Время чтения: 12–15 минут | ЦА: CTO, CISO, DevOps технологических компаний
Ключевой риск: штрафы до 500 000 руб., внеплановые проверки
Парадокс: 187-ФЗ обязывает субъектов КИИ информировать о компьютерных инцидентах «незамедлительно», но при этом нет единой кнопки «подключиться к ГосСОПКА». Порядок подключения к ГосСОПКА размыт между методическими документами ФСБ, приказами ФСТЭК и техническими требованиями НКЦКИ. В результате — организации либо откладывают интеграцию, накапливая регуляторный долг, либо тратят месяцы на переговоры с ведомствами. Данный материал — практический гайд для IT-директоров: что именно нужно сделать, в какие сроки и какие санкции грозят за промедление.
Executive Summary
1. Кто обязан: все субъекты КИИ обязаны информировать НКЦКИ о компьютерных инцидентах (ч. 2 ст. 9 187-ФЗ). Владельцы значимых объектов КИИ дополнительно обязаны обеспечить «непрерывное взаимодействие» с ГосСОПКА (ст. 10 187-ФЗ).
2. Два пути подключения: (а) через собственный корпоративный центр ГосСОПКА; (б) через аккредитованный внешний SOC. Второй вариант быстрее и дешевле для большинства организаций.
3. Сроки информирования: не позднее 3 часов для значимых объектов КИИ, не позднее 24 часов для прочих объектов (Приказ ФСБ № 282).
4. Штрафы: от 150 000 до 500 000 руб. для юрлиц за непредставление информации в ГосСОПКА (ст. 19.7.15 КоАП РФ, ч. 2 ст. 13.12.1 КоАП РФ).
5. Технические требования: приказ ФСБ № 196 определяет требования к средствам ГосСОПКА; SIEM-система — программная основа для интеграции.
Что такое ГосСОПКА: назначение и архитектура
ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) — единый территориально распределённый комплекс, включающий силы и программно-технические средства для защиты критической информационной инфраструктуры РФ. Создание системы инициировано Указом Президента РФ № 31с от 15.01.2013, координатором назначена ФСБ России.
Ключевые функции ГосСОПКА
— Сбор и анализ информации о компьютерных атаках и инцидентах от субъектов КИИ;
— Координация мероприятий по реагированию на инциденты;
— Предоставление субъектам КИИ информации о средствах и методах атак;
— Методическая поддержка в области кибербезопасности.
Иерархия центров ГосСОПКА
НКЦКИ (Национальный координационный центр по компьютерным инцидентам) — главный центр, созданный на базе ФСБ России (Приказ ФСБ № 366 от 24.07.2018). НКЦКИ координирует деятельность всех участников системы, ведёт базы данных об инцидентах, обеспечивает межведомственное взаимодействие.
Ведомственные центры — создаются федеральными органами исполнительной власти для координации подведомственных организаций.
Корпоративные центры — создаются крупными организациями (субъектами КИИ) для мониторинга собственной инфраструктуры и инфраструктуры клиентов. Требуют аккредитации ФСБ России.
Важно: ГосСОПКА — это не средство защиты само по себе. Система не блокирует трафик, не расследует инциденты за организацию. Это канал для обмена информацией и механизм координации при атаках.
Кто обязан подключиться к ГосСОПКА
Формально «подключение к ГосСОПКА» как отдельная процедура в 187-ФЗ не упоминается. Закон оперирует понятиями «информирование» и «взаимодействие». Однако для выполнения этих требований de facto необходимо либо подключение к технической инфраструктуре НКЦКИ, либо организация альтернативных каналов связи.
Все субъекты КИИ (ч. 2 ст. 9 187-ФЗ)
Обязаны незамедлительно информировать о компьютерных инцидентах федеральный орган, уполномоченный в области функционирования ГосСОПКА (ФСБ России → НКЦКИ). К субъектам КИИ относятся организации, функционирующие в 14 сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность, а также государственные органы.
Владельцы значимых объектов КИИ (ч. 3 ст. 9, ст. 10 187-ФЗ)
Дополнительно обязаны: (1) соблюдать требования ФСТЭК по обеспечению безопасности; (2) создать систему безопасности объекта КИИ, которая должна обеспечивать «непрерывное взаимодействие с ГосСОПКА» (пп. 3 п. 3 ст. 10 187-ФЗ). Именно это требование подразумевает необходимость технического подключения.
IT-компании и поставщики услуг
IT-компания, обслуживающая субъектов КИИ, сама становится частью критической цепочки. Даже если собственная инфраструктура не критична, последствия сбоя затрагивают третьих лиц. Такие компании могут быть обязаны взаимодействовать с ГосСОПКА по договору с заказчиком или как субъекты КИИ по факту своей деятельности.
Пошаговая инструкция подключения к ГосСОПКА
Вариант 1: Подключение через внешний SOC (рекомендуется)
Шаг 1. Выбрать аккредитованный корпоративный центр ГосСОПКА. Перечень аккредитованных центров формируется НКЦКИ. Среди крупных игроков — «Перспективный мониторинг», «Информзащита», Positive Technologies, «Лаборатория Касперского» и др.
Шаг 2. Заключить соглашение с выбранным центром. В соглашении указываются: перечень информационных систем, номер и срок действия договора, инвентаризационная информация об объектах КИИ.
Шаг 3. Интегрировать свою инфраструктуру с системами мониторинга центра: подключить источники логов, настроить сбор событий безопасности.
Шаг 4. Центр уведомляет НКЦКИ о подключении вашей организации. С этого момента передача информации об инцидентах осуществляется через инфраструктуру центра.
Срок реализации: от 1 дня (минимальное подключение) до 1–3 месяцев (полноценная интеграция с мониторингом).
Вариант 2: Создание собственного корпоративного центра ГосСОПКА
Шаг 1. Направить письменный запрос в ФСБ России (107031, г. Москва, ул. Большая Лубянка, д. 1/3). В запросе указать: сферы деятельности, перечень информационных ресурсов, контактные данные ответственных лиц.
Шаг 2. Заключить соглашение с НКЦКИ о взаимодействии создаваемого корпоративного центра.
Шаг 3. Выполнить организационные требования: создать структурное подразделение, разработать регламенты, назначить ответственных специалистов (требования к персоналу — в методических документах ФСБ).
Шаг 4. Внедрить технические средства ГосСОПКА, соответствующие требованиям Приказа ФСБ № 196: средства обнаружения, предупреждения, ликвидации последствий, обмена информацией.
Шаг 5. Согласовать установку средств ГосСОПКА с НКЦКИ (срок согласования — до 45 календарных дней).
Шаг 6. Организовать взаимодействие с главным или территориальным центром ГосСОПКА: настроить каналы передачи данных, обеспечить защиту информации при обмене (СКЗИ).
Срок реализации: 6–18 месяцев. Бюджет: от нескольких миллионов рублей.
Таблица 1. Сравнение вариантов подключения к ГосСОПКА
| Критерий | Через внешний SOC | Собственный центр |
| Срок подключения | 1–8 недель | 6–18 месяцев |
| Начальные затраты | ~100–500 тыс. руб. | 5–20 млн руб. |
| Ежегодные затраты | 0,5–3 млн руб. | 5–15 млн руб. (персонал) |
| Персонал | Не требуется (аутсорс) | 3–10 специалистов 24/7 |
| Согласование с ФСБ | Выполняет SOC-провайдер | Самостоятельно (до 45 дней) |
| Для кого оптимально | Большинство субъектов КИИ | Крупные холдинги, госорганы |
Технические требования к подключению
Средства ГосСОПКА (Приказ ФСБ № 196)
К средствам ГосСОПКА относятся технические, программные и программно-аппаратные средства следующих категорий:
— Средства обнаружения компьютерных атак (IDS/IPS, SIEM);
— Средства предупреждения атак (threat intelligence, vulnerability scanners);
— Средства ликвидации последствий (SOAR, EDR);
— Средства поиска признаков атак (ППКА);
— Средства обмена информацией;
— Криптографические средства защиты информации (СКЗИ).
Ключевые требования к средствам
1. Импортонезависимость: средства должны иметь возможность модернизации российскими организациями, не находящимися под контролем иностранных лиц.
2. Исключение удалённого управления: запрет на удалённое управление со стороны лиц, не являющихся работниками субъекта КИИ или привлечённой лицензированной организации.
3. Защита информации: исключение несанкционированной передачи обрабатываемой информации. СКЗИ должны быть сертифицированы в системе сертификации ФСБ России.
4. Автоматизированный обмен: средства должны обеспечивать автоматизированный обмен информацией с НКЦКИ в форматах, определённых центром.
SIEM как программная основа
SIEM-система (Security Information and Event Management) — ядро технической инфраструктуры для подключения к ГосСОПКА. Примеры решений, внесённых в реестр средств ГосСОПКА: Kaspersky KUMA, MaxPatrol SIEM, R-Vision SIEM, Security Vision SOAR и др.
Штрафы за неподключение к ГосСОПКА
Прямой статьи «за неподключение к ГосСОПКА» в КоАП нет. Санкции наступают за нарушение обязанностей по информированию и взаимодействию:
Таблица 2. Административные штрафы за нарушения в сфере ГосСОПКА
| Нарушение | Должностное лицо | Юридическое лицо |
| Непредставление / нарушение сроков информации в ГосСОПКА (ч. 2 ст. 13.12.1) | 10 000 – 50 000 руб. | 150 000 – 500 000 руб. |
| Нарушение порядка обмена информацией об инцидентах (ч. 3 ст. 13.12.1) | 20 000 – 50 000 руб. | 100 000 – 500 000 руб. |
| Повторное нарушение (ч. 2 ст. 19.7.15) | 50 000 – 100 000 руб. | 100 000 – 200 000 руб. |
Важно: помимо штрафов возможны внеплановые проверки ФСТЭК и ФСБ, предписания об устранении нарушений, приостановление деятельности (в исключительных случаях). С 2024 года введены повышенные штрафы за повторные нарушения.
Типовые ошибки при подключении
1. Отождествление подключения с защитой. ГосСОПКА — канал обмена информацией, а не система защиты. Подключение не заменяет внедрение СЗИ по требованиям ФСТЭК (приказы № 235, № 239).
2. Надежда на «минимальный» канал. Приказ ФСБ № 367 допускает информирование по телефону, факсу или email для незначимых объектов. Но для значимых объектов КИИ требуется техническое подключение к инфраструктуре НКЦКИ.
3. Игнорирование сроков. 3 часа на уведомление о инциденте на значимом объекте — очень жёсткий дедлайн. Без автоматизации и заранее настроенных процессов уложиться невозможно.
4. Недооценка организационных требований. Для собственного центра ГосСОПКА требуются выделенные специалисты, регламенты, режим работы 24/7. Многие организации недооценивают эти затраты.
5. Несогласование с НКЦКИ. Установка средств ГосСОПКА требует согласования с НКЦКИ (до 45 дней). Без согласования — риск признания инфраструктуры несоответствующей требованиям.
Кейс: подключение IT-компании к ГосСОПКА
Ситуация: SaaS-провайдер (200+ сотрудников), обслуживающий клиентов в сфере здравоохранения и финансов. По результатам категорирования — 3 значимых объекта КИИ категории 3.
Задача: обеспечить взаимодействие с ГосСОПКА в соответствии с 187-ФЗ.
Решение: подключение через аккредитованный корпоративный центр класса A.
Этапы:
— Неделя 1: выбор SOC-провайдера, согласование SLA;
— Недели 2–4: интеграция SIEM с источниками логов (AD, межсетевые экраны, серверы приложений);
— Неделя 5: настройка правил корреляции и алертинга;
— Неделя 6: тестовый инцидент, проверка SLA по времени реагирования;
— Неделя 7: уведомление НКЦКИ о подключении через SOC.
Результат: 7 недель от старта до промышленной эксплуатации. Бюджет: ~1,2 млн руб./год (абонентская плата SOC). Альтернатива (собственный центр) оценивалась в 15+ млн руб. единовременно + 8 млн/год на персонал.
Заключение
Подключение к ГосСОПКА — не формальность, а реальный инструмент снижения рисков. Организация получает доступ к threat intelligence от НКЦКИ, оперативную информацию об актуальных угрозах, методическую поддержку при инцидентах. В случае атаки — возможность доказать регуляторам, что меры были приняты.
Рекомендации: (1) провести категорирование объектов КИИ, если не сделано; (2) для большинства организаций оптимален путь через внешний SOC; (3) заложить в план минимум 1–2 месяца на интеграцию; (4) не откладывать — штрафы растут, проверки активизируются.
Консультации по подключению к ГосСОПКА и комплаенсу КИИ:
@afischuk | @fishchuk_pravo
Нормативные источники
1. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
2. Указ Президента РФ от 15.01.2013 № 31с «О создании ГосСОПКА».
3. Приказ ФСБ России от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам».
4. Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в ГосСОПКА, и Порядка представления информации в ГосСОПКА».
5. Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах…».
6. Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах…».
7. Приказ ФСБ России от 06.05.2019 № 196 «Об утверждении Требований к средствам ГосСОПКА».
8. КоАП РФ, ст. 13.12.1, 19.7.15.
9. Официальный сайт НКЦКИ: https://cert.gov.ru
МАТЕРИАЛЫ ПО ТЕМЕ:
Штрафы за нарушение 187-ФЗ: судебная практика 2024–2025
Приказ ФСТЭК №117: Архитектура регуляторного переворота и инженерия выживания
Реестр российского ПО: как попасть и зачем. Фундаментальное руководство по цифровому суверенитету и налоговым стратегиям 2025–2026
ГОСТ Р 71657-2024 и новая эра ответственности CISO: Полный гид по нормативной трансформации 2025–2026 годов
