Безопасность значимых объектов КИИ: требования приказа ФСТЭК №239

Когда объект критической информационной инфраструктуры (КИИ) получает категорию значимости, у его владельца начинается другая жизнь. Из общих обязанностей субъекта КИИ по Федеральному закону от 26.07.2017 № 187-ФЗ вырастает развёрнутая программа работ, построение системы безопасности, выбор и внедрение защитных мер, испытания, отчётность, взаимодействие с ГосСОПКА. Центральную роль здесь играет приказ ФСТЭК России от 25.12.2017 № 239, который устанавливает требования по обеспечению безопасности значимых объектов КИИ. Спрос с субъектов растёт год от года, с ноября 2024 года добавились требования по защите от DDoS-атак, а на подходе проект изменений с регулярной оценкой защищённости по показателям Кзи и Пзи.

В этой статье разбираем всю систему требований к безопасности значимых объектов. Что такое значимый объект и три категории значимости, как соотносятся приказы ФСТЭК России № 235 и № 239, какие меры входят в 17 групп приложения, какие средства защиты информации можно применять, как устроено импортозамещение на значимых объектах, что меняется в 2026 году и чем грозят нарушения. Материал будет полезен руководителям и специалистам служб информационной безопасности субъектов КИИ, ИТ-директорам и всем, кто отвечает за выполнение требований 187-ФЗ на практике.

Содержание

1. Что такое значимый объект КИИ
2. Два приказа ФСТЭК России, № 235 и № 239
3. Система безопасности значимого объекта по 187-ФЗ
4. Этапы обеспечения безопасности, от технического задания до вывода из эксплуатации
5. 17 групп мер приказа ФСТЭК России № 239
6. Требования к средствам защиты информации
7. Импортозамещение на значимых объектах
8. Как менялся приказ ФСТЭК России № 239 и что готовит 2026 год
9. Инциденты на значимых объектах и ГосСОПКА
10. Ответственность за нарушение требований
11. Типовые ошибки субъектов КИИ
12. С чего начать субъекту КИИ
13. Частые вопросы
14. Что запомнить

Что такое значимый объект КИИ

Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» относит к объектам КИИ информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ. Значимым из них становится не каждый. Согласно п. 3 ст. 2 этого закона, значимый объект КИИ представляет собой «объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры». Для статуса значимого оба условия должны выполняться одновременно. Пока категория не присвоена и запись в реестре не появилась, объект остаётся просто объектом КИИ, и требования приказа ФСТЭК России № 239 на него не распространяются.

Реестр значимых объектов ведёт ФСТЭК России. Субъект КИИ, то есть госорган, госучреждение или российское юридическое лицо из сфер, перечисленных в законе, сам проводит категорирование своих объектов и направляет сведения регулятору. С сентября 2025 года индивидуальные предприниматели из числа субъектов КИИ исключены, такую правку внёс Федеральный закон от 07.04.2025 № 58-ФЗ.

Три категории значимости

Правила категорирования утверждены постановлением Правительства РФ от 08.02.2018 № 127. Категорий три, самая высокая первая, самая низкая третья. Категория присваивается по наивысшему значению показателей критериев значимости, среди которых ущерб жизни и здоровью людей, экономические потери, влияние на обороноспособность. Для безопасности объекта категория значит очень многое. Именно от неё зависит базовый набор мер из приложения к приказу ФСТЭК России № 239, о котором пойдёт речь ниже. Чем выше категория, тем длиннее список обязательных мер и тем строже требования к средствам защиты информации.

Как объект попадает в реестр

Путь стандартный для всех субъектов КИИ. Комиссия по категорированию оценивает объект по показателям критериев значимости и оформляет акт. Сведения о результатах категорирования направляются во ФСТЭК России в течение 10 рабочих дней со дня утверждения акта. Регулятор в 30-дневный срок проверяет правильность присвоения категории и вносит объект в реестр. Дальше у субъекта появляются обязанности по обеспечению безопасности, а сама категория пересматривается не реже одного раза в 5 лет. Подробно весь процесс мы разобрали в статье «Категорирование объектов КИИ: порядок и сроки в 2026 году».

Кто отвечает за безопасность значимого объекта

Ответственность лежит на субъекте КИИ. Статья 10 Федерального закона от 26.07.2017 № 187-ФЗ обязывает его создать систему безопасности значимого объекта и обеспечить её функционирование. Внутри организации эту работу ведёт не один человек. Руководитель субъекта КИИ создаёт или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов, либо назначает отдельных специалистов по безопасности, так это сформулировано в приказе ФСТЭК России от 21.12.2017 № 235. На практике задача обычно ложится на службу информационной безопасности, которая работает в связке с ИТ-подразделением и владельцами технологических процессов.

Два приказа ФСТЭК России, № 235 и № 239

Требования к защите значимых объектов закреплены в двух приказах ФСТЭК России, изданных с разницей в четыре дня. Оба выпущены во исполнение Федерального закона от 26.07.2017 № 187-ФЗ и работают в паре, но регулируют разные вещи. Их регулярно путают между собой, причём даже в профильных материалах. Приказ № 235 описывает, кто и чем будет защищать объект, а приказ ФСТЭК России № 239 устанавливает, что именно нужно сделать для защиты.

Приказ ФСТЭК России № 235 о системе безопасности

Приказ ФСТЭК России от 21.12.2017 № 235 утверждает требования к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования. Система безопасности по этому документу включает силы и средства. К силам относятся подразделения и работники субъекта КИИ, ответственные за обеспечение безопасности значимых объектов. К средствам относятся программные и программно-аппаратные средства защиты. Отдельные разделы приказа посвящены требованиям к организационно-распорядительным документам и к функционированию системы безопасности, включая планирование мероприятий, реализацию мер, контроль и совершенствование. Документ действует с изменениями, которые внесли приказы ФСТЭК России от 27.03.2019 № 64 и от 20.04.2023 № 69.

Приказ ФСТЭК России № 239 о требованиях к защите

Приказ ФСТЭК России от 25.12.2017 № 239 утверждает Требования по обеспечению безопасности значимых объектов КИИ, дальше в статье мы называем их просто Требованиями. Для практиков это центральный документ всей темы. Он определяет, какие организационные и технические меры принимаются на каждой стадии жизненного цикла значимого объекта, от установления требований и проектирования до вывода из эксплуатации, и содержит то самое приложение со 152 мерами, разбитыми на 17 групп. Первоначальную редакцию приказа корректировали четыре раза, изменения вносили приказы ФСТЭК России от 09.08.2018 № 138, от 26.03.2019 № 60, от 20.02.2020 № 35 и от 28.08.2024 № 159. Правка 2024 года добавила требования по защите от DDoS-атак, об этом расскажем в разделе об изменениях.

Требования приказа ФСТЭК России № 239 обязательны только для значимых объектов. Если объект КИИ прошёл категорирование, но ни одна из категорий ему не присвоена, формально субъект не обязан выполнять эти требования, хотя пункт 3 Требований разрешает по решению субъекта применять их и для объектов, не отнесённых к значимым. Закон при этом никто не отменял. Обязанность не допускать неправомерного доступа и обеспечивать функционирование объектов сохраняется по ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ, а уголовная ответственность по ст. 274.1 УК РФ распространяется на всю критическую информационную инфраструктуру, не только на значимые объекты.

Система безопасности значимого объекта по 187-ФЗ

Прежде чем погружаться в меры и средства защиты, стоит зафиксировать, ради чего всё это строится. Статья 10 Федерального закона от 26.07.2017 № 187-ФЗ называет четыре основные задачи системы безопасности значимого объекта.

• Предотвращение неправомерного доступа к информации, которую обрабатывает значимый объект, а также её уничтожения, модифицирования, блокирования, копирования, предоставления и распространения.
• Недопущение воздействия на технические средства обработки информации, из-за которого может быть нарушено или прекращено функционирование объекта.
• Восстановление функционирования объекта, в том числе за счёт создания и хранения резервных копий необходимой для этого информации.
• Непрерывное взаимодействие с ГосСОПКА, государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Отдельного внимания заслуживает четвёртая задача из этого списка. Взаимодействие с ГосСОПКА закон считает частью системы безопасности каждого значимого объекта, а не отдельной бюрократической обязанностью. С 30 января 2026 года порядок такого взаимодействия определяет новый пакет приказов ФСБ России, подключение идёт через личный кабинет субъекта в технической инфраструктуре НКЦКИ, Национального координационного центра по компьютерным инцидентам. Как это устроено, читайте в статье «ГосСОПКА: что это, как подключиться и взаимодействовать с НКЦКИ в 2026 году».

Сама система безопасности, как мы разобрали выше, складывается из сил и средств по приказу ФСТЭК России № 235. А наполнение этой системы конкретными защитными мерами регулирует уже приказ ФСТЭК России № 239, и дальше речь пойдёт именно о нём.

Этапы обеспечения безопасности, от технического задания до вывода из эксплуатации

Пункт 8 Требований закрепляет принцип, который выгодно отличает приказ ФСТЭК России № 239 от формальных регламентов. Меры по обеспечению безопасности принимаются на всех стадиях жизненного цикла значимого объекта, и таких мероприятий в перечне пять. Установление требований, разработка организационных и технических мер, их внедрение и ввод объекта в действие, обеспечение безопасности в ходе эксплуатации и, наконец, обеспечение безопасности при выводе из эксплуатации. Результаты каждого этапа документируются, состав и формы документов субъект КИИ определяет сам.

Частый вопрос практиков касается систем, которые уже работают. Строить их заново никто не требует. Для значимых объектов, находящихся в эксплуатации, требования реализуются в рамках модернизации или дооснащения подсистем безопасности, так прямо записано в пункте 9 Требований. Порядок при этом тот же, что и для создания новых объектов.

Установление требований

Отправная точка, категория значимости, уже присвоена объекту по итогам категорирования. Требования к обеспечению безопасности включаются в техническое задание на создание значимого объекта или в отдельное техническое задание на создание его подсистемы безопасности. В техзадании фиксируются цель и задачи обеспечения безопасности, категория значимости, перечень нормативных актов и стандартов, которым объект должен соответствовать, перечень типов объектов защиты. Чем тщательнее проработан этот документ, тем меньше переделок ждёт субъекта на следующих этапах.

Разработка мер и проектирование подсистемы безопасности

По пункту 11 Требований разработка начинается с анализа угроз безопасности информации и разработки модели угроз. Модель должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз, включая модель нарушителя, и описание всех актуальных угроз. По каждой угрозе расписываются источник, уязвимости, возможные способы реализации и последствия. Анализ ведётся по методике оценки угроз безопасности информации, утверждённой ФСТЭК России 05.02.2021. Как строить такой документ на практике, мы подробно разбирали в статье «Модель угроз безопасности информации по методике ФСТЭК России».

Дальше проектируется подсистема безопасности и готовится рабочая документация. Здесь же приказ закладывает требование, о котором часто вспоминают слишком поздно. Если в ходе проектирования предусмотрена разработка программного обеспечения, в том числе ПО средств защиты информации, она проводится в соответствии со стандартами безопасной разработки. В России это семейство стандартов РБПО, базовый ГОСТ Р 56939-2024 с общими требованиями, ГОСТ Р 58412-2019 об угрозах безопасности информации при разработке и ГОСТ Р 71207-2024 о статическом анализе, и серия продолжает пополняться.

Внедрение мер и приёмочные испытания

Этап внедрения по пункту 12 Требований включает семь шагов. Установка и настройка средств защиты информации, разработка организационно-распорядительных документов, внедрение организационных мер, предварительные испытания, опытная эксплуатация, анализ уязвимостей с устранением найденного и приёмочные испытания объекта вместе с подсистемой безопасности. Анализ уязвимостей здесь не формальность, а обязательный шаг перед приёмкой. Организационно-распорядительные документы при этом должны устанавливать правила безопасной работы персонала и действия работников в нештатных ситуациях, включая вызванные компьютерными инцидентами.

Эксплуатация и контроль

В ходе эксплуатации значимого объекта пункт 13 Требований предписывает планирование мероприятий, регулярный анализ угроз и последствий их реализации, администрирование подсистемы безопасности, управление конфигурацией, реагирование на компьютерные инциденты, обеспечение действий в нештатных ситуациях, информирование и обучение персонала, а также контроль за обеспечением безопасности. Это повседневная работа службы информационной безопасности субъекта, и именно её собирается формализовать готовящийся проект изменений с показателями Кзи и Пзи, о котором расскажем ниже.

Вывод из эксплуатации

Финальный этап нередко выпадает из поля зрения, хотя пункт 14 Требований расписывает его не менее конкретно. При выводе значимого объекта из эксплуатации субъект КИИ архивирует содержащуюся в нём информацию, уничтожает или стирает данные и остаточную информацию с машинных носителей либо уничтожает сами носители, а также уничтожает или архивирует данные об архитектуре и конфигурации объекта и эксплуатационную документацию. Логика у этого требования вполне приземлённая. Списанный сервер с конфигурациями значимого объекта, ушедший на вторичный рынок, расскажет атакующему больше, чем любая разведка.

17 групп мер приказа ФСТЭК России № 239

Сами защитные меры собраны в приложении к приказу ФСТЭК России от 25.12.2017 № 239. Приложение устроено как большая таблица на полторы сотни строк. В строках перечислены меры, в столбцах отмечено, входит ли каждая из них в базовый набор для третьей, второй и первой категории значимости. В действующей редакции приложение делится на 17 разделов, в отрасли их называют группами мер. Внутри 152 меры, от идентификации пользователей до обучения персонала. Звучит внушительно, но на практике внедрять все 152 пункта разом никто не требует. Какие меры станут обязательными для конкретного объекта, определяют категория значимости и модель угроз.

Как формируется набор мер

Пункт 23 Требований описывает три последовательных шага. Они одинаковы для любого значимого объекта, будь то информационная система ведомства или АСУ электростанции.

1. Базовый набор мер определяется прямо по таблице приложения, исходя из установленной категории значимости объекта.
2. Затем базовый набор адаптируется под угрозы из модели угроз, применяемые информационные технологии и условия работы объекта. На этом шаге из набора разрешено исключать меры, связанные с технологиями, которые на объекте не используются. Если в составе значимого объекта нет беспроводных сетей, мера ЗИС.32 по защите беспроводных соединений при адаптации уйдёт.
3. Наконец, адаптированный набор дополняется мерами, которые установлены иными нормативными правовыми актами по безопасности критической информационной инфраструктуры и защите информации.

Если базовый набор не закрывает все угрозы из модели, в него добавляются дополнительные меры из того же приложения. Предусмотрена в Требованиях и обратная ситуация. Когда отдельную меру невозможно реализовать технически или она мешает работе объекта в проектных режимах, пункт 26 разрешает заменить её компенсирующими мерами. Их применение придётся обосновать при разработке, а достаточность подтвердить на приёмочных испытаниях. В качестве компенсирующих допускаются в том числе меры промышленной, функциональной или физической безопасности. Для владельцев АСУ ТП с закрытыми прошивками и оборудованием без поддержки наложенных средств защиты это спасательный круг, без которого требования были бы невыполнимы.

Полный перечень групп

Группы выстроены по логике защиты, от контроля доступа к данным до работы с персоналом. Перечень ниже взят из приложения к приказу ФСТЭК России № 239, количество мер в каждой группе посчитано по действующей редакции таблицы.

Обозначение	Группа мер	Мер в группе
ИАФ	Идентификация и аутентификация	8
УПД	Управление доступом	15
ОПС	Ограничение программной среды	4
ЗНИ	Защита машинных носителей информации	9
АУД	Аудит безопасности	12
АВЗ	Антивирусная защита	6
СОВ	Предотвращение вторжений (компьютерных атак)	3
ОЦЛ	Обеспечение целостности	7
ОДТ	Обеспечение доступности	9
ЗТС	Защита технических средств и систем	7
ЗИС	Защита информационной (автоматизированной) системы и ее компонентов	40
ИНЦ	Реагирование на компьютерные инциденты	7
УКФ	Управление конфигурацией	5
ОПО	Управление обновлениями программного обеспечения	5
ПЛН	Планирование мероприятий по обеспечению безопасности	3
ДНС	Обеспечение действий в нештатных ситуациях	7
ИПО	Информирование и обучение персонала	5

Первой в каждой группе стоит нулевая мера, регламентация правил и процедур. Прежде чем что-то настраивать, субъект КИИ обязан описать порядок работы в организационно-распорядительных документах. Самая объёмная группа, ЗИС, отвечает за защиту самой системы и её компонентов. В ней 40 мер, включая сегментирование системы, защиту информации на мобильных устройствах и эмуляцию ложных компонентов для обмана атакующих.

Отдельной группы по защите от DDoS-атак в приложении нет, в группе ЗИС за это отвечает мера ЗИС.34. Зато пункт 22.2 Требований устанавливает развёрнутый блок обязанностей для объектов, сервисы которых должны быть постоянно доступны из интернета. Там встречается конкретика, которую редко найдёшь в российской нормативке. Субъект обязан вести матрицу коммуникаций значимых объектов с сетью, держать двукратный резерв пропускной способности каналов относительно обычного трафика и хранить сведения о фактах атак в течение трёх лет.

Чем отличаются наборы для разных категорий

Логика распределения устроена просто и предсказуемо. Чем выше категория значимости, тем больше мер попадает в базовый набор. Часть мер обязательна для всех трёх категорий. Например, идентификация и аутентификация пользователей ИАФ.1, резервное копирование информации ОДТ.4 и реализация защищённого удалённого доступа УПД.13 отмечены плюсом в каждом столбце таблицы. А вот управление запуском компонентов программного обеспечения ОПС.1 или исключение доступа через общие ресурсы ЗИС.33 в базовом виде требуются только объектам первой, высшей категории.

Меры без отметки в таблице приложения тоже не лишние. Они применяются при адаптации и дополнении базового набора, а также при разработке компенсирующих мер. Так что читать приложение стоит целиком, а не только колонку своей категории.

Требования к средствам защиты информации

Раздел IV Требований отвечает на вопрос, которым обычно открывается любой проект по защите значимого объекта. Какие средства защиты информации можно применять и обязательна ли сертификация. Пункт 27 устанавливает, что технические меры реализуются средствами защиты информации, в том числе встроенными в общесистемное и прикладное программное обеспечение. Причём встроенные средства, если они есть, применяются в приоритетном порядке. Закупать наложенное СЗИ ради функции, которую уже умеет операционная система или СУБД, приказ не заставляет.

Распространённое заблуждение гласит, что на значимом объекте всё должно быть сертифицировано. На деле пункт 28 Требований устроен заметно гибче. Средства защиты должны пройти оценку соответствия в одной из трёх форм, обязательная сертификация, испытания или приёмка. Сертифицированные СЗИ применяются в случаях, установленных законодательством, а также если субъект КИИ сам принял такое решение. В остальных ситуациях достаточно испытаний или приёмки, которые субъект проводит самостоятельно или с привлечением организаций, имеющих лицензии на деятельность в области защиты информации.

Классы защиты и уровни доверия по категориям

Если субъект использует именно сертифицированные средства, пункт 29 Требований привязывает их характеристики к категории значимости объекта.

Категория значимости	Класс защиты СЗИ	Класс средств вычислительной техники	Уровень доверия
Первая	Не ниже 4 класса	Не ниже 5 класса	4 или выше
Вторая	Не ниже 5 класса	Не ниже 5 класса	5 или выше
Третья	6 класс	Не ниже 5 класса	6 или выше

Для средств защиты, которые проходят оценку соответствия в форме испытаний или приёмки, тоже есть планка. Не встроенные в программное обеспечение СЗИ должны соответствовать 6 или более высокому уровню доверия, а сами испытания проводятся на этапе предварительных испытаний объекта с оформлением протокола. Отдельное требование пункта 29.1 касается значимых объектов первой категории. При проектировании в качестве пограничных маршрутизаторов с доступом в интернет выбираются сертифицированные модели, а при отсутствии технической возможности их функции безопасности оцениваются в рамках приёмки или испытаний, и это обоснование фиксируется в проектной документации.

Требования к прикладному программному обеспечению

Пункт 29.3 Требований распространяет контроль и на прикладное ПО, которое обеспечивает выполнение функций значимого объекта. Разработчик должен иметь руководство по безопасной разработке, проводить анализ угроз для своего продукта, отслеживать и исправлять уязвимости, а также заранее определить, как и в какие сроки пользователи узнают об уязвимостях и получат обновления с проверкой их целостности и подлинности. Среди испытаний обязательны статический анализ исходного кода и фаззинг-тестирование. Для ПО, которое планируется применять на объектах первой категории, добавляются динамический анализ кода, описание структуры ПО на уровне подсистем и процедуры информирования об окончании производства или поддержки. Выполнение этих требований оценивается на этапе проектирования.

Импортозамещение на значимых объектах

Требования приказа ФСТЭК России № 239 сегодня невозможно рассматривать в отрыве от курса на технологическую независимость. Для значимых объектов КИИ действует целый блок норм о происхождении программного обеспечения и оборудования, и у каждой свой срок.

Указ Президента РФ от 30.03.2022 № 166 ввёл первые жёсткие ограничения. С 31 марта 2022 года заказчики, которые проводят закупки по Федеральному закону от 18.07.2011 № 223-ФЗ, за исключением организаций с муниципальным участием, не могут закупать иностранное программное обеспечение для использования на своих значимых объектах КИИ без согласования с уполномоченным органом. Запрет охватывает и ПО в составе программно-аппаратных комплексов, и услуги, необходимые для его использования. А с 1 января 2025 года органам государственной власти и таким заказчикам вовсе запрещено использовать иностранное ПО на принадлежащих им значимых объектах. Здесь стоит внимательно посмотреть на адресатов нормы. Запрет 2025 года касается органов госвласти и заказчиков по 223-ФЗ, а не всех субъектов КИИ без разбора, как иногда пишут.

Постановление Правительства РФ от 14.11.2023 № 1912 установило порядок перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на значимых объектах. Запомнить нужно две даты. С 1 сентября 2024 года не допускается использование на значимых объектах ПАК, приобретённых начиная с этой даты и не являющихся доверенными. Сам переход на доверенные комплексы должен завершиться до 1 января 2030 года, он идёт по отраслевым планам перехода, которые разрабатывают и утверждают уполномоченные органы. Дополняет картину Указ Президента РФ от 01.05.2022 № 250, по которому с 1 января 2025 года организациям из его периметра запрещено использовать средства защиты информации из недружественных государств.

Давление регулятора на эту сферу продолжает расти. Федеральный закон от 31.07.2025 № 325-ФЗ с 1 марта 2026 года дополнил 187-ФЗ требованиями национального контроля для субъектов КИИ и нормами о доверенном программном обеспечении. А Минцифры уже анонсировало механизм оборотных штрафов для компаний, затягивающих перевод значимых объектов на российское ПО, нормативную базу ведомство готовит в 2026 году. Подробнее читайте в материалах «Как изменились требования к КИИ: новые правила 187-ФЗ» и «Минцифры готовит крупные штрафы, пытаясь ускорить переход КИИ на отечественный софт».

Дата	Что меняется	Основание
31.03.2022	Закупки иностранного ПО для значимых объектов КИИ только по согласованию (заказчики по 223-ФЗ)	Указ Президента РФ № 166
01.09.2024	Запрет использовать на значимых объектах недоверенные ПАК, приобретённые начиная с этой даты	ПП РФ № 1912
01.01.2025	Запрет иностранного ПО на значимых объектах для органов госвласти и заказчиков по 223-ФЗ; запрет СЗИ из недружественных стран	Указ Президента РФ № 166; Указ Президента РФ № 250
01.03.2026	Национальный контроль для субъектов КИИ и требования доверенного ПО для значимых объектов	Федеральный закон № 325-ФЗ
До 01.01.2030	Завершение перехода значимых объектов на доверенные ПАК	ПП РФ № 1912

Как менялся приказ ФСТЭК России № 239 и что готовит 2026 год

За восемь лет действия приказ ФСТЭК России № 239 правили четыре раза, и каждая правка отражала смену приоритетов регулятора. Приказ ФСТЭК России от 09.08.2018 № 138 и приказ от 26.03.2019 № 60 уточняли исходные формулировки. Приказ от 20.02.2020 № 35 заметно поднял планку, он ввёл оценку соответствия средств защиты в форме испытаний или приёмки и требования к безопасности прикладного программного обеспечения, которые применяются с 1 января 2023 года. Наконец, приказ от 28.08.2024 № 159 добавил в документ блок защиты от атак типа «отказ в обслуживании», новые требования действуют с ноября 2024 года. Именно этой правкой в Требованиях появились пункт 22.2 с матрицей коммуникаций и резервом пропускной способности каналов, о которых мы рассказывали в разделе о мерах, и мера ЗИС.34 в базовых наборах всех категорий.

Проект изменений с показателями Кзи и Пзи

Следующая серьёзная правка уже на подходе. 7 апреля 2026 года ФСТЭК России разместила на федеральном портале проектов нормативных правовых актов проект приказа о внесении изменений сразу в приказы ФСТЭК России № 235 и № 239, идентификатор проекта 166998. Общественное обсуждение завершено, по состоянию на 10.06.2026 документ не принят, планируемый срок вступления в силу, указанный в тексте проекта, 1 сентября 2026 года.

Суть изменений в переводе контроля защищённости в измеримый и регулярный режим. Проект предусматривает, что в ходе эксплуатации значимых объектов субъект КИИ должен рассчитывать два показателя, обозначения Кзи и Пзи вводятся самим текстом проекта. Первый, показатель защищённости Кзи, характеризует текущее состояние обеспечения безопасности значимых объектов от базового уровня угроз, его предстоит считать не реже одного раза в шесть месяцев. Второй, показатель уровня зрелости Пзи, определяет достаточность и эффективность проведённых мероприятий и рассчитывается не реже одного раза в два года. Расчёты ведутся по методическим документам ФСТЭК России. Если значения не дотягивают до нормированных, об этом в течение 3 календарных дней докладывается руководителю субъекта КИИ для решения о дополнительных мероприятиях. Сами результаты оценки направляются во ФСТЭК России не позднее 5 рабочих дней после расчёта.

Для служб информационной безопасности это означает переход от разовых отчётов к постоянной измеримой отчётности перед регулятором. Методика оценки уровня зрелости уже обсуждается отраслью. Разбор её логики читайте в материале «Эксперты Softline объяснили, почему методика ФСТЭК изменит требования к зрелости процессов ИБ». Подчеркнём ещё раз, пока это проект, и до официального опубликования принятого приказа требования Кзи и Пзи не действуют.

Инциденты на значимых объектах и ГосСОПКА

Реагирование на компьютерные инциденты вшито в требования приказа ФСТЭК России № 239 дважды. Во-первых, группа мер ИНЦ из приложения обязывает выстроить обнаружение, анализ и устранение последствий инцидентов на самом объекте. Во-вторых, реагирование входит в перечень мероприятий эксплуатации по пункту 13 Требований. Но внутренними процессами дело не ограничивается, у субъекта КИИ есть и внешние обязанности перед государством.

С 30 января 2026 года порядок информирования определяет приказ ФСБ России от 25.12.2025 № 547, который заменил действовавший ранее приказ ФСБ России от 19.06.2019 № 282. Сроки здесь жёсткие и измеряются часами. О компьютерном инциденте на значимом объекте КИИ нужно сообщить в НКЦКИ не позднее 3 часов с момента обнаружения, по иным объектам КИИ даётся не более 24 часов. План реагирования на компьютерные инциденты разрабатывается в срок не более 90 календарных дней со дня включения объекта в реестр значимых, а его копия направляется в НКЦКИ в течение 7 календарных дней после утверждения. Само взаимодействие с ГосСОПКА по приказу ФСБ России от 25.12.2025 № 548 идёт через личный кабинет субъекта в технической инфраструктуре НКЦКИ.

Невыполнение этих требований наказуемо отдельно от недостатков защиты, поэтому процессы информирования стоит отрабатывать заранее, на киберучениях, а не во время реального взлома. Пошаговый разбор обязанностей при инциденте читайте в статьях «Инцидент ИБ: что это, как реагировать и кого уведомлять по закону» и «ГосСОПКА: что это, как подключиться и взаимодействовать с НКЦКИ в 2026 году».

Ответственность за нарушение требований

Административная ответственность для субъектов КИИ собрана в ст. 13.12.1 КоАП РФ, которую ввёл Федеральный закон от 26.05.2021 № 141-ФЗ. Статья охватывает три состава, и все они напрямую связаны с темами этой статьи.

Состав нарушения	Штраф для должностных лиц	Штраф для юридических лиц
Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов (ч. 1)	10 000 – 50 000 руб.	50 000 – 100 000 руб.
Нарушение порядка информирования о компьютерных инцидентах, реагирования на них и принятия мер по ликвидации последствий компьютерных атак на значимые объекты (ч. 2)	10 000 – 50 000 руб.	100 000 – 500 000 руб.
Нарушение порядка обмена информацией о компьютерных инцидентах (ч. 3)	20 000 – 50 000 руб.	100 000 – 500 000 руб.

Отдельно действует ст. 19.7.15 КоАП РФ за непредставление или недостоверность сведений о результатах категорирования, по ней штраф для юридических лиц доходит до 500 тысяч рублей при направлении сведений в ГосСОПКА. Персональная уголовная ответственность предусмотрена ст. 274.1 УК РФ за неправомерное воздействие на критическую информационную инфраструктуру. Составы охватывают создание вредоносных программ для атак на КИИ, неправомерный доступ с последствиями и нарушение правил эксплуатации или доступа, а максимальное наказание при тяжких последствиях достигает 10 лет лишения свободы.

В апреле 2026 года уголовная норма обновилась. Федеральный закон от 09.04.2026 № 76-ФЗ изложил в новой редакции вторую и третью части статьи, в третьей теперь прямо названы и правила доступа, и добавил к статье примечание, которого практики ждали давно. Лицо, совершившее преступление по третьей части, то есть нарушившее правила эксплуатации или доступа, освобождается от уголовной ответственности, если оно активно способствовало раскрытию и расследованию преступления, в том числе приняло меры по сохранению следов воздействия на КИИ, и в его действиях нет иного состава преступления. Для администраторов и инженеров значимых объектов это прямой стимул не скрывать инцидент, а фиксировать доказательства и сотрудничать с расследованием.

Типовые ошибки субъектов КИИ

Субъекты КИИ из года в год спотыкаются на одних и тех же местах. Это видно и по материалам регулятора, и по разборам инцидентов. Первая по распространённости ошибка связана с самим приложением к приказу ФСТЭК России № 239. Базовый набор внедряют механически, без адаптации под модель угроз и реальные технологии объекта. В результате часть мер дублирует несуществующие риски, а действительно опасные сценарии остаются неприкрытыми. Обратная крайность встречается не реже, когда из набора при адаптации исключают меры без обоснования, хотя исключать разрешено только меры, связанные с неиспользуемыми технологиями.

Вторая группа ошибок касается документов. Организационно-распорядительные документы пишутся один раз для приёмки и годами не обновляются, хотя объект меняется, а вместе с ним должны меняться правила работы персонала и планы реагирования. Сюда же относится забытая обязанность документировать результаты каждой стадии жизненного цикла. При проверке регулятор спрашивает не только настройки средств защиты, но и бумаги, подтверждающие, что меры выбирались и внедрялись по установленному порядку.

Третий блок связан со средствами защиты информации. Закупают сертифицированные СЗИ без проверки класса защиты и уровня доверия под категорию объекта, либо наоборот, применяют средства, не прошедшие ни сертификацию, ни испытания с оформлением протокола. После ноября 2024 года добавилась и свежая зона риска, требования пункта 22.2 по защите от DDoS-атак для объектов с сервисами, доступными из интернета, легко пропустить из-за их новизны. Наконец, нередко выпадает из поля зрения вывод объекта из эксплуатации с уничтожением данных и носителей, а с ним и мероприятия отраслевого плана перехода на доверенные программно-аппаратные комплексы.

С чего начать субъекту КИИ

Если объект только что получил категорию значимости или организация впервые столкнулась с требованиями приказа ФСТЭК России № 239, рабочий порядок действий выглядит так.

1. Назначить ответственных. Руководитель субъекта создаёт или определяет структурное подразделение по безопасности либо назначает специалистов по безопасности, как того требует приказ ФСТЭК России от 21.12.2017 № 235.
2. Сформировать требования. Включить требования к обеспечению безопасности в техническое задание на объект или его подсистему безопасности с учётом категории значимости.
3. Разработать модель угроз по методике ФСТЭК России от 05.02.2021 и определить набор мер, базовый, адаптированный и дополненный.
4. Подобрать средства защиты с учётом классов защиты и уровней доверия для своей категории, спланировать испытания или приёмку средств без обязательной сертификации.
5. Сверить закупки с требованиями импортозамещения, проверить применимость Указа Президента РФ № 166, Указа Президента РФ № 250 и постановления Правительства РФ № 1912, и свериться с отраслевым планом перехода на доверенные ПАК.
6. Подключиться к ГосСОПКА через личный кабинет в инфраструктуре НКЦКИ, разработать план реагирования на компьютерные инциденты в срок не более 90 календарных дней со дня включения объекта в реестр и направить его копию в НКЦКИ. Сроки считаются от включения в реестр, поэтому откладывать этот шаг в конец очереди нельзя.
7. Внедрить меры, провести испытания, оформить документы и выстроить процессы эксплуатации, от управления конфигурацией до обучения персонала.

Параллельно полезно следить за проектом изменений приказов ФСТЭК России № 235 и № 239. Если показатели Кзи и Пзи станут нормой с 1 сентября 2026 года, у служб информационной безопасности появится регулярная расчётная отчётность перед ФСТЭК России, и закладывать процессы под неё лучше уже на этапе построения системы безопасности.

Частые вопросы

Чем приказ ФСТЭК России № 235 отличается от приказа ФСТЭК России № 239?

Приказ № 235 регулирует систему безопасности, то есть силы, средства и организационно-распорядительные документы, которыми субъект КИИ защищает значимые объекты. Приказ № 239 устанавливает сами требования к обеспечению безопасности, конкретные меры на всех стадиях жизненного цикла объекта и требования к средствам защиты. Упрощённо, первый про то, кто и чем защищает, второй про то, что именно нужно сделать.

Распространяется ли приказ ФСТЭК России № 239 на объекты КИИ без категории значимости?

Нет, на объекты без категории значимости приказ не распространяется. Его требования обязательны только для значимых объектов КИИ, то есть объектов с присвоенной категорией, включённых в реестр ФСТЭК России. При этом обязанности субъекта КИИ по ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ, включая информирование о компьютерных инцидентах, и уголовная ответственность по ст. 274.1 УК РФ действуют для всей критической информационной инфраструктуры.

Обязательно ли применять сертифицированные средства защиты информации?

Не всегда, форма оценки соответствия допускает варианты. По п. 28 приказа ФСТЭК России № 239 средства защиты должны пройти оценку соответствия в форме обязательной сертификации, испытаний или приёмки. Сертифицированные СЗИ применяются в случаях, установленных законодательством, а также по решению самого субъекта КИИ. В остальных случаях допускаются испытания или приёмка, при этом для сертифицированных средств класс защиты и уровень доверия зависят от категории значимости объекта.

Что такое показатели Кзи и Пзи?

Это показатели из проекта изменений приказов ФСТЭК России № 235 и № 239, опубликованного 7 апреля 2026 года. Кзи характеризует защищённость значимых объектов от базового уровня угроз и рассчитывается не реже одного раза в шесть месяцев, Пзи отражает уровень зрелости мероприятий по обеспечению безопасности и оценивается не реже одного раза в два года. Результаты планируется направлять во ФСТЭК России. По состоянию на 10.06.2026 документ остаётся проектом, планируемый срок вступления в силу 1 сентября 2026 года.

Чем требования приказа ФСТЭК России № 239 отличаются от нового приказа ФСТЭК России № 117?

Приказ ФСТЭК России от 11.04.2025 № 117 с 1 марта 2026 года заменил приказ ФСТЭК России № 17 и регулирует защиту информации в государственных информационных системах. На значимые объекты КИИ он не распространяется, для них продолжает действовать приказ ФСТЭК России № 239. Пересечение возникает, когда значимый объект одновременно представляет собой государственную информационную систему. Для такого случая приказ ФСТЭК России № 239 предусматривает, что оценка значимого объекта и его подсистемы безопасности проводится в форме аттестации по требованиям к защите информации в государственных информационных системах.

Что запомнить

Безопасность значимых объектов КИИ держится на связке двух приказов ФСТЭК России. Приказ № 235 отвечает за систему безопасности, силы и средства, приказ ФСТЭК России № 239 за конкретные требования и меры. Статус значимого объект получает только после присвоения категории значимости и включения в реестр, который ведёт ФСТЭК России, а категория напрямую определяет объём обязательных мер и требования к средствам защиты.

Меры принимаются на всех стадиях жизненного цикла, от технического задания до вывода из эксплуатации. Базовый набор из приложения адаптируется под конкретный объект, дополняется по другим нормативным актам, а невыполнимые меры заменяются компенсирующими с обоснованием. Сертификация средств защиты обязательна не всегда, но для сертифицированных СЗИ классы защиты и уровни доверия жёстко привязаны к категории. Параллельно субъекты КИИ обязаны выдерживать график импортозамещения, от запрета закупок недоверенных ПАК с сентября 2024 года до полного перехода на доверенные комплексы к 2030 году.

Нормативная база при этом продолжает движение. С ноября 2024 года в приказе ФСТЭК России № 239 действуют требования по защите от DDoS-атак, с 30 января 2026 года изменился порядок взаимодействия с ГосСОПКА, а на подходе проект с показателями Кзи и Пзи, который переведёт контроль защищённости в регулярный измеримый режим. Службам информационной безопасности субъектов КИИ имеет смысл готовиться к этому уже сейчас, не дожидаясь, пока проект станет нормой, штрафы по ст. 13.12.1 КоАП РФ и практика проверок ФСТЭК России ошибок не прощают. Информация в статье актуальна по состоянию на 10.06.2026.