Приказ ФСТЭК России №239 — основной нормативный документ по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ). Принят в декабре 2017 года, действует в редакции 2024 года. Обязателен для субъектов КИИ в 13 отраслях — от энергетики до здравоохранения.
В этой статье — полный разбор: кому применяется, какие меры требует, как соотносится с другими приказами ФСТЭК и что грозит за нарушения.
Кому обязателен приказ ФСТЭК №239
Приказ №239 применяется к субъектам КИИ — организациям, которые владеют, пользуются или распоряжаются значимыми объектами КИИ, отнесёнными к одной из трёх категорий значимости.
13 сфер, на которые распространяется 187-ФЗ и приказ №239
- Здравоохранение
- Наука
- Транспорт
- Связь
- Энергетика
- Банки и иная финансовая сфера
- Топливно-энергетический комплекс
- Атомная промышленность
- Оборонная промышленность
- Ракетно-космическая промышленность
- Горнодобывающая промышленность
- Металлургическая промышленность
- Химическая промышленность
Важно: приказ №239 применяется только к значимым объектам КИИ — тем, которым по итогам категорирования присвоена 1, 2 или 3 категория. Объекты без категории под действие приказа не подпадают.
Три категории значимости объектов КИИ
Категория значимости определяется по результатам категорирования в соответствии с ПП-127. Влияет на объём требований приказа №239.
| Категория | Масштаб ущерба при инциденте | Требования |
|---|---|---|
| 1 (наивысшая) | Федеральный, отраслевой, межотраслевой | Максимальные |
| 2 | Региональный, межрегиональный | Расширенные |
| 3 | Объектовый (локальный) | Базовые |
Чем выше категория — тем жёстче требования к средствам защиты, тем больше мер подлежит реализации. Категория 1 соответствует наивысшему уровню угроз — объекты с потенциальным федеральным или межотраслевым ущербом.
Четыре группы мер по приказу №239
Структура требований в приказе №239 строится вокруг четырёх групп мер защиты, которые применяются в зависимости от категории значимости объекта.
Группа 1: Идентификация и аутентификация (ИАФ)
Управление учётными записями, применение многофакторной аутентификации, использование сертифицированных средств идентификации. Для объектов 1 категории — обязательна строгая аутентификация на всех критических узлах.
Группа 2: Управление доступом (УПД)
Разграничение прав пользователей, принцип минимальных привилегий, контроль привилегированного доступа, аудит действий. Требования к сегрегации ролей ужесточаются от категории 3 к категории 1.
Группа 3: Защита машинных носителей информации (ЗНИ)
Учёт, хранение, уничтожение носителей. Контроль подключения съёмных носителей. Шифрование данных при хранении (для категории 1).
Группа 4: Аудит безопасности (АУД)
Сбор и хранение событий безопасности, централизованный мониторинг, реагирование на аномалии. Для объектов 1 категории — сбор событий в реальном времени с интеграцией с ГосСОПКА.
Полный перечень групп мер
Приказ №239 охватывает 14 функциональных групп мер защиты:
| № | Группа | Аббревиатура |
|---|---|---|
| 1 | Идентификация и аутентификация | ИАФ |
| 2 | Управление доступом | УПД |
| 3 | Ограничение программной среды | ОПС |
| 4 | Защита машинных носителей | ЗНИ |
| 5 | Аудит безопасности | АУД |
| 6 | Антивирусная защита | АВЗ |
| 7 | Предотвращение вторжений | СОВ |
| 8 | Обеспечение целостности | ОЦЛ |
| 9 | Обеспечение доступности | ОДТ |
| 10 | Защита технических средств | ЗТС |
| 11 | Защита информационной системы | ЗИС |
| 12 | Реагирование на инциденты | ИНЦ |
| 13 | Управление конфигурацией | УКФ |
| 14 | Планирование мероприятий | ПЛН |
Этапы реализации мер защиты
Приказ №239 предусматривает трёхэтапный процесс реализации мер:
Этап 1: Базовый набор мер Применяется весь набор мер, предусмотренных для категории объекта. Это отправная точка — минимальный уровень защиты.
Этап 2: Адаптация базового набора Базовый набор адаптируется с учётом особенностей функционирования конкретного объекта. Часть мер может быть исключена с обоснованием, часть — усилена.
Этап 3: Дополнение адаптированного набора К адаптированному набору добавляются меры из других источников (методические документы ФСТЭК, лучшие практики) для закрытия актуальных угроз, определённых моделью угроз.
Такой подход обеспечивает гибкость: требования приказа — это минимальный стандарт, который можно усилить, но нельзя ослабить без обоснования.
Требования к средствам защиты информации
Средства защиты информации (СЗИ), применяемые на значимых объектах КИИ, должны иметь сертификат ФСТЭК России. Класс СЗИ зависит от категории объекта:
| Категория объекта | Минимальный класс СЗИ |
|---|---|
| 1 | 4-й класс и выше |
| 2 | 5-й класс и выше |
| 3 | 6-й класс и выше |
Требование распространяется на все СЗИ технической защиты информации. Антивирусные средства, межсетевые экраны, системы обнаружения вторжений — все должны быть сертифицированы.
Связь с ГосСОПКА (реагирование на инциденты)
Одно из ключевых требований приказа №239 — взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Субъект КИИ обязан:
- Информировать ФСБ России о компьютерных инцидентах на значимых объектах
- Реагировать на инциденты согласно утверждённому порядку
- Взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ)
Сроки информирования об инцидентах устанавливаются приказами ФСБ №547 и №546 (декабрь 2025).
Как приказ №239 соотносится с другими документами ФСТЭК
| Приказ ФСТЭК | Объект регулирования | Статус |
|---|---|---|
| №239 (ред. 2024) | Значимые объекты КИИ | Действует |
| №117 (с 01.03.2026) | ГИС, ИС госорганов, ГУП, МУП | Действует |
| №21 (ред. 2020) | ИСПДн (персональные данные) | Действует |
| №117 (до 01.03.2026) | ГИС | Утратил силу, заменён №117 |
Ключевое отличие №239 от №117: приказ №117 вводит числовой показатель КЗИ и оценку каждые 6 месяцев. Приказ №239 работает по системе категорий и базовых наборов мер — без КЗИ. Это две разные системы для разных объектов.
Если объект одновременно является ГИС и значимым объектом КИИ — выполняются оба приказа: и №117, и №239.
Что изменилось в редакции 2024 года
Приказ ФСТЭК №239 действует в редакции приказа №159 от 28.08.2024, который внёс ряд уточнений:
- Добавлены требования по защите от DDoS-атак — в первую очередь для объектов категории 1
- Уточнён порядок взаимодействия с ГосСОПКА в части компьютерных атак (не только инцидентов)
- Скорректированы условия применения компенсирующих мер
Категорирование: с чего начать
Прежде чем реализовывать требования приказа №239, необходимо провести категорирование объектов КИИ по ПП-127.
Порядок категорирования:
- Создать комиссию по категорированию (руководитель + ИБ + ИТ + производство)
- Сформировать перечень объектов КИИ
- Оценить каждый объект по критериям значимости
- Присвоить категорию (1, 2, 3) или отказать в присвоении
- Направить сведения в ФСТЭК в течение 10 дней
- ФСТЭК проверяет в течение 30 дней
По 58-ФЗ (апрель 2025) отраслевые ФОИВ утверждают перечни типовых объектов КИИ и отраслевые особенности категорирования — это делает процесс предсказуемым.
Типовые ошибки при выполнении требований №239
Ошибка 1: Категорирование «в ноль» Часть организаций проводит категорирование с результатом «ни один объект не является значимым» — чтобы избежать требований. ФСТЭК проверяет правильность категорирования и может вернуть сведения на пересмотр.
Ошибка 2: Применение мер только на бумаге Формальное соответствие без реальной защиты. При инциденте это влечёт ответственность.
Ошибка 3: Игнорирование требований к СЗИ Использование несертифицированных средств защиты на значимых объектах — прямое нарушение.
Ошибка 4: Отсутствие плана реагирования Требования группы ИНЦ (реагирование на инциденты) часто реализуются формально без реальных планов и отработанных процедур.
Ответственность за нарушения
Контроль за выполнением требований 187-ФЗ и приказа №239 осуществляет ФСТЭК России (для объектов в большинстве отраслей) и ФСБ (для оборонных и государственной безопасности).
Последствия нарушений:
- Предписания об устранении — с конкретными сроками
- Приостановление эксплуатации объекта при грубых нарушениях
- Административная ответственность должностных лиц (КоАП РФ)
- Повышенные риски при инцидентах: если инцидент произошёл из-за несоблюдения требований №239 — ответственность значительно выше
Как КиберОснова SGRC помогает с требованиями №239
Приказ №239 требует системного подхода: категорирование, документация, реализация мер, контроль, взаимодействие с ГосСОПКА. В ручном режиме это сложно масштабировать.
SGRC-платформа КиберОснова покрывает ключевые процессы:
Категорирование объектов КИИ Управление комиссией, формирование актов категорирования, реестр объектов КИИ по установленной форме.
Управление уязвимостями с интеграцией БДУ ФСТЭК Контроль уязвимостей на значимых объектах с приоритизацией по категории и актуальности угроз. Группа мер АУД — автоматически.
Управление инцидентами (ИНЦ) Регистрация, классификация, эскалация, взаимодействие с ГосСОПКА. Шаблоны уведомлений в соответствии с требованиями ФСБ №547.
Документация Автоматическая генерация политики безопасности значимых объектов КИИ, планов реагирования, актов категорирования.
Если ваша организация попадает под оба регулятора — №239 (КИИ) и №117 (ГИС) — платформа закрывает оба приказа в единой системе.
Запросить демо — покажем, как платформа закрывает требования приказа №239 для вашей отрасли.
Часто задаваемые вопросы
Что такое приказ ФСТЭК №239? Приказ ФСТЭК России от 25.12.2017 №239 устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры. Обязателен для субъектов КИИ в 13 отраслях. Применяется вместе с 187-ФЗ.
Кому обязателен приказ ФСТЭК №239? Приказ обязателен для субъектов КИИ, владеющих значимыми объектами критической информационной инфраструктуры 1, 2 или 3 категории. Это организации в сферах здравоохранения, транспорта, энергетики, финансов, связи, оборонной промышленности и других.
Сколько требований в приказе ФСТЭК №239? Приказ №239 содержит меры защиты, сгруппированные в 14 функциональных группах (ИАФ, УПД, ОПС, ЗНИ, АУД и другие). Конкретный набор мер зависит от категории значимости объекта: 1, 2 или 3.
Какие категории значимости КИИ устанавливает приказ №239? Три категории значимости: 1 (наивысшая — федеральный/межотраслевой ущерб), 2 (региональный ущерб), 3 (объектовый ущерб). Категория определяется по результатам категорирования согласно ПП-127. Чем выше категория — тем жёстче требования.
Чем приказ ФСТЭК №239 отличается от приказа №117? Приказ №239 регулирует защиту значимых объектов КИИ, приказ №117 — государственных информационных систем. Это два разных документа для разных объектов. №117 вводит числовой показатель КЗИ, №239 работает с категориями и базовыми наборами мер. Если объект является и ГИС, и значимым объектом КИИ — применяются оба приказа.
Что нужно для соответствия приказу ФСТЭК №239?
- Провести категорирование объектов КИИ и направить сведения в ФСТЭК. 2) Определить базовый набор мер по своей категории. 3) Адаптировать и дополнить набор с учётом модели угроз. 4) Реализовать меры с применением сертифицированных СЗИ. 5) Наладить взаимодействие с ГосСОПКА.
Какой класс СЗИ нужен для объектов 1 категории по приказу №239? Для значимых объектов КИИ 1 категории необходимы сертифицированные СЗИ не ниже 4-го класса по ФСТЭК. Для 2 категории — не ниже 5-го класса. Для 3 категории — не ниже 6-го класса.
Связанные материалы: Категорирование объектов КИИ · Реформа КИИ: что изменил 58-ФЗ · БДУ ФСТЭК: интеграция с SGRC · Что такое SGRC
Порядок разработки документации для значимых объектов КИИ
Приказ №239 предусматривает обязательный комплект документации для каждого значимого объекта. Документы разрабатываются в следующей последовательности:
1. Техническое задание на создание системы безопасности — на основании модели угроз и категории объекта. Определяет требования к системе безопасности.
2. Модель угроз и нарушителя — разрабатывается по методологии ФСТЭК (методика 2021 года). Основа для определения состава мер защиты.
3. Технический проект системы безопасности — проектные решения по реализации мер защиты. Включает перечень применяемых СЗИ с указанием сертификатов.
4. Программа и методика испытаний — для аттестации системы безопасности (для объектов, на которых обрабатывается информация, составляющая государственную тайну, или иная информация с требованием аттестации).
5. Организационно-распорядительные документы — политика безопасности объекта КИИ, план реагирования на инциденты, инструкции персоналу.
Учёт СЗИ в реестре значимых объектов
Все СЗИ, применяемые на значимых объектах КИИ, должны быть зафиксированы в реестре. Учёт ведётся в разрезе:
- Наименование и версия СЗИ
- Сертификат ФСТЭК: номер, класс, срок действия
- Местонахождение (на каком объекте/активе)
- Ответственный за обслуживание
- Дата ввода в эксплуатацию
SGRC-платформа КиберОснова автоматизирует учёт СЗИ с контролем сроков сертификатов и уведомлениями об истечении.
Чек-лист первичного соответствия приказу ФСТЭК №239
Используйте этот перечень для оценки текущего уровня готовности:
Этап 1: Организация
- Проведено категорирование объектов КИИ, сведения направлены во ФСТЭК
- Создан реестр объектов КИИ с указанием категорий
- Назначены ответственные за безопасность каждого значимого объекта
- Разработана политика безопасности объектов КИИ
Этап 2: Документация
- Разработана модель угроз и нарушителя для каждого значимого объекта
- Составлен перечень мер защиты (базовый набор + адаптация)
- Разработан план реагирования на инциденты с порядком взаимодействия с ГосСОПКА
- Сформирован реестр применяемых СЗИ с реквизитами сертификатов ФСТЭК
Этап 3: Технические меры
- Реализованы меры ИАФ: учётные записи, МФА для 1 и 2 категории
- Реализованы меры УПД: разграничение прав, принцип минимальных привилегий
- Реализованы меры АУД: централизованный сбор событий безопасности
- Применяются сертифицированные СЗИ нужного класса
- Настроена система управления уязвимостями с интеграцией с БДУ ФСТЭК
Этап 4: Взаимодействие с регуляторами
- Налажено взаимодействие с ГосСОПКА (НКЦКИ ФСБ)
- Разработаны и утверждены шаблоны уведомлений об инцидентах (по приказам ФСБ №547, №546)
- Определён порядок информирования об инцидентах (кто, когда, куда)
Проверки ФСТЭК: что проверяют
ФСТЭК проводит проверки субъектов КИИ в плановом и внеплановом порядке. Предмет проверки:
1. Правильность категорирования — соответствие присвоенных категорий критериям ПП-127. Чаще всего ФСТЭК выявляет занижение категорий.
2. Полнота реализованных мер — соответствие реализованного набора мер базовому набору для присвоенной категории.
3. Применение сертифицированных СЗИ — соответствие класса сертификатов категории объекта. Применение несертифицированных СЗИ — наиболее грубое нарушение.
4. Состояние документации — наличие актуальной модели угроз, плана реагирования, политики безопасности.
5. Взаимодействие с ГосСОПКА — налажен ли процесс уведомления об инцидентах.
По результатам проверки ФСТЭК вправе выдать предписание с требованием устранить нарушения в установленный срок, а при грубых нарушениях — приостановить эксплуатацию объекта.
Как связаны приказы №239, 187-ФЗ и ПП-127
Три документа формируют единую систему регулирования КИИ:
- 187-ФЗ — базовый закон, определяющий понятия субъекта и объекта КИИ, устанавливающий обязанности субъектов
- ПП-127 (Постановление Правительства №127) — правила категорирования, критерии значимости, порядок направления сведений во ФСТЭК
- Приказ №239 — требования по обеспечению безопасности после присвоения категории
Последовательность: сначала 187-ФЗ определяет, кто является субъектом → ПП-127 регулирует, как провести категорирование → Приказ №239 устанавливает, что делать с объектами, которым присвоена категория.
КиберОснова SGRC автоматизирует все три этапа: формирует перечень объектов КИИ, поддерживает процесс категорирования с оценкой по всем 14 критериям и контролирует выполнение мер по приказу №239.
Заключение
Приказ ФСТЭК №239 — это системный документ, охватывающий весь жизненный цикл безопасности значимых объектов КИИ: от категорирования до реагирования на инциденты. Четырнадцать функциональных групп мер формируют комплексный подход, который не сводится к формальному «закрытию пунктов» — требуется реальная реализация с сертифицированными СЗИ и выстроенными процессами.
Ключевые рекомендации для субъектов КИИ:
- Не откладывайте категорирование — за нарушение сроков предусмотрена ответственность
- Не занижайте категории — ФСТЭК проверяет правильность и может вернуть сведения на пересмотр
- Применяйте только сертифицированные СЗИ нужного класса — это обязательное требование, не рекомендация
- Автоматизируйте управление уязвимостями и учёт СЗИ — без инструментов поддерживать актуальность реестра невозможно
КиберОснова SGRC — платформа, которая закрывает ключевые требования приказа №239: категорирование, учёт активов и СЗИ, управление уязвимостями, документация, реагирование на инциденты. Запросите демо и оцените готовность вашей организации к требованиям регулятора.
Связанные материалы: Категорирование объектов КИИ · Реформа КИИ: 58-ФЗ · Сравнение приказов ФСТЭК
Частые вопросы о реализации приказа №239
Нужна ли лицензия ФСТЭК для реализации мер по приказу №239? Лицензия ФСТЭК (лицензия на деятельность по технической защите конфиденциальной информации — ТЗКИ) необходима для оказания услуг по защите объектов КИИ сторонними организациями. Субъект КИИ, реализующий меры защиты собственными силами на своих объектах, лицензию не получает, но его специалисты должны иметь необходимую квалификацию.
Можно ли использовать зарубежные СЗИ на значимых объектах КИИ? Формально приказ №239 требует сертифицированных СЗИ. Зарубежные СЗИ могут быть сертифицированы ФСТЭК, однако в условиях санкций большинство зарубежных вендоров прекратили поддержку и обновление сертификатов. ФСТЭК ориентирует субъектов КИИ на применение отечественных решений, включённых в реестр российского ПО.
Что такое компенсирующие меры? Компенсирующие меры — это альтернативные технические или организационные меры, применяемые вместо основных, когда реализация основных мер невозможна или нецелесообразна. Применение компенсирующих мер допускается с обоснованием и согласованием с ФСТЭК. Редакция 2024 года уточнила условия применения компенсирующих мер.
Актуально на март 2026 года. Источники: Приказ ФСТЭК №239 (ред. 2024), 187-ФЗ, ПП-127.
