Title here
Summary here
Приказ ФСТЭК № 239: актуальные меры защиты значимых объектов КИИ
1. Что изменилось с 5 ноября 2024 года
Приказ ФСТЭК № 239 — центральный документ по технической защите значимых объектов КИИ. Редакция от 28 августа 2024 года (вступила в силу 5 ноября 2024) внесла три блока критических изменений.
graph TB
TITLE["Приказ ФСТЭК № 239
Редакция от 28.08.2024"] TITLE --> DDoS["🛡️ Защита от DDoS
п. 22², 26², 26³"] TITLE --> DEV["💻 Безопасная разработка ПО
п. 29.3–29.4"] TITLE --> NET["🌐 Граничные маршрутизаторы
п. 29.1"] DDoS --> D1["Матрица коммуникаций
с Интернетом"] DDoS --> D2["Двукратный запас пропускной
способности каналов"] DDoS --> D3["Хранение логов об атаках
3 года"] DEV --> V1["Статический анализ кода"] DEV --> V2["Фаззинг-тестирование"] DEV --> V3["Для 1 категории:
динамический анализ + модель угроз ПО"] NET --> N1["Для 1 категории:
только сертифицированные"] NET --> N2["При отсутствии:
обоснование + приёмочные испытания"] style DDoS fill:#c62828,color:#fff style DEV fill:#e65100,color:#fff style NET fill:#f57f17,color:#fff
Редакция от 28.08.2024"] TITLE --> DDoS["🛡️ Защита от DDoS
п. 22², 26², 26³"] TITLE --> DEV["💻 Безопасная разработка ПО
п. 29.3–29.4"] TITLE --> NET["🌐 Граничные маршрутизаторы
п. 29.1"] DDoS --> D1["Матрица коммуникаций
с Интернетом"] DDoS --> D2["Двукратный запас пропускной
способности каналов"] DDoS --> D3["Хранение логов об атаках
3 года"] DEV --> V1["Статический анализ кода"] DEV --> V2["Фаззинг-тестирование"] DEV --> V3["Для 1 категории:
динамический анализ + модель угроз ПО"] NET --> N1["Для 1 категории:
только сертифицированные"] NET --> N2["При отсутствии:
обоснование + приёмочные испытания"] style DDoS fill:#c62828,color:#fff style DEV fill:#e65100,color:#fff style NET fill:#f57f17,color:#fff
Комментарий эксперта
Игорь Краев: «Раньше требования по DDoS были размыты. Теперь ФСТЭК чётко прописала: вы должны знать свой внешний периметр и иметь план действий на случай атаки. Если у вас объект 1 категории доступен из интернета, вы обязаны иметь канал с двукратным резервом по пропускной способности. А логи атак придётся хранить три года — убедитесь, что ваши SIEM-системы имеют достаточно дискового пространства».
2. Базовый алгоритм выбора мер
Пункт 23 Приказа № 239 устанавливает трёхшаговый алгоритм.
graph LR
subgraph "Шаг 1"
A1["Определить базовый набор мер
по категории значимости
(Приложение к Приказу 239)"] end subgraph "Шаг 2" A2["Адаптировать набор
под Модель угроз:
– исключить ненужное
+ добавить необходимое"] end subgraph "Шаг 3" A3["Дополнить мерами
из других НПА:
Приказ 117 (ГИС)
Приказ 21 (ПДн)"] end A1 --> A2 --> A3 style A1 fill:#1a237e,color:#fff style A2 fill:#283593,color:#fff style A3 fill:#3949ab,color:#fff
по категории значимости
(Приложение к Приказу 239)"] end subgraph "Шаг 2" A2["Адаптировать набор
под Модель угроз:
– исключить ненужное
+ добавить необходимое"] end subgraph "Шаг 3" A3["Дополнить мерами
из других НПА:
Приказ 117 (ГИС)
Приказ 21 (ПДн)"] end A1 --> A2 --> A3 style A1 fill:#1a237e,color:#fff style A2 fill:#283593,color:#fff style A3 fill:#3949ab,color:#fff
Классы средств защиты информации по категориям
| Категория значимости | Класс защиты СЗИ | Уровень доверия СЗИ | Класс СВТ |
|---|---|---|---|
| 1 (Высшая) | Не ниже 4 | Не ниже 4 | Не ниже 5 |
| 2 (Средняя) | Не ниже 5 | Не ниже 5 | Не ниже 5 |
| 3 (Низшая) | 6 | 6 | Не ниже 5 |
Это «шпаргалка» для закупок. Если у вас объект 2 категории, вы не имеете права устанавливать межсетевой экран 6 класса — минимум 5 класс защиты и 5 уровень доверия. При этом средства вычислительной техники должны быть не ниже 5 класса для всех категорий.
3. Защита от DDoS-атак
Новый обязательный раздел (пункты 22², 26², 26³) применяется ко всем объектам, имеющим интерфейсы и сервисы, доступные из интернета.
graph TB
subgraph "Процесс защиты от DDoS по Приказу 239"
STEP1["1. Инвентаризация
Выявить ВСЕ публичные IP
и доменные имена объекта"] STEP2["2. Матрица коммуникаций
Перечень разрешённых ресурсов
в Интернете"] STEP3["3. Фильтрация
Блокировка трафика,
не соответствующего матрице"] STEP4["4. Резервирование
Двукратный запас пропускной
способности каналов"] STEP5["5. Мониторинг
Хранение логов об атаках
3 года"] end STEP1 --> STEP2 --> STEP3 --> STEP4 --> STEP5 style STEP1 fill:#1a237e,color:#fff style STEP5 fill:#c62828,color:#fff
Выявить ВСЕ публичные IP
и доменные имена объекта"] STEP2["2. Матрица коммуникаций
Перечень разрешённых ресурсов
в Интернете"] STEP3["3. Фильтрация
Блокировка трафика,
не соответствующего матрице"] STEP4["4. Резервирование
Двукратный запас пропускной
способности каналов"] STEP5["5. Мониторинг
Хранение логов об атаках
3 года"] end STEP1 --> STEP2 --> STEP3 --> STEP4 --> STEP5 style STEP1 fill:#1a237e,color:#fff style STEP5 fill:#c62828,color:#fff
Что должно быть зафиксировано в логах:
- Дата и время начала и окончания атаки.
- Тип атаки.
- Объём (Гбит/с, пакетов/с).
- Перечень IP-адресов источников и целей.
- Принимаемые меры.
Пример формулировки для документов:
«В организации разработана и утверждена Матрица коммуникаций значимого объекта с сетью Интернет. На границе сети установлены средства фильтрации трафика, обеспечивающие блокировку запросов, не соответствующих матрице, и имеющие запас пропускной способности не менее 100% от пикового значения трафика».
4. Безопасная разработка программного обеспечения
Пункты 29.3–29.4 вводят обязательные требования для прикладного ПО на значимых объектах.
graph TB
subgraph "Для всех категорий"
ALL1["Руководство по безопасной разработке"]
ALL2["Статический анализ исходного кода"]
ALL3["Фаззинг-тестирование"]
ALL4["Процедуры исправления уязвимостей"]
end
subgraph "Дополнительно для 1 категории"
EXTRA1["Анализ угроз безопасности ПО"]
EXTRA2["Динамический анализ кода"]
EXTRA3["Информирование об окончании поддержки"]
end
ALL1 --> ALL2 --> ALL3 --> ALL4
ALL4 --> EXTRA1 --> EXTRA2 --> EXTRA3
style EXTRA1 fill:#c62828,color:#fff
style EXTRA2 fill:#c62828,color:#fff
style EXTRA3 fill:#c62828,color:#fff
С 1 января 2023 года запрещено применять ПО, не прошедшее такую оценку, на вновь создаваемых или модернизируемых значимых объектах. При закупке новой SCADA-системы для объекта 1 категории вы обязаны запросить у вендора протоколы фаззинг-теста и результаты статического анализа. Включайте эти требования в техническое задание.
5. Топ-5 критических мер для АСУ ТП
graph LR
subgraph "Топ-5 мер, проверяемых ФСТЭК"
M1["🔒 ЗИС.4
Сегментирование
сети АСУ ТП"] M2["🛡️ ЗИС.2
Защита периметра
сертифицированный МЭ"] M3["🔐 УПД.3
Доверенная загрузка
АРМ операторов"] M4["✅ ОЦЛ.1
Контроль целостности
файлов SCADA и ПЛК"] M5["🔄 ДНС.4
Резервирование
серверов и каналов"] end M1 --> M2 --> M3 --> M4 --> M5 style M1 fill:#1a237e,color:#fff style M2 fill:#283593,color:#fff style M3 fill:#3949ab,color:#fff style M4 fill:#5c6bc0,color:#fff style M5 fill:#7986cb,color:#fff
Сегментирование
сети АСУ ТП"] M2["🛡️ ЗИС.2
Защита периметра
сертифицированный МЭ"] M3["🔐 УПД.3
Доверенная загрузка
АРМ операторов"] M4["✅ ОЦЛ.1
Контроль целостности
файлов SCADA и ПЛК"] M5["🔄 ДНС.4
Резервирование
серверов и каналов"] end M1 --> M2 --> M3 --> M4 --> M5 style M1 fill:#1a237e,color:#fff style M2 fill:#283593,color:#fff style M3 fill:#3949ab,color:#fff style M4 fill:#5c6bc0,color:#fff style M5 fill:#7986cb,color:#fff
| Мера | Суть | Категория |
|---|---|---|
| ЗИС.4 | Физическое или логическое (VLAN) отделение сети АСУ ТП от корпоративной | 1–2 |
| ЗИС.2 | Установка сертифицированного межсетевого экрана между зонами | Все |
| УПД.3 | Доверенная загрузка АРМ операторов и серверов (электронные замки) | 1–2 |
| ОЦЛ.1 | Контроль неизменности файлов SCADA и прошивок ПЛК | Все |
| ДНС.4 | Наличие резервного сервера SCADA и канала связи | Все |
Практика проверок показывает: если на объекте 1–2 категории нет доверенной загрузки (например, АПМДЗ «Соболь») на АРМ оператора, это немедленно фиксируется как нарушение. Также часто отсутствует Регламент управления конфигурацией (УКФ.0), хотя это базовая мера для всех категорий.
6. Управление обновлениями на КИИ
graph TB
subgraph "Процесс обновления ПО на значимом объекте"
O1["1. Создание доверенного источника
Локальный WSUS/репозиторий"] O2["2. Контроль целостности
Проверка хеш-сумм пакетов"] O3["3. Тестирование на стенде
Изолированный полигон"] O4["4. Установка в пром. среду
В технологическое окно"] end O1 --> O2 --> O3 --> O4 style O1 fill:#1a237e,color:#fff style O3 fill:#c62828,color:#fff
Локальный WSUS/репозиторий"] O2["2. Контроль целостности
Проверка хеш-сумм пакетов"] O3["3. Тестирование на стенде
Изолированный полигон"] O4["4. Установка в пром. среду
В технологическое окно"] end O1 --> O2 --> O3 --> O4 style O1 fill:#1a237e,color:#fff style O3 fill:#c62828,color:#fff
Прямое подключение промышленных систем к серверам обновлений Microsoft или иных зарубежных вендоров запрещено пунктом 31 Приказа № 239. Должен быть выделенный сервер обновлений, который:
- Самостоятельно получает пакеты (или через флешку).
- Проверяет их антивирусом.
- Администратор тестирует обновления на стенде.
- Только после этого, в технологическое окно, устанавливает в промышленный контур.
7. Связка Приказа № 239 и Приказа № 117
Если ваш значимый объект КИИ одновременно является государственной информационной системой (ГИС), применяются оба документа (пункт 5 Приказа № 239). Меры выбираются по наиболее строгим требованиям (пункт 24).
graph TB
subgraph "Объект двойного назначения"
KII["Значимый объект КИИ
Приказ № 239"] GIS["Государственная ИС
Приказ № 117"] end KII --> UNION["Сводная Модель угроз
и Политика ИБ"] GIS --> UNION UNION --> TABLE["Таблица соответствия мер:
мера по 239 ↔ мера по 117"] TABLE --> RESULT["Применяется наиболее
строгое требование"] style KII fill:#c62828,color:#fff style GIS fill:#1a237e,color:#fff style UNION fill:#2e7d32,color:#fff
Приказ № 239"] GIS["Государственная ИС
Приказ № 117"] end KII --> UNION["Сводная Модель угроз
и Политика ИБ"] GIS --> UNION UNION --> TABLE["Таблица соответствия мер:
мера по 239 ↔ мера по 117"] TABLE --> RESULT["Применяется наиболее
строгое требование"] style KII fill:#c62828,color:#fff style GIS fill:#1a237e,color:#fff style UNION fill:#2e7d32,color:#fff
Пример: объект КИИ 3 категории (базовый набор 239) + ГИС класса К2 (базовый набор 117). Необходимо реализовать меры из обоих наборов. Если мера пересекается (например, антивирус), выполняется более строгий вариант: по 117 требуется расчёт Kзн каждые полгода, по 239 — достаточно ежегодного аудита. Выполняем раз в полгода.
8. Чек-лист готовности по Приказу № 239
graph TB
CHECK1["☐ Актуализирована Модель угроз
добавлены угрозы DDoS"] CHECK2["☐ Разработана Матрица коммуникаций
с Интернетом"] CHECK3["☐ Проведена ревизия классов СЗИ
на соответствие категории объекта"] CHECK4["☐ При закупке ПО запрошены
результаты анализа кода"] CHECK5["☐ Внедрён процесс тестирования
обновлений на стенде"] CHECK1 --> CHECK2 --> CHECK3 --> CHECK4 --> CHECK5 style CHECK1 fill:#1a237e,color:#fff style CHECK5 fill:#2e7d32,color:#fff
добавлены угрозы DDoS"] CHECK2["☐ Разработана Матрица коммуникаций
с Интернетом"] CHECK3["☐ Проведена ревизия классов СЗИ
на соответствие категории объекта"] CHECK4["☐ При закупке ПО запрошены
результаты анализа кода"] CHECK5["☐ Внедрён процесс тестирования
обновлений на стенде"] CHECK1 --> CHECK2 --> CHECK3 --> CHECK4 --> CHECK5 style CHECK1 fill:#1a237e,color:#fff style CHECK5 fill:#2e7d32,color:#fff
| Задача | Срок | Ответственный |
|---|---|---|
| Актуализация Модели угроз (DDoS) | До плановой проверки | Отдел ИБ |
| Разработка Матрицы коммуникаций | 1 месяц | Сетевой администратор + ИБ |
| Ревизия классов СЗИ | 2 недели | Отдел закупок + ИБ |
| Внедрение тестового стенда обновлений | 3 месяца | IT-отдел |
Как «Стратегия Ра» помогает с внедрением Приказа № 239
Мы выполняем полный комплекс работ по приведению объектов КИИ в соответствие с требованиями Приказа № 239:
- Актуализация Модели угроз. Добавляем угрозы DDoS, пересматриваем сценарии атак с учётом новых требований.
- Разработка Матрицы коммуникаций. Проводим инвентаризацию внешнего периметра, составляем перечень разрешённых ресурсов.
- Подбор и внедрение СЗИ. Подбираем сертифицированные средства защиты под вашу категорию значимости.
- Организация процесса обновлений. Настраиваем доверенный источник обновлений, тестовый стенд и регламент установки.
- Требования к вендорам. Готовим технические задания с требованиями по безопасной разработке.
Приглашаем к диалогу
Если вы готовитесь к проверке ФСТЭК или планируете модернизацию значимого объекта КИИ, — приглашаем на бесплатную первичную консультацию. Мы разберём текущее состояние и предложим дорожную карту приведения в соответствие. Напишите нам, и мы договоримся о встрече.
Материал подготовлен на основе лекций и практических кейсов Игоря Краева, генерального директора ООО «Стратегия Ра», апрель 2026 г.