Регуляторика 2026
Требования 187-ФЗ и подзаконных актов ФСТЭК (№ 239, 235, 31) к управлению доступом для значимых объектов КИИ — К1, К2, К3. 14 сфер (с 01.09.2025): ТЭК, энергетика, банки, связь, транспорт, здравоохранение и др. Identigy опыт — внедрения в каждой из критических отраслей.
Оставить заявкуФедеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» принят 26.07.2017. Обязателен для субъектов КИИ — государственных органов, учреждений и юридических лиц, владеющих ИС / АСУ ТП в одной из 14 сфер.
Субъект КИИ обязан категорировать свои объекты (К1/К2/К3), взаимодействовать с ГосСОПКА, реализовать требования ФСТЭК (№ 239 / 235 / 31) и обеспечить безопасность значимых объектов.
Категорию определяет субъект КИИ по показателям ущерба согласно постановлению Правительства РФ № 127 от 08.02.2018.
Требования: Наивысшие требования. Сертификация всех СЗИ. Криптографическая защита. Резервирование. Полный аудит. Связь с ГосСОПКА в реальном времени.
Примеры: Магистральные сети связи, системы управления АЭС, банковские расчётные центры федерального масштаба
Требования: Высокие требования. Сертификация ключевых СЗИ. MFA обязательна. Защищённые журналы. Регулярные аудиты.
Примеры: Платёжные системы банков топ-30, ИС операторов связи топ-5, системы управления нефтепроводами
Требования: Базовые требования. ИАФ + УПД + аудит. MFA для администраторов. Уведомления в ГосСОПКА.
Примеры: Региональные ИТ-системы операторов связи, медицинские информационные системы топ-50 клиник
Обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). IDM-система регистрирует все события доступа к значимым объектам КИИ.
Однозначная идентификация субъектов и объектов доступа. Усиленная (многофакторная) аутентификация — требование мер ИАФ для значимых объектов; состав мер зависит от категории (К1–К3). Криптографическая защита для К1.
Реализация дискреционной + мандатной модели доступа. Управление ролями (RBAC). Ограничение прав привилегированных пользователей. Принцип наименьших привилегий — обязателен для К1/К2.
Регистрация событий + защита журналов от несанкционированной модификации + автоматическое уведомление о критических событиях в ГосСОПКА. Срок хранения журналов — не менее 3 лет.
Документация: модель угроз + перечень требований по безопасности + проект СОИБ (Системы Обеспечения Информационной Безопасности). Сертификация всех СЗИ + криптография для К1 объектов.
| IDM-функция | Закрывает требования | Польза для субъекта КИИ |
|---|---|---|
| Lifecycle учётных записей (JML) | ФСТЭК № 239, меры УПД (управление доступом) + ст. 9 187-ФЗ (актуальность доступа) | Автоматическое закрытие учётных записей из 1С:ЗУП — нет учёток уволенных в значимых объектах КИИ |
| Многофакторная аутентификация (MFA) | ФСТЭК № 239, меры ИАФ — требование для значимых объектов (К1–К3) | Hardware tokens / push-MFA для К1/К2 + биометрия + RSA SecurID — соответствие криптотребованиям |
| Ролевая модель (RBAC) + SoD | ФСТЭК № 239, меры УПД — наименьшие привилегии + ФСТЭК № 31 (АСУ ТП) — разделение полномочий | Эталонная матрица «оператор/инженер/администратор/аудитор» + автоматическое обнаружение SoD-конфликтов |
| Аудит и журнал событий | ФСТЭК № 239, меры АУД + ст. 9 187-ФЗ (взаимодействие с ГосСОПКА) | Защищённый журнал событий доступа + автоматическая выгрузка в ГосСОПКА + хранение 3+ лет |
| Управление привилегированным доступом (PAM) | ФСТЭК № 239, меры УПД — ограничение привилегированных пользователей | JumpServer / PAM-bastion с записью сессий, just-in-time доступом, ротацией паролей |
| Сертификация прав (recertification) | ФСТЭК № 239, меры УПД (актуальность доступа) + ст. 9 187-ФЗ (контроль соответствия) | Регулярные campaigns пересмотра прав + автоматическое снятие неподтверждённых привилегий |
Anonymized cases в каждой из критических отраслей. Полный портфель — на странице /projects/.
23,000 + 35,000 ритейл-точек, 6 систем
Задача: 187-ФЗ КИИ (категория К1 для НПЗ) + ФСТЭК № 31 (АСУ ТП). Импортозамещение Oracle IM
Результат: Внедрили централизованную IDM с разделением «корпорация / промышленность / ритейл». PAM-доступ для инженеров АСУ ТП. SoD-конфликты сократили на 87%.
11,000 пользователей, 4 IT-системы
Задача: 187-ФЗ КИИ (К2 для платёжной инфраструктуры) + ЦБ 851-П (геолокация identity-сессий)
Результат: MidPoint с MFA + геолокация-аналитика. Прошёл ФСТЭК-аттестацию К2 + аудит ЦБ. Время реакции на инцидент — 5 минут.
36,000 сотрудников, 700+ ИС, 7 каталогов
Задача: 187-ФЗ КИИ (К1 для сети связи общего пользования) + 152-ФЗ. Импортозамещение
Результат: Мигрировали Oracle IM на 1IDM + Imperium. Асинхронный коннектор для высоконагруженной AD. Учётка обрабатывается за 30 минут (было 3 дня).
Identigy проведёт gap-анализ управления доступом субъекта КИИ: категорирование значимых объектов (К1/К2/К3), gap к ФСТЭК 239/235/31, integration с ГосСОПКА. На выходе — отчёт + roadmap на 12-18 мес.
Смежные требования: 152-ФЗ для операторов ПДн и приказ ФСТЭК № 117 для ГИС. Категорирование и gap к ФСТЭК 239/235 начинаем с аудита ИБ и пентеста, далее — внедрение IDM/IGA под значимые объекты.
187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (от 26.07.2017) обязателен для субъектов КИИ — государственных органов, государственных учреждений, юридических лиц (ИП исключены из субъектов КИИ с 01.09.2025 законом 58-ФЗ), которым принадлежат на праве собственности, аренды или ином законном основании информационные системы, ИТКС, АСУ функционирующие в одной из 14 сфер КИИ (с 01.09.2025): банковская сфера, ТЭК, энергетика, атомная энергия, транспорт, связь, здравоохранение, наука, оборонная промышленность, ракетно-космическая, горнодобывающая, металлургическая, химическая, госрегистрация прав на недвижимость.
3 категории по убыванию: К1 (критически значимый) — магистральные сети связи, системы АЭС, банковские расчётные центры. К2 (значимый) — платёжные системы топ-30 банков, ИС топ-5 операторов связи. К3 (значимый) — региональные ИТ-системы, мед. ИС. Категорию определяет субъект КИИ самостоятельно по Правилам категорирования объектов КИИ (ПП РФ № 127 от 08.02.2018).
ФСТЭК № 239 устанавливает обязательные группы мер: ИАФ (идентификация и аутентификация, п.1) — MFA для всех категорий; УПД (управление доступом, п.2) — RBAC + наименьшие привилегии + ограничение привилегированных; АУД (аудит, п.4) — защищённый журнал событий + хранение 3+ лет; и др. Для К1 — обязательная сертифицированная криптография + взаимодействие с ГосСОПКА в реальном времени.
ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Субъект КИИ обязан (ст. 9 187-ФЗ): передавать сведения об инцидентах в ГосСОПКА (в формате НКЦКИ); реагировать на запросы ФСБ; обмениваться методическими материалами. IDM-система автоматизирует регистрацию событий доступа + выгрузку структурированных данных об инцидентах через коннектор к ГосСОПКА.
14 сфер (с 01.09.2025, 58-ФЗ): (1) банковская и иные сферы финансового рынка; (2) ТЭК; (3) энергетика; (4) атомная энергия; (5) транспорт; (6) связь; (7) здравоохранение; (8) наука; (9) оборонная промышленность; (10) ракетно-космическая; (11) горнодобывающая; (12) металлургическая; (13) химическая промышленность; (14) госрегистрация прав на недвижимость. Показатели категорирования — ПП РФ № 127 от 08.02.2018.
Identigy с 2007 года внедряет IDM/IGA для субъектов КИИ. 39 заказчиков, 79 проектов. Покрываем: категорирование значимых объектов (К1/К2/К3), gap-анализ к ФСТЭК 239/235/31, внедрение IDM (1IDM, MidPoint, Imperium), интеграцию с ГосСОПКА, миграцию с зарубежных IDM (Oracle, SailPoint), сертифицированный PAM (JumpServer + альтернатива CyberArk). Сертифицированные специалисты по ФСТЭК.
