исследование 3 июня 2026

Как выбрать EDR для защиты объектов КИИ

EDR (Endpoint Detection and Response) для значимых объектов критической информационной инфраструктуры (КИИ) выбирают не так, как для обычного офиса. Здесь решение должно не просто «ловить вирусы», а закрывать сразу два контура: реальную защиту конечных точек от сложных атак и формальные требования регулятора к доверенным средствам защиты. **Если коротко:** EDR для КИИ должен быть в едином реестре российского ПО, иметь сертификацию ФСТЭК под нужный класс защиты, поддерживать отечественные операционные системы и серверный Linux, уметь изолировать заражённый хост и интегрироваться с вашим SIEM/SOC и с ГосСОПКА для обмена сведениями об инцидентах. Ниже — что именно проверять по каждому требованию, как взвесить критерии и как провести пилот без сюрпризов на боевых серверах. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге EDR и защиты конечных точек](/rating/endpoint-security-edr-xdr-epp).

6 мин. чтения Блоки данных: 5 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Как выбрать EDR для защиты объектов КИИ — Тематическая иллюстрация к исследованию: Как выбрать EDR для защиты объектов КИИ. Kevin Paster / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что особенного в защите конечных точек на объектах КИИ

Защита КИИ отличается от обычной корпоративной ИБ тем, что к технической эффективности добавляется жёсткая правовая рамка. 187-ФЗ и подзаконные акты ФСТЭК обязывают субъектов КИИ категорировать объекты, защищать значимые объекты доверенными средствами и подключаться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) с обязательным информированием о компьютерных инцидентах.

Для EDR это означает несколько практических следствий:

- **Средство должно быть доверенным.** Для значимых объектов приоритет — продукты из реестра российского ПО, прошедшие сертификацию ФСТЭК под класс защиты, соответствующий категории значимости объекта. - **Парк часто разнородный и «тяжёлый».** На объектах КИИ это не только рабочие станции, но и серверы, технологические сегменты, отечественные ОС. EDR должен ставиться туда, где реально работает инфраструктура. - **Инциденты нельзя «замолчать».** События с конечных точек должны попадать в SIEM/SOC, а сведения об инцидентах — уходить в ГосСОПКА (через НКЦКИ) в установленном порядке.

Поэтому выбор EDR для КИИ — это пересечение двух списков требований: «что защищает на практике» и «что примет регулятор». Решение, сильное только в одном из них, не подходит.

Требование КИИ → что проверить в EDR

Требование к защите КИИ	Что конкретно проверять в EDR
Доверенное ПО	Наличие продукта в [реестре российского ПО](https://reestr.digital.gov.ru/) и актуальность записи
Сертификация ФСТЭК	[Сертификат ФСТЭК](https://reestr.fstec.ru/) под класс защиты, соответствующий категории значимости объекта
Отечественные ОС и серверы	Поддержка Astra Linux, РЕД ОС и другого отечественного Linux, а не только Windows
Реагирование на хосте	Изоляция (сетевой карантин) заражённого хоста, завершение процессов, откат изменений
Интеграция с мониторингом	Передача телеметрии и алертов в SIEM/SOC, поддержка форматов и коннекторов
Обмен с ГосСОПКА	Возможность передачи сведений об инцидентах в НКЦКИ в установленном порядке
Эксплуатация в КИИ	Работа в закрытых контурах без доступа в интернет, локальные базы и обновления

Вес критериев выбора EDR для КИИ (редакционная оценка)

Усреднённая редакционная оценка значимости критериев для типового значимого объекта КИИ. Это ориентир для расстановки приоритетов, а не вендорский бенчмарк и не замена собственной модели угроз.

Сертификация ФСТЭК под класс 95 /100

95 /100

Наличие в реестре российского ПО 90 /100

90 /100

Интеграция с SIEM/SOC и ГосСОПКА 90 /100

90 /100

Поддержка отечественных ОС и Linux 85 /100

85 /100

Качество детектирования сложных атак 85 /100

85 /100

Реагирование и изоляция хоста 80 /100

80 /100

Работа в закрытом контуре без интернета 75 /100

75 /100

Нагрузка на конечные точки и серверы 70 /100

70 /100

Чек-лист выбора EDR для КИИ

Определите категорию значимости объектов КИИ и требуемый класс защиты — от этого зависит уровень сертификата.

Проверьте продукт в реестре российского ПО и сверьте сертификат ФСТЭК под нужный класс.

Зафиксируйте состав парка: ОС, доля серверов, отечественные Linux (Astra, РЕД ОС), технологические сегменты.

Убедитесь в поддержке всех нужных платформ агентом, а не только Windows.

Проверьте реагирование на хосте: сетевая изоляция, завершение процессов, сбор артефактов.

Уточните интеграцию с вашим SIEM/SOC: коннекторы, форматы событий, нормализация.

Проверьте сценарий обмена сведениями об инцидентах с ГосСОПКА через НКЦКИ.

Проверьте работу в закрытом контуре: локальные обновления баз без выхода в интернет.

Заложите пилот на боевом сегменте (2–4 недели) до тендера, с замером нагрузки и качества детектирования.

Сравните вендоров по подтверждённым внедрениям в [рейтинге EDR](/rating/endpoint-security-edr-xdr-epp).

Этапы внедрения EDR на объектах КИИ

01 Категорирование и требования
Зафиксируйте категории значимости объектов, модель угроз и требуемый класс защиты — это вход для всех дальнейших проверок по реестру и сертификату.
02 Инвентаризация парка
Снимите состав конечных точек: ОС и версии, доля серверов и отечественного Linux, закрытые и технологические сегменты.
03 Шорт-лист по комплаенсу
Отберите кандидатов, у которых есть запись в реестре и сертификат ФСТЭК под ваш класс; остальные отсекаются на входе.
04 Пилот на боевом сегменте
Разверните агентов на репрезентативной выборке, проверьте детектирование, реагирование и нагрузку на серверы под реальной работой.
05 Интеграция с SIEM/SOC и ГосСОПКА
Настройте передачу телеметрии и алертов в SIEM, отработайте порядок информирования об инцидентах в НКЦКИ.
06 Промышленное развёртывание
Поэтапно раскатайте агентов по сегментам, настройте политики и роли, зафиксируйте регламенты эксплуатации и реагирования.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом EDR](/rating/endpoint-security-edr-xdr-epp): здесь — требования КИИ и критерии выбора, там — сравнение конкретных компаний по подтверждённым фактам. Наличие в реестре и сертификат ФСТЭК всегда проверяйте в первоисточниках, а не по словам вендора.

Следующий шаг

Определились с требованиями и критериями — переходите к сравнению поставщиков: **[рейтинг EDR, XDR и защиты конечных точек →](/rating/endpoint-security-edr-xdr-epp)**. Полезно прочитать рядом: [российские EDR-платформы 2026](/research/rossiyskie-edr-reyting-2026), [чем заменить CrowdStrike и SentinelOne](/research/zamena-crowdstrike-sentinelone-edr) и [EPP, EDR или XDR: чем отличаются](/research/epp-edr-xdr-otlichiya).

Частые вопросы

Обязателен ли сертификат ФСТЭК для EDR на объектах КИИ?

Для значимых объектов КИИ защита строится доверенными средствами, и сертификация ФСТЭК под класс, соответствующий категории значимости объекта, на практике становится входным барьером. Конкретный требуемый класс определяется по категории объекта и модели угроз, поэтому актуальный статус и уровень сертификата всегда сверяйте в реестре сертифицированных СЗИ ФСТЭК.

Должен ли EDR быть в реестре российского ПО?

Для значимых объектов КИИ и госсектора приоритет — продукты из единого реестра российского ПО: это часть требований к доверенным средствам и к ограничению иностранного ПО. Наличие записи в реестре нужно проверять напрямую в реестре Минцифры, а не по презентации поставщика, поскольку статус может меняться.

Поддерживает ли EDR отечественный Linux и серверы?

Это один из ключевых вопросов для КИИ: на значимых объектах много серверов и отечественных ОС вроде Astra Linux и РЕД ОС. Проверяйте, что агент официально поддерживает все нужные платформы и версии ядра, а не только Windows, и что поддержка распространяется на серверные и технологические сегменты, а не ограничивается рабочими станциями.

Как связать EDR с ГосСОПКА?

Субъекты КИИ обязаны информировать о компьютерных инцидентах и взаимодействовать с ГосСОПКА через НКЦКИ. На практике EDR передаёт события и алерты в SIEM/SOC, а уже оттуда в установленном порядке формируются и направляются сведения об инцидентах. Проверяйте, что выбранное решение даёт нужную телеметрию и интегрируется с вашим контуром мониторинга и регламентами реагирования.

Где сравнить конкретных вендоров EDR между собой?

В рейтинге EDR, XDR и защиты конечных точек — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Федеральный закон № 187-ФЗ «О безопасности КИИ» Официальный интернет-портал правовой информации

Рейтинг EDR, XDR и защиты конечных точек Сравнить поставщиков по подтверждённым сигналам Российские EDR-платформы 2026: рейтинг и сравнение Чем заменить CrowdStrike и SentinelOne: импортозамещение EDR EPP, EDR или XDR: чем отличаются и что выбрать