Title here
Summary here
Документы НКЦКИ — Регламент взаимодействия, методические рекомендации и инструкция по уведомлениям
1. Методические рекомендации НКЦКИ: кто и зачем
graph TB
subgraph "Кто обязан взаимодействовать с НКЦКИ"
KII["Субъекты КИИ
Основание: 187-ФЗ"] GOS["ФОИВ, госфонды,
госкорпорации,
стратегические предприятия
Основание: Указ № 250"] PD["Операторы
персональных данных
Основание: 152-ФЗ"] HOST["Провайдеры хостинга
Основание: Приказ
Минцифры № 936"] OTHER["Иные организации
Вправе добровольно"] end subgraph "Цели взаимодействия (Раздел 3 Методических рекомендаций)" GOAL1["Содействие в реагировании
на компьютерные инциденты"] GOAL2["Сбор и распространение
сведений об угрозах"] end KII --> GOAL1 GOS --> GOAL1 PD --> GOAL1 HOST --> GOAL1 OTHER --> GOAL1 GOAL1 --> C1["Консультативная помощь"] GOAL1 --> C2["Координация с ЦМУ ССОП
и провайдерами"] GOAL1 --> C3["Непосредственное участие
сотрудников НКЦКИ"] style KII fill:#c62828,color:#fff style GOS fill:#e65100,color:#fff style C3 fill:#1a237e,color:#fff
Основание: 187-ФЗ"] GOS["ФОИВ, госфонды,
госкорпорации,
стратегические предприятия
Основание: Указ № 250"] PD["Операторы
персональных данных
Основание: 152-ФЗ"] HOST["Провайдеры хостинга
Основание: Приказ
Минцифры № 936"] OTHER["Иные организации
Вправе добровольно"] end subgraph "Цели взаимодействия (Раздел 3 Методических рекомендаций)" GOAL1["Содействие в реагировании
на компьютерные инциденты"] GOAL2["Сбор и распространение
сведений об угрозах"] end KII --> GOAL1 GOS --> GOAL1 PD --> GOAL1 HOST --> GOAL1 OTHER --> GOAL1 GOAL1 --> C1["Консультативная помощь"] GOAL1 --> C2["Координация с ЦМУ ССОП
и провайдерами"] GOAL1 --> C3["Непосредственное участие
сотрудников НКЦКИ"] style KII fill:#c62828,color:#fff style GOS fill:#e65100,color:#fff style C3 fill:#1a237e,color:#fff
Три формы содействия в реагировании
| Форма | Описание | Уровень взаимодействия |
|---|---|---|
| Консультативная помощь | Рекомендации по реагированию на инцидент | Базовый |
| Координация с ЦМУ ССОП и провайдерами | Блокировка вредоносного трафика, взаимодействие с операторами связи | Средний |
| Непосредственное участие сотрудников НКЦКИ | Выезд специалистов, прямое участие в расследовании | Высший (требует отдельного Регламента) |
Комментарий эксперта
Игорь Краев: «Третья форма содействия — непосредственное участие сотрудников НКЦКИ — требует подписания отдельного регламента. Это самый высокий уровень взаимодействия, который обычно используется при серьёзных инцидентах на объектах 1-й категории. Для большинства организаций достаточно первых двух форм — консультаций и координации».
2. Инвентаризационная информация
Первое, что нужно сделать для начала взаимодействия с НКЦКИ, — предоставить инвентаризационную информацию о ваших внешних ресурсах.
graph TB
subgraph "Состав инвентаризационной информации (Раздел 3)"
INV1["1. Сведения о всех
внешних IP-адресах
субъекта ГосСОПКА"] INV2["2. Сведения о всех
внешних доменных именах
субъекта ГосСОПКА"] INV3["3. Сведения о доменном
имени почтового сервера"] end subgraph "Формат и отправка" FORMAT["Заполняется в виде
трёх таблиц формата .xlsx
Шаблоны: cert.gov.ru"] SEND_INV["📤 Направляется на
info@cert.gov.ru
или на CD-диске
с сопроводительным письмом"] end INV1 --> FORMAT INV2 --> FORMAT INV3 --> FORMAT FORMAT --> SEND_INV style INV1 fill:#1a237e,color:#fff style INV2 fill:#283593,color:#fff style INV3 fill:#3949ab,color:#fff
внешних IP-адресах
субъекта ГосСОПКА"] INV2["2. Сведения о всех
внешних доменных именах
субъекта ГосСОПКА"] INV3["3. Сведения о доменном
имени почтового сервера"] end subgraph "Формат и отправка" FORMAT["Заполняется в виде
трёх таблиц формата .xlsx
Шаблоны: cert.gov.ru"] SEND_INV["📤 Направляется на
info@cert.gov.ru
или на CD-диске
с сопроводительным письмом"] end INV1 --> FORMAT INV2 --> FORMAT INV3 --> FORMAT FORMAT --> SEND_INV style INV1 fill:#1a237e,color:#fff style INV2 fill:#283593,color:#fff style INV3 fill:#3949ab,color:#fff
Важно: при изменении IP-адресов, доменных имён или контактных данных необходимо актуализировать инвентаризационную информацию в течение 2–5 рабочих дней.
3. Регламент взаимодействия с НКЦКИ
3.1. Процедура заключения
Регламент заключается в форме присоединения. Не нужно направлять два экземпляра с подписями — достаточно одного письма-согласия.
graph LR
subgraph "Процедура заключения Регламента (Раздел 10)"
P1["1. Направить официальное
письмо на бланке
на имя Директора НКЦКИ"] P2["2. Выразить согласие
с положениями Регламента"] P3["3. Указать контактные
данные ответственных
за взаимодействие"] P4["4. Приложить первичную
инвентаризационную
информацию"] end P1 --> P2 --> P3 --> P4 P4 --> RESULT["✅ НКЦКИ направляет ответное
письмо об установлении
взаимодействия"] style P1 fill:#1a237e,color:#fff style RESULT fill:#2e7d32,color:#fff
письмо на бланке
на имя Директора НКЦКИ"] P2["2. Выразить согласие
с положениями Регламента"] P3["3. Указать контактные
данные ответственных
за взаимодействие"] P4["4. Приложить первичную
инвентаризационную
информацию"] end P1 --> P2 --> P3 --> P4 P4 --> RESULT["✅ НКЦКИ направляет ответное
письмо об установлении
взаимодействия"] style P1 fill:#1a237e,color:#fff style RESULT fill:#2e7d32,color:#fff
Образец письма (Приложение 1 к Методическим рекомендациям):
«[Организация] выражает согласие осуществлять взаимодействие на основании Регламента взаимодействия НКЦКИ и владельцев информационных ресурсов… Контактные данные: Подразделение ИБ, телефон, email. Взаимодействие будет осуществляться через Личный кабинет / по электронной почте».
Ответное письмо НКЦКИ об установлении взаимодействия будет направлено вам почтой с копией на email. С этого момента взаимодействие считается организованным.
3.2. Каналы взаимодействия
graph TB
subgraph "Основные каналы (Раздел 5 Регламента)"
API["API
Автоматизированный
обмен данными"] LK["Личный кабинет
субъекта ГосСОПКА"] EMAIL["Электронная почта incident/@cert.gov.ru"] end subgraph "Дополнительные каналы" CD["Почтовые отправления
на CD-дисках"] PHONE["Телефонная связь:
+7 (980) 162-28-40"] end style API fill:#2e7d32,color:#fff style LK fill:#2e7d32,color:#fff style EMAIL fill:#2e7d32,color:#fff
Автоматизированный
обмен данными"] LK["Личный кабинет
субъекта ГосСОПКА"] EMAIL["Электронная почта incident/@cert.gov.ru"] end subgraph "Дополнительные каналы" CD["Почтовые отправления
на CD-дисках"] PHONE["Телефонная связь:
+7 (980) 162-28-40"] end style API fill:#2e7d32,color:#fff style LK fill:#2e7d32,color:#fff style EMAIL fill:#2e7d32,color:#fff
Контактные адреса НКЦКИ
| Назначение | Адрес |
|---|---|
| Инциденты | incident@cert.gov.ru |
| Общие вопросы | info@cert.gov.ru |
| Бюллетени угроз | threats@cert.gov.ru |
| Подключение к технической инфраструктуре | network@cert.gov.ru |
Комментарий эксперта
Игорь Краев: «Для доступа к Личному кабинету нужен защищённый канал связи — ViPNet, АПКШ “Континент” или S-Terra. Это отдельная процедура, описанная в “Методических рекомендациях по организации защищённого обмена”. На начальном этапе рекомендую использовать электронную почту — это проще и быстрее, хотя и менее автоматизировано».
4. Инструкция по формированию уведомлений
4.1. Два этапа формирования уведомления
graph LR
subgraph "Этап 1: Выбор шаблона"
T1["Определить тип события ИБ"]
T2["Выбрать соответствующий
шаблон из 17 доступных"] end subgraph "Этап 2: Заполнение полей" F1["Скопировать шаблон"] F2["Заменить ***
на конкретные значения"] F3["Отправить на
incident@cert.gov.ru"] end T1 --> T2 T2 --> F1 --> F2 --> F3 style T1 fill:#1a237e,color:#fff style F3 fill:#c62828,color:#fff
шаблон из 17 доступных"] end subgraph "Этап 2: Заполнение полей" F1["Скопировать шаблон"] F2["Заменить ***
на конкретные значения"] F3["Отправить на
incident@cert.gov.ru"] end T1 --> T2 T2 --> F1 --> F2 --> F3 style T1 fill:#1a237e,color:#fff style F3 fill:#c62828,color:#fff
Шаблоны — это структурированные формы с тегами в квадратных скобках. Нужно просто скопировать шаблон, заменить звёздочки на реальные данные и отправить на incident@cert.gov.ru. Ничего выдумывать не нужно.
4.2. Полный перечень шаблонов (17 типов событий)
graph TB
subgraph "Компьютерные инциденты (10 типов)"
INC1["Вовлечение ресурса
в инфраструктуру ВПО"] INC2["Замедление работы
в результате DDoS"] INC3["Заражение ВПО"] INC4["Захват сетевого трафика"] INC5["Компрометация
учётной записи"] INC6["Несанкционированное
изменение информации"] INC7["Несанкционированное
разглашение информации"] INC8["Публикация
запрещённой информации"] INC9["Успешная эксплуатация
уязвимости"] INC10["Событие НЕ связано
с компьютерной атакой"] end subgraph "Компьютерные атаки (7 типов)" ATK1["DDoS-атака"] ATK2["Неудачные попытки
авторизации"] ATK3["Попытки внедрения ВПО"] ATK4["Попытки эксплуатации
уязвимости"] ATK5["Публикация
мошеннической информации"] ATK6["Сетевое сканирование"] ATK7["Социальная инженерия"] end style INC10 fill:#f57f17,color:#fff style INC3 fill:#c62828,color:#fff style INC5 fill:#c62828,color:#fff style INC9 fill:#c62828,color:#fff
в инфраструктуру ВПО"] INC2["Замедление работы
в результате DDoS"] INC3["Заражение ВПО"] INC4["Захват сетевого трафика"] INC5["Компрометация
учётной записи"] INC6["Несанкционированное
изменение информации"] INC7["Несанкционированное
разглашение информации"] INC8["Публикация
запрещённой информации"] INC9["Успешная эксплуатация
уязвимости"] INC10["Событие НЕ связано
с компьютерной атакой"] end subgraph "Компьютерные атаки (7 типов)" ATK1["DDoS-атака"] ATK2["Неудачные попытки
авторизации"] ATK3["Попытки внедрения ВПО"] ATK4["Попытки эксплуатации
уязвимости"] ATK5["Публикация
мошеннической информации"] ATK6["Сетевое сканирование"] ATK7["Социальная инженерия"] end style INC10 fill:#f57f17,color:#fff style INC3 fill:#c62828,color:#fff style INC5 fill:#c62828,color:#fff style INC9 fill:#c62828,color:#fff
Комментарий эксперта
Игорь Краев: «Обратите внимание на шаблон “Событие не связано с компьютерной атакой”. Это важно: если у вас произошёл сбой из-за ошибки администратора или отказа оборудования, вы тоже обязаны уведомить НКЦКИ, но по этому шаблону. Он позволяет отчитаться, не создавая ложной тревоги о кибератаке».
4.3. Практический пример заполнения уведомления
Инцидент: «Заражение вредоносным ПО»
graph TB
subgraph "Блок 1: Общие сведения"
G1["[company_name: АО «Ромашка»]"]
G2["[category: Уведомление о компьютерном инциденте]"]
G3["[type: Заражение ВПО]"]
G4["[activity_status: Проводятся мероприятия по реагированию]"]
G5["[assistance: false]"]
G6["[event_description: На хосте бухгалтера выявлен троян удалённого доступа]"]
G7["[detect_time: 2026-01-15T09:30:00+03]"]
end
subgraph "Блок 2: Технические сведения"
T1["[affected_system_name: АРМ бухгалтера]"]
T2["[affected_system_category: Информационный ресурс не является объектом КИИ]"]
T3["[affected_system_connection: true]"]
end
G1 --> G2 --> G3 --> G4 --> G5 --> G6 --> G7
G7 --> T1 --> T2 --> T3
style G3 fill:#c62828,color:#fff
5. Пошаговый план организации взаимодействия с НКЦКИ
graph TB
STEP1["Шаг 1. Заключить Регламент
Направить письмо-согласие
на имя Директора НКЦКИ"] STEP2["Шаг 2. Заполнить инвентаризационные
таблицы
IP-адреса, доменные имена,
почтовые серверы"] STEP3["Шаг 3. Выбрать канал
взаимодействия
Личный кабинет или email"] STEP4["Шаг 4. Назначить
ответственных
Указать контактные данные
в письме-согласии"] STEP5["Шаг 5. Скачать шаблоны
уведомлений
с сайта cert.gov.ru"] STEP6["Шаг 6. Провести тренировку
Заполнить и отправить
тестовое уведомление"] STEP1 --> STEP2 --> STEP3 --> STEP4 --> STEP5 --> STEP6 STEP6 --> GOAL["🎯 Взаимодействие
с ГосСОПКА организовано"] style STEP1 fill:#1a237e,color:#fff style STEP6 fill:#2e7d32,color:#fff style GOAL fill:#c62828,color:#fff
Направить письмо-согласие
на имя Директора НКЦКИ"] STEP2["Шаг 2. Заполнить инвентаризационные
таблицы
IP-адреса, доменные имена,
почтовые серверы"] STEP3["Шаг 3. Выбрать канал
взаимодействия
Личный кабинет или email"] STEP4["Шаг 4. Назначить
ответственных
Указать контактные данные
в письме-согласии"] STEP5["Шаг 5. Скачать шаблоны
уведомлений
с сайта cert.gov.ru"] STEP6["Шаг 6. Провести тренировку
Заполнить и отправить
тестовое уведомление"] STEP1 --> STEP2 --> STEP3 --> STEP4 --> STEP5 --> STEP6 STEP6 --> GOAL["🎯 Взаимодействие
с ГосСОПКА организовано"] style STEP1 fill:#1a237e,color:#fff style STEP6 fill:#2e7d32,color:#fff style GOAL fill:#c62828,color:#fff
Важные сроки актуализации
| Событие | Срок актуализации |
|---|---|
| Изменение IP-адресов | 2–5 рабочих дней |
| Изменение доменных имён | 2–5 рабочих дней |
| Изменение контактных данных ответственных | 2–5 рабочих дней |
| Уведомление об инциденте | 24 часа с момента обнаружения |
Как «Стратегия Ра» помогает с организацией взаимодействия с НКЦКИ
Мы выполняем полный цикл работ:
- Подготовка письма-согласия. Готовим проект официального письма на бланке организации с указанием всех необходимых контактных данных.
- Заполнение инвентаризационных таблиц. Проводим инвентаризацию внешнего периметра и заполняем три таблицы формата .xlsx.
- Выбор канала взаимодействия. Помогаем определить оптимальный способ: электронная почта, Личный кабинет или API.
- Настройка шаблонов уведомлений. Адаптируем 17 шаблонов НКЦКИ под инфраструктуру организации, проводим тренировку по заполнению.
- Разработка внутреннего Регламента. Готовим Регламент реагирования на инциденты с учётом требований НКЦКИ.
Приглашаем к диалогу
Если вам нужно организовать взаимодействие с НКЦКИ «с нуля» или актуализировать существующие каналы связи, — приглашаем на бесплатную консультацию. Мы разберём вашу ситуацию и предложим пошаговый план. Напишите нам, и мы договоримся о встрече.
Материал подготовлен на основе лекций и практических кейсов Игоря Краева, генерального директора ООО «Стратегия Ра», апрель 2026 г.