тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Импортозамещение - Информационная безопасность > Обеспечение безопасности критической информационной инфраструктуры российской федерации: последние изменения

By 10.11.2025 Импортозамещение Информационная безопасность 0 Comments

Обеспечение безопасности критической информационной инфраструктуры российской федерации: последние изменения

Если вы занялись вопросом недавно, вот памятка для ответственных и заинтересованных по теме КИИ, с ответами на основные вопросы.

Про актуальные изменения за первое полугодие 2025 года тут.

Подробный план о том, как проводить категоризирование критической информационной инфраструктуры тут.

Итак, что у нас нового и интересного на ноябрь 2025:

1) Сроки миграции перенесли до 1 января 2028 и 1 декабря 2030.
Переход значимых объектов КИИ на российское ПО официально сдвинут.
Минцифры 19 сентября 2025 представило проект ПП о сроках и правилах перехода на отечественное ПО для ЗО КИИ: предельная дата — 1 января 2028; при объективной невозможности срок может быть продлён, но не далее 1 декабря 2030 по решению Президиума Правительственной комиссии по цифровому развитию. Допускается, если в реестре нет российского ПО с сопоставимыми функциональными, техническими или эксплуатационными характеристиками. При этом субъект КИИ обязан вести особо значимый проект по доработке и внедрению отечественных решений взамен иностранного.

2) Появился стандарт по ПАК для КИИ (ПНСТ 1007-2025).
В конце июня 2025 утверждён предварительный национальный стандарт, который классифицирует программно-аппаратные комплексы по назначению и задаёт основу для их признания «доверенными» для применения на объектах КИИ. Полный текст опубликован на портале Росстандарта; доступны также своды с примерами классов (виртуализация, хранение данных, средства защиты и др.). Это база для типизации решений при проектировании контуров КИИ и подготовки номенклатуры «доверенных» ПАК. 

3) Сформированы «Типовые отраслевые объекты КИИ»
4 июня 2025 ФСТЭК опубликовала проект Постановления с перечнями типовых отраслевых объектов КИИ. Эти перечни используются, в частности, для исключения иностранного ПО в составе КИИ и унификации категорирования по сферам:

  • Здравоохранение;
  •  Наука;
  •  Транспорт (воздушный, автомобильный, городской наземный электрический, железнодорожный, морской и речной, внеуличный, метрополитен);
  •  Связь;
  •  Энергетика;
  •  Государственная регистрация прав на недвижимое имущество и сделок с ним;
  •  Банковская сфера и иные сферы финансового рынка;
  •  Топливно-энергетический комплекс;
  •  Атомная энергия;
  •  Оборонная промышленность;
  •  Ракетно-космическая промышленность;
  •  Горнодобывающая промышленность;
  •  Металлургическая промышленность;
  •  Химическая промышленность.

Что делать ответственным в ближайшее время:

— сопоставить используемые/закупаемые комплексы с классами ПНСТ 1007-2025;
— учесть классификацию в ТЗ, реестрах средств и в планах импортозамещения.

— актуализировать дорожную карту импортозамещения под 2026–2027 гг.;
— готовить обоснования для продления: отсутствие функциональных аналогов в реестре + программа доработки российского ПО под внедрение.

— «привязать» свои объекты к типовым по отрасли, сверить границы и последствия;
— пересмотреть категорию, если типизация меняет оценку значимости;
— синхронизировать планы импортозамещения, учитывая отраслевые особенности.

Чтобы вы учли все тонкости, мы подготовили чек-лист и собрали в нём основные работы по обеспечению безопасности критической информационной инфраструктуры:

1) Ответственность и границы

  • Назначены владельцы критических процессов, создана комиссия по КИИ, матрица ролей и ответственности актуальна.
    Ответственный: ____  Срок: ____  Доказательства: приказ, протокол.
  • Границы объектов пересобраны «от процессов»: разделены производственный и корпоративный контуры, зоны и каналы, демилитаризованные зоны, точки удалённого доступа.
    Ответственный: ____  Срок: ____  Доказательства: схемы, перечень точек входа.
  • Проверены условия для перекатегорирования; при необходимости категория изменена.
    Ответственный: ____  Срок: ____  Доказательства: протокол комиссии, расчёты.

2) Программно-аппаратные комплексы по ПНСТ 1007-2025

  • Проведена инвентаризация всех комплексов в контурах КИИ.
    Ответственный: ____  Срок: ____  Доказательства: реестр комплексов.
  • Каждому комплексу присвоен класс по назначению по ПНСТ 1007-2025.
    Ответственный: ____  Срок: ____  Доказательства: карточки комплексов с классом.
  • В технических заданиях и договорах закреплены требования к классу и признаку «доверенности».
    Ответственный: ____  Срок: ____  Доказательства: обновлённые ТЗ и договоры.

3) Замена программного обеспечения (срок — 2028; вариант продления до 2030)

  • Составлена карта зависимостей от иностранного программного обеспечения и компонентов поддержки.
    Ответственный: ____  Срок: ____  Доказательства: матрица зависимостей.
  • Утверждена дорожная карта перехода на российское программное обеспечение до 01.01.2028.
    Ответственный: ____  Срок: ____  Доказательства: план с этапами и бюджетом.
  • По позициям без отечественных аналогов подготовлен пакет на продление до 01.12.2030: обоснование отсутствия аналога и программа доработки российского решения с внедрением.
    Ответственный: ____  Срок: ____  Доказательства: письмо-обоснование, дорожная карта проекта.
  • Реестр используемого программного обеспечения сопоставлен с реестром российского ПО: статусы, версии, планы замены.
    Ответственный: ____  Срок: ____  Доказательства: сводная таблица.

4) Типовые отраслевые объекты (проект ФСТЭК от 04.06.2025)

  • Объекты соотнесены с типовыми отраслевыми перечнями (здравоохранение, связь, транспорт, энергетика и др.).
    Ответственный: ____  Срок: ____  Доказательства: сопоставление «наш объект → типовой объект».
  • Уточнены границы и последствия с учётом отраслевой типизации.
    Ответственный: ____  Срок: ____  Доказательства: обновлённые модели последствий.
  • При необходимости пересмотрена категория значимости и направлено уведомление.
    Ответственный: ____  Срок: ____  Доказательства: протокол, уведомление.

5) Минимальный профиль безопасности

  • Включена многофакторная аутентификация для администраторов, введено управление привилегированным доступом, учёт и проверка действий.
    Ответственный: ____  Срок: ____  Доказательства: политики, отчёты.
  • Внедрено разделение сетей и фильтрация на ключевых узлах (межконтурные шлюзы, демилитаризованные зоны), правила на уровне третьего и седьмого уровней модели ОСИ.
    Ответственный: ____  Срок: ____  Доказательства: списки управления доступом, правила межсетевых экранов.
  • Выполнено укрепление серверов, баз данных и систем управления технологическими процессами; проведена инвентаризация средств защиты и статусов их сертификации.
    Ответственный: ____  Срок: ____  Доказательства: контрольные листы, отчёты по средствам защиты.

6) Мониторинг и реагирование на инциденты КИИ

  • Источники событий подключены к системе корреляции: рабочие станции, межсетевые экраны, каталог домена, датчики технологической сети.
    Ответственный: ____  Срок: ____  Доказательства: схема потоков, панели мониторинга.
  • Актуализированы правила корреляции и сценарии реагирования «первые сутки».
    Ответственный: ____  Срок: ____  Доказательства: хранилище правил и сценариев.
  • Отлажены линии эскалации и шаблоны уведомлений регулятору.
    Ответственный: ____  Срок: ____  Доказательства: регламент, протоколы тренировок.

7) Непрерывность деятельности и восстановление

  • Для критических процессов утверждены целевые сроки восстановления и потерь данных; проведено учебное восстановление.
    Ответственный: ____  Срок: ____  Доказательства: отчёт учений, план корректирующих и предупреждающих действий.
  • Проверены резервы площадок, каналов связи и данных, включая независимые копии по схеме «три-два-один плюс одна офлайн-копия».
    Ответственный: ____  Срок: ____  Доказательства: акты, протоколы восстановлений.

8) Доказательная база и готовность к проверке

  • Сформирован единый реестр доказательств: перечни, протоколы, схемы, журналы, акты, договоры, планы и отчёты об учениях.
    Ответственный: ____  Срок: ____  Доказательства: индекс артефактов.
  • Ведётся учёт изменений; каждое изменение рассматривается на предмет влияния на контур КИИ.
    Ответственный: ____  Срок: ____  Доказательства: журнал изменений.
  • Проведена внутренняя проверка по контрольному листу по каждому объекту.
    Ответственный: ____  Срок: ____  Доказательства: отчёт внутренней проверки.

Быстрые результаты:

  • Закрыты «красные зоны» удалённого доступа подрядчиков: промежуточный узел доступа, запись действий, ограничение по времени.
  • Система корреляции получает ключевые журналы (каталог домена, удалённый доступ, межконтурные шлюзы) и формирует оповещения.
  • Подготовлены карточки комплексов с классом по ПНСТ 1007-2025.
  • Обновлён план замены программного обеспечения с реальными сроками до 2028 и критериями продления до 2030.

Метрики контроля

  • Доля объектов с актуальным категорированием: ____% (цель — не ниже 100).
  • Полнота журналирования по ключевым узлам: ____% (цель — не ниже 95).
  • Время на классификацию, обнаружение и устранение инцидентов: ____ / ____ / ____ (цель — снижение).
  • Доля систем с актуальными обновлениями в корпоративном и производственном контурах: ____% / ____% (цели — не ниже 90 / 80).
  • Учения по непрерывности и восстановлению за квартал: ____ / ____ (цель — 100%).

Если у вас остались вопросы или нужна дополнительная консультация, просто оставьте заявку, мы поможем разобраться.

Мы в телеграмм тут