Дайджест АБП2Б

Проверка КИИ: как подготовиться и правильно взаимодействовать с ФСТЭК

Компания АБП2Б провела вебинар «Госконтроль КИИ — как пройти проверку без штрафов и стресса», в рамках которого эксперты подробно разобрали, как территориальные управления ФСТЭК проводят проверки, какие документы смотрят в первую очередь, на что обращают внимание технические специалисты и какие нарушения встречаются чаще всего.

Основным спикером выступил Марк Баранов — специалист по технической защите информации, работавший в территориальном управлении ФСТЭК и лично проводивший проверки. Благодаря этому вебинар получился практическим, с реальными примерами, типовыми ошибками и пояснениями, которые редко встречаются в формальных методичках.

Материал будет полезен руководителям ИБ, техническим специалистам и тем, кто готовит компанию к государственному контролю.

Ниже структурированная хронология подготовки: что делать за месяц до проверки, за неделю, во время прихода комиссии и после её завершения, чтобы пройти всё спокойно и без штрафов.

Смотрите полное видео по ссылке и обращайтесь к нам в случае возможных вопросов.

Как подготовиться, что делать во время проверки и как действовать после

1. За месяц до проверки — подготовительный этап

Что нужно сделать:
  1. Провести внутренний аудит по приказам № 235 и № 239 ФСТЭК: проверить, выполняются ли прописанные меры защиты на практике.
  2. Обновить антивирусные базы, журналы логирования, проверить подключения USB-устройств и случаи раздачи интернета с мобильных устройств.
  3. Убедиться, что документы и регламенты подписаны, и вступили в силу — часто нарушения находят именно в «бумагах».
  4. Проверить наличие плана по импортозамещению (требование 187-ФЗ).
  5. Назначить или подтвердить должности ответственных: замдиректора по безопасности, администратор безопасности, подразделение ИБ.
  6. Подготовить сотрудников — провести повторный инструктаж, напомнить правила работы на объектах КИИ.

Подводные камни:
  • Формальные документы «для галочки» без реального исполнения. ФСТЭК сверяет «бумагу» с фактами.
  • Наличие сторонних серверов или устройств в составе ОКИИ — сразу нарушение.

2. За неделю до проверки
Приоритеты:
  • Проверить, что все регламенты, журналы, акты и внутренние приказы легко доступны.
  • Подготовить помещение для комиссии и организовать беспрепятственный доступ к ОКИИ.
  • Провести внутренний тестовый обход: убедиться, что в инфраструктуре нет незадекларированных систем или несанкционированных подключений.
  • Сверить актуальность документов: подписи, даты, печати.

Что не стоит делать:
  • Не пытаться переписать регламенты в спешке без обоснований — лучше скорректировать после консультации.
  • Игнорировать уведомление от ФСТЭК: если его получили — обязаны участвовать.

3. Во время проверки
Поведение и взаимодействие:
  • Не препятствуйте действиям комиссии, отвечайте спокойно и по существу.
  • Не скрывайте документы и не пытайтесь «объяснить словами» несоответствия — всё должно быть подтверждено официально.
  • Обеспечьте комфортные условия: отдельная комната, доступ к нужным системам, готовые документы.
  • Если замечания считаете необоснованными — аргументируйте свою позицию ссылками на приказы, 235 и 239-е, а также 187-ФЗ и ПП-127.

Что проверяют чаще всего:
  • Наличие и исполнение внутренних регламентов по защите КИИ.
  • Реальную работу антивирусов, журналов, содержание реестра ОС.
  • Полноту соответствия сведений и фактического состояния ОКИИ.
  • Соответствие квалификационных и должностных требований ответственных за защиту КИИ.
  • Обученность и осведомленность сотрудников работающих на технологическом участке ОКИИ.

Типичные ошибки:
  1. Несоответствие между документами и фактической ситуацией.
  2. Использование несертифицированных СЗИ.
  3. Отсутствие назначения ответственных лиц за защиту КИИ, не определены обязанности персонала по обеспечению ИБ.
  4. Игнорирование процедур по контролю носителей и сетевых портов.
  5. Не назначен заместитель директора по информационной безопасности и/или не создано структурное подразделение обеспечивающее информационную безопасность.
  6. Положения о заместителе директора по информационной безопасности и о структурном подразделении обеспечивающее информационную безопасность сделаны без учета типовых положений.
  7. Отсутствие регламентов по мерам 239 приказа ФСТЭК или их наличие не в полном объеме.
  8. Отсутствие реализации мер по безопасности ЗОКИИ без оснований (подтверждения отсутствия реализации, писем производителя, результатов испытаний), отсутствие компенсирующих мер.

4. После проверки
Если есть замечания:
  • Зафиксируйте их и сразу начните устранение, по возможности до окончания проверки.
  • Обновите регламенты, если какие-то требования физически невыполнимы (например, смена паролей чаще, чем позволяет технологический цикл), внедрите компенсирующие меры.
  • Сообщите в ФСТЭК о выполнении предписаний в установленные сроки.
  • Используйте результаты как внутренний аудит — это помогает избежать проблем в жизненном цикле системы.

Если нарушений нет:
  • Продолжайте ежемесячный внутренний контроль и ведение журналов.

5. Общие рекомендации эксперта
Проверка ФСТЭК — не карательная мера, а методическая помощь. Цель — повысить уровень защиты КИИ. Готовиться стоит не в панике, а системно: актуальность, дисциплина, внутренний контроль.
Подробнее о наших продуктах, вы можете узнать на наших сайтах:
О компании АБП2Б (пентесты, аудиты ИБ, категорирование КИИ)
Менеджер паролей ОдинКлюч
SSH/SFTP/RDP/VNC-клиент МС22
Платформа для инвентаризации ИТ-активов ОдинХаб
2025-11-25 09:29 Статьи