Оценка соответствия ФЗ-187
Проведем категорирование объектов, подготовим документы для ФСТЭК России и разработаем план внедрения мер защиты
Об услуге
ITG Security проводит проверку защищённости объектов КИИ и соблюдения нормативных требований в области КИИ. Проверка включает оценку рисков и проверку внедренных мер безопасности.
По итогам вы получаете понятный экспертный отчет: обнаруженные несоответствия, приоритетный план устранения и практические рекомендации.
Кто попадает под действие ФЗ-187?
13 критически важных отраслей: здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Об услуге
ITG Security проводит проверку защищённости объектов КИИ и соблюдения нормативных требований в области КИИ. Проверка включает оценку рисков и проверку внедренных мер безопасности.
По итогам вы получаете понятный экспертный отчет: обнаруженные несоответствия, приоритетный план устранения и практические рекомендации.
Кто попадает под действие ФЗ-187?
13 критически важных отраслей: здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Почему важно соблюдать ФЗ‑187
Избежать штрафов и предписаний регулятора
Несоответствие ведёт к материальным рискам и проверкам.
Непрерывность бизнеса и защита от атак
Несоблюдение требований в области КИИ повышает вероятность успешных кибератак, простоев и сбоев в технологических процессах.
Усилить конкурентные позиции
Соответствие ФЗ-187 — аргумент при тендерах, партнерствах и продажах.
Избежать штрафов и предписаний регулятора
Несоответствие ведёт к материальным рискам и проверкам.
Непрерывность бизнеса и защита от атак
Несоблюдение требований в области КИИ повышает вероятность успешных кибератак, простоев и сбоев в технологических процессах.
Усилить конкурентные позиции
Соответствие ФЗ-187 — аргумент при тендерах, партнерствах и продажах.
Что входит в оценку соответствия ФЗ-187
Рекомендации по устранению нарушений
Разрабатываем план приведения системы в соответствие с требованиями законодательства. Формируем приоритетный план устранения выявленных нарушений. Консультируем по выбору средств защиты.
Категорирование объектов КИИ
Выделяем объекты КИИ в соответствии с Постановлением № 127 и отраслевыми особенностями категорирования объектов КИИ. На основании показателей критериев значимости определяем категории объектов КИИ. Готовим акты категорирования с обоснованием применимости критериев.
Подготовка документов для ФСТЭК России
Готовим документы для ФСТЭК. Консультируем по взаимодействию с регулятором и помогаем с ответами на запросы.
Соответствие требованиям законодательства в сфере КИИ
Проверяем соответствие требованиям, установленными ФЗ-187, Приказами ФСТЭК № 235, 239 и иными нормативными требованиями в области КИИ. Анализируем внутреннюю документацию, технические решения, процедуры управления инцидентами и обмена с ГосСОПКА. Формируем реестр несоответствий с указанием критичности.
Анализ системы информационной безопасности
Оцениваем зрелость системы управления ИБ. Проверяем ТСЗИ (МСЭ, IDS/IPS, антивирусы, SIEM, системы контроля доступа), процессы управления уязвимостями и инцидентами. Интервьюируем сотрудников для оценки осведомленности.
Рекомендации по устранению нарушений
Разрабатываем план приведения системы в соответствие с требованиями законодательства. Формируем приоритетный план устранения выявленных нарушений. Консультируем по выбору средств защиты.
Категорирование объектов КИИ
Выделяем объекты КИИ в соответствии с Постановлением № 127 и отраслевыми особенностями категорирования объектов КИИ. На основании показателей критериев значимости определяем категории объектов КИИ. Готовим акты категорирования с обоснованием применимости критериев.
Подготовка документов для ФСТЭК России
Готовим документы для ФСТЭК. Консультируем по взаимодействию с регулятором и помогаем с ответами на запросы.
Соответствие требованиям законодательства в сфере КИИ
Проверяем соответствие требованиям, установленными ФЗ-187, Приказами ФСТЭК № 235, 239 и иными нормативными требованиями в области КИИ. Анализируем внутреннюю документацию, технические решения, процедуры управления инцидентами и обмена с ГосСОПКА. Формируем реестр несоответствий с указанием критичности.
Анализ системы информационной безопасности
Оцениваем зрелость системы управления ИБ. Проверяем ТСЗИ (МСЭ, IDS/IPS, антивирусы, SIEM, системы контроля доступа), процессы управления уязвимостями и инцидентами. Интервьюируем сотрудников для оценки осведомленности.
Рекомендации по устранению нарушений
Разрабатываем план приведения системы в соответствие с требованиями законодательства. Формируем приоритетный план устранения выявленных нарушений. Консультируем по выбору средств защиты.
В итоге вы получите
Анализ бизнес-процессов
Детальное исследование процессов организации для выявления объектов КИИ и оценки их значимости.
Категорирование объектов КИИ
Определение категории значимости каждого выявленного объекта с обоснованием применимости критериев согласно Постановлению № 127.
Отчет об оценке соответствия требованиям законодательства в сфере КИИ
Документ с результатами проверки, выявленных несоответствиях и практическими рекомендациями по их устранению.
План действий по нейтрализации угроз
Приоритизированный перечень мероприятий по устранению выявленных нарушений и повышению защищенности.
Документация для направления во ФСТЭК
Полный пакет документов для подачи регулятору.
Анализ бизнес-процессов
Детальное исследование процессов организации для выявления объектов КИИ и оценки их значимости.
Категорирование объектов КИИ
Определение категории значимости каждого выявленного объекта с обоснованием применимости критериев согласно Постановлению № 127.
Отчет об оценке соответствия требованиям законодательства в сфере КИИ
Документ с результатами проверки, выявленных несоответствиях и практическими рекомендациями по их устранению.
План действий по нейтрализации угроз
Приоритизированный перечень мероприятий по устранению выявленных нарушений и повышению защищенности.
Документация для направления во ФСТЭК
Полный пакет документов для подачи регулятору.
Этапы проведения
Этап 1. Подготовительный
Риск: аудит превращается в хаотичный процесс, сроки и объём не контролируются.
Решение: формализация границ аудита, графика и точек взаимодействия с бизнесом.
Результат: управляемый проект.
Этап 2. Анализ бизнес-процессов
Риск: компания либо переоценивает критичность процессов (переплата за защиту), либо недооценивает их (регуляторные и операционные риски).
Решение: выделение реально критичных процессов, влияющих на выручку, клиентов и устойчивость бизнеса.
Результат: защита только того, что действительно важно для бизнеса.
Этап 3. Определение перечня объектов КИИ
Риск: в объекты КИИ попадают лишние системы или, наоборот, значимые системы остаются вне периметра регулирования.
Решение: привязка ИТ-систем исключительно к критическим процессам бизнеса.
Результат: оптимальный и обоснованный периметр требований 187-ФЗ.
Этап 4. Анализ угроз безопасности
Риск: инвестиции в защиту от неактуальных угроз и игнорирование реальных сценариев остановки бизнеса.
Решение: анализ практических сценариев, способных нарушить работу критических процессов.
Результат: фокус на рисках, которые действительно могут привести к простоям и потерям.
Этап 5. Анализ категории значимости объектов КИИ
Риск: завышенная категория - избыточные затраты, заниженная категория - штрафы и предписания.
Решение: обоснованное определение категории значимости по реальным последствиям для бизнеса и клиентов.
Результат: снижение регуляторных и финансовых рисков без переплат.
Этап 6. Формирование документов по категорированию
Риск: некорректные документы, возвраты от регулятора, срочные доработки под давлением сроков.
Решение: подготовка корректного комплекта документов по категорированию.
Результат: готовность к проверкам и спокойное взаимодействие с регулятором.
Этап 7. Анализ взаимодействия с подрядчиками
Риск: инциденты и утечки по вине подрядчиков, за которые отвечает бизнес.
Решение: контроль доступа и требований безопасности для третьих лиц.
Результат: снижение вероятности инцидентов из-за внешних исполнителей.
Этап 8. Анализ информационной инфраструктуры
Риск: скрытые технические проблемы, которые могут привести к приостановке операционной деятельности.
Решение: выявление слабых мест в ИТ-инфраструктуре до того, как они станут инцидентами.
Результат: повышение устойчивости и надёжности ИТ-среды.
Этап 9. Анализ процессов управления информационной безопасностью
Риск: формальная ИБ «на бумаге», не работающая в реальных ситуациях.
Решение: проверка того, как процессы ИБ реально работают в компании.
Результат: управляемая система безопасности, поддерживающая бизнес.
Этап 10. Анализ системы безопасности значимых объектов КИИ
Риск: несоответствие требованиям регуляторов и риск приостановки деятельности.
Решение: проверка достаточности мер защиты значимых объектов.
Результат: уверенность в соответствии законодательству и готовность к проверкам.
Этап 11. Формирование отчёта и рекомендаций
Риск: непонимание, что делать дальше и во что инвестировать.
Решение: приоритизированные рекомендации с привязкой к бизнес-рискам.
Результат: понятный план действий и прогнозируемые затраты.
Этап 12. Заключительный этап
Риск: разное понимание результатов между ИТ, ИБ и руководством.
Решение: совместное обсуждение итогов и дальнейших шагов.
Результат: единая позиция и согласованные решения.
Нам доверяют
Нормативная база КИИ
Федеральный закон № 187
Закон устанавливает основные принципы обеспечения безопасности объектов КИИ, порядок их категорирования, требования к защите информации, меры по предотвращению и реагированию на инциденты, которые могут нарушить работу объектов КИИ, а также права, обязанности и ответственность субъектов КИИ.
Приказ ФСТЭК России № 235
Регулирует порядок создания систем защиты информации на объектах КИИ, устанавливает требования к проектированию, разработке и внедрению систем защиты информации, которые обеспечивают безопасную эксплуатацию объектов КИИ.
Основное внимание уделяется методам защиты конфиденциальности, целостности и доступности данных, а также управлению доступом и применению сертифицированных средств защиты информации (СЗИ).
Приказ ФСТЭК России № 239
Приказ устанавливает требования к аппаратным и программным компонентам ИТ инфраструктуры, а также к средствам защиты информации значимых объектов КИИ.
Устанавливает требования к мерам и механизмам обеспечения информационной безопасности на объектах КИИ, определяет виды угроз и меры противодействия им, правила разработки и внедрения организационно-технических мер защиты информации. Также содержатся требования к процессу управления инцидентами информационной безопасности, к мониторингу, аудиту и реагированию на события безопасности.
Указ Президента РФ № 250
Устанавливает меры по обеспечению информационной безопасности, необходимость создания структурного подразделения по обеспечению информационной безопасности и запрет на использование средств защиты информации из недружественных стран.
Постановление Правительства РФ № 127
Устанавливает правила категорирования объектов КИИ. Документ регулирует порядок оценки объектов, критерии категорирования и процедуры взаимодействия субъектов с государственными органами.
Приказ ФСБ России № 282
Утверждает порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации.
Отраслевые методические рекомендации по категорированию
Рекомендации устанавливают отраслевые особенности категорирования объектов КИИ, определяют порядок установления принадлежности организации к субъекту КИИ, порядок формирования комиссии по категорированию и порядок определения объектов, подлежащих категорированию.
Федеральный закон № 187
Закон устанавливает основные принципы обеспечения безопасности объектов КИИ, порядок их категорирования, требования к защите информации, меры по предотвращению и реагированию на инциденты, которые могут нарушить работу объектов КИИ, а также права, обязанности и ответственность субъектов КИИ.
Приказ ФСТЭК России № 235
Регулирует порядок создания систем защиты информации на объектах КИИ, устанавливает требования к проектированию, разработке и внедрению систем защиты информации, которые обеспечивают безопасную эксплуатацию объектов КИИ.
Основное внимание уделяется методам защиты конфиденциальности, целостности и доступности данных, а также управлению доступом и применению сертифицированных средств защиты информации (СЗИ).
Приказ ФСТЭК России № 239
Приказ устанавливает требования к аппаратным и программным компонентам ИТ инфраструктуры, а также к средствам защиты информации значимых объектов КИИ.
Устанавливает требования к мерам и механизмам обеспечения информационной безопасности на объектах КИИ, определяет виды угроз и меры противодействия им, правила разработки и внедрения организационно-технических мер защиты информации. Также содержатся требования к процессу управления инцидентами информационной безопасности, к мониторингу, аудиту и реагированию на события безопасности.
Указ Президента РФ № 250
Устанавливает меры по обеспечению информационной безопасности, необходимость создания структурного подразделения по обеспечению информационной безопасности и запрет на использование средств защиты информации из недружественных стран.
Постановление Правительства РФ № 127
Устанавливает правила категорирования объектов КИИ. Документ регулирует порядок оценки объектов, критерии категорирования и процедуры взаимодействия субъектов с государственными органами.
Приказ ФСБ России № 282
Утверждает порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации.
Отраслевые методические рекомендации по категорированию
Рекомендации устанавливают отраслевые особенности категорирования объектов КИИ, определяют порядок установления принадлежности организации к субъекту КИИ, порядок формирования комиссии по категорированию и порядок определения объектов, подлежащих категорированию.
Федеральный закон № 187
Закон устанавливает основные принципы обеспечения безопасности объектов КИИ, порядок их категорирования, требования к защите информации, меры по предотвращению и реагированию на инциденты, которые могут нарушить работу объектов КИИ, а также права, обязанности и ответственность субъектов КИИ.
ITG Security - это
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений
Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Всё в одном окне
Полный спектр услуг — от аудитов и пентестов до круглосуточного мониторинга и интеграции решений
Партнёрство и сопровождение
Мы внимательно слушаем, объясняем сложное простым языком и сопровождаем вас на каждом этапе
Разультативность, а не формальности
Обеспечиваем практическую защиту бизнеса, давая измеримые результаты, а не только отчёты
Прозрачность и надёжность
Работаем открыто, честно и быстро решаем возникающие вопросы, обеспечивая стабильное сотрудничество
Индивидуальный подход
Решения максимально адаптированы к специфике и культуре вашего бизнеса, без шаблонов
Лицензии
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 20–26.
Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 20–26.
Лицензия ФСТЭК РФ
Лицензия ФСТЭК на техническую защиту конфиденциальной информации позволяет ITG Security оказывать услуги по:
- контролю защищённости от НСД и модификации в системах информатизации;
- проектированию защищённых средств, систем и помещений;
- установке, монтажу, испытаниям и ремонту СЗИ;
- разработке П(ПТ)СЗИ, защищённых средств обработки и контроля защищённости.
- услуги по мониторингу информационной безопасности средств и систем информатизации;
Лицензия ФСБ РФ
Лицензия ФСБ на разработку, производство и распространение криптографических средств, защищённых ИС и телекоммуникационных систем.
Виды работ по ч. 2 ст. 12 ФЗ «О лицензировании отдельных видов деятельности»: пп. 12, 13, 14, 20–26.
Часто задаваемые вопросы
Что такое оценка соответствия требованиям ФЗ-187?
Оценка соответствия требованиям ФЗ-187 — это комплексная проверка защищённости объектов КИИ и соблюдения нормативных требований в области КИИ. Проверка включает оценку рисков и проверку внедренных мер безопасности.
Кому необходима оценка соответствия ФЗ-187?
Оценку обязаны проводить субъекты КИИ — государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.
С какой периодичностью следует проверять защищенность объектов КИИ?
На регулярной основе, при изменении категории значимости объекта, при модернизации инфраструктуры, после инцидентов безопасности или изменении законодательных требований. Оптимально проводить проверку ежегодно.
Какие этапы включает оценка соответствия ФЗ-187?
Процедура состоит из нескольких этапов: определение объектов КИИ, анализ угроз безопасности, проверка технических и организационных мер защиты, подготовка документации для ФСТЭК России.
Какие штрафы предусмотрены за нарушение требований в области КИИ?
За невыполнение требований предусмотрены административные штрафы по статье 13.12.1 КоАП РФ для должностных лиц — от 10 000 до 50 000 рублей, для юридических лиц — от 50 000 до 100 000 рублей.
Какие документы оцениваются в рамках проверки соответствия ФЗ-187?
Результаты категорирования объектов КИИ, модели угроз безопасности, техническая документация, организационно-распорядительные документы по безопасности и др.
В чем разница между категорированием и оценкой соответствия?
Категорирование — это установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение ему одной из категорий значимости.
Оценка соответствия — это комплекс мероприятий, направленных на проверку защищенности объектов КИИ и соблюдения нормативных требований в области КИИ, с учетом категории объекта КИИ.
