Нужно ли проводить инвентаризацию ДО категорирования объектов КИИ?

Да, инвентаризация — обязательный первый шаг. Без актуального реестра активов комиссия по категорированию не сможет определить состав объектов КИИ, оценить применимость показателей значимости из Постановления Правительства № 127 и сформировать акты категорирования. ФСТЭК при проверке запрашивает реестр активов в первую очередь — Excel-файл, актуальность которого никто не подтверждает, не подойдёт.

Можно ли использовать существующий Excel-реестр или нужна система?

Excel допустим для микропредприятий с 10–20 активами. Для среднего и крупного субъекта КИИ Excel создаёт риски: данные устаревают за неделю, нет привязки активов к объектам КИИ, нет автоматической сверки с БДУ ФСТЭК, нет аудита изменений. На проверке инспектор увидит несоответствие реальному состоянию инфраструктуры — это нарушение по 187-ФЗ. Автоматизированная система обеспечивает актуальность и прослеживаемость.

Поддерживает ли агент промышленные ОС и АСУ ТП?

Да, агент Кибероснова работает на Windows, Linux (Astra, ALT, РЕД ОС), а также на специализированных промышленных операционных системах. Сбор данных не нагружает узлы и не нарушает технологический процесс — это критично для АСУ ТП в энергетике, ТЭК, на транспорте. Для изолированных сегментов АСУ применяется офлайн-сбор с последующей синхронизацией реестра в защищённом контуре.

Сколько времени занимает инвентаризация субъекта с 200 активами?

При ручной инвентаризации — 3–4 недели работы ИБ-отдела с обходом помещений и заполнением таблиц. С агентом Кибероснова — 1–2 дня: развёртывание агента занимает несколько часов, автоматический сбор данных проходит за ночь, ещё один день уходит на привязку активов к объектам КИИ и валидацию ответственным. Дальше реестр поддерживается в актуальном состоянии без дополнительных трудозатрат.

Поможет ли реестр Кибероснова при проверке ФСТЭК?

Да, реестр в Кибероснове формируется по требованиям Приказа ФСТЭК № 239 и сопутствующих методических документов. На проверке инспектор увидит актуальный перечень объектов КИИ, привязанные активы, реестр СЗИ с номерами сертификатов и поэкземплярный учёт СКЗИ по Приказу ФАПСИ № 152. Все данные экспортируются в PDF и Excel за один клик — без ночной подготовки документов.

Как часто нужно обновлять реестр активов КИИ?

Реестр должен поддерживаться в актуальном состоянии постоянно — это требование 187-ФЗ и Приказа ФСТЭК № 239. На практике значимые изменения (ввод новых ИС, замена СЗИ, обновление ОС) должны отражаться в реестре в течение нескольких рабочих дней. Агент Кибероснова обновляет данные автоматически при каждом запуске — обычно 1–2 раза в сутки. Это снимает с ИБ-отдела рутину поддержания актуальности.

Решение для КИИ

Инвентаризация активов субъекта КИИ

Первый обязательный шаг по 187-ФЗ: реестр оборудования, программного обеспечения, СЗИ и СКЗИ для категорирования объектов КИИ

Запросить демо Категорирование КИИ

Что требует 187-ФЗ от субъектов КИИ

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» обязывает субъектов КИИ вести перечень принадлежащих им объектов — информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей. Без актуального реестра активов невозможно ни категорирование по Постановлению Правительства № 127, ни выполнение требований Приказа ФСТЭК № 239.

На практике это означает три обязательных перечня: объекты КИИ (ИС, АСУ, ИТКС), активы внутри каждого объекта (серверы, АРМ, сетевое оборудование, ПО) и средства защиты — отдельно СЗИ с номерами сертификатов ФСТЭК и поэкземплярный учёт СКЗИ по Приказу ФАПСИ № 152.

Проверка ФСТЭК запрашивает реестр активов в первую очередь. Excel-файл, последний раз обновлённый полгода назад, не подойдёт — инспектор увидит расхождения с реальной инфраструктурой за пять минут. Это нарушение по 187-ФЗ с административной ответственностью до 500 000 рублей.

Перечень объектов КИИ (ИС, АСУ, ИТКС) — основа для категорирования
Привязка активов к объектам — какие серверы и АРМ относятся к каждой ИС
Реестр СЗИ с номерами сертификатов ФСТЭК — необходимо для аттестации
Реестр СКЗИ — поэкземплярный учёт по Приказу ФАПСИ № 152

Что собирает агент Кибероснова на объектах КИИ

Полный охват инфраструктуры: офисная сеть, серверы, АСУ ТП, средства защиты

Серверы и АРМ

Производитель, модель, серийный номер, инвентарный номер, операционная система, версия ОС, дата ввода в эксплуатацию. Привязка к объекту КИИ.

Промышленные контроллеры

Объекты АСУ ТП — ПЛК, SCADA-серверы, HMI-панели. Сбор данных без нарушения технологического процесса, поддержка специализированных промышленных ОС.

Сетевое оборудование

Маршрутизаторы, коммутаторы, межсетевые экраны, точки доступа. Версии прошивок, сегмент сети, принадлежность к ИТКС субъекта КИИ.

Средства защиты информации

Антивирусы, межсетевые экраны, IDS/IPS, DLP, средства защиты от НСД. Номера сертификатов ФСТЭК — необходимы для аттестации значимых объектов КИИ.

Криптосредства (СКЗИ)

КриптоПро CSP, ViPNet, Континент, Соболь. Поэкземплярный учёт по требованиям Приказа ФАПСИ № 152: серийный номер, формуляр, ответственное лицо.

Программное обеспечение

Системное и прикладное ПО на объектах КИИ. Версия, разработчик, лицензия, отнесение к российскому реестру ПО Минцифры — критично для импортозамещения.

Как провести инвентаризацию субъекту КИИ — 6 шагов

От определения периметра до экспорта реестра для комиссии по категорированию

Определение периметра КИИ

Комиссия определяет, какие сегменты сети, информационные системы (ИС), автоматизированные системы управления (АСУ) и сети связи (ИТКС) входят в инфраструктуру субъекта КИИ. На этом шаге фиксируется граница инвентаризации.

Развёртывание агента

Агент Кибероснова устанавливается на рабочие станции, серверы и промышленные узлы. Поддержка Windows, Astra Linux, ALT Linux, РЕД ОС и специализированных ОС АСУ ТП. Развёртывание через AD, SCCM, Ansible или вручную.

Сбор данных об активах

Агент автоматически собирает сведения об оборудовании, операционных системах, прикладном ПО, средствах защиты и криптосредствах. Сбор не нагружает узлы — критично для непрерывности технологических процессов АСУ ТП.

Привязка активов к объектам КИИ

Каждый собранный актив привязывается к конкретному объекту КИИ — ИС, АСУ или ИТКС. Используются теги, сегменты сети и метаданные. Получается матрица «объект КИИ → активы → СЗИ» для комиссии по категорированию.

Сверка с БДУ ФСТЭК

Установленные версии ОС и ПО автоматически сверяются с базой данных угроз и уязвимостей ФСТЭК. Выявляются критические уязвимости на объектах КИИ — это входная информация для модели угроз и оценки рисков.

Экспорт реестра для комиссии

Готовый реестр активов экспортируется в формате для комиссии по категорированию: перечень объектов КИИ, перечень активов с привязкой, перечень СЗИ и СКЗИ. PDF и Excel — за один клик.

Реестр готов для подачи в комиссию по категорированию и для проверки ФСТЭК

Excel vs Кибероснова для инвентаризации КИИ

Автоматизированная инвентаризация заменяет ручной обход и сводит риск ошибок при подготовке к категорированию к нулю

Критерий	Excel / ручной учёт	Кибероснова
Сбор данных	3–4 недели вручную	1–2 дня автоматически
Промышленные ОС	Не учитываются	Поддержка Linux + российских ОС
Привязка к объектам КИИ	Ручная, ошибки	Автоматическая через теги
Реестр СЗИ	Часто устаревший	Актуальный, с сертификатами ФСТЭК
Реестр СКЗИ	Отдельный журнал	Поэкземплярно, по Приказу ФАПСИ № 152
Сверка с БДУ ФСТЭК	Вручную раз в год	Автоматически ежедневно
Готовность к проверке ФСТЭК	Подготовка дни	Экспорт в PDF за 1 клик
Аудит изменений	Нет	Полная история по каждому активу

Что вы получаете на выходе

Результат инвентаризации — это не «куча данных», а готовые регуляторные артефакты, которые сразу подаются комиссии по категорированию и предоставляются ФСТЭК при проверке.

Готовый реестр для подачи комиссии по категорированию объектов КИИ
Привязка каждого актива к конкретному объекту КИИ — ИС, АСУ или ИТКС
Перечень СЗИ с указанием номеров сертификатов ФСТЭК — необходимо для аттестации значимых объектов КИИ
Перечень СКЗИ — поэкземплярный учёт по Приказу ФАПСИ № 152
Карта связей: на каких машинах какие СЗИ установлены — основа модели угроз
Сверка установленного ПО с БДУ ФСТЭК — готовый список уязвимостей объектов КИИ