Title here
Summary here
Подключение и взаимодействие с ГосСОПКА — от правовой базы до автоматического обмена
1. Что такое ГосСОПКА и зачем она нужна
graph TB
subgraph "ГосСОПКА: Единая система кибербезопасности РФ"
GOSSOPKA["ГосСОПКА
Государственная система
обнаружения, предупреждения
и ликвидации последствий
компьютерных атак"] end subgraph "Управляющий орган" NKCKI["НКЦКИ
Национальный координационный
центр по компьютерным
инцидентам"] end subgraph "Участники" GOS["Государственные
органы"] KII["Субъекты КИИ"] OTHER["Иные организации"] end subgraph "Функции ГосСОПКА" F1["Обнаружение
компьютерных атак"] F2["Предупреждение
о готовящихся атаках"] F3["Ликвидация
последствий атак"] F4["Обмен информацией
между участниками"] end NKCKI -->|"Координирует"| GOSSOPKA GOS -->|"Передают сведения"| GOSSOPKA KII -->|"Передают сведения"| GOSSOPKA OTHER -->|"Передают сведения"| GOSSOPKA GOSSOPKA --> F1 GOSSOPKA --> F2 GOSSOPKA --> F3 GOSSOPKA --> F4 style GOSSOPKA fill:#c62828,color:#fff style NKCKI fill:#1a237e,color:#fff
Государственная система
обнаружения, предупреждения
и ликвидации последствий
компьютерных атак"] end subgraph "Управляющий орган" NKCKI["НКЦКИ
Национальный координационный
центр по компьютерным
инцидентам"] end subgraph "Участники" GOS["Государственные
органы"] KII["Субъекты КИИ"] OTHER["Иные организации"] end subgraph "Функции ГосСОПКА" F1["Обнаружение
компьютерных атак"] F2["Предупреждение
о готовящихся атаках"] F3["Ликвидация
последствий атак"] F4["Обмен информацией
между участниками"] end NKCKI -->|"Координирует"| GOSSOPKA GOS -->|"Передают сведения"| GOSSOPKA KII -->|"Передают сведения"| GOSSOPKA OTHER -->|"Передают сведения"| GOSSOPKA GOSSOPKA --> F1 GOSSOPKA --> F2 GOSSOPKA --> F3 GOSSOPKA --> F4 style GOSSOPKA fill:#c62828,color:#fff style NKCKI fill:#1a237e,color:#fff
ГосСОПКА — это не просто «ещё одна система отчётности». Это реальный инструмент, который позволяет:
- Получать от государства информацию о готовящихся или происходящих атаках.
- Своевременно реагировать на инциденты.
- Быть частью единой системы кибербезопасности страны.
Правовая основа: Указ Президента РФ № 620 от 22.12.2017 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак».
Комментарий эксперта
Игорь Краев: «Многие до сих пор воспринимают ГосСОПКА как “чёрный ящик” для отчётности. Это ошибка. ГосСОПКА — это двусторонний канал: вы отправляете данные об инцидентах, а НКЦКИ присылает вам индикаторы компрометации, сигнатуры атак и бюллетени об угрозах. Эти данные можно автоматически загружать в ваши средства защиты, повышая уровень безопасности в реальном времени».
2. Правовая база взаимодействия с ГосСОПКА
graph TB
subgraph "Ключевые приказы ФСБ России"
P367["Приказ ФСБ № 367
Перечень и Порядок
представления информации
в ГосСОПКА"] P368["Приказ ФСБ № 368
Порядок обмена
информацией между
субъектами КИИ"] P554["Приказ ФСБ № 554
Требования к средствам
ГосСОПКА
(с 26.12.2025)"] end P367 -->|"⏰ 24 часа
на уведомление"| NOTIFY["Уведомление
об инциденте"] P368 -->|"Правила обмена
Запрос информации
Взаимодействие с CERT"| EXCHANGE["Двусторонний
обмен данными"] P554 -->|"Только российские
производители
Сертификация ФСБ"| TOOLS["Средства
ГосСОПКА"] style P367 fill:#1a237e,color:#fff style P368 fill:#283593,color:#fff style P554 fill:#c62828,color:#fff
Перечень и Порядок
представления информации
в ГосСОПКА"] P368["Приказ ФСБ № 368
Порядок обмена
информацией между
субъектами КИИ"] P554["Приказ ФСБ № 554
Требования к средствам
ГосСОПКА
(с 26.12.2025)"] end P367 -->|"⏰ 24 часа
на уведомление"| NOTIFY["Уведомление
об инциденте"] P368 -->|"Правила обмена
Запрос информации
Взаимодействие с CERT"| EXCHANGE["Двусторонний
обмен данными"] P554 -->|"Только российские
производители
Сертификация ФСБ"| TOOLS["Средства
ГосСОПКА"] style P367 fill:#1a237e,color:#fff style P368 fill:#283593,color:#fff style P554 fill:#c62828,color:#fff
Приказ ФСБ № 554 от 26.12.2025 — важнейшее изменение
Приказ № 554 отменил ранее действовавший приказ № 196 от 06.05.2019. Ключевое новшество: средства ГосСОПКА должны быть произведены исключительно российскими юридическими лицами, не находящимися под иностранным контролем.
3. Какие сведения мы обязаны передавать
Приказ ФСБ № 367 (Приложение 1) определяет исчерпывающий перечень информации.
graph TB
subgraph "Перечень информации (Приказ ФСБ № 367)"
P1["1. Сведения из реестра
значимых объектов КИИ
(ФСТЭК → НКЦКИ ежемесячно)"] P2["2. Информация об отсутствии
необходимости категорирования"] P3["3. Информация об изменении
категории значимости
или исключении из реестра"] P4["4. Информация о нарушениях
по итогам госконтроля"] P5["5. Информация о компьютерных
инцидентах"] end P5 --> D1["Дата, время, местонахождение
объекта КИИ"] P5 --> D2["Связь инцидента
с компьютерной атакой"] P5 --> D3["Связь с другими
инцидентами"] P5 --> D4["Состав технических
параметров"] P5 --> D5["Последствия
инцидента"] style P5 fill:#c62828,color:#fff style D4 fill:#e65100,color:#fff
значимых объектов КИИ
(ФСТЭК → НКЦКИ ежемесячно)"] P2["2. Информация об отсутствии
необходимости категорирования"] P3["3. Информация об изменении
категории значимости
или исключении из реестра"] P4["4. Информация о нарушениях
по итогам госконтроля"] P5["5. Информация о компьютерных
инцидентах"] end P5 --> D1["Дата, время, местонахождение
объекта КИИ"] P5 --> D2["Связь инцидента
с компьютерной атакой"] P5 --> D3["Связь с другими
инцидентами"] P5 --> D4["Состав технических
параметров"] P5 --> D5["Последствия
инцидента"] style P5 fill:#c62828,color:#fff style D4 fill:#e65100,color:#fff
Комментарий эксперта
Игорь Краев: «Самая частая ошибка — незнание форматов представления информации. Форматы и состав технических параметров определяет НКЦКИ, они публикуются на сайте cert.gov.ru. Нужно регулярно проверять обновления. Многие современные SIEM-системы имеют встроенные коннекторы для отправки данных в ГосСОПКА в нужном формате — используйте их, это исключает ошибки ручного заполнения».
4. Формирование уведомления об инциденте
graph TB
subgraph "Шаг 1: Фиксация инцидента"
F1["Сотрудник или средство
обнаружения выявляет
нештатную работу
объекта КИИ"] F2["Немедленный доклад
руководителю подразделения
КИИ и в отдел ИБ"] end subgraph "Шаг 2: Заполнение формы уведомления" U1["Дата и время
обнаружения инцидента"] U2["Наименование объекта КИИ
и категория значимости"] U3["Описание признаков
инцидента"] U4["Технические параметры
(IP, домены, сигнатуры)"] U5["Предполагаемая связь
с компьютерной атакой"] U6["Принятые меры
реагирования"] end subgraph "Шаг 3: Отправка" SEND["📤 Отправка в НКЦКИ
⏰ Не позднее 24 часов
с момента обнаружения"] end F1 --> F2 F2 --> U1 U1 --> U2 --> U3 --> U4 --> U5 --> U6 U6 --> SEND style SEND fill:#c62828,color:#fff
обнаружения выявляет
нештатную работу
объекта КИИ"] F2["Немедленный доклад
руководителю подразделения
КИИ и в отдел ИБ"] end subgraph "Шаг 2: Заполнение формы уведомления" U1["Дата и время
обнаружения инцидента"] U2["Наименование объекта КИИ
и категория значимости"] U3["Описание признаков
инцидента"] U4["Технические параметры
(IP, домены, сигнатуры)"] U5["Предполагаемая связь
с компьютерной атакой"] U6["Принятые меры
реагирования"] end subgraph "Шаг 3: Отправка" SEND["📤 Отправка в НКЦКИ
⏰ Не позднее 24 часов
с момента обнаружения"] end F1 --> F2 F2 --> U1 U1 --> U2 --> U3 --> U4 --> U5 --> U6 U6 --> SEND style SEND fill:#c62828,color:#fff
Сроки передачи информации
| Вид информации | Срок |
|---|---|
| Уведомление о компьютерном инциденте | Не позднее 24 часов с момента обнаружения |
| Сведения из реестра значимых объектов КИИ | Не реже 1 раза в месяц |
| Иная информация | В сроки, достаточные для своевременного реагирования |
| Уведомление о получении информации от иностранной организации | Не позднее 24 часов |
Пример формулировки для Регламента:
«При обнаружении компьютерного инцидента на объекте КИИ ответственный специалист подразделения ИБ в течение 2 часов с момента обнаружения заполняет форму уведомления по формату НКЦКИ и направляет её в ГосСОПКА через техническую инфраструктуру НКЦКИ».
5. Способы подключения к НКЦКИ
graph TB
subgraph "Способы взаимодействия с НКЦКИ (Приказ № 368)"
MAIN["Основной способ
Через техническую
инфраструктуру НКЦКИ"] RESERVE["Резервные способы"] end MAIN --> M1["Выделенный защищённый
канал связи"] MAIN --> M2["Автоматический обмен
уведомлениями и запросами"] MAIN --> M3["Требуется установка
средств ГосСОПКА"] RESERVE --> R1["Электронная почта
(адреса на cert.gov.ru)"] RESERVE --> R2["Факсимильная связь"] RESERVE --> R3["Телефонная связь"] style MAIN fill:#2e7d32,color:#fff style RESERVE fill:#f57f17,color:#fff
Через техническую
инфраструктуру НКЦКИ"] RESERVE["Резервные способы"] end MAIN --> M1["Выделенный защищённый
канал связи"] MAIN --> M2["Автоматический обмен
уведомлениями и запросами"] MAIN --> M3["Требуется установка
средств ГосСОПКА"] RESERVE --> R1["Электронная почта
(адреса на cert.gov.ru)"] RESERVE --> R2["Факсимильная связь"] RESERVE --> R3["Телефонная связь"] style MAIN fill:#2e7d32,color:#fff style RESERVE fill:#f57f17,color:#fff
Техническая инфраструктура НКЦКИ — это комплекс программно-технических средств, обеспечивающих приём, обработку, хранение и передачу информации. Для подключения к ней необходимо обратиться в НКЦКИ и заключить соглашение об информационном взаимодействии.
6. Средства ГосСОПКА (Приказ ФСБ № 554)
graph TB
subgraph "Типы средств ГосСОПКА (п. 2 Приказа № 554)"
T1["Средства обнаружения
Сбор и анализ событий ИБ,
выявление инцидентов"] T2["Средства предупреждения
Сбор данных об уязвимостях,
индикаторах компрометации,
киберразведка"] T3["Средства ликвидации
Учёт инцидентов,
управление реагированием,
взаимодействие с НКЦКИ"] T4["Средства ППКА
Поиск признаков
компьютерных атак
в сетевом трафике"] T5["Средства обмена
Обеспечение защищённой
передачи информации"] end subgraph "Требования сертификации" CERT1["Средства обнаружения и ППКА:
сертификат ФСБ России"] CERT2["Средства криптографической
защиты: сертификат ФСБ"] end T1 --> CERT1 T4 --> CERT1 T5 --> CERT2 style T1 fill:#1a237e,color:#fff style T2 fill:#283593,color:#fff style T3 fill:#3949ab,color:#fff style T4 fill:#5c6bc0,color:#fff style T5 fill:#7986cb,color:#fff
Сбор и анализ событий ИБ,
выявление инцидентов"] T2["Средства предупреждения
Сбор данных об уязвимостях,
индикаторах компрометации,
киберразведка"] T3["Средства ликвидации
Учёт инцидентов,
управление реагированием,
взаимодействие с НКЦКИ"] T4["Средства ППКА
Поиск признаков
компьютерных атак
в сетевом трафике"] T5["Средства обмена
Обеспечение защищённой
передачи информации"] end subgraph "Требования сертификации" CERT1["Средства обнаружения и ППКА:
сертификат ФСБ России"] CERT2["Средства криптографической
защиты: сертификат ФСБ"] end T1 --> CERT1 T4 --> CERT1 T5 --> CERT2 style T1 fill:#1a237e,color:#fff style T2 fill:#283593,color:#fff style T3 fill:#3949ab,color:#fff style T4 fill:#5c6bc0,color:#fff style T5 fill:#7986cb,color:#fff
Комментарий эксперта
Игорь Краев: «На рынке есть готовые сертифицированные решения для ГосСОПКА: ViPNet TIAS, “Амулет”, “Сканер-ВС” и другие. При выборе проверяйте наличие сертификата ФСБ России — без него средство не может использоваться для взаимодействия с ГосСОПКА. Обратите внимание: средства ППКА (поиск признаков компьютерных атак) — это по сути NTA/NDR-решения (Network Traffic Analysis), которые анализируют сетевой трафик на предмет аномалий и сигнатур атак».
7. Автоматический обмен документами
graph TB
subgraph "Уровни автоматизации взаимодействия с ГосСОПКА"
L1["Уровень 1: Ручной
Заполнение форм вручную,
отправка по email"] L2["Уровень 2: Полуавтоматический
SIEM создаёт карточку,
специалист отправляет"] L3["Уровень 3: Автоматический
SIEM → карточка →
автоотправка в НКЦКИ"] L4["Уровень 4: Двусторонний
Автоотправка +
автополучение данных
об угрозах от НКЦКИ"] end L1 --> L2 --> L3 --> L4 style L1 fill:#c62828,color:#fff style L2 fill:#e65100,color:#fff style L3 fill:#f57f17,color:#fff style L4 fill:#2e7d32,color:#fff
Заполнение форм вручную,
отправка по email"] L2["Уровень 2: Полуавтоматический
SIEM создаёт карточку,
специалист отправляет"] L3["Уровень 3: Автоматический
SIEM → карточка →
автоотправка в НКЦКИ"] L4["Уровень 4: Двусторонний
Автоотправка +
автополучение данных
об угрозах от НКЦКИ"] end L1 --> L2 --> L3 --> L4 style L1 fill:#c62828,color:#fff style L2 fill:#e65100,color:#fff style L3 fill:#f57f17,color:#fff style L4 fill:#2e7d32,color:#fff
Функции средств ликвидации последствий (п. 19–22 Приказа № 554)
- Карточка инцидента: формализованное описание с полями (тип, дата, параметры, стадия).
- Автоматическое создание при выявлении события ИБ с признаками атаки.
- Стадии реагирования: приём → сбор сведений → локализация → расследование.
- Присвоение приоритетов на основе задаваемых критериев.
- Автоматизированный обмен информацией в форматах НКЦКИ.
Средства ликвидации последствий — это по сути SOAR-система (Security Orchestration, Automation and Response), интегрированная с ГосСОПКА. Она автоматизирует весь цикл реагирования — от обнаружения до отправки отчёта в НКЦКИ.
8. Пошаговый план подключения к ГосСОПКА
graph TB
STEP1["Шаг 1. Организационный
Назначить ответственного
за взаимодействие с НКЦКИ"] STEP2["Шаг 2. Правовой
Заключить соглашение
об информационном
взаимодействии с НКЦКИ"] STEP3["Шаг 3. Технический
Приобрести и установить
сертифицированные
средства ГосСОПКА"] STEP4["Шаг 4. Интеграционный
Настроить выделенный
канал до технической
инфраструктуры НКЦКИ"] STEP5["Шаг 5. Процессный
Разработать Регламент
реагирования на инциденты
с учётом требований ГосСОПКА"] STEP6["Шаг 6. Автоматизация
Настроить автоматический
обмен данными
(форматы, API, корреляции)"] STEP1 --> STEP2 --> STEP3 --> STEP4 --> STEP5 --> STEP6 STEP6 --> GOAL["🎯 Ваша организация —
полноценный узел ГосСОПКА"] style STEP1 fill:#1a237e,color:#fff style STEP6 fill:#2e7d32,color:#fff style GOAL fill:#c62828,color:#fff
Назначить ответственного
за взаимодействие с НКЦКИ"] STEP2["Шаг 2. Правовой
Заключить соглашение
об информационном
взаимодействии с НКЦКИ"] STEP3["Шаг 3. Технический
Приобрести и установить
сертифицированные
средства ГосСОПКА"] STEP4["Шаг 4. Интеграционный
Настроить выделенный
канал до технической
инфраструктуры НКЦКИ"] STEP5["Шаг 5. Процессный
Разработать Регламент
реагирования на инциденты
с учётом требований ГосСОПКА"] STEP6["Шаг 6. Автоматизация
Настроить автоматический
обмен данными
(форматы, API, корреляции)"] STEP1 --> STEP2 --> STEP3 --> STEP4 --> STEP5 --> STEP6 STEP6 --> GOAL["🎯 Ваша организация —
полноценный узел ГосСОПКА"] style STEP1 fill:#1a237e,color:#fff style STEP6 fill:#2e7d32,color:#fff style GOAL fill:#c62828,color:#fff
Как «Стратегия Ра» помогает с подключением к ГосСОПКА
Мы выполняем полный цикл работ:
- Организационная подготовка. Назначаем ответственного, готовим приказы и должностные инструкции.
- Заключение соглашения с НКЦКИ. Сопровождаем процедуру подписания соглашения об информационном взаимодействии.
- Подбор и внедрение средств ГосСОПКА. Подбираем сертифицированные решения, устанавливаем и настраиваем средства обнаружения, обмена и ликвидации.
- Техническая интеграция. Настраиваем защищённый канал связи, форматы обмена данными, API-взаимодействие с инфраструктурой НКЦКИ.
- Разработка Регламента. Готовим Регламент реагирования на инциденты с учётом требований приказов ФСБ № 367 и № 368.
- Автоматизация процессов. Настраиваем автоматическое создание карточек инцидентов, отправку уведомлений и получение данных об угрозах.
Приглашаем к диалогу
Если вам нужно подключиться к ГосСОПКА или привести существующее взаимодействие в соответствие с новыми требованиями Приказа ФСБ № 554, — приглашаем на бесплатную консультацию. Мы разберём вашу ситуацию и предложим дорожную карту. Напишите нам, и мы договоримся о встрече.
Материал подготовлен на основе лекций и практических кейсов Игоря Краева, генерального директора ООО «Стратегия Ра», апрель 2026 г.