Взаимодействие субъекта КИИ с ГосСОПКА и НКЦКИ: порядок, формы и сроки
Субъект критической информационной инфраструктуры обязан информировать ФСБ России о компьютерных инцидентах и взаимодействовать с ГосСОПКА. Разбираем, что такое ГосСОПКА и НКЦКИ, какими приказами ФСБ регламентируется взаимодействие, какие есть модели подключения и в какие сроки нужно сообщать об инцидентах.
Взаимодействие с ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ. — одна из ключевых обязанностей субъекта критической информационной инфраструктуры. Оно означает не разовую формальность, а постоянный обмен с ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России информацией о компьютерных атаках и инцидентах: субъект сообщает об инцидентах в установленные сроки, получает сведения о признаках и способах атак и участвует в ликвидации их последствий. В статье разбираем, что представляет собой эта система, какими актами она регламентируется и как выстраивается взаимодействие на практике.
Что такое ГосСОПКА и НКЦКИ
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Она создана во исполнение Указа Президента РФ от 15 января 2013 г. № 31с, а её правовая конструкция закреплена в статье 5 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». ГосСОПКА — это распределённая система: в неё входят силы и средства ФСБ России и подключённые к ней субъекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. и центры реагирования.
НКЦКИНациональный координационный центр по компьютерным инцидентам — Структура ФСБ, координирующая обнаружение и реагирование на компьютерные инциденты в рамках ГосСОПКА. — Национальный координационный центр по компьютерным инцидентам, созданный приказом ФСБ России от 24 июля 2018 г. № 366. Это составная часть сил ГосСОПКА, координирующая деятельность субъектов КИИ и иных участников: НКЦКИ ведёт обмен информацией об инцидентах, эксплуатирует техническую инфраструктуру, через которую субъекты направляют сведения, и выпускает методические рекомендации. Проще говоря, ГосСОПКА — это система в целом, а НКЦКИ — центральный координирующий орган в её структуре, с которым практически взаимодействует субъект КИИ.
Чем регламентируется взаимодействие
Базовые обязанности субъекта КИИ закреплены в статье 9 Федерального закона № 187-ФЗ: незамедлительно информировать о компьютерных инцидентах, оказывать содействие в обнаружении, предупреждении и ликвидации последствий компьютерных атак, а для значимых объектов — реагировать на инциденты и обеспечивать непрерывное взаимодействие с ГосСОПКА. Конкретный порядок раскрывается в приказах ФСБ России.
На рубеже 2025–2026 годов нормативная база ГосСОПКА была полностью обновлена: приказы ФСБ России, действовавшие с 2018–2019 годов, заменены новым пакетом. Ключевые из действующих актов:
- Приказ № 547 от 25 декабря 2025 г. (вступил в силу 30 января 2026 г.) — порядок информирования ФСБ России о компьютерных атаках и инцидентах, реагирования на них и ликвидации последствий атак в отношении значимых объектов КИИ; заменил приказы № 282 от 19 июня 2019 г. и № 348 от 7 июля 2022 г.;
- Приказ № 546 от 25 декабря 2025 г. — порядок обмена информацией о компьютерных атаках и инцидентах между субъектами КИИ и с иностранными и международными организациями реагирования (заменил приказ № 368 от 24 июля 2018 г. в части обмена);
- Приказ № 548 от 25 декабря 2025 г. — порядок непрерывного взаимодействия с ГосСОПКА субъектов КИИ, которым принадлежат значимые объекты, а также органов и организаций, указанных в части 4 статьи 9 187-ФЗ, включая работу через личный кабинет в технической инфраструктуре НКЦКИ;
- Приказ № 539 от 23 декабря 2025 г. — порядок получения субъектами КИИ информации о средствах и способах компьютерных атак, методах их предупреждения и обнаружения;
- Приказы № 553 и № 554 от 26 декабря 2025 г. — порядок и технические условия установки и эксплуатации средств ГосСОПКА и требования к таким средствам (заменили приказы № 281 от 19 июня 2019 г. и № 196 от 6 мая 2019 г.).
Сохраняет значение приказ ФСБ России от 24 июля 2018 г. № 367 (перечень информации, представляемой в ГосСОПКА, и порядок её представления). Порядок аккредитации центров ГосСОПКА и требования к ним установлены приказом ФСБ России № 161 от 22 апреля 2026 г. (вступает в силу 31 мая 2026 г.). Для операторов персональных данных действует смежный порядок взаимодействия с ГосСОПКА, установленный приказом ФСБ России от 13 февраля 2023 г. № 77.
Кто обязан взаимодействовать
Обязанность взаимодействовать с ГосСОПКА возникает у субъекта КИИ — организации, которой на законном основании принадлежат информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления в одной из сфер, перечисленных в статье 2 187-ФЗ (здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК и другие). Информировать НКЦКИ об инцидентах обязаны все субъекты КИИ независимо от того, есть ли у них значимые объекты.
Объём обязанностей зависит от наличия значимых объектов КИИ (ЗОКИИ). Для субъекта, у которого есть значимые объекты, требования жёстче: сокращённый срок информирования, создание системы безопасности значимого объекта, назначение ответственного и обеспечение непрерывного взаимодействия с ГосСОПКА. Поэтому первый практический шаг — это категорирование: составить перечень объектов, оценить показатели значимости по постановлению Правительства № 127 и направить сведения о результатах во ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России.
Формы (модели) взаимодействия
Взаимодействие субъекта КИИ с ГосСОПКА выстраивается по одной из двух моделей.
- Напрямую с НКЦКИ. Субъект самостоятельно подключается к технической инфраструктуре НКЦКИ и направляет сведения через личный кабинет, ведя обнаружение и реагирование своими силами.
- Через центр ГосСОПКА. Функции мониторинга, реагирования и передачи сведений в НКЦКИ выполняет центр ГосСОПКА, имеющий соглашение о взаимодействии с ФСБ России (НКЦКИ). Такой центр может быть внутренним (созданным самим субъектом) или привлечённым (внешним центром реагирования, SOC); в обоих случаях он должен соответствовать требованиям к центрам ГосСОПКА и пройти аккредитацию (порядок аккредитации — приказ ФСБ № 161, с 31 мая 2026 г.).
Каналом взаимодействия служит техническая инфраструктура НКЦКИ — защищённая среда с личными кабинетами; подключение осуществляется в порядке и на условиях, определяемых НКЦКИ и ФСБ России. При невозможности подключения используются резервные способы связи, адреса которых публикует НКЦКИ.
Порядок подключения: основные шаги
Практическая последовательность действий субъекта КИИ выглядит так:
- определить статус субъекта КИИ и провести категорирование объектов, направить сведения во ФСТЭК России;
- выбрать модель взаимодействия — напрямую с НКЦКИ или через центр ГосСОПКА;
- оформить взаимодействие с НКЦКИ — направить обращение в ФСБ России для заключения регламента (соглашения) о взаимодействии;
- организовать защищённый канал и подключиться к технической инфраструктуре НКЦКИ, получить доступ к личному кабинету;
- разработать внутренние документы реагирования: назначить ответственных, определить критерии квалификации инцидента, порядок и сроки уведомления, форматы передачи сведений;
- для значимых объектов — создать систему безопасности значимого объекта и обеспечить непрерывное взаимодействие с ГосСОПКА.
Аутсорсинг через SOC (центр ГосСОПКА)
SOC (Security Operations Center) — центр мониторинга и реагирования на инциденты информационной безопасности: команда специалистов и набор технических средств (система сбора и корреляции событий SIEMСистема управления событиями информационной безопасности — Класс решений для сбора и корреляции событий ИБ (Security Information and Event Management)., сенсоры обнаружения вторжений, средства анализа сетевого трафика и защиты конечных устройств), которые круглосуточно наблюдают за инфраструктурой, выявляют компьютерные атаки, квалифицируют инциденты и реагируют на них. Сам по себе SOC — это организационно-техническая функция, а не нормативная категория.
В контексте ГосСОПКА внешний SOC может выполнять роль провайдера взаимодействия через центр ГосСОПКА — если соответствующая организация является центром ГосСОПКА, имеет соглашение о взаимодействии с ФСБ России (НКЦКИ) и организованное подключение к технической инфраструктуре НКЦКИ. Тогда субъект КИИ не строит собственный центр, а привлекает такого провайдера по договору. Порядок аккредитации центров установлен приказом ФСБ России № 161 от 22 апреля 2026 г., однако до 13 декабря 2027 года действует переходный период, допускающий работу центров на основании соглашений с ФСБ России (НКЦКИ) без аккредитации.
Порядок взаимодействия с SOC
- субъект выбирает провайдера — корпоративный центр ГосСОПКА, оказывающий услуги по договору, — и заключает договор на мониторинг и реагирование;
- SOC подключает инфраструктуру субъекта к своим средствам мониторинга: разворачивает или интегрирует сбор событий, сенсоры и агенты, согласует перечень контролируемых объектов КИИ и источников данных;
- определяются регламенты: критерии квалификации инцидентов, роли и зоны ответственности сторон, порядок эскалации и информирования;
- SOC ведёт круглосуточный мониторинг, обнаруживает и разбирает инциденты, реагирует на них и направляет сведения в НКЦКИ в установленных форматах и в установленные сроки (3 часа для значимого объекта, 24 часа для иного);
- субъект получает отчётность, участвует в расследовании и принятии решений по своим системам и сохраняет за собой роль ответственного лица перед регулятором.
Чем это упрощает задачу субъекту КИИ
Привлечение SOC снимает с субъекта необходимость собственными силами закрывать самые ресурсоёмкие части взаимодействия с ГосСОПКА:
- не нужно набирать и содержать штат аналитиков и специалистов по реагированию для работы в режиме 24/7;
- не нужно самостоятельно приобретать, разворачивать и сопровождать SIEM, средства обнаружения вторжений и анализа трафика;
- не нужно самостоятельно организовывать центр ГосСОПКА, его подключение к технической инфраструктуре НКЦКИ и — при наступлении обязательности — аккредитацию: это обеспечивает провайдер;
- круглосуточная дежурная смена SOC помогает укладываться в жёсткие сроки информирования (3 и 24 часа), тогда как обязанность их соблюсти юридически остаётся на субъекте;
- субъект получает экспертизу и накопленную провайдером базу знаний об атаках, недоступную отдельной небольшой организации.
Чем регламентируется
Деятельность центра ГосСОПКА (в том числе внешнего SOC) регламентируется требованиями к центрам ГосСОПКА и соглашением о взаимодействии центра с ФСБ России (НКЦКИ). Порядок аккредитации центров установлен приказом ФСБ России № 161 от 22 апреля 2026 г. (вступил в силу 31 мая 2026 г.), однако до 13 декабря 2027 года действует переходный период, в течение которого центры могут работать на основании соглашений с ФСБ России (НКЦКИ) без аккредитации. При этом важно понимать: передать провайдеру можно техническую функцию, но не публично-правовую обязанность — по статье 9 187-ФЗ ответственным за информирование и взаимодействие с ГосСОПКА остаётся сам субъект КИИ. Договор с SOC не освобождает субъекта от ответственности за нарушение порядка информирования и взаимодействия (статья 13.12.1 КоАП РФ).
Плюсы и минусы
Плюсы: быстрый старт без построения собственного центра; экономия на штате и инструментах круглосуточного мониторинга; готовое подключение и взаимодействие с НКЦКИ (при наличии — аккредитованный статус центра); профессиональная экспертиза и помощь в соблюдении сроков реагирования.
Минусы: зависимость от внешнего провайдера и стоимость подписки; необходимость передавать SOC чувствительную телеметрию и сведения о своей инфраструктуре; ответственность перед регулятором всё равно остаётся на субъекте; выбирать нужно центр ГосСОПКА, имеющий соглашение с НКЦКИ (а после окончания переходного периода — аккредитацию); аутсорсинг сегментов со сведениями, составляющими государственную тайну, возможен только при соблюдении режима гостайны, наличии необходимых лицензий и допусков, а на практике может быть ограничен или невозможен. Модель подходит организациям без ресурсов на собственный SOC; крупные субъекты со зрелой ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз.-функцией нередко строят собственный центр ради полного контроля.
Сроки уведомления о компьютерных инцидентах
Информация о компьютерном инциденте направляется субъектом КИИ в НКЦКИ через техническую инфраструктуру НКЦКИ в установленный срок с момента обнаружения инцидента:
- не позднее 3 часов — для инцидента на значимом объекте КИИ;
- не позднее 24 часов — для инцидента на ином (незначимом) объекте КИИ.
Сведения о компьютерной атаке направляются не позднее 24 часов с момента её обнаружения; субъекты финансового рынка дополнительно информируют Банк России. Уведомление направляется в форматах, определённых НКЦКИ, и включает сведения об инциденте: затронутый объект, время обнаружения, характер события, предполагаемые последствия и принимаемые меры. По ходу реагирования сведения дополняются, а по итогам — представляются результаты расследования. Для значимых объектов приказы дополнительно предусматривают направление в НКЦКИ сведений о проводимых мерах при получении информации о готовящихся атаках.
Обязанности по обнаружению, предупреждению и ликвидации
Взаимодействие с ГосСОПКА не сводится к уведомлениям. Субъект КИИ обязан выстроить процессы, обеспечивающие сам факт обнаружения инцидентов и реагирования на них:
- вести мониторинг информационных ресурсов и выявлять признаки компьютерных атак;
- поддерживать актуальную инвентаризацию систем и объектов КИИ;
- разработать и поддерживать планы реагирования на инциденты;
- принимать меры по ликвидации последствий и восстановлению работоспособности систем;
- организовать расследование инцидента и представить его результаты в НКЦКИ;
- для значимых объектов — применять сертифицированные средства защиты и учитывать ограничения на использование средств защиты из недружественных государств (Указ Президента РФ № 250).
Ответственность
Несоблюдение требований в области обеспечения безопасности КИИ, включая порядок информирования о компьютерных инцидентах, реагирования и обмена информацией, влечёт административную ответственность (статья 13.12.1 КоАП РФ). Статья 274.1 УК РФ устанавливает уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру: создание и использование вредоносных программ для воздействия на КИИ, неправомерный доступ к охраняемой информации объектов КИИ, а также нарушение правил эксплуатации или доступа к информационным системам, сетям и автоматизированным системам управления КИИ, если это повлекло причинение вреда. Поэтому взаимодействие с ГосСОПКА стоит выстраивать заранее и документировать, а не откладывать до первого инцидента.
Определяете обязанности по КИИ?
В сервисе можно провести категорирование объектов КИИ, сформировать пакет документов значимого объекта (в том числе регламент взаимодействия с ГосСОПКА) и вести сроки уведомлений. Начните с калькулятора категорирования объектов КИИ.