исследование 3 июня 2026

СОВ для КИИ и ГосСОПКА: требования ФСТЭК и выбор решения

Система обнаружения вторжений (СОВ) — это базовое средство защиты, без которого значимый объект критической информационной инфраструктуры (КИИ) почти не закрыть по требованиям регулятора. Для КИИ к СОВ предъявляют не «маркетинговые», а формальные требования: наличие в реестре сертифицированных СЗИ ФСТЭК, действующий сертификат под нужный профиль защиты, регулярное обновление решающих правил и способность отдавать данные об инцидентах в ГосСОПКА через НКЦКИ. **Если коротко:** выбор СОВ для КИИ — это не только про качество детектирования, но и про комплаенс. Сначала проверяется формальная пригодность (реестр СЗИ, сертификат, тип и класс под вашу категорию значимости), затем — техническая: охват сегментов, актуальность решающих правил, интеграция с процессами ГосСОПКА. Ниже — какие требования откуда берутся, как читать их на практике, чек-лист выбора и план подключения к ГосСОПКА. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге IDS, IPS, NDR и NTA](/rating/ids-ips-ndr-nta).

8 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Антон Смирнов, Полина Лебедева

Короткий вывод

network detection

Сетевое обнаружение показывает то, что не видно агентам

IDS, IPS, NDR и NTA полезны там, где нужно анализировать трафик, аномалии и связи между сегментами.

Тематическое фото для исследования: СОВ для КИИ и ГосСОПКА: требования ФСТЭК — Тематическая иллюстрация к исследованию: СОВ для КИИ и ГосСОПКА: требования ФСТЭК. panumas nikhomkhai / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Антон Смирнов Старший редактор исследований ИБ-рынка

Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.

7 лет в SEO-аналитике и редакционных B2B-исследованиях
Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что такое СОВ и почему для КИИ особые требования

Система обнаружения вторжений (СОВ, в англоязычной терминологии — IDS/IPS, а в современном варианте — NDR) анализирует сетевой или хостовый трафик и выявляет признаки атак: эксплуатацию уязвимостей, сканирование, аномалии, известные индикаторы компрометации. В обычной корпоративной сети СОВ — вопрос зрелости защиты. На объектах КИИ это вопрос соответствия закону.

Рамку задаёт Федеральный закон № 187-ФЗ «О безопасности КИИ» и подзаконные акты ФСТЭК России. Для значимых объектов КИИ обязательны организационные и технические меры защиты, а средства защиты должны быть, как правило, сертифицированными и присутствовать в государственном реестре сертифицированных СЗИ. СОВ входит в число типовых мер: обнаружение и предотвращение вторжений — отдельная подсистема в архитектуре безопасности значимого объекта. Отдельно действует требование подключения к государственной системе ГосСОПКА и взаимодействия с НКЦКИ по инцидентам.

СОВ для КИИ: что проверяют в первую очередь

Базовый правовой акт 187-ФЗ

Закон «О безопасности КИИ» + приказы ФСТЭК

Где сверять пригодность реестр СЗИ

reestr.fstec.ru — проверяемый первоисточник

Ключевой документ продукта сертификат ФСТЭК

Тип и профиль защиты под категорию значимости

Обязательный канал ГосСОПКА / НКЦКИ

Передача сведений об инцидентах

Откуда берутся требования: 187-ФЗ, приказы ФСТЭК, профили СОВ

Требования к СОВ для КИИ складываются из нескольких уровней, и важно не смешивать их:

- **187-ФЗ и категорирование.** Закон вводит понятие значимого объекта КИИ и категории значимости. От категории зависит набор обязательных мер защиты, а значит и то, какой именно класс/тип средства защиты допустим. - **Приказы ФСТЭК по защите значимых объектов КИИ.** Задают состав мер: в их числе — меры по обнаружению (предотвращению) вторжений. Это и есть нормативное основание для наличия СОВ. - **Требования к самим СОВ и профили защиты.** ФСТЭК исторически использует понятие профилей и типов СОВ (например, уровня сети и уровня узла) с разными классами защиты. Конкретный профиль/класс под ваш объект определяется по категории значимости и модели угроз — это не выбирается «на глаз». - **Реестр и сертификация.** Пригодность средства подтверждается действующим сертификатом ФСТЭК и наличием продукта в государственном реестре сертифицированных СЗИ.

> Не присваивайте классы и типы продуктам «по памяти». Конкретный профиль защиты СОВ под > ваш объект определяется категорией значимости и моделью угроз, а действующий статус > сертификата всегда сверяется в [реестре СЗИ ФСТЭК](https://reestr.fstec.ru/) — это и есть > проверяемый первоисточник.

Классы и типы СОВ общими словами

Чтобы говорить с интегратором и регулятором на одном языке, полезно различать СОВ по уровню применения и режиму работы — без привязки этих категорий к конкретным продуктам:

- **СОВ уровня сети.** Анализируют сетевой трафик в точках агрегации и на периметрах сегментов. Это привычный формат для распределённой инфраструктуры и ЦОД. - **СОВ уровня узла.** Контролируют события на конкретном хосте/сервере. Полезны там, где важен трафик «внутри» и поведение приложений, недоступное на сетевом уровне. - **Режим обнаружения и режим предотвращения.** Классическая СОВ (IDS) сигнализирует, а система предотвращения (IPS) умеет блокировать. На значимых объектах выбор режима — это баланс между безопасностью и риском ложного срабатывания на критичном трафике. - **Сигнатурные и поведенческие методы.** Сигнатуры и решающие правила ловят известное; поведенческая аналитика (характерная для NDR) — отклонения и неизвестные сценарии. Зрелое решение сочетает оба подхода.

Какой именно класс защиты и тип нужны вашему объекту — определяется нормативно, по категории значимости и модели угроз, а не по описанию из буклета вендора.

Требование → что обеспечить на практике

Требование	Что это значит	Что обеспечить / проверить
Наличие в реестре СЗИ	Средство внесено в государственный реестр сертифицированных СЗИ	Сверить запись и актуальный статус на reestr.fstec.ru
Действующий сертификат ФСТЭК	Подтверждена пригодность под профиль защиты	Срок действия, тип СОВ, заявленный класс под вашу категорию
Обновление решающих правил	Сигнатуры и правила поддерживаются вендором	Регламент и частота обновлений, доступность в РФ
Интеграция с ГосСОПКА / НКЦКИ	Сведения об инцидентах передаются в систему	Форматы выгрузки, API/коннектор, регламент взаимодействия
Охват сегментов	Контролируются все значимые точки трафика	Карта сегментов, периметры, точки агрегации, «слепые зоны»
Эксплуатационная зрелость	Решение управляемо и поддерживаемо	Поддержка в РФ, обучение, отказоустойчивость сенсоров

Значимость требований к СОВ для КИИ

Усреднённая редакционная оценка веса требований при отборе СОВ под значимый объект КИИ по открытым данным. Это не нормативный приоритет и не заменяет категорирование и модель угроз для вашего объекта.

Наличие в реестре СЗИ и сертификат ФСТЭК 95 /100

95 /100

Соответствие профиля/класса категории значимости 90 /100

90 /100

Интеграция с ГосСОПКА и НКЦКИ 85 /100

85 /100

Регулярное обновление решающих правил 85 /100

85 /100

Охват критичных сегментов без «слепых зон» 80 /100

80 /100

Эксплуатационная зрелость и поддержка в РФ 75 /100

75 /100

Поведенческая аналитика (NDR) поверх сигнатур 70 /100

70 /100

Чек-лист выбора СОВ под КИИ

Категория значимости определите категорию объекта КИИ и требуемый профиль/класс СОВ по модели угроз, а не по буклету.

Реестр СЗИ проверьте наличие средства и его актуальный статус в реестре сертифицированных СЗИ ФСТЭК.

Сертификат сверьте срок действия, тип СОВ и заявленный класс защиты под вашу категорию.

Решающие правила уточните регламент и частоту обновления сигнатур и их доступность в РФ.

ГосСОПКА проверьте форматы выгрузки и коннектор/API для передачи сведений об инцидентах в НКЦКИ.

Охват сегментов постройте карту трафика и закройте «слепые зоны» сенсорами на ключевых точках.

Режим работы определите, где допустимо предотвращение (IPS), а где безопаснее только обнаружение.

Пилот и поддержка заложите пилот на вашем трафике и проверьте поддержку, обучение и отказоустойчивость.

Сравнение вендоров сопоставьте поставщиков по подтверждённым внедрениям в [рейтинге IDS, IPS, NDR и NTA](/rating/ids-ips-ndr-nta).

Подключение к ГосСОПКА: 6 шагов проекта

01 Категорирование объектов КИИ
Определите перечень объектов, категории значимости и модель угроз — это вход для всех дальнейших решений по СОВ.
02 Проектирование защиты
Спроектируйте подсистему обнаружения вторжений: типы СОВ, точки установки сенсоров, охват сегментов.
03 Выбор и проверка СОВ
Подберите средство, сверьте его в реестре СЗИ и по сертификату ФСТЭК под требуемый профиль защиты.
04 Внедрение и настройка
Разверните сенсоры, настройте решающие правила и регламент их обновления, обкатайте на реальном трафике.
05 Интеграция с НКЦКИ
Настройте передачу сведений об инцидентах в ГосСОПКА, отработайте форматы и регламент взаимодействия.
06 Эксплуатация и контроль
Запустите процессы реагирования, поддерживайте актуальность правил и статус сертификата, готовьтесь к ресертификации.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом IDS, IPS, NDR и NTA](/rating/ids-ips-ndr-nta): здесь — требования и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с требованиями — переходите к сравнению поставщиков: **[рейтинг IDS, IPS, NDR и NTA →](/rating/ids-ips-ndr-nta)**. Полезно прочитать рядом: [чем отличаются IDS, IPS, NDR и NTA](/research/ids-ips-ndr-nta-otlichiya), [рейтинг российских NDR и NTA 2026](/research/reyting-rossiyskih-ndr-nta-2026) и [чем заменить Darktrace и Cisco Firepower](/research/zamena-darktrace-cisco-firepower-ndr).

Частые вопросы

Обязательна ли сертифицированная СОВ для значимого объекта КИИ?

Как правило, да: для значимых объектов КИИ средства защиты должны быть сертифицированными и присутствовать в государственном реестре сертифицированных СЗИ ФСТЭК. Конкретные требования зависят от категории значимости и модели угроз, поэтому профиль и класс СОВ определяются нормативно, а статус всегда сверяется в реестре СЗИ.

Как связаны СОВ и ГосСОПКА?

СОВ обнаруживает вторжения, а ГосСОПКА — государственная система, в которую субъект КИИ обязан передавать сведения о компьютерных инцидентах через НКЦКИ. СОВ становится одним из источников этих сведений, поэтому важна её интеграция с процессами и форматами взаимодействия с НКЦКИ.

СОВ, IDS, IPS и NDR — это одно и то же?

Это близкие, но не тождественные понятия. СОВ (IDS) обнаруживает атаки, IPS дополнительно умеет их блокировать, а NDR делает упор на поведенческую аналитику сетевого трафика. Подробнее о различиях — в статье IDS, IPS, NDR, NTA: чем отличаются.

Можно ли использовать зарубежную СОВ на объекте КИИ?

Для значимых объектов это, как минимум, требует сертифицированного средства из реестра СЗИ и учёта требований к доверенным средствам защиты; доступность обновлений и поддержки в РФ — отдельный практический риск. Поэтому на КИИ выбор обычно смещён в сторону отечественных сертифицированных решений.

Где сравнить конкретных поставщиков СОВ и NDR между собой?

В рейтинге IDS, IPS, NDR и NTA — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Федеральный закон № 187-ФЗ «О безопасности КИИ» Официальный интернет-портал правовой информации source Национальный координационный центр по компьютерным инцидентам (ГосСОПКА) НКЦКИ

Рейтинг IDS, IPS, NDR и NTA Сравнить поставщиков по подтверждённым сигналам IDS, IPS, NDR, NTA: чем отличаются Рейтинг российских NDR и систем анализа трафика 2026 Чем заменить Darktrace и Cisco Firepower: отечественные NDR