Разработка ОРД по КИИ в 2026 году: полный перечень документов

Что такое ОРД по КИИ и зачем она нужна

Организационно-распорядительная документация (ОРД) — это внутренние документы субъекта КИИ, которые определяют порядок и правила функционирования системы безопасности значимых объектов и обеспечения их защиты. Проще говоря, ОРД переводит требования закона в конкретные роли, процедуры и регламенты, обязательные для сотрудников.

Важно сразу зафиксировать: требования к ОРД по приказам ФСТЭК распространяются только на значимые объекты КИИ — те, которым по итогам категорирования присвоена I, II или III категория значимости. Если объекты категорированы как незначимые, разрабатывать этот комплект не нужно. Поэтому корректная последовательность всегда такая: сначала категорирование, затем — обеспечение безопасности значимых объектов и разработка ОРД.

Нормативная база в 2026 году

Комплект ОРД опирается на несколько уровней регулирования:

1. Федеральный закон от 26.07.2017 № 187-ФЗ — базовый закон о безопасности КИИ.
2. Приказ ФСТЭК России от 21.12.2017 № 235 (действующая редакция — от 20.04.2023) — требования к созданию систем безопасности значимых объектов и к самой ОРД.
3. Приказ ФСТЭК России от 25.12.2017 № 239 (действующая редакция — от 28.08.2024, в силе с 05.11.2024) — требования по обеспечению безопасности значимых объектов и состав мер защиты.
4. Приказы ФСБ России в части взаимодействия с ГосСОПКА — об этом подробнее ниже.

Ключевой принцип, заложенный в самих приказах: жёсткого закрытого списка с названиями документов закон не устанавливает. Пункт 25 приказа № 235 прямо указывает, что состав и формы ОРД субъект КИИ определяет самостоятельно, исходя из особенностей своей деятельности. Обязательным является не перечень «бумаг», а их содержание — те правила и процедуры, которые должны быть задокументированы.

Что изменилось к 2026 году

Тема «ОРД по КИИ» обманчиво кажется статичной — на деле регулирование заметно обновилось, и часть популярных в интернете шаблонов уже устарела.

1. Новый порядок ГосСОПКА. Приказ ФСБ России № 547 от 25.12.2025 вступил в силу 30 января 2026 года и отменил прежний приказ № 282 от 19.06.2019 (и изменявший его приказ № 348 от 07.07.2022). Информирование о компьютерных атаках и инцидентах теперь регулируется именно приказом № 547. Перечень сведений и порядок их представления в ГосСОПКА (приказ ФСБ № 367 от 24.07.2018) и порядок обмена информацией между субъектами (приказ № 368 от 24.07.2018) продолжают действовать.
2. Актуальная редакция № 239. Требования по обеспечению безопасности значимых объектов обновлены редакцией от 28.08.2024 — состав мер защиты нужно сверять по ней, а не по более ранним версиям.
3. Упрощение категорирования. Постановление Правительства РФ № 1281 от 19.09.2024 упростило процедуру: субъекты больше не формируют и не направляют во ФСТЭК перечни объектов, подлежащих категорированию, — используются типовые отраслевые перечни.
4. Для государственных информационных систем приказ ФСТЭК № 17 от 11.02.2013 заменён приказом № 117 (вступил в силу с 1 марта 2026 года) — это важно, если значимый объект одновременно является ГИС.

Кроме того, в 2026 году обсуждался проект изменений в приказы № 235 и № 239, усиливающий требования к средствам защиты и доказательной базе. Пока это проект, и ориентироваться следует на действующие редакции — но при разработке ОРД разумно закладывать запас на ужесточение.

Перечень документов ОРД по КИИ

Ниже — типовой состав комплекта для значимого объекта. Названия документов условны (их определяет субъект), а привязка идёт к требованиям приказов № 235 и № 239. Для удобства комплект сгруппирован по логике системы безопасности.

1. Распорядительные документы

1. приказ о создании системы безопасности значимых объектов и назначении ответственного лица (по приказу № 235 это должно быть лицо уровня руководителя или его заместителя — с учётом Указа Президента РФ № 250 от 01.05.2022);
2. приказ о назначении подразделения или специалистов по безопасности и администратора безопасности, с определением состава и структуры системы безопасности и функций её участников;
3. приказ о назначении комиссии по внутреннему контролю обеспечения безопасности;
4. приказ об утверждении комплекта ОРД.

2. Базовые документы системы безопасности

1. политика обеспечения безопасности значимых объектов КИИ (определяет цели и задачи, основные угрозы и категории нарушителей, состав и структуру системы безопасности, формы оценки соответствия);
2. положение о подразделении (силах) обеспечения безопасности;
3. должностные инструкции (регламенты) ответственных лиц и эксплуатирующего персонала;
4. правила безопасной работы пользователей значимых объектов.

3. Регламенты реализации мер защиты

Под каждую применимую группу мер из приложения к приказу № 239 разрабатываются правила и процедуры. В типовой набор входят регламенты по:

1. идентификации, аутентификации и управлению доступом;
2. защите и учёту машинных носителей информации;
3. аудиту безопасности и регистрации событий;
4. антивирусной защите;
5. обеспечению целостности информации и компонентов;
6. защите технических средств и организации контролируемой зоны;
7. управлению конфигурацией и обновлениями программного обеспечения;
8. реагированию на компьютерные инциденты;
9. действиям в нештатных ситуациях, резервированию и восстановлению;
10. информированию и обучению персонала.

4. Планирование, контроль и взаимодействие с ГосСОПКА

1. план мероприятий по обеспечению безопасности (на год) и отчёт о его выполнении;
2. порядок проведения внутреннего контроля обеспечения безопасности и форма акта (внутренний контроль проводится не реже одного раза в три года);
3. порядок взаимодействия структурных подразделений;
4. регламент взаимодействия с НКЦКИ (ГосСОПКА) и информирования о компьютерных инцидентах — с учётом приказов ФСБ № 547, № 367, № 368.

Отдельно стоит модель угроз безопасности информации. Формально это не ОРД, а аналитический документ, но для значимого объекта он обязателен (приказ № 239) и разрабатывается по Методике оценки угроз ФСТЭК (2021) с использованием банка данных угроз ФСТЭК. Без актуальной модели угроз комплект ОРД считается неполным.

Состав ОРД зависит от категории значимости

Главная ошибка при подходе «по шаблону» — игнорировать категорию объекта. Чем выше категория (I — высшая, III — низшая), тем больше обязательных мер защиты, а значит, и регламентов.

Для III категории набор мер самый лёгкий: например, группы мер по обнаружению вторжений (СОВ) и часть мер по обеспечению отказоустойчивости (ОДТ) в обязательный перечень не входят — они применяются к объектам I и II категорий. Брать для объекта III категории «полный» комплект, рассчитанный на I категорию, — значит навязывать клиенту лишние документы.

Для I и II категорий, наоборот, набор мер шире, добавляются требования к обнаружению и предотвращению вторжений, повышенные требования к доступности и контролю. Точный состав применимых мер всегда определяется по приложению к приказу № 239 для конкретной категории.

Типичные ошибки при разработке ОРД

1. Шаблоны без привязки к объектам. Скачанный комплект, не отражающий реальную архитектуру, состав средств защиты и роли в организации, не проходит проверку: регулятор видит формальные документы, не соответствующие действительности.
2. Устаревшие реквизиты. Самая частая — ссылки на отменённый приказ ФСБ № 282 вместо действующего № 547, либо на старую редакцию № 239.
3. Отсутствие модели угроз или её формальная «рыба», не основанная на фактической архитектуре объекта.
4. Пропуск блока внутреннего контроля (раздела о периодическом контроле и акте) — его легко забыть, но он обязателен.
5. Избыточность не по категории — лишние регламенты под меры, которые для III категории не требуются.

Ответственность за отсутствие ОРД

Нарушение требований к обеспечению безопасности значимых объектов КИИ и порядка информирования об инцидентах влечёт административную ответственность по статье 13.12.1 КоАП РФ — для юридических лиц штраф достигает 500 000 рублей. При более серьёзных нарушениях, связанных с неправомерным воздействием на КИИ или нарушением правил эксплуатации, возможна уголовная ответственность по статье 274.1 УК РФ. На практике именно административные санкции и предписания регулятора чаще всего становятся поводом привести документацию в порядок.

Как разрабатывается ОРД: этапы

Разработка комплекта ОРД — это документарная работа, которую можно выполнить дистанционно, без выезда на объект:

1. Сбор исходных данных. Субъект заполняет структурированный запрос (опросный лист): сведения об организации и ответственных лицах, данные по каждому значимому объекту, действующие меры защиты и статус взаимодействия с ГосСОПКА.
2. Разработка модели угроз на основе фактической архитектуры объектов.
3. Разработка комплекта ОРД под применимые для категории меры, в едином стиле, готовом к утверждению руководителем.
4. Согласование и утверждение документов внутри организации.
5. Сопровождение при проверках регулятора и корректировка по замечаниям.

Разработку ОРД и модели угроз консалтинговая компания может выполнять без лицензии ФСТЭК. Лицензия требуется на следующем этапе — при проектировании, внедрении средств защиты и аттестации; эти работы выполняются отдельно, с привлечением организации-лицензиата.

Частые вопросы

Обязательна ли ОРД для всех субъектов КИИ? Нет. Требования приказов № 235 и № 239 распространяются только на значимые объекты (категории I–III). Для незначимых объектов разрабатывать этот комплект не требуется.

Можно ли разработать ОРД самостоятельно по шаблонам? Технически да, но риск высок: шаблон не отражает реальные объекты и действующие редакции НПА, а формальные документы не проходят проверку. Каждая недоработка для субъекта КИИ — потенциальное предписание или штраф.

Сколько документов входит в комплект ОРД? Фиксированного числа нет. Для объекта III категории это обычно 10–20 документов, для I–II категорий — больше. Состав определяется категорией значимости, числом объектов и особенностями организации.

Нужна ли лицензия ФСТЭК для разработки ОРД? Для разработки ОРД и модели угроз — нет. Лицензия нужна для проектирования и внедрения средств защиты, а также для аттестации значимого объекта (если она проводится).

Что изменилось в требованиях к 2026 году? Главное — новый порядок ГосСОПКА (приказ ФСБ № 547 с 30.01.2026 вместо № 282), действующая редакция № 239 от 28.08.2024 и упрощение категорирования (ПП № 1281). Документацию, подготовленную по старым реквизитам, имеет смысл актуализировать.

Коротко о главном

ОРД по КИИ — это не набор скачанных шаблонов, а система документов, отражающая реальную безопасность значимых объектов и соответствующая актуальным редакциям приказов ФСТЭК и ФСБ. В 2026 году особенно важно учитывать новый порядок ГосСОПКА и редакцию № 239 от 28.08.2024, а состав комплекта подбирать строго под категорию значимости — без лишнего и без пробелов.

Если нужна помощь — специалисты «Астелс» выполняют разработку ОРД по КИИ дистанционно: от сбора исходных данных до готового комплекта под вашу категорию значимости, с сопровождением при проверках.