Прошедший 2025 год стал периодом, когда регуляторы в лице ФСТЭК и ФСБ России окончательно перешли от политики «общих требований» к формированию жестких, методологически выверенных показателей эффективности защиты. Для специалистов, работающих в сфере мониторинга ИБ, это означает, что главным трендом стали автоматизация контроля и непрерывность взаимодействия с государственными системами. Если раньше мониторинг безопасности зачастую воспринимался как внутренняя техническая политика компании, то теперь он стал частью государственного наблюдения за состоянием защищенности критичной для обеспечения функционирования государства информационной инфраструктуры.

Ключевым драйвером изменений стал Федеральный закон от 07.04.2025 № 58-ФЗ, который внес изменения в 187-ФЗ «О безопасности КИИ». Закон не только закрепил обязанность перехода на отечественное ПО, но и дал старт масштабному пересмотру подзаконных актов, регулирующих обнаружение компьютерных атак.

Владельцам критической информационной инфраструктуры (КИИ) необходимо пересмотреть политики управления ИБ с учетом того, что мониторинг теперь является не внутренней опцией, а обязательной частью взаимодействия с регулятором. Кроме этого, нужно обеспечить финансирование дооснащения инфраструктуры средствами автоматизации — так как ручное оповещение в сроки, составляющие 3 часа для ЗОКИИ, невозможно.

В статье рассмотрим ключевые изменения нормативной базы, вступившие в силу в 2025 и начале 2026 года, которые трансформируют подходы к мониторингу информационной безопасности объектов критической информационной инфраструктуры. Проведем анализ новой методики оценки уязвимостей от ФСТЭК России, свежих приказов ФСБ России в области ГосСОПКА, а также усиление ответственности за использование средств защиты информации. Покажем ключевые изменения, которые должны реализовать владельцы КИИ и центра мониторинга информационной безопасности.

В 2025 году ФСТЭК России представила несколько документов, которые напрямую влияют на качество мониторинга ИБ и оценки защищенности.

Новая методика оценки критичности уязвимостей

В конце июня 2025 года утверждена обновленная «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств», которая заменила версию 2022 года. Для центров мониторинга ИБ (SOC) и аудиторов принципиальными стали следующие изменения:

• Расширение сферы применения: методика теперь распространяется не только на ГИС и объекты КИИ, но и на государственные учреждения и унитарные предприятия.
• Новая формула расчета: в расчет уровня критичности (V) добавлены показатели возможности эксплуатации (I_at) и последствий эксплуатации (I_imp). Это сближает методологию ФСТЭК России с динамической оценкой угроз, используемой в реальных атаках.
• Ужесточение порогов: критический уровень теперь присваивается при значении V > 8,0 (ранее порог был 7,0). Особо отмечено, что уязвимости в сертифицированных СЗИ автоматически получают критический уровень.
• Непрерывный пересчет: регулятор требует пересчета критичности на постоянной основе, желательно в автоматизированном режиме, при появлении новых данных (например, публикации эксплойтов). Данное требование означает необходимость внедрения автоматизированных средств непрерывного пересчета критичности уязвимостей по новой формуле, назначения ответственных за мониторинг появления эксплойтов. Это прямая задача для систем мониторинга событий ИБ.

Методика оценки показателя защищенности

В ноябре 2025 года ФСТЭК России утвердила «Методику оценки показателя состояния технической защиты информации в ИС и обеспечения безопасности ЗО КИИ», которая вводит понятие «показатель текущего состояния защищенности К_ЗИ». Данный показатель должен рассчитываться не реже одного раза в полгода. Если коэффициент защищенности информации (К_ЗИ) ниже нормированного (< 1), то это официально указывает на наличие предпосылок для реализации угроз нарушителями с базовыми возможностями.

Требования в части мониторинга ИБ прописаны четко

1. Реализован централизованный сбор событий безопасности и оповещение о неудачных попытках входа для привилегированных учетных записей.
2. Реализован централизованный сбор и анализ событий безопасности на всех устройствах, взаимодействующих с сетью Интернет.
3. Утвержден документ, определяющий порядок реагирования на компьютерные инциденты.

Владельцам КИИ необходимо утвердить регламент полугодового расчета показателя К_ЗИ и предоставления результатов во ФСТЭК России, а также контролировать соблюдение установленных сроков. В общую процедуру расчета показателя К_ЗИзначения по процедуре мониторинга ИБ входят с весовым коэффициентов 0,3. Вес данного показателя существенен для итоговой оценки (равной 1). Таким образом, при отсутствии работ по мониторингу ИБ или их недостаточном качестве выполнить требования к расчетному показателю (равен 1) не предоставляется возможным.

Анализируя подход, описанный в методике, можно отметить, что теперь состояние защиты информации имеет четкую количественную оценку. Это позволяет ФСТЭК России формировать объективный рейтинг защищенности ведомств и компаний, а также обоснованно выдавать предписания. Результаты оценки и подтверждающие документы должны направляться в ФСТЭК России, что делает внутренний мониторинг прозрачным для регулятора.

Сертификация средств обнаружения и реагирования

Приказом ФСТЭК России от 26.02.2025 № 58 были утверждены требования к средствам обнаружения и реагирования на уровне узла. Это значит, что агенты защиты (EDR-решения), используемые на значимых объектах КИИ, теперь должны проходить процедуру сертификации по требованиям безопасности информации. Использование «самописных» или несертифицированных агентов мониторинга становится невозможным.

Таким образом, владельцам КИИ требуется провести аудит используемых средств обнаружения на наличие действующих сертификатов ФСТЭК России, при необходимости заменить несертифицированные решения.

Вывод

Организациям, попадающим под действия рассмотренных документов, необходимо инициировать инвентаризацию всех используемых средств защиты (особенно агентского ПО) на предмет наличия действующих сертификатов ФСТЭК России. Утвердить регламент полугодовой отчетности по показателю защищенности, назначив ответственных за сбор данных от SOC и технических служб.

Центрам мониторинга инцидентов ИБ — интегрировать в процессы мониторинга автоматизированный сбор данных об уязвимостях и их пересчет по новой методике ФСТЭК России (V > 8,0). Настроить корреляцию событий таким образом, чтобы попытки эксплуатации критических уязвимостей, особенно в СЗИ, вызывали наивысший приоритет инцидента — критичный. Включить в отчетность для руководства не просто перечень событий, а динамику показателя К_ЗИ в разрезе активов.

Наиболее существенные изменения произошли в нормативной базе ФСБ России, регулирующей взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ). В декабре 2025 года был подписан целый пакет приказов, вступивших в силу в январе-феврале 2026 года.

Приказ № 540 от 24.12.2025: определение зон ответственностей

Приказ ФСБ России № 540 от 24.12.2025 расширил полномочия НКЦКИ, который теперь координирует не только субъектов КИИ, но и аккредитованные центры ГосСОПКА, органы и организации, а также получил право запрашивать данные об устранении уязвимостей.

Приказ № 546: обязательный обмен информацией

Приказ ФСБ России от 25.12.2025 № 546 утвердил порядок обмена информацией о компьютерных атаках/инцидентах, в том числе с иностранными организациями. Центральным требованием приказа является не только определение формата и сроков обмена информацией, но и расширение состава предоставляемых данных — теперь требуется информирование об атаках в дополнение к уже определенным типам инцидентов.

Сроки информирования: информирование НКЦКИ о компьютерных атаках и инцидентах, связанных с функционированием объекта КИИ, составляет 12 часов при получении информации от другого субъекта КИИ и 24 часа — при получении информации от иностранной организации.

Приказ № 547: информирование за 3 часа

Приказ ФСБ России от 25.12.2025 № 547 утвердил новый порядок информирования о компьютерных атаках и инцидентах информационной безопасности. Ключевые параметры для субъектов КИИ в области мониторинга ИБ:

• Сроки информирования : об инцидентах на значимых объектах КИИ необходимо сообщать в НКЦКИ в течение 3 часов. Для иных объектов и информационных ресурсов госорганов — 24 часа.
• Утверждение планов: руководитель субъекта КИИ обязан утвердить план реагирования на инциденты и направить его копию в НКЦКИ в течение 7 дней. Если к реагированию будет привлекаться ФСБ России, то план сначала согласовывается с регулятором, а после утверждается. Для банковской сферы предусмотрено согласование с ЦБ РФ.
• Результаты работ: отчет о результатах реагирования и ликвидации последствий атак направляется в течение 24 часов с момента окончания мероприятий.

Приказ № 548: непрерывное взаимодействие

Приказ № 548 вводит понятие «непрерывное взаимодействие» с ГосСОПКА. Документ закрепляет переход от эпизодического информирования к постоянно функционирующему каналу связи между субъектом КИИ и НКЦКИ. Такай канал реализуется исключительно через подключение к технической инфраструктуре НКЦКИ: личный кабинет субъекта ГосСОПКА. Это технически означает, что у субъекта КИИ должен быть настроен защищенный канал связи и организован автоматизированный обмен данными в форматах, определенных НКЦКИ. «Бумажный» обмен информацией или передача через электронную почту допускаются только как резервный канал — в случае нарушения взаимодействия через личный кабинет.

Через этот канал реализуются две основные функции:

• направление информации о компьютерных атаках и инцидентах, связанных с функционированием значимых объектов КИИ;
• получение информации об угрозах безопасности информации, включая готовящиеся атаки, признаки инцидентов и необходимые меры противодействия.

SOC, как центр ГосСОПКА, имеющий соглашение и регламент взаимодействия с НКЦКИ, должен предоставлять информацию обо всех инцидентах ИБ происходящих в организациях, находящихся в его зоне ответственности.

Приказ № 539: проактивное получение информации

Согласно приказу № 539, субъекты КИИ теперь обязаны не только отправлять данные, но и активно получать информацию об угрозах с портала cert.gov.ru и от НКЦКИ. Это формирует среду «киберщита», в которой регулятор оперативно снабжает бизнес данными о новых средствах и способах проведения атак, а также предоставляет рекомендации по противодействию.

Таким образом, необходимо эффективно выстроить работу с индикаторами компрометации, автоматизировать учет сведений из бюллетеней НКЦКИ и интегрировать эти данные в процессы SOC. Это позволит построить более эффективную систему выявления кибератак.

Приказ № 554: новые требования к средствам

Приказ ФСБ России от 26.12.2025 № 554 обновил требования к средствам обнаружения, предупреждения и ликвидации последствий компьютерных атак. Особое внимание уделено средствам поиска признаков атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ. Это фактически легитимизирует и стандартизирует использование систем глубинного анализа трафика (Deep Packet Inspection — DPI) в контуре КИИ.

При использовании средств анализа сетевого трафика необходимо убедиться в их соответствии новым требованиям ФСБ России, при необходимости провести доработку или замену.

Вывод

Организациям, попадающим под действие рассмотренных документов, в случае самостоятельного взаимодействия необходимо юридически и технически оформить подключение к инфраструктуре личного кабинета НКЦКИ. Это больше не рекомендация, а обязательное условие.

Необходимо:

• Утвердить и направить в НКЦКИ план реагирования на инциденты. При использовании внешнего SOC это не требуется, так как входит в зону ответственности центра.
• Убедиться, что выделенный персонал (дежурная смена) знает свои зоны ответственности.
• Обеспечить защищенный канал связи для автоматического обмена данными и резервные каналы на случай сбоев.

Центрам мониторинга инцидентов ИБ необходимо:

• Скорректировать процессы триажа инцидентов — таймер на 3 часа запускается с момента атаки, а не с момента начала разбирательства.
• Обеспечить детектирование подозрения на инцидент, квалификацию его как инцидента и подготовку черновика уведомления максимум за 60-90 минут.
• Настроить автоматическую или полуавтоматическую выгрузку данных в личный кабинет ГосСОПКА в форматах, определенных НКЦКИ.
• Интегрировать в SIEM потоки данных об угрозах от НКЦКИ (IoC-индикаторы) для проактивного поиска угроз (Threat Hunting).
• Обеспечить круглосуточный мониторинг входящих предупреждений из личного кабинета и готовность в течение 24 часов предоставить отчет о принятых мерах.

Нельзя рассматривать мониторинг ИБ в отрыве от «железа» и «софта». Федеральный закон № 325-ФЗ от 31.07.2025 уточнил, что для субъектов КИИ требование об использовании ПО из реестра отечественных средств считается выполненным. Для мониторинга ИБ объектов КИИ это означает, что все источники событий (АРМ, серверы, СЗИ) должны быть преимущественно российскими, а значит, и логи событий должны соответствовать российским стандартам и форматам.

Кроме того, активно разрабатываются отраслевые особенности категорирования в сферах здравоохранения, науки, космоса и других. Для систем мониторинга это критически важно, так как перечни типовых объектов КИИ определяют, какие именно активы подлежат первоочередному наблюдению и защите. Распоряжение Правительства Российской Федерации от 26.02.2026 № 360-р утверждает перечень типовых отраслевых объектов КИИ. Это позволит специалистам центров мониторинга точнее определять критические активы, требующие приоритетной постановки на мониторинг ИБ.

Говоря о сборе событий, нельзя обойти стороной важный вопрос: а что рекомендовано собирать? Определяют это сами центры мониторинга на основе своей экспертной статистики или есть необходимый базовый набор, определенный со стороны регулятора?

В декабре 2025 года ФСТЭК России выпустила «Рекомендации по базовой настройке регистрации событий безопасности». Документ призван унифицировать подходы к сбору данных аудита в информационных системах. Перечень достаточно широкий: успешные и неуспешные попытки авторизации и доступа, изменения конфигурации, запуск и завершение процессов, действия администраторов, использование системных учетных записей и правил, создание и удаление системных объектов, операции импорта и экспорта данных, а также сетевые сбои. Состав регистрируемых событий для каждой конкретной информационной системы, как уточняет ФСТЭК России, должен определяться с учетом национального стандарта ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».

В рекомендациях подчеркивается необходимость обязательной фиксации временных меток и идентификационных данных: IP-адрес источника и идентификатор пользователя. Собранные события безопасности, согласно документу, должны храниться не менее 3 месяцев, а объем хранилищ журналов должен быть достаточным для полноценного анализа информации по инцидентам со сроком хранения не менее 3 лет.

Происходит конвергенция требований: ФСТЭК России и ФСБ России перестали существовать в «параллельных вселенных». Требования ФСТЭК России к оценке защищенности коррелируют с необходимостью точного и быстрого детектирования инцидентов для ФСБ России (сроки — 3 часа для ЗОКИИ).

Непрерывность взаимодействия становится «нормой жизни» для SOC, имеющих в зоне ответственности организации, или субъектов КИИ. Требование «непрерывного взаимодействия» с НКЦКИ обязывает субъекты КИИ иметь круглосуточную дежурную службу или аутсорсинговый SOC, способный в автоматическом режиме обмениваться данными с государственной инфраструктурой.

Наблюдается серьезный рост ответственности за политики сбора событий и средства мониторинга. Использование несертифицированных средств обнаружения (ни ФСТЭК, ни ФСБ России) на значимых объектах КИИ после вступления в силу новых приказов становится прямым нарушением.

Защищенность понемногу перестает быть абстрактной. Появление формализованных показателей (критичность уязвимости V, показатель защищенности К_ЗИ) позволяет выстраивать объективные рейтинги и принимать управленческие решения на основе цифр. Да, вероятно эти оценки еще потребуют своего пересмотра и корректировки на основе практической применимости, однако их введение уже показывает переход от абстрактного понятия «защищенность» к вполне определенному количественному показателю.

Для субъектов КИИ 2026 год должен стать годом финальной настройки автоматизации: необходимо обеспечить техническую возможность отправки уведомлений за 3 часа, настроить прием данных от НКЦКИ и привести используемые средства обнаружения атак в соответствие с новыми сертификационными требованиями. А также решить вопрос: будут ли они это делать самостоятельно или обратятся к Центрам мониторинга и реагирования на инциденты ИБ, обладающим необходимой экспертизой и ресурсами.