Компания АБП2Б провела вебинар «Госконтроль КИИ — как пройти проверку без штрафов и стресса», в рамках которого эксперты подробно разобрали, как территориальные управления ФСТЭК проводят проверки, какие документы смотрят в первую очередь, на что обращают внимание технические специалисты и какие нарушения встречаются чаще всего.
Основным спикером выступил Марк Баранов — специалист по технической защите информации, работавший в территориальном управлении ФСТЭК и лично проводивший проверки. Благодаря этому вебинар получился практическим, с реальными примерами, типовыми ошибками и пояснениями, которые редко встречаются в формальных методичках.
Материал будет полезен руководителям ИБ, техническим специалистам и тем, кто готовит компанию к государственному контролю.
Ниже структурированная хронология подготовки: что делать за месяц до проверки, за неделю, во время прихода комиссии и после её завершения, чтобы пройти всё спокойно и без штрафов.
Смотрите полное видео по ссылке и обращайтесь к нам в случае возможных вопросов.
Основным спикером выступил Марк Баранов — специалист по технической защите информации, работавший в территориальном управлении ФСТЭК и лично проводивший проверки. Благодаря этому вебинар получился практическим, с реальными примерами, типовыми ошибками и пояснениями, которые редко встречаются в формальных методичках.
Материал будет полезен руководителям ИБ, техническим специалистам и тем, кто готовит компанию к государственному контролю.
Ниже структурированная хронология подготовки: что делать за месяц до проверки, за неделю, во время прихода комиссии и после её завершения, чтобы пройти всё спокойно и без штрафов.
Смотрите полное видео по ссылке и обращайтесь к нам в случае возможных вопросов.
Как подготовиться, что делать во время проверки и как действовать после
1. За месяц до проверки — подготовительный этап
Что нужно сделать:
Подводные камни:
2. За неделю до проверки
Приоритеты:
Что не стоит делать:
3. Во время проверки
Поведение и взаимодействие:
Что проверяют чаще всего:
Типичные ошибки:
4. После проверки
Если есть замечания:
Если нарушений нет:
5. Общие рекомендации эксперта
Проверка ФСТЭК — не карательная мера, а методическая помощь. Цель — повысить уровень защиты КИИ. Готовиться стоит не в панике, а системно: актуальность, дисциплина, внутренний контроль.
Что нужно сделать:
- Провести внутренний аудит по приказам № 235 и № 239 ФСТЭК: проверить, выполняются ли прописанные меры защиты на практике.
- Обновить антивирусные базы, журналы логирования, проверить подключения USB-устройств и случаи раздачи интернета с мобильных устройств.
- Убедиться, что документы и регламенты подписаны, и вступили в силу — часто нарушения находят именно в «бумагах».
- Проверить наличие плана по импортозамещению (требование 187-ФЗ).
- Назначить или подтвердить должности ответственных: замдиректора по безопасности, администратор безопасности, подразделение ИБ.
- Подготовить сотрудников — провести повторный инструктаж, напомнить правила работы на объектах КИИ.
Подводные камни:
- Формальные документы «для галочки» без реального исполнения. ФСТЭК сверяет «бумагу» с фактами.
- Наличие сторонних серверов или устройств в составе ОКИИ — сразу нарушение.
2. За неделю до проверки
Приоритеты:
- Проверить, что все регламенты, журналы, акты и внутренние приказы легко доступны.
- Подготовить помещение для комиссии и организовать беспрепятственный доступ к ОКИИ.
- Провести внутренний тестовый обход: убедиться, что в инфраструктуре нет незадекларированных систем или несанкционированных подключений.
- Сверить актуальность документов: подписи, даты, печати.
Что не стоит делать:
- Не пытаться переписать регламенты в спешке без обоснований — лучше скорректировать после консультации.
- Игнорировать уведомление от ФСТЭК: если его получили — обязаны участвовать.
3. Во время проверки
Поведение и взаимодействие:
- Не препятствуйте действиям комиссии, отвечайте спокойно и по существу.
- Не скрывайте документы и не пытайтесь «объяснить словами» несоответствия — всё должно быть подтверждено официально.
- Обеспечьте комфортные условия: отдельная комната, доступ к нужным системам, готовые документы.
- Если замечания считаете необоснованными — аргументируйте свою позицию ссылками на приказы, 235 и 239-е, а также 187-ФЗ и ПП-127.
Что проверяют чаще всего:
- Наличие и исполнение внутренних регламентов по защите КИИ.
- Реальную работу антивирусов, журналов, содержание реестра ОС.
- Полноту соответствия сведений и фактического состояния ОКИИ.
- Соответствие квалификационных и должностных требований ответственных за защиту КИИ.
- Обученность и осведомленность сотрудников работающих на технологическом участке ОКИИ.
Типичные ошибки:
- Несоответствие между документами и фактической ситуацией.
- Использование несертифицированных СЗИ.
- Отсутствие назначения ответственных лиц за защиту КИИ, не определены обязанности персонала по обеспечению ИБ.
- Игнорирование процедур по контролю носителей и сетевых портов.
- Не назначен заместитель директора по информационной безопасности и/или не создано структурное подразделение обеспечивающее информационную безопасность.
- Положения о заместителе директора по информационной безопасности и о структурном подразделении обеспечивающее информационную безопасность сделаны без учета типовых положений.
- Отсутствие регламентов по мерам 239 приказа ФСТЭК или их наличие не в полном объеме.
- Отсутствие реализации мер по безопасности ЗОКИИ без оснований (подтверждения отсутствия реализации, писем производителя, результатов испытаний), отсутствие компенсирующих мер.
4. После проверки
Если есть замечания:
- Зафиксируйте их и сразу начните устранение, по возможности до окончания проверки.
- Обновите регламенты, если какие-то требования физически невыполнимы (например, смена паролей чаще, чем позволяет технологический цикл), внедрите компенсирующие меры.
- Сообщите в ФСТЭК о выполнении предписаний в установленные сроки.
- Используйте результаты как внутренний аудит — это помогает избежать проблем в жизненном цикле системы.
Если нарушений нет:
- Продолжайте ежемесячный внутренний контроль и ведение журналов.
5. Общие рекомендации эксперта
Проверка ФСТЭК — не карательная мера, а методическая помощь. Цель — повысить уровень защиты КИИ. Готовиться стоит не в панике, а системно: актуальность, дисциплина, внутренний контроль.
Подробнее о наших продуктах, вы можете узнать на наших сайтах:
О компании АБП2Б (пентесты, аудиты ИБ, категорирование КИИ)
Менеджер паролей ОдинКлюч
SSH/SFTP/RDP/VNC-клиент МС22
Платформа для инвентаризации ИТ-активов ОдинХаб
