Аудит соответствия 187-ФЗ: подготовка к проверке ФСТЭК

Государственный контроль в сфере безопасности критической информационной инфраструктуры (КИИ) усиливается. ФСТЭК России проводит регулярные плановые проверки субъектов КИИ, а по фактам инцидентов возможны внеплановые визиты с участием прокуратуры и ФСБ. Несоответствие требованиям 187-ФЗ и подзаконных актов может привести к предписаниям, штрафам и уголовным делам по ст. 274.1 УК РФ. Аудит соответствия 187-ФЗ — это превентивная мера, позволяющая выявить и устранить нарушения до того, как их обнаружит регулятор.

Аудит соответствия — это независимая оценка текущего состояния системы обеспечения безопасности значимых объектов КИИ. Мы проверяем не только наличие «бумажной» безопасности (приказов, журналов, моделей угроз), но и реальную защищенность инфраструктуры. Цель аудита — дать объективную картину: выполняет ли компания требования Приказов ФСТЭК № 235 и № 239, Указов Президента по импортозамещению и регламентов ГосСОПКА.

Этапы проведения аудита

Комплексная проверка строится по следующему алгоритму:

1. Документарная проверка

Анализ организационно-распорядительной документации (ОРД).
Мы проверяем:

• Акты категорирования (корректность присвоения категорий).
• Модель угроз и нарушителя (актуальность векторов атак).
• Техническое задание на создание системы защиты (СЗИ).
• Аттестаты соответствия или акты приемки системы в эксплуатацию.
• Регламенты реагирования на инциденты и инструкции администраторов.

Частая ошибка — формальное категорирование, не отражающее реальный ущерб, или отсутствие документов на модернизированные системы.

2. Технический аудит

Проверка реализации мер защиты «в железе».
Наши специалисты оценивают:

1. Настройки средств защиты информации (Firewall, IDS/IPS, Antivirus).
2. Управление доступом (парольная политика, 2FA, разделение полномочий).
3. Соблюдение правил обновления ПО и закрытия уязвимостей.
4. Наличие «запрещенного» иностранного оборудования и ПО на значимых объектах.

VFS Consulting Юридические решения нового поколения

Аудит соответствия 187-ФЗ: подготовка к проверке ФСТЭК

+7 (495) 266-06-93

• Юридическая помощь в решении проблемных ситуаций
• Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

3. Проверка взаимодействия с ГосСОПКА

Мы тестируем каналы связи с НКЦКИ, проверяем наличие и корректность переданных данных об инцидентах, а также квалификацию персонала, ответственного за мониторинг.

Результат аудита: Дорожная карта (Roadmap)

По итогам проверки заказчик получает детальный отчет, содержащий:

• Список выявленных несоответствий (Gap-анализ) с ссылками на пункты приказов ФСТЭК.
• Оценку рисков (административных, уголовных, репутационных).
• План мероприятий по устранению нарушений (приоритетные и плановые задачи).
• Рекомендации по импортозамещению (подбор отечественных аналогов).

Почему важен внешний аудит?

Штатные специалисты по ИБ часто перегружены текущей работой и могут иметь «замыленный» взгляд или конфликт интересов (скрывать свои недоработки). Внешний аудит соответствия 187-ФЗ дает руководству объективную картину и юридические аргументы для выделения бюджета на информационную безопасность. Кроме того, ФСТЭК требует проводить контроль за обеспечением безопасности на регулярной основе (ежегодно).

Мы готовим компанию к проверке так, чтобы визит инспектора закончился подписанием акта без нарушений, а не возбуждением дела.