump-server” для админов;
• запрет “прямого” удалённого доступа к контроллерам/SCADA;
• allow-list (белые списки ПО) и очень аккуратный подход к обновлениям;
• мониторинг технологической сети “пассивными” средствами, где активное вмешательство рискованно.

Выводы и рекомендации

Требования к СЗИ на объекте КИИ формулируются как:

1. закрыть обязательные меры по приказу ФСТЭК №239 в объёме вашей категории значимости;
2. выстроить систему безопасности (процессы, роли, эксплуатация, контроль) по ФСТЭК №235;
3. обеспечить управляемость и доказуемость: “мера → СЗИ/настройка → подтверждение”;
4. при использовании криптографии учитывать контур требований и сертификации ФСБ.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге