После завершения процедуры категорирования и присвоения объекту одной из категорий значимости (1, 2 или 3), владелец системы сталкивается с необходимостью выполнения жестких технических и организационных норм. Значимые объекты КИИ требования к которым утверждены Приказом ФСТЭК России № 239, подлежат обязательной защите с использованием сертифицированных средств и аттестованных процессов. Невыполнение этих требований — это прямой путь к нарушению ст. 274.1 УК РФ в случае киберинцидента.
Приказ ФСТЭК № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ…» является настольной книгой для CISO любого крупного предприятия. Документ содержит детальный перечень мер, которые необходимо внедрить в зависимости от категории. Важно отметить, что с 2026 года к этим требованиям добавился запрет на использование иностранного ПО (Указ Президента № 166), что кардинально усложняет архитектуру систем защиты.
Основные группы требований к ЗОКИИ
Система безопасности значимого объекта должна строиться комплексно и охватывать все уровни инфраструктуры.
1. Управление доступом (ИАФ, УПД)
Фундаментальное требование — исключить несанкционированный доступ.
Необходимо внедрить:
- Многофакторную аутентификацию (для удаленного доступа и привилегированных пользователей).
- Управление учетными записями и правами (минимально необходимые привилегии).
- Фиксацию всех действий пользователей (логирование).
2. Защита от вредоносного ПО и вторжений (АВЗ, СОВ)
На значимых объектах обязательно применение средств антивирусной защиты и систем обнаружения вторжений (IDS/IPS). Причем для объектов 1 и 2 категории эти средства должны быть сертифицированы ФСТЭК.
Важный нюанс: базы данных сигнатур должны обновляться без прямого подключения критического сегмента к интернету (через локальные серверы обновлений).
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
3. Контроль целостности и защищенности (ОЦЛ, АНЗ)
Система должна сама себя диагностировать.
Требования включают:
- Периодическое сканирование на уязвимости (Vulnerability Management).
- Контроль целостности программного обеспечения и конфигураций.
- Использование только доверенного ПО (прошедшего проверку на отсутствие недекларированных возможностей).
Импортозамещение и программно-аппаратные комплексы
Современные Значимые объекты КИИ требования включают и политический аспект. Использование средств защиты информации (СЗИ) из недружественных стран запрещено. Более того, с 2026 года запрещено использование любого иностранного ПО на значимых объектах.
Это требует:
- Миграции на отечественные ОС (Astra Linux, РЕД ОС).
- Замены СУБД (на Postgres Pro).
- Использования российских межсетевых экранов (UserGate, InfoWatch, Positive Technologies).
Стадии создания системы защиты
Безопасность нельзя «накатить» сверху патчем. Это проектная работа:
1. **Проектирование.** Разработка Технического задания и Технического проекта.
2. **Внедрение.** Установка и настройка средств защиты.
3. **Приемка (Аттестация).** Проведение приемочных испытаний и, в ряде случаев, аттестация объекта по требованиям безопасности информации.
Мы помогаем пройти все этапы создания системы защиты ЗОКИИ: от аудита текущего состояния и разработки проектной документации до сопровождения приемочных испытаний и подготовки к проверкам ФСТЭК.