Сколько проверок проводит ФСТЭК в год?

По данным ФСТЭК: в 2024 году проверено около 300 объектов, выявлено 500+ нарушений. В 2025 году (первые 3 квартала) — уже 700+ объектов, 1100+ нарушений, ~350 административных дел. Интенсивность проверок растёт — в 2025 году ФСТЭК проверяет более чем в 2 раза активнее, чем в 2024. Плановые проверки проводятся по утверждённому ежегодному плану, внеплановые — по инициативе ФСТЭК или по жалобам.

Какой процент организаций нарушает требования ФСТЭК?

По статистике ФСТЭК 2025 года: 60% субъектов КИИ не соответствуют требованиям приказов №235 и №239; 40% нарушений квалифицируются как грубые (влекут протокол об административном правонарушении); 98% нарушений — расхождение фактического состава КИИ с реестром; 1700+ объектов нарушают сроки представления сведений о категорировании; каждое третье сведение о категорировании возвращается на доработку.

Что ФСТЭК проверяет в первую очередь?

Три приоритета при проверке: 1) Соответствие реестра КИИ — фактический состав объектов, их правильное категорирование, актуальность сведений в реестре ФСТЭК; 2) Уязвимости — наличие и результаты анализа уязвимостей, сроки устранения критических (требования req-38 №117: 24ч для критических, 7 дней для высоких); 3) Организационные документы — актуальность модели угроз, ОРД, планов мероприятий, наличие системы безопасности значимого объекта КИИ.

Чем заканчивается проверка ФСТЭК?

Возможные итоги проверки: 1) Акт проверки без нарушений (редкость: <5% случаев); 2) Предписание — перечень нарушений с конкретными пунктами НПА и сроками устранения; 3) Протокол об административном правонарушении — при грубых нарушениях (40% случаев) по ст. 13.12, 13.12.1, 19.7.15 КоАП; 4) Направление материалов в органы прокуратуры при признаках уголовного состава. После предписания проводится повторная проверка через 3-6 месяцев для контроля устранения нарушений.

Как подготовиться к проверке ФСТЭК за 30 дней?

Чек-лист на 30 дней: Неделя 1 — инвентаризация: актуализировать перечень объектов КИИ/ГИС, сверить с реестром ФСТЭК, проверить состав технических средств. Неделя 2 — уязвимости: запустить сканирование периметра, устранить все критические (срок по №117: 24ч) и высокие (7 дней), задокументировать результаты. Неделя 3 — документация: проверить актуальность модели угроз, ОРД, техпаспортов, категорирующих актов. Неделя 4 — доказательная база: собрать подтверждения выполнения каждой меры защиты с датами и ответственными.

Какие санкции грозят за нарушения при проверке ФСТЭК?

За нарушения, выявленные при проверке: по ст. 13.12.1 КоАП — должностные лица 10–50 тыс. ₽, юрлица 50–500 тыс. ₽, при повторных — юрлица до 1 млн ₽; по ст. 19.5 (невыполнение предписания) — юрлица 300–500 тыс. ₽ или приостановление деятельности до 90 суток; по ст. 19.7.15 (нарушения уведомления КИИ) — юрлица до 500 тыс. ₽. Уголовная ответственность по ст. 274.1 УК до 10 лет при тяжких последствиях.

Что проверяет ФСТЭК при проверках ГИС и КИИ — 6 типичных нарушений и как подготовиться

Q: Как подготовиться к проверке ФСТЭК за 30 дней?

Чек-лист на 30 дней: Неделя 1 — инвентаризация: актуализировать перечень объектов КИИ/ГИС, сверить с реестром ФСТЭК, проверить состав технических средств. Неделя 2 — уязвимости: запустить сканирование периметра, устранить все критические (срок по №117: 24ч) и высокие (7 дней), задокументировать результаты. Неделя 3 — документация: проверить актуальность модели угроз, ОРД, техпаспортов, категорирующих актов. Неделя 4 — доказательная база: собрать подтверждения выполнения каждой меры защиты с датами и ответственными.

Q: Какие санкции грозят за нарушения при проверке ФСТЭК?

За нарушения, выявленные при проверке: по ст. 13.12.1 КоАП — должностные лица 10–50 тыс. ₽, юрлица 50–500 тыс. ₽, при повторных — юрлица до 1 млн ₽; по ст. 19.5 (невыполнение предписания) — юрлица 300–500 тыс. ₽ или приостановление деятельности до 90 суток; по ст. 19.7.15 (нарушения уведомления КИИ) — юрлица до 500 тыс. ₽. Уголовная ответственность по ст. 274.1 УК до 10 лет при тяжких последствиях.

2025 год стал переломным для контроля в сфере информационной безопасности: ФСТЭК перешла от точечных проверок к системной работе. За три квартала 2025 года ведомство проверило 700+ объектов — вдвое больше, чем за весь 2024 год. Выявлено 1100+ нарушений, возбуждено около 350 административных дел. Если в 2024 году многие компании успевали закрыть нарушения до повторного визита, то теперь инспекторы приходят с уже сформированной доказательной базой.

Главный вывод из открытой статистики ФСТЭК: 60% субъектов КИИ не соответствуют требованиям приказов №235 и №239. Это не единичные нарушители — это большинство. При этом 40% нарушений квалифицируются как грубые и влекут административный протокол. Каждое третье сведение о категорировании возвращается ФСТЭК на доработку.

В этой статье — что именно проверяют инспекторы ФСТЭК, как выглядит предписание и как за 30 дней подготовить организацию к проверке без критических находок.

Статистика проверок ФСТЭК 2024–2025

Данные из официальных отчётов ФСТЭК России позволяют сравнить интенсивность контроля год к году:

Показатель	2024 год	2025 год (1–3 кв.)	Динамика
Проверено объектов	~300	700+	+133%
Выявлено нарушений	500+	1100+	+120%
Административных дел	150+	~350	+133%
Доля с грубыми нарушениями	~35%	40%	Рост
КИИ, не соответствующих №235/239	н/д	60%	—

Особо показательна статистика по уязвимостям: при проверке 100 ГИС инспекторы зафиксировали 1250+ уязвимостей — в среднем более 12 на одну систему. Большинство из них относились к прикладному программному обеспечению и имели известные патчи, которые организации просто не устанавливали.

Три ключевых тренда 2025 года:

Рост числа внеплановых проверок. В отличие от плановых, о которых уведомляют за 3 рабочих дня, внеплановые могут быть назначены по факту инцидента или по сигналу от другого ведомства — без предупреждения.
Перекрёстная верификация. ФСТЭК сверяет данные из реестра КИИ с информацией из НКЦКИ, Роскомнадзора и ФНС. Расхождения выявляются ещё до прихода инспектора.
Фокус на значимые объекты 1-й категории. Именно они попадают под проверку в первую очередь. При этом 1700+ объектов нарушают сроки представления сведений о категорировании — часть из них ещё не знает о своей категории.

Что проверяет ФСТЭК: 6 направлений

1. Реестр КИИ и соответствие фактического состава

Это направление лидирует по числу нарушений: 98% выявленных несоответствий связаны именно с расхождением между тем, что указано в реестре, и тем, что существует в действительности.

Типичные находки инспекторов:

Объект введён в эксплуатацию, но сведения о нём не поданы в реестр ФСТЭК в установленный срок (10 дней с момента ввода по 187-ФЗ).
Тестовые стенды и среды разработки подключены к производственным сетям и фактически являются частью критичной инфраструктуры — но не категорированы.
После модернизации системы изменился её функциональный состав, однако реестровые сведения не актуализированы.
Поглощённые или реорганизованные дочерние компании передали активы, но субъект КИИ не пересмотрел реестр.

Инспектор запрашивает: полный перечень объектов КИИ, сведения о категорировании (форма по Постановлению Правительства №127), акты комиссии по категорированию, приказы о назначении ответственных.

2. Уязвимости и сроки их устранения

Приказ ФСТЭК №117 установил жёсткие временные нормативы для значимых объектов КИИ. При проверке инспектор смотрит не только на факт анализа уязвимостей, но и на доказательства соблюдения SLA:

Критичность уязвимости	Срок устранения по №117
Критическая (CVSS 9.0–10.0)	24 часа с момента обнаружения
Высокая (CVSS 7.0–8.9)	7 дней
Средняя (CVSS 4.0–6.9)	30 дней
Низкая (CVSS 0.1–3.9)	По решению оператора

При проверке 100 ГИС было выявлено 1250+ уязвимостей — и большинство из них имели зафиксированные даты обнаружения, то есть организации знали о проблемах, но не устраняли их в срок. Это автоматически квалифицируется как нарушение.

Что проверяют:

Наличие журнала анализа уязвимостей с датами сканирований.
Отчёты сканирования из сертифицированного инструмента (Сканер-ВС, MaxPatrol, RedCheck и др.).
Подтверждения установки патчей или обоснованного принятия риска — с датами и подписями ответственных.
Настройки сигнатур в средствах обнаружения вторжений.

3. Категорирование объектов КИИ

Каждое третье сведение о категорировании возвращается ФСТЭК на доработку. Инспекторы знают наизусть типичные ошибки категорирующих комиссий.

Самые частые нарушения:

Занижение категории — наиболее распространённое умышленное нарушение. Категория определяется по показателям ущерба (социальному, экономическому, экологическому). Организации занижают оценку, чтобы избежать обременительных требований 1-й категории.
Отсутствие пересмотра после существенных изменений: смена собственника, модернизация ПО, расширение периметра сети.
Некорректная оценка показателей — не учтены транзитные зависимости других объектов КИИ, не оценён масштаб возможных последствий для смежных систем.
Состав комиссии — в комиссии нет специалиста по безопасности, отсутствуют представители структурных подразделений-владельцев систем.

4. Организационные документы

Инспектор ФСТЭК — это прежде всего аудитор документации. Технические меры трудно проверить за один визит, а вот документы запрашиваются сразу и проверяются на месте.

Обязательный пакет документов:

Модель угроз безопасности информации (МУ) — актуальная, соответствующая Методике ФСТЭК 2021 года.
Организационно-распорядительная документация (ОРД): политики, регламенты, инструкции — с датами утверждения и подписями.
Технические паспорта значимых объектов КИИ.
Планы мероприятий по обеспечению безопасности.
Документы о назначении ответственных за безопасность значимых объектов.
Отчёты об испытаниях системы безопасности.

Критичный момент: МУ должна быть актуальной. Если система изменилась, а МУ датирована двухлетней давностью — это нарушение пункта 7 Приказа №239. В 2025 году это нарушение присутствовало в предписаниях каждой второй проверенной организации.

5. Контроль подрядчиков

Это направление было выявлено практически во всех проверенных организациях как системный пробел. Логика простая: субъект КИИ несёт ответственность за безопасность объекта, даже если его обслуживает сторонний подрядчик.

Что запрашивают инспекторы:

Договоры с подрядчиками — наличие требований ИБ в техническом задании и приложениях.
Соглашения о неразглашении и доступе к объектам КИИ.
Журналы удалённого доступа подрядчиков.
Процедуры проверки персонала подрядчиков, имеющего доступ к значимым объектам.
Результаты аудита безопасности подрядчиков (при наличии).

Отсутствие хотя бы одного из этих элементов фиксируется как нарушение требований системности в рамках Приказа №235.

6. Средства защиты информации

Применение несертифицированных СЗИ — прямое нарушение требований 187-ФЗ и подзаконных актов. При проверке инспектор запрашивает перечень всех применяемых средств защиты и сверяет каждое с реестром сертифицированных продуктов ФСТЭК.

Типичные нарушения:

Антивирус, МЭ или SIEM без действующего сертификата ФСТЭК или ФСБ.
Устаревшая версия СЗИ — сертификат выдан на конкретную версию; установленный апдейт уже де-юре не сертифицирован.
Применение зарубежных решений, для которых сертификация не была получена.
Отсутствие документации на СЗИ: формуляр, правила эксплуатации, сведения об инсталляции.

Структура проверки: что происходит пошагово

Этап 1. Уведомление (за 3 рабочих дня для плановых). ФСТЭК направляет уведомление о предстоящей проверке с указанием даты, перечня проверяемых объектов и списка запрашиваемых документов. Внеплановые проверки могут проводиться без предварительного уведомления.

Этап 2. Прибытие и предъявление полномочий. Инспекторы предъявляют служебное удостоверение и приказ о проведении проверки. Важно: проверка начинается только после предъявления обоих документов. Руководитель или уполномоченное лицо вправе ознакомиться с приказом и зафиксировать состав инспекционной группы.

Этап 3. Сбор документов и технический осмотр. Инспекторы запрашивают документацию по всем шести направлениям. Параллельно проводится осмотр серверных помещений, АРМ операторов значимых объектов. Применяются инструменты сканирования уязвимостей (с разрешения проверяемого, но отказ фиксируется).

Этап 4. Составление акта проверки. По результатам составляется акт с перечнем всех выявленных нарушений и ссылками на конкретные пункты НПА. Проверяемое лицо вправе внести свои возражения в акт.

Этап 5. Предписание. Если нарушения выявлены — выдаётся предписание об их устранении. Для каждого нарушения указывается срок устранения (как правило, 30–90 дней).

Этап 6. Повторная проверка. Через 3–6 месяцев ФСТЭК проводит контрольную проверку исполнения предписания. Если нарушения не устранены — составляется протокол об административном правонарушении по ст. 19.5 КоАП.

Предписание ФСТЭК: как выглядит и что требует

Предписание — основной рычаг воздействия ФСТЭК по итогам проверки. Документ составляется по форме, утверждённой Приказом ФСТЭК №127 от 27.06.2024 («О порядке организации и проведения проверок»).

Структура предписания:

Заголовок: «ПРЕДПИСАНИЕ об устранении нарушений обязательных требований в области безопасности критической информационной инфраструктуры Российской Федерации».
Реквизиты: дата, номер, наименование субъекта КИИ, перечень проверенных объектов.
Перечень нарушений — каждое с указанием: нормативного акта и пункта, фактического состояния, требуемых действий и срока.
Подписи: руководитель инспекционной группы + руководитель проверяемой организации (или отметка об отказе от подписи).

Типичные формулировки нарушений в предписаниях:

«Устранить критические уязвимости в ЗОКИИ [наименование] в соответствии с Приказом ФСТЭК России от 25.12.2017 №239 пункт 17».
«Провести актуализацию модели угроз безопасности информации ЗОКИИ [наименование] в соответствии с Приказом ФСТЭК России от 25.12.2017 №239 пункт 7».
«Пересмотреть категорию значимости объекта КИИ».
«Уточнить сведения о составе технических средств и ПО ЗОКИИ».

Срок исполнения по каждому пункту проставляется индивидуально. При несогласии с предписанием его можно обжаловать в судебном порядке, однако исполнение обязательно даже в период обжалования.

Последствия за нарушения

Административная ответственность

Статья КоАП	За что	Должностные лица	Юридические лица
Ст. 13.12.1	Нарушение требований к защите КИИ	10–50 тыс. ₽	50–500 тыс. ₽
Ст. 13.12.1 (повторно)	То же, повторное нарушение	50–100 тыс. ₽	До 1 млн ₽
Ст. 19.5	Невыполнение предписания	30–50 тыс. ₽	100–200 тыс. ₽ + приостановление до 90 дней
Ст. 19.7.15 ч.3	Нарушение порядка уведомления о КИИ	50–100 тыс. ₽	100–200 тыс. ₽

Уголовная ответственность

Статья 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру»):

При ненадлежащей эксплуатации — до 6 лет лишения свободы.
При наступлении тяжких последствий — до 10 лет лишения свободы.

Уголовная ответственность наступает при доказанной связи между нарушением требований ИБ и реализацией инцидента, повлёкшего значительный ущерб.

Дополнительные последствия

Помимо штрафов, нарушители могут столкнуться с:

Исключением из реестра поставщиков для государственных закупок — при наличии административных взысканий по ст. 13.12.1.
Публичным раскрытием информации о нарушениях — ФСТЭК публикует обезличенные, но легко идентифицируемые данные в ежегодных отчётах.
Репутационными рисками — крупные инциденты, ставшие следствием нарушений, попадают в открытый доступ через НКЦКИ.
Гражданской ответственностью перед контрагентами при утечке их данных в результате нарушения безопасности КИИ.

Чек-лист: 30 дней до проверки ФСТЭК

Если вы получили уведомление о проверке или хотите подготовиться заблаговременно — вот план по неделям.

Неделя 1: Инвентаризация активов

Актуализировать полный перечень объектов КИИ организации.
Сверить перечень с реестром ФСТЭК — выявить расхождения.
Провести инвентаризацию технических средств каждого значимого объекта.
Проверить, не появились ли новые системы, которые нужно категорировать.
Убедиться, что тестовые стенды физически или логически изолированы от производственного периметра.

Неделя 2: Работа с уязвимостями

Запустить сканирование периметра сертифицированным инструментом.
Устранить все критические уязвимости (CVSS 9+) — срок по Приказу №117: 24 часа.
Устранить высокие уязвимости (CVSS 7–8.9) — срок: 7 дней.
Задокументировать результаты с датами и подписями ответственных.
Проверить наличие журнала анализа уязвимостей за последние 12 месяцев.

Неделя 3: Документация и регламенты

Проверить дату актуализации модели угроз — должна соответствовать текущему составу систем.
Актуализировать технические паспорта значимых объектов КИИ.
Проверить ОРД: политики, инструкции, приказы — наличие актуальных подписей.
Убедиться, что документы о подрядчиках (договоры, НДА, журналы доступа) в порядке.
Проверить сертификаты СЗИ — не истёк ли срок действия, соответствуют ли версии.

Неделя 4: Доказательная база

Собрать подтверждения выполнения каждой меры защиты по Приказу №239 — с датами, ответственными и артефактами.
Подготовить журналы событий безопасности за последние 3 месяца.
Сформировать папку с отчётами о тестировании системы безопасности.
Провести внутренний mock-аудит: пройти по перечню нарушений из данной статьи и проверить каждый пункт.
Назначить единую точку контакта с инспекционной группой.

Как SGRC-платформа КиберОснова готовит к проверке ФСТЭК

Ручная подготовка к проверке ФСТЭК в крупной организации занимает от 2 до 6 месяцев и требует скоординированной работы десятков специалистов. SGRC-платформа КиберОснова автоматизирует этот процесс.

Конкретные функции для подготовки к проверке:

Реестр КИИ в реальном времени — автоматическая синхронизация фактического состава активов с реестровыми данными. Расхождения выявляются до прихода инспектора.
Дашборд уязвимостей с SLA-трекингом — интеграция со сканерами (MaxPatrol, Сканер-ВС, RedCheck). Автоматическое проставление дедлайнов по Приказу №117, эскалация при просрочке.
Библиотека мер защиты №239 — 109 мер с индикаторами выполнения, привязкой к документам и ответственными. Всегда виден процент соответствия.
Конструктор ОРД — шаблоны модели угроз, политик, технических паспортов с автоподстановкой данных из реестра КИИ.
Контроль подрядчиков — журнал удалённого доступа, матрица доступов, уведомления при аномалиях.
Отчёт готовности к проверке — автогенерируемый документ с текущим статусом по каждому направлению проверки ФСТЭК.

Организации, использующие КиберОснова, закрывают подготовку к проверке за 2–4 недели вместо нескольких месяцев — и приходят к инспекторам с полной доказательной базой.

Запросить демо и узнать, как платформа работает в вашей инфраструктуре →

Итоги

ФСТЭК в 2025 году проверяет вдвое активнее, чем годом ранее. 60% субъектов КИИ нарушают требования, 40% нарушений влекут административные протоколы. Наиболее уязвимые направления — реестр КИИ (98% нарушений), уязвимости (1250+ на 100 ГИС) и организационная документация.

Подготовка к проверке — это не разовое мероприятие, а непрерывный процесс. Организации, выстроившие систему контроля соответствия, проходят проверки ФСТЭК без критических нарушений — а значит, без предписаний, штрафов и репутационных потерь.

Связанные материалы:

Что проверяет ФСТЭК при проверках ГИС и КИИ — 6 типичных нарушений и как подготовиться

Что проверяет ФСТЭК при проверках ГИС и КИИ — 6 типичных нарушений и как подготовиться

Статистика проверок ФСТЭК 2024–2025

Что проверяет ФСТЭК: 6 направлений

1. Реестр КИИ и соответствие фактического состава

2. Уязвимости и сроки их устранения

3. Категорирование объектов КИИ

4. Организационные документы

5. Контроль подрядчиков

6. Средства защиты информации

Структура проверки: что происходит пошагово

Предписание ФСТЭК: как выглядит и что требует

Последствия за нарушения

Административная ответственность

Уголовная ответственность

Дополнительные последствия

Чек-лист: 30 дней до проверки ФСТЭК

Неделя 1: Инвентаризация активов

Неделя 2: Работа с уязвимостями

Неделя 3: Документация и регламенты

Неделя 4: Доказательная база

Как SGRC-платформа КиберОснова готовит к проверке ФСТЭК

Итоги

Часто задаваемые вопросы

Связанные материалы

Автоматизируйте ИБ с КиберОснова