.PNG)
1Что такое проверка ФСТЭК
Проверка ФСТЭК — это контрольное мероприятие, в ходе которого Федеральная служба по техническому и экспортному контролю оценивает выполнение организацией требований по защите информации. Проверки проводятся в отношении государственных информационных систем (ГИС), объектов критической информационной инфраструктуры (КИИ), а также организаций-лицензиатов ФСТЭК.
Проверки ФСТЭК бывают двух типов. Плановые — включаются в ежегодный план проверок, который публикуется на сайте ФСТЭК до 31 декабря предшествующего года. Организация уведомляется не менее чем за 3 рабочих дня. Внеплановые — проводятся по факту инцидента, жалобы или при выявлении нарушений. О них могут не предупредить заранее.
Важно: мораторий закончился
2Что проверяет ФСТЭК
ФСТЭК проверяет весь спектр мер защиты информации. Инспекторы работают по утверждённым чек-листам и оценивают документацию и реальное состояние средств защиты. Основные направления:
| Направление | Что проверяют | Типичные нарушения |
|---|---|---|
| Организационно-распорядительная документация | Политики ИБ, модель угроз, регламенты, приказы о назначении ответственных | Документы отсутствуют или устарели |
| Средства защиты информации (СЗИ) | Наличие сертифицированных СЗИ, корректность настройки, актуальность версий | СЗИ без действующего сертификата ФСТЭК |
| Мониторинг событий ИБ | Наличие SIEM/SOC, журналы событий, процедуры реагирования на инциденты | Журналы не ведутся или не анализируются |
| Показатель защищённости (КЗИ) | Расчёт КЗИ по методике приказа №117, соответствие базовому уровню | КЗИ ниже минимально допустимого значения |
| Управление уязвимостями | Процесс выявления и устранения уязвимостей, сроки обновлений | Критические уязвимости не устранены более 30 дней |
| Управление доступом | Политики доступа, ролевые модели, парольная политика, MFA | Избыточные права, отсутствие MFA для администраторов |
3План проверок ФСТЭК на 2026 год
Ежегодный план проверок ФСТЭК публикуется в открытом доступе на официальном сайте регулятора (fstec.ru). План на 2026 год включает проверки субъектов КИИ, операторов ГИС и организаций-лицензиатов. Рекомендуем проверить, входит ли ваша организация в план.
Сотни
Проверок
ежегодно по плану ФСТЭК
3 дня
Уведомление
до плановой проверки
20 дней
Длительность
максимальный срок проверки
до 500К ₽
Штраф
за нарушения для юрлиц
Проверка КИИ ФСТЭК в 2026 году уделяет особое внимание выполнению требований приказа №239 (меры защиты значимых объектов КИИ) и нового приказа №117 (показатель защищённости КЗИ). Если организация является субъектом КИИ — вероятность попасть в план проверок значительно выше.
Штрафы за нарушения в 2026 году
4Как подготовиться к проверке ФСТЭК
Подготовка к проверке ФСТЭК — это системная работа, которую лучше начать за 3-6 месяцев до предполагаемой даты. Вот пошаговый план:
Проверьте план проверок на сайте ФСТЭК — убедитесь, что вашей организации нет в списке (или есть, и пора готовиться)
Проведите аудит документации: политики ИБ, модель угроз, регламенты реагирования, приказы о назначении ответственных
Проверьте действующие сертификаты на все СЗИ — сертификат должен быть актуальным, версия ПО соответствовать сертифицированной
Рассчитайте показатель КЗИ по методике приказа №117 — результат должен быть не ниже базового уровня
Настройте мониторинг событий ИБ: убедитесь, что журналы ведутся, хранятся не менее 6 месяцев и регулярно анализируются
Проведите сканирование уязвимостей и устраните критические — ФСТЭК обращает внимание на уязвимости старше 30 дней
Подготовьте папку документов для проверяющих: лицензии, сертификаты, акты, результаты аудитов, отчёты об инцидентах
Проведите внутреннюю самопроверку или пригласите внешнего аудитора для независимой оценки до проверки
5Типичные нарушения и последствия
По результатам проверок ФСТЭК за последние годы выделяются повторяющиеся категории нарушений. Знание типичных ошибок помогает избежать их при подготовке:
| Нарушение | Как часто встречается | Последствия |
|---|---|---|
| Отсутствие или устаревшая модель угроз | Очень часто | Предписание на устранение, повторная проверка |
| СЗИ без действующего сертификата | Часто | Штраф + предписание на замену |
| Не ведётся мониторинг событий ИБ | Часто | Штраф до 500 000 ₽ для субъектов КИИ |
| КЗИ ниже базового уровня | Средне | Предписание на приведение в соответствие |
| Отсутствие ответственного за ИБ | Средне | Штраф + предписание |
| Неустранённые критические уязвимости | Часто | Штраф + предписание с контрольным сроком |
При выявлении нарушений ФСТЭК выдаёт предписание об устранении с конкретным сроком. Если нарушения не устранены в срок — возможна внеплановая повторная проверка и увеличенные штрафы. В особо серьёзных случаях — приостановка деятельности лицензиата.
6Как КРЕДО-С помогает подготовиться
КРЕДО-С специализируется на подготовке организаций к проверкам ФСТЭК. Мы проводим комплексный анализ защищённости, выявляем несоответствия требованиям и помогаем устранить их до прихода регулятора.
Аудит текущего состояния ИБ — проверяем документацию, СЗИ, процессы по чек-листу ФСТЭК
Расчёт КЗИ по методике приказа №117 — определяем текущий показатель и план достижения базового уровня
Разработка и актуализация ОРД — модель угроз, политики, регламенты, приказы
Внедрение мониторинга событий ИБ — подключение к SOC КРЕДО-С с круглосуточным наблюдением
Сканирование уязвимостей и помощь в устранении — приоритизация по степени критичности
Сопровождение во время проверки — консультации и поддержка при взаимодействии с инспекторами
0
Штрафов
у подготовленных клиентов
3 мес
Средний срок
подготовки к проверке
50+
Организаций
подготовили к проверкам ФСТЭК
24/7
Мониторинг
SOC после подготовки
Частые вопросы
Как узнать, попала ли моя организация в план проверок ФСТЭК на 2026 год?▼
Какой штраф за нарушения при проверке ФСТЭК?▼
Сколько длится проверка ФСТЭК?▼
Можно ли подготовиться к проверке ФСТЭК самостоятельно?▼
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Кирилл Терещенко
Специалист по информационной безопасности
С 2020 года специализируется на аттестации ГИС и категорировании объектов КИИ. Аттестовал ГИС федеральных министерств РФ. Экспертиза: ЗОКИИ, 187-ФЗ, приказы ФСТЭК № 17, 21, 239.