ФСБ России приказ № 554 от 26 декабря 2025 года, которым установлены обязательные требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также для реагирования на компьютерные инциденты. Документ зарегистрирован Минюстом России и вступает в силу в установленном порядке.
Приказ № 554 заменяет ранее действующий приказ ФСБ России № 196 от 6 мая 2019 года и актуализирует требования с учётом развития государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
На кого распространяется приказ № 554
Требования приказа применяются к техническим, программным, программно-аппаратным и иным средствам, используемым:
- субъектами критической информационной инфраструктуры (КИИ);
- органами и организациями, взаимодействующими с субъектами КИИ;
- в составе средств ГосСОПКА;
- для поиска признаков компьютерных атак, обнаружения инцидентов, реагирования и ликвидации последствий атак;
- в том числе в сетях электросвязи, используемых для взаимодействия объектов КИИ.
К каким видам средств установлены требования
Приказ № 554 устанавливает требования к следующим категориям средств:
- средства обнаружения компьютерных атак;
- средства предупреждения компьютерных атак;
- средства ликвидации последствий компьютерных атак;
- средства поиска признаков компьютерных атак;
- средства обмена информацией, необходимой для реагирования;
- средства криптографической защиты информации, применяемые при обнаружении и реагировании.
Основные требования к средствам ГосСОПКА
Документ закрепляет, в частности, требования:
- к происхождению и поддержке средств ГосСОПКА (производство и сопровождение российскими юридическими лицами);
- к обеспечению безопасности, разграничению доступа, аутентификации и регистрации событий ИБ;
- к резервированию, восстановлению работоспособности и контролю целостности ПО;
- к обновлению программных компонентов без потери информации о компьютерных инцидентах;
- к ведению электронных журналов и хранению данных о событиях ИБ.
Требования к средствам обнаружения
Средства обнаружения должны обеспечивать:
- сбор и первичную обработку событий информационной безопасности от различных источников;
- автоматический и повторный анализ событий ИБ;
- выявление компьютерных инцидентов, в том числе на основе корреляции событий;
- регистрацию, хранение и анализ информации о событиях ИБ;
- возможность расширения перечня источников событий и методов анализа.
Также установлено требование о наличии сертификата соответствия ФСБ России к средствам обнаружения компьютерных атак.
Требования к средствам предупреждения
Средства предупреждения должны обеспечивать:
- сбор и обработку сведений об уязвимостях, индикаторах компрометации и вредоносном ПО;
- аналитическую и статистическую обработку получаемой информации;
- формирование рекомендаций по минимизации угроз безопасности информации;
- контроль актуальности используемых данных и источников сведений.
Требования к средствам ликвидации последствий
Средства ликвидации последствий должны обеспечивать:
- учёт и обработку компьютерных инцидентов;
- управление процессами реагирования;
- формирование карточек компьютерных инцидентов;
- взаимодействие с НКЦКИ в установленном формате;
- информационно-аналитическое сопровождение процессов реагирования.
Требования к средствам ППКА
Для средств поиска признаков компьютерных атак (ППКА), включая применяемые в сетях электросвязи, установлены отдельные требования, в том числе:
- анализ сетевого трафика и служебных полей протоколов;
- хранение и экспорт фрагментов сетевого трафика;
- уведомление о выявлении признаков компьютерных атак;
- наличие интерфейсов передачи данных и взаимодействия с ГосСОПКА;
- сертификация по требованиям ФСБ России.
Значение приказа № 554
Принятие приказа № 554 направлено на унификацию и актуализацию требований к средствам обнаружения и реагирования, используемым в рамках ГосСОПКА, а также на повышение уровня защищённости информационных ресурсов субъектов КИИ.
Документ имеет практическое значение для операторов КИИ, разработчиков средств защиты информации, интеграторов и организаций, участвующих во взаимодействии с ГосСОПКА.