КРЕДО-С
CREDOS:KII/Аттестация и соответствие

Защита критической информационной инфраструктуры

За нарушение требований 187-ФЗ по значимым объектам КИИ грозит уголовная ответственность по ст. 274.1 УК РФ. CREDOS:KII проводит категорирование, выстраивает защиту и подключает к ГосСОПКА.

Для кого: Субъекты КИИ по 187-ФЗ: энергетика, транспорт, связь, финансы, здравоохранение, промышленность

187-ФЗГосСОПКАФСТЭК 239
2–4 недели
Категорирование объектов
1–2 месяца
Подключение к ГосСОПКА
Услуга «Защита критической информационной инфраструктуры» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. За нарушение требований 187-ФЗ по значимым объектам КИИ грозит уголовная ответственность по ст. 274.1 УК РФ. CREDOS:KII проводит категорирование, выстраивает защиту и подключает к ГосСОПКА. Категория: Аттестация и соответствие. Подразделение: Отдел информационной безопасности. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Ст. 274.1 УК РФ предусматривает до 10 лет лишения свободы за нарушение безопасности значимых объектов КИИ, повлёкшее тяжкие последствия. Административные штрафы — до 500 000 рублей. Но большинство субъектов КИИ до сих пор не завершили категорирование или не реализовали требуемые меры защиты. КРЕДО-С закрывает этот разрыв — от категорирования до приёмочных испытаний системы безопасности значимых объектов КИИ (СБЗОКИИ).

Кто является субъектом КИИ

По 187-ФЗ это организации в сферах здравоохранения, транспорта, связи, энергетики, банков, ТЭК, оборонной и химической промышленности, науки, атомной, ракетно-космической, горнодобывающей промышленности, металлургии. Принадлежность определяется по ОКВЭД и лицензиям. Для них обязательны: категорирование объектов (постановление Правительства №127), реализация мер защиты по приказу ФСТЭК №239, ежегодный расчёт показателя КЗИ по приказу ФСТЭК №117, подключение к ГосСОПКА.

Почему большинство субъектов КИИ не готовы к проверке

Формально категорирование должно было завершиться до 01.01.2022. На практике многие организации либо не провели категорирование вообще, либо оформили его формально — без полного перечня объектов. При проверке ФСТЭК это выявляется моментально: штрафы по ст. 13.12.1 КоАП и предписание на устранение. Помимо штрафа, Указ Президента РФ №250 от 01.05.2022 обязал субъектов КИИ назначить ответственного руководителя по ИБ с персональной ответственностью.

Как строится защита КИИ с КРЕДО-С.

Категорирование — формируем комиссию, определяем перечень объектов КИИ, присваиваем категории значимости (1-я, 2-я, 3-я или незначимый), оформляем акты и направляем в ФСТЭК. Срок — 2–4 недели на один объект. Частые ошибки, которые избегаем: неполный перечень (не учтены зависимые объекты), неправильная оценка критериев значимости, формальное заполнение актов без обоснования.

Моделирование угроз — разрабатываем модель угроз безопасности информации для значимых объектов КИИ по методике ФСТЭК с использованием Банка данных угроз (БДУ ФСТЭК). Без актуальной модели угроз нельзя правильно спроектировать систему безопасности.

Проектирование системы безопасности — по приказу ФСТЭК №239 разрабатываем меры защиты: сегментирование сети, управление доступом, IDS/IPS, антивирусная защита, SIEM, регламенты реагирования. Для АСУ ТП дополнительно учитываем требования приказа ФСТЭК №31.

Внедрение сертифицированных СЗИ — разворачиваем отечественные решения: UserGate, Континент, ViPNet IDS, Secret Net Studio, Dallas Lock, Kaspersky. Все СЗИ — сертифицированные ФСТЭК России. Проводим предварительные и приёмочные испытания.

Подключение к ГосСОПКА — обязательное требование для значимых объектов

Настраиваем передачу данных об инцидентах в НКЦКИ (Национальный координационный центр по компьютерным инцидентам), организуем взаимодействие по установленным регламентам. При компьютерном инциденте — уведомление в НКЦКИ в течение 24 часов.

Расчёт КЗИ — ежегодно рассчитываем показатель защищённости по приказу ФСТЭК №117 (действует с 01.03.2026) и готовим отчёт для регулятора. Предварительный расчёт доступен на калькуляторе soc.credos.ru.

КРЕДО-С имеет лицензии ФСТЭК (с 2007 года) и ФСБ России (с 2009), собственный центр мониторинга. За более чем 33 лет реализованы проекты по защите КИИ для предприятий энергетики, здравоохранения, транспорта, связи и промышленности. Для значимых объектов 1-й категории, где требования регулятора максимальны, есть специализированный опыт сопровождения от категорирования до приёмки в эксплуатацию.

Как проходит работа

1

Категорирование

Формируем комиссию, определяем перечень объектов КИИ, присваиваем категории значимости (1–3 или незначимый) по методике ПП №127 ред. 02.05.2024. Оформляем акты и направляем в ФСТЭК.

2

Моделирование угроз

Разрабатываем модель угроз и нарушителя для значимых объектов КИИ по методике ФСТЭК. Без актуальной модели угроз нельзя правильно спроектировать систему безопасности.

3

Проектирование системы безопасности

По приказу ФСТЭК 239 разрабатываем меры защиты: сегментирование сети, управление доступом, IDS/IPS, антивирус, SIEM, регламенты реагирования. Для АСУ ТП — требования приказа ФСТЭК 31.

4

Внедрение сертифицированных СЗИ

Разворачиваем отечественные решения: UserGate, Континент, ViPNet IDS, Secret Net Studio, Dallas Lock, Kaspersky. Проводим предварительные и приёмочные испытания на соответствие требованиям.

5

Подключение к ГосСОПКА и расчёт КЗИ

Настраиваем передачу данных об инцидентах в НКЦКИ, организуем взаимодействие по установленным регламентам. Ежегодно рассчитываем показатель защищённости КЗИ по приказу ФСТЭК №117.

Ключевые преимущества

Категорирование объектов КИИ

Формирование комиссии, определение перечня объектов КИИ, присвоение категорий значимости и оформление актов для ФСТЭК России

Подключение к ГосСОПКА

Техническая интеграция с государственной системой обнаружения компьютерных атак и настройка передачи данных в НКЦКИ

Внедрение SIEM

Развёртывание системы мониторинга событий безопасности для значимых объектов КИИ с настройкой правил корреляции и оповещений

Реагирование на инциденты

Разработка регламентов реагирования на компьютерные инциденты, взаимодействие с НКЦКИ и восстановление после атак

Что входит

  • Формирование комиссии и проведение категорирования объектов КИИ
  • Подготовка перечня объектов КИИ, подлежащих категорированию
  • Оформление актов категорирования и направление в ФСТЭК России
  • Проектирование системы безопасности значимых объектов КИИ по приказу ФСТЭК 239
  • Внедрение сертифицированных средств защиты информации
  • Подключение к ГосСОПКА и настройка взаимодействия с НКЦКИ
  • Расчёт показателя защищённости КЗИ по приказу ФСТЭК №117
  • Разработка организационно-распорядительной документации по безопасности КИИ

Результаты работы

Акт категорирования объектов критической информационной инфраструктуры
Перечень значимых объектов КИИ с присвоенными категориями
Модель угроз безопасности значимых объектов КИИ
Технический проект системы безопасности ЗОКИИ
Комплект организационно-распорядительной документации
Паспорт системы обеспечения безопасности ЗОКИИ
Протоколы приёмочных испытаний и акт о приёмке СБЗОКИИ в эксплуатацию
Отчёт о расчёте показателя защищённости КЗИ
CREDOS:KII

Почему КРЕДО-С

Реализованы проекты по защите КИИ всех трёх категорий значимости в 5 отраслях

Лицензии ФСТЭК и ФСБ России — работаем с засекреченными объектами

Собственный центр мониторинга — обеспечиваем поддержку взаимодействия с ГосСОПКА и НКЦКИ

Рассчитываем КЗИ по приказу ФСТЭК №117: онлайн-калькулятор на soc.credos.ru

Сопровождаем при взаимодействии с ФСТЭК и НКЦКИ от категорирования до приёмки

Проекты по этой услуге

Защита КИИ и АСУ ТП химического предприятия: 6 этапов по 187-ФЗ и Приказу ФСТЭК №31
Химическая промышленность
NDA
2022

Защита КИИ и АСУ ТП химического предприятия: 6 этапов по 187-ФЗ и Приказу ФСТЭК №31

Защита КИИЗащита АСУ ТП

Комплексная защита КИИ и АСУ ТП химического предприятия по 187-ФЗ и Приказу ФСТЭК №31: аудит, класс защищённости, модель угроз, проектирование и внедрение Kaspersky, Secret Net Studio, Check Point, Кибер Бэкап.

  • Обеспечена защита промышленной сети предприятия согласно 187-ФЗ и Приказу ФСТЭК № 31
  • Определён класс защищённости АСУ ТП, разработана модель угроз
  • Внедрены сертифицированные СЗИ: Kaspersky, Secret Net Studio, Check Point, «Кибер Бэкап»
Подробнее о кейсе
Защита объектов КИИ международного аэропорта: актуализация категорий и проектирование СБЗОКИИ
Транспорт
NDA
2025

Защита объектов КИИ международного аэропорта: актуализация категорий и проектирование СБЗОКИИ

Защита КИИ

Актуализация категорий значимых объектов КИИ и разработка систем безопасности одного из крупнейших международных аэропортов Москвы — в сжатые сроки в условиях актуальных угроз.

  • Актуализированы сведения о категориях значимых объектов КИИ аэропорта с учётом текущих реалий ИБ
  • Разработана организационная и проектная документация на системы безопасности объектов КИИ
  • Заказчик получил документацию для внедрения организационных и технических мер с учётом особенностей объектов КИИ
Подробнее о кейсе
Защита КИИ и мониторинг ИБ предприятия энергетического машиностроения: 7 объектов КИИ и SIEM KUMA
Энергетическое машиностроение
NDA
2023

Защита КИИ и мониторинг ИБ предприятия энергетического машиностроения: 7 объектов КИИ и SIEM KUMA

Защита КИИКатегорирование объектов КИИ

Категорирование 7 объектов КИИ оборонно-промышленного предприятия, внедрение SIEM KUMA, сканера RedCheck и решений UserGate. Интеграция нестандартных источников и подключение к ГосСОПКА.

  • Проведено категорирование 7 объектов КИИ и спроектирована СБЗОКИИ в соответствии с 187-ФЗ
  • Внедрено 7 продуктов ИБ: SIEM KUMA, сканер RedCheck, решения UserGate и другие
  • Система непрерывно отслеживает события, выявляет аномалии и формирует оповещения на узлах значимых объектов КИИ
Подробнее о кейсе

Другие услуги

Мониторинг и SOC

Мониторинг событий ИБ (SOC)

CREDOS:SOC

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.

24/7КИИФСТЭК
  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 3...
Подробнее
Аудит и оценка

Аудит информационной безопасности

CREDOS:AUDIT

Регулятор приходит не предупреждая. Аудит ИБ показывает, что он увидит — и что нужно исправить до его визита.

ФСТЭКФСБГОСТ 57580
  • Экспертный аудит организационных и технических мер защиты информации
  • Сканирование ИТ-инфраструктуры на уязвимости сертифицированными сканерами
  • Анализ архитектуры информационных систем и сетевой инфраструктуры
  • Проведение интервью с ключевыми сотрудниками и анализ процессов ИБ
  • и ещё 4...
Подробнее
Пентест и киберучения

Анализ защищённости

CREDOS:ASM

Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.

ФСТЭКГосСОПКА
  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее

Актуально для отраслей

Производство и КИИГосударственные учрежденияТранспорт и логистика

Часто задаваемые вопросы

Кто является субъектом КИИ?
Субъекты КИИ — это государственные органы и юридические лица, работающие в критически важных сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская деятельность, ТЭК, атомная, оборонная, ракетно-космическая, горнодобывающая промышленность, металлургия и химическая промышленность. Принадлежность определяется по кодам ОКВЭД и имеющимся лицензиям на соответствующие виды деятельности. Даже если в организации нет объектов КИИ (все признаны незначимыми) — она всё равно остаётся субъектом КИИ и обязана выполнять обязанности по 187-ФЗ: уведомлять ФСТЭК о категорировании, сообщать в НКЦКИ об инцидентах.
Что такое категорирование объектов КИИ?
Категорирование — обязательная процедура оценки значимости объектов КИИ по социальным, политическим, экономическим и экологическим критериям. Каждому объекту присваивается одна из трёх категорий значимости (1-я — наивысшая) либо он признаётся незначимым. Методика — Постановление Правительства №127 от 08.02.2018 с последующими изменениями. Формально все субъекты КИИ обязаны были завершить категорирование до 01.01.2022. На практике много компаний либо не провели категорирование, либо оформили его формально — без полного перечня объектов и обоснования категорий. Результаты направляются в ФСТЭК России.
Какие штрафы за невыполнение 187-ФЗ?
За непредоставление сведений о категорировании — штраф до 100 000 рублей по ст. 19.7.15 КоАП. За нарушение требований по обеспечению безопасности значимых объектов КИИ — до 500 000 рублей по ст. 13.12.1 КоАП. При компьютерном инциденте, повлёкшем тяжкие последствия, предусмотрена уголовная ответственность по ст. 274.1 УК РФ — до 10 лет лишения свободы (ч. 5). Для руководителей — дополнительная персональная ответственность по Указу Президента РФ №250. На практике даже формальное предписание ФСТЭК означает существенные издержки на срочное исполнение.
Как защита КИИ связана с приказом ФСТЭК №117?
Приказ ФСТЭК России №117 (вступил в силу 01.03.2026) устанавливает показатель состояния защищённости информации (КЗИ), который субъекты КИИ обязаны ежегодно рассчитывать и предоставлять в ФСТЭК. Значение КЗИ напрямую зависит от полноты реализации мер защиты значимых объектов КИИ по приказу ФСТЭК №239 — если меры выполнены формально, КЗИ будет низким. КРЕДО-С сопровождает расчёт КЗИ и подготовку отчётности, а также предлагает онлайн-калькулятор предварительной оценки на soc.credos.ru.
Как подключиться к ГосСОПКА через КРЕДО-С?
КРЕДО-С имеет лицензию ФСБ России и статус корпоративного центра ГосСОПКА. Мы берём на себя все технические работы по подключению: регистрацию субъекта в системе НКЦКИ, настройку канала передачи событий (выделенный VPN, TLS), интеграцию SIEM-системы с форматами передачи инцидентов, тестовую отправку и сопровождение в боевой эксплуатации. Процесс подключения занимает 2–4 недели в зависимости от готовности инфраструктуры заказчика. После подключения уведомления о компьютерных инцидентах в НКЦКИ передаются автоматически — в рамках требования 187-ФЗ о 24-часовом уведомлении.
Какие сроки на категорирование объектов КИИ?
Формально субъекты КИИ обязаны были провести категорирование до 01.01.2022. Если категорирование до сих пор не проведено — организация нарушает закон и рискует штрафами при проверке ФСТЭК. Практика 2024–2025 годов показывает, что ФСТЭК активно проводит проверки субъектов КИИ, в том числе плановые и внеплановые. КРЕДО-С проводит категорирование в сжатые сроки: 2–4 недели на одиночный объект, 6–10 недель для организации с 5–10 объектами. Ускоренное категорирование возможно при предварительно подготовленной документации заказчика.
Обязательна ли сертификация СЗИ для объектов КИИ?
Для значимых объектов КИИ 1-й категории применяемые СЗИ должны иметь сертификат ФСТЭК не ниже 4-го уровня доверия, для 2-й категории — не ниже 5-го уровня, для 3-й категории — не ниже 6-го уровня. СЗИ также должны быть включены в Единый реестр российского ПО и Реестр сертифицированных средств защиты информации ФСТЭК. КРЕДО-С проектирует системы безопасности исключительно из сертифицированных отечественных СЗИ: UserGate, Континент, ViPNet, Secret Net Studio, Dallas Lock, Kaspersky, MaxPatrol — всё с подтверждёнными сертификатами ФСТЭК.
С чего начать защиту КИИ, если ничего ещё не сделано?
Типовая последовательность для новых субъектов КИИ: 1) аудит — определить, какие системы являются объектами КИИ; 2) категорирование — сформировать комиссию, присвоить категории значимости, направить акты в ФСТЭК; 3) моделирование угроз и проектирование системы безопасности по приказу ФСТЭК №239; 4) внедрение СЗИ и подключение к ГосСОПКА; 5) приёмочные испытания; 6) ежегодный расчёт КЗИ. КРЕДО-С сопровождает весь цикл "под ключ" с выделением ответственного куратора проекта и фиксированными сроками по каждому этапу.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 10 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC