Аудит объектов КИИ

Почему аудит объектов КИИ важен даже для тех, кто об этом не думает

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» обязывает организации, чьи информационные системы и сети относятся к КИИ, проходить регулярные оценки безопасности. Под объекты КИИ попадают объекты, обеспечивающие функционирование жизненно важных сервисов: энергетика, транспорт, связь, здравоохранение, финансовый сектор и другие. Даже если вы считаете, что ваша инфраструктура «не настолько критична», отсутствие аудита может привести к серьёзным санкциям, остановке бизнес-процессов и утечкам данных, которые потребуют многомиллионных вложений для устранения последствий. Любая организация, использующая информационные системы, — от небольших дата-центров до крупных холдингов — обязана убедиться в соответствии требованиям 187-ФЗ и сопутствующих нормативных актов.

Кого и что проверяют при аудите КИИ

Многие считают, что аудит КИИ касается только «больших» отраслей, однако на практике под контроль попадают следующие категории:

• Энергетические компании и генераторы
  Выработка, передача и распределение электроэнергии считаются критически важными процессами. Аудит проверяет устойчивость систем управления генерацией, автоматику и средства защиты от кибератак.
• Транспортная инфраструктура
  Аэропорты, железные дороги, порты и Системы диспетчерского управления (SCADA) входят в перечень КИИ. Аудит оценивает контроль доступов, защищённость сетевых сегментов и резервные каналы связи.
• Телекоммуникационные операторы
  Провайдеры связи, операторские точки обмена трафиком, базы данных абонентов. Аудит проверяет шифрование каналов, сегментацию сети и наличие процедур реагирования на инциденты.
• Финансовый сектор
  Банки, платёжные системы и фонды. Аудит оценивает защиту клиентских данных, резервирование серверов и соответствие требованиям Центробанка и Федеральной службы по финансовому мониторингу.
• Здравоохранение
  Электронные медицинские карты, телемедицинские платформы, базы данных пациентов. Аудит проверяет конфиденциальность медицинской информации, шифрование каналов и доступ только уполномоченных сотрудников.
• Госструктуры и муниципалитеты
  ГОСТРахунки, электронное управление, порталы госуслуг. Аудит оценивает устойчивость к DDoS-атакам, защищённость баз данных и соответствие 187-ФЗ и 152-ФЗ (в части обработки персональных данных).

Любая организация, чьи ИТ-системы непосредственно влияют на критические процессы, может оказаться в списке на аудит КИИ без предупреждения. Чем больше данных и функций обслуживается системой — тем выше вероятность включения в выборку ФСТЭК и ФСБ.

Плановые и внеплановые проверки КИИ

Плановые проверки

Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ) ежегодно публикуют перечень объектов КИИ, которым предстоит пройти проверку. Критерии отбора включают:

1. Сфера деятельности и масштаб
   Операторы, обрабатывающие крупные объёмы данных или предоставляющие сервисы массового пользования.
2. Предыдущие нарушения или инциденты
   Компании, уже попадавшие в поле зрения регуляторов по фактам утечек или кибератак.
3. Участие в крупных проектах или государственных заказах
   Объекты, обслуживающие важные государственные программы и функции.
4. Сообщения СМИ и жалобы пользователей
   Инциденты, попавшие в публичное пространство, автоматически повышают вероятность очередной проверки.

План проверок публикуется на официальных сайтах ФСТЭК и ФСБ не позднее конца года, предшествующего проверочному периоду. При этом оператор КИИ имеет возможность подать возражения, но это срабатывает редко, если фактически есть проблемы с безопасностью.

Внеплановые проверки

Наиболее опасный формат аудита — внезапный визит инспекторов без предварительного уведомления. Инициаторами могут выступить:

• Жалобы физических и юридических лиц
  Если абоненты или сотрудники сообщают о случаях утечки данных или попытках несанкционированного доступа.
• Результаты мониторинга ФСТЭК/ФСБ
  Регулярный анализ сетевого трафика и инцидентов заставляет проверяющих реагировать на подозрительные события.
• Поручения прокуратуры и других контролирующих органов
  В случае, когда дело «доходит» до правоохранительных органов.
• Сигналы о несанкционированных подключениях
  Например, выявление неизвестных устройств в сетях SCADA или попытки доступа к административным серверам.

Внеплановая проверка может начаться с момента приезда инспектора: он вправе запросить документы и получить доступ к системам даже без вашего предварительного согласия. Отсутствие готовности приведёт к моментальным штрафам и предписаниям об устранении нарушений.

Что именно проверяет инспектор при аудите КИИ

Аудит объектов КИИ — это не формальная бумажная процедура. Инспекторы оценивают комплекс мероприятий и практическое применение мер защиты. Основные направления оценки:

1. Нормативно-правовая база
   • Наличие утвержденных внутренних документов (регламенты, инструкции, политики ИБ).
   • Своевременная подача уведомления о включении в реестр КИИ.
   • Соответствие требованиям Федерального закона 187-ФЗ, приказов ФСТЭК (235, 239) и приказов ФСБ (№ 282).
2. Организационные меры
   • Назначенные ответственные лица: технический директор ИБ, главный ИТ-специалист, ответственный за защиту информации.
   • Проведение регулярных инструктажей и обучений персонала.
   • Организация внутреннего контроля и плановых проверок своими силами.
3. Технические меры защиты
   • Сегментация сети: выделение демилитаризованных зон, контроль доступа между сегментами.
   • Шифрование каналов связи и баз данных, резервное копирование критичных систем.
   • Использование сертифицированных средств защиты (СЗИ): межсетевые экраны, антивирусные комплексы, системы предотвращения вторжений (IPS/IDS).
4. Фактическая проверка работоспособности
   • Проверка гонки прав доступа: могут ли сотрудники получить доступ к данным, не соответствующим их уровню.
   • Анализ логов событий, попыток несанкционированного доступа и инцидентов за последние 12 месяцев.
   • Имитация атак (тестирование на проникновение, Red Team/Blue Team-мероприятия).
5. Интеграция с другими системами
   • Корреляция событий ИБ с системами видеонаблюдения, контроля доступа и системами охраны.
   • Уровень взаимодействия с внешними центрами реагирования на инциденты (CSIRT) и ведомственными органами.
6. Управление инцидентами и непрерывностью
   • Наличие реальных сценариев и отработанных планов реагирования на кибератаки или сбои.
   • Отчётность и история реагирования на случаи отключения, утечки или подмены данных.
   • Периодические учения по восстановлению после аварии (Disaster Recovery, Business Continuity).

Каждый из перечисленных блоков инспектор оценивает на соответствие конкретным пунктам нормативных актов. Любое расхождение между «на бумаге» и «в реальности» считается серьёзным нарушением и требует немедленного устранения.

Какие риски несёт неподготовленный аудит КИИ

Неподготовленность к аудиту ведёт не только к штрафным санкциям, но и к большим имиджевым и финансовым потерям:

1. Штрафы и предписания
   • Штрафы по 187-ФЗ могут достигать до 1 000 000 ₽ для организаций и до 50 000 ₽ для должностных лиц за отказ устранять нарушения.
   • Предписание об обязательном устранении несоответствий в сжатые сроки (обычно 30 дней).
   • Повторные проверки с более жёсткими санкциями и возможностью приостановки деятельности.
2. Приостановка критических сервисов
   • Недостатки в защите SCADA-систем или в оборудовании электростанции могут привести к отключениям и потере контроля даже на короткий период.
   • Перебои в работе транспортных узлов (вокзалы, аэропорты) чреваты репутационными потерями и массовыми жалобами.
3. Утечка данных и кибератаки
   • Нарушения в защите сетевой инфраструктуры повышают вероятность взлома, шифровальщиков (Ransomware) и кражи критичных бизнес-систем.
   • Раскрытие данных о клиентах, физических лицах, конкурентных технологиях ведёт к искам и иным тяжбам.
4. Репутационные риски и доверие партнёров
   • Информация о несоответствии и штрафах публикуется в открытых реестрах ФСТЭК и ФСБ.
   • Банки и партнёры могут приостановить расчётные операции или отозвать кредиты до полного устранения нарушений.
5. Высокие затраты на «авральные» исправления
   • Экстренный найм специалистов и закупка оборудования «в последнюю минуту» обходятся дороже, чем плановые вложения в систему безопасности.
   • Перенастройка и доработка инфраструктуры без чёткого плана приводит к росту технического долга.

Как мы готовим клиентов к аудиту КИИ: поэтапный подход

Подготовка к аудиту КИИ — это системный и комплексный процесс, включающий юридическую, организационную и техническую составляющие. Мы выстроили пошаговую методологию, благодаря которой наши клиенты проходят проверки «под ключ» и избегают штрафов.

Шаг 1. Предварительное обследование и сбор данных

1. Анализ инфраструктуры
   • Определяем перечень объектов КИИ (ИТ-системы, SCADA, сети передачи данных).
   • Опрашиваем ключевых сотрудников (ИТ-директор, инженер по ИБ, оператор SCADA).
   • Составляем карту сети, указывая все точки входа и зависимости между сегментами.
2. Документальный аудит «на входе»
   • Проверяем наличие уведомления об операторе КИИ и регламенты ФСТЭК/ФСБ.
   • Оцениваем имеющуюся политику безопасности, инструкции, регламенты и приказы.
   • Выявляем «белые пятна» в учёте программно-аппаратных комплексов и в реестре информационных систем.
3. Определение зоны риска
   • Формируем начальный отчёт, где указываем ключевые зоны с риском несоответствия 187-ФЗ.
   • Предлагаем приоритеты работ: что следует сделать в первую очередь, чтобы избежать штрафов.

Результат этапа: Клиент получает карту рисков, список первоочередных задач и рекомендации «что делать сразу».

Шаг 2. Правовая экспертиза и доработка документации

1. Разработка/корректировка внутренних документов
   • Политика безопасности и защита КИИ
     • Актуализируем разделы по классификации информации, уровню доступа и процедурам реагирования на инциденты.
   • Приказы о назначении ответственных лиц
     • Назначаем и проводим инструктаж операторов, операторов SCADA и инженеров.
   • Регламенты и инструкции
     • Пишем регламенты по контролю доступа, мониторингу и учёту событий, обеспечению непрерывности.
   • Заполнение обязательного реестра
     • Помогаем внести данные об информационных системах, средах хранения и особенностях обработки критичной информации.
2. Юридическая проверка соответствия ФЗ-187
   • Сверяем внутренние положения с требованиями 187-ФЗ, ФСТЭК 235, ФСТЭК 239, ФСБ № 282.
   • Подготавливаем пакет доказательной базы (акты внедрения, технические задания, схемы, протоколы испытаний сертифицированных СЗИ).
   • Консультируем по вопросам взаимодействия с ФСТЭК и ФСБ: что ожидать от инспекторов и какие документы подготавливать заранее.

Результат этапа: юридически выверенные и согласованные с рисками компании документы, готовые для предоставления инспекторам.

Шаг 3. Организационная подготовка персонала

1. Инструктаж ответственных лиц
   • Проводим очное или онлайн-обучение операторов КИИ, инженеров по ИБ и администраторов систем.
   • Разъясняем обязанности, проверяем понимание через тесты и практические задания.
2. Обучение и вовлечение всего коллектива
   • Организуем обучение для пользователей, работающих с критичными данными (IT-персонал, техотдел, бухгалтерия, HR).
   • Обеспечиваем ведение журналов ознакомления и тестирования знаний.
3. Разработка регламентов взаимодействия
   • Формируем инструкции для сотрудников при визите инспектора (куда класть печати, кто отвечает на вызов, какие документы можно выдавать).
   • Создаём «скорыспондер» для экстренных уведомлений при обнаружении инцидентов или при появлении претензий от сторонних организаций.

Результат этапа: подготовленный персонал, готовый к живому диалогу с инспектором и способный подтвердить практическое применение мер защиты.

Шаг 4. Техническая доработка и тестирование

1. Сегментация и укрепление сетевой инфраструктуры
   • Выделяем критичные сегменты (SCADA, серверы управления технологией, операционные центры) и усиливаем контроль доступа.
   • Настраиваем межсетевые экраны, выделяем «зоны доверия» и «демилитаризованные зоны» по требованиям ФСТЭК.
2. Внедрение и проверка сертифицированных СЗИ
   • Устанавливаем и настраиваем СЗИ, сертифицированные ФСТЭК: антивирусы, межсетевые экраны с проверкой трафика, системы обнаружения вторжений (IDS/IPS).
   • Проверяем журналы регистрации событий, корректность настройки шифрования каналов (VPN, TLS, IPsec).
3. Тестирование на проникновение и аварийное восстановление
   • Проводим плановые pentest-мероприятия, эмулируя типовые и сложные атаки на SCADA/ICS.
   • Проверяем сценарии Disaster Recovery: от тестового выключения питания до имитации кибервзлома и восстановления данных.
4. Проверка процедур реагирования на инциденты
   • Проводим учения «Red Team vs Blue Team», оцениваем скорость реагирования и документооборот.
   • Корректируем планы по инцидентам, формируем отчёты и инструкции по восстановлению.

Результат этапа: технически устойчивая инфраструктура и доказательства фактической защиты, подтверждённые отчётами и протоколами.

Шаг 5. Сопровождение аудита в режиме реального времени

1. Подготовка всего пакета документов
   • Формируем «коробку» инспектора: все регламенты, акты, журналы, протоколы испытаний СЗИ, журналы учета инцидентов, выписки из реестра.
   • Выдаём инструкции ответственным лицам, готовим шаблоны ответов на типовые вопросы.
2. Участие в переговорах с инспектором
   • Наши эксперты сопровождают организацию в ходе аудита, участвуют в совещаниях, дают оперативные консультации.
   • Обеспечиваем представление доказательной базы и корректное предоставление данных о практике работы.
3. Оперативное устранение замечаний
   • Если инспектор обнаружил несоответствие, мы сразу разрабатываем корректирующий план и участвуем в его реализации.
   • Обеспечиваем корректное документальное оформление изменений: акты устранения замечаний, новые протоколы, приказы.

Результат этапа: минимизация времени простоя, оперативное закрытие всех предписаний и повышение шансов на беспроблемное завершение проверки.

Что получает организация после подготовки к аудиту КИИ

1. Полный отчёт с анализом и рекомендациями
   У вас на руках будет исчерпывающий документ: карта рисков, список найденных несоответствий, приоритетные задачи и конкретные шаги по их решению. Отчет адаптирован под требования ФСТЭК и ФСБ.
2. Актуализированная нормативная документация
   Все внутренние положения, регламенты, инструкции и приказы полностью соответствуют 187-ФЗ и смежным нормативным актам. Документы логически связаны между собой и отражают реальные процессы обработки и защиты критичных данных.
3. Обученный персонал и назначенные ответственные
   В компании появятся официально назначенные ответственные лица, прошедшие инструктаж, способные отстоять свою позицию при аудите и обеспечить беспроблемное реагирование на инциденты.
4. Устойчивая система технической защиты
   Ваши сети сегментированы, СЗИ установлены и настроены, тесты на проникновение пройдены успешно. Вы получите протоколы испытаний и отчёты, подтверждающие надёжность технических мер.

Заключение: подготовьтесь один раз и забудьте о штрафах

Аудит объектов КИИ — это не разовая «галочка», а постоянный процесс, требующий комплексного подхода. Без надёжной подготовки вы можете столкнуться с внезапными проверками ФСТЭК и ФСБ, штрафами, остановкой важных сервисов и репутационными потерями.

Мы предлагаем полную поддержку «под ключ»: от первичной диагностики до сопровождения в ходе самой проверки и устранения всех замечаний. Если вы хотите быть уверены, что ваша инфраструктура выдержит любой аудит КИИ, обратитесь к нам уже сегодня. Мы оцениваем текущее состояние ваших систем, разрабатываем индивидуальную стратегию защиты и сопровождаем вас до получения «чистой» аккредитации.

Готовы пройти аудит объектов КИИ без лишних стрессов и рисков? Свяжитесь с нами прямо сейчас