Title here
Summary here
187-ФЗ о безопасности критической информационной инфраструктуры: полный обзор для операторов КИИ
9 марта 2026 г. Безопасность, Блог, Юридические аспекты, КИИ Игорь Краев10
Закон 187-ФЗ предъявляет жесткие требования к организациям, работающим в критических отраслях. Разбираем, как определить, являетесь ли вы субъектом КИИ, как провести категорирование объектов, какие меры защиты внедрять по приказам ФСТЭК и что грозит за неисполнение. Полное практическое руководство.
Критическая инфраструктура под прицелом: что нужно знать о 187-ФЗ
Если коротко
187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — это закон, который устанавливает требования к защите систем и сетей, критически важных для обороны, экономики, здравоохранения, транспорта, связи и других сфер жизнеобеспечения государства. Если ваша компания работает в одной из 13 отраслей и использует информационные системы для управления производством или оказания услуг — вы, скорее всего, оператор КИИ и обязаны выполнять требования закона.
Закон вступил в силу в 2018 году, но только сейчас, с ужесточением санкционной политики и ростом кибератак на критическую инфраструктуру, регуляторы (ФСТЭК, ФСБ) начали массовые проверки. Штрафы за неисполнение требований достигают 6 миллионов рублей, а для руководителей — уголовная ответственность.
Разберем пошагово, как определить, попадаете ли вы под действие закона, и что делать, чтобы избежать санкций.
1. Кого касается 187-ФЗ: проверьте свою отрасль
Согласно ст. 2 187-ФЗ, закон распространяется на организации, которые владеют или эксплуатируют объекты КИИ в следующих сферах:
| № | Отрасль | Примеры |
|---|---|---|
| 1 | Здравоохранение | Больницы, клиники, системы управления медоборудованием, ЕГИСЗ |
| 2 | Наука | Научно-исследовательские институты, центры обработки данных |
| 3 | Транспорт | Ж/д, авиа, морской, речной, автотранспорт, системы управления движением |
| 4 | Связь | Операторы связи, дата-центры, спутниковая связь |
| 5 | Энергетика | Электростанции, сети, АЭС, нефте- и газопроводы |
| 6 | Банковская сфера | Кредитные организации, системы переводов, процессинг |
| 7 | Финансовый рынок | Страховые компании, биржи, НПФ, управляющие компании |
| 8 | Топливно-энергетический комплекс | Добыча, переработка, транспортировка нефти, газа, угля |
| 9 | Атомная промышленность | Объекты использования атомной энергии |
| 10 | Оборонная промышленность | ОПК, предприятия гособоронзаказа |
| 11 | Ракетно-космическая промышленность | Космические аппараты, наземная инфраструктура |
| 12 | Горнодобывающая промышленность | Шахты, рудники, обогатительные комбинаты |
| 13 | Металлургическая промышленность | Металлургические комбинаты, трубные заводы |
Важное уточнение: если ваша организация работает в одной из этих сфер, но не использует информационные системы (например, обычная городская поликлиника без электронных карт), то объекты КИИ у вас отсутствуют. Однако на практике таких случаев почти не осталось.
2. Что такое объекты КИИ
Объектами КИИ (критической информационной инфраструктуры) признаются:
- Информационные системы (ИС) — например, система документооборота, ERP, CRM, если их нарушение приведет к негативным последствиям.
- Автоматизированные системы управления производством (АСУ ТП) — SCADA, PLC, системы управления технологическими процессами.
- Информационно-телекоммуникационные сети — сети связи, интернет-каналы, VPN, обеспечивающие взаимодействие объектов.
- Информационно-телекоммуникационные сети, взаимодействующие с сетью “Интернет” — все, что имеет выход в интернет (а это почти всё).
Не являются объектами КИИ:
- Личные устройства сотрудников.
- Системы, не влияющие на производственные процессы (например, буфет, профсоюз).
3. Пошаговый план действий для оператора КИИ
Шаг 1. Определите, являетесь ли вы субъектом КИИ
Проверьте:
- Работает ли ваша организация в одной из 13 отраслей?
- Есть ли у вас объекты, которые могут быть признаны значимыми (их нарушение повлияет на обороноспособность, экономику, здоровье населения)?
Если да — вы субъект КИИ.
Шаг 2. Проведите категорирование объектов КИИ (самый важный шаг)
Категорирование — это процесс определения категории значимости объекта (1, 2 или 3). Чем выше категория, тем жестче требования к защите.
Порядок категорирования:
- Создайте комиссию по категорированию (приказом).
- Определите перечень всех объектов, которые могут быть отнесены к КИИ.
- Оцените последствия от возможных компьютерных атак на каждый объект по трем критериям:
- социальные (гибель людей, нарушение здоровья);
- политические (нарушение прав, международные отношения);
- экономические (прямые и косвенные убытки);
- экологические (воздействие на окружающую среду);
- оборонные (влияние на обороноспособность).
- Присвойте каждой категории баллы и определите категорию значимости.
Категории значимости:
- 1 категория — высокая значимость (масштабные последствия федерального уровня).
- 2 категория — средняя значимость (региональный уровень).
- 3 категория — низкая значимость (объект влияет только на деятельность одной организации).
- Без категории — если последствия минимальны, но объект остается в реестре.
Шаг 3. Направьте сведения во ФСТЭК
В течение 10 дней после утверждения акта категорирования направьте сведения во ФСТЭК России (в электронном виде через личный кабинет). ФСТЭК ведет реестр значимых объектов КИИ.
Шаг 4. Внедрите систему безопасности
В зависимости от категории значимости внедряются меры защиты согласно:
- Приказу ФСТЭК № 31 от 25.03.2014 (для значимых объектов 1-3 категории).
- Приказу ФСТЭК № 239 от 25.12.2017 (для всех субъектов КИИ, включая объекты без категории).
Также нужно:
- Создать систему обнаружения вторжений (ГосСОПКА или собственная, аттестованная).
- Обеспечить взаимодействие с государственной системой обнаружения (ГосСОПКА ФСБ России).
Шаг 5. Аттестуйте объекты (для значимых)
Объекты 1 и 2 категории подлежат обязательной аттестации на соответствие требованиям безопасности. Для 3 категории — по решению оператора, но рекомендуется.
Шаг 6. Обеспечьте реагирование на инциденты
Подключитесь к Национальному координационному центру по компьютерным инцидентам (НКЦКИ) ФСБ России. Обо всех инцидентах нужно сообщать в установленном порядке.
4. Требования к защите (приказы ФСТЭК)
Приказ ФСТЭК № 31 (для значимых объектов)
Устанавливает 17 мер защиты, сгруппированных по направлениям:
| № | Направление | Примеры мер |
|---|---|---|
| 1 | Идентификация и аутентификация | Парольная политика, двухфакторная аутентификация |
| 2 | Управление доступом | Ролевая модель, минимальные привилегии |
| 3 | Ограничение программной среды | Белые списки ПО (для 1 категории — обязательно) |
| 4 | Защита машинных носителей | Учет, маркировка, уничтожение |
| 5 | Аудит безопасности | Сбор событий, анализ |
| 6 | Антивирусная защита | Централизованное управление |
| 7 | Обнаружение вторжений | IDS/IPS, ГосСОПКА |
| 8 | Контроль целостности | Проверка системных файлов |
| 9 | Резервное копирование | Регламент, восстановление |
| 10 | Межсетевое экранирование | Сегментация сети |
| 11 | Шифрование | VPN, шифрование данных |
| 12 | Физическая защита | Контроль доступа в помещения |
Приказ ФСТЭК № 239 (для всех субъектов КИИ)
Устанавливает требования по:
- созданию системы безопасности (организационная структура);
- планированию мероприятий;
- реагированию на инциденты;
- взаимодействию с государственными системами.
5. Программное обеспечение и технические средства
Что можно и нужно использовать
| Тип ПО | Примеры | Назначение |
|---|---|---|
| Сертифицированные СЗИ | Secret Net, Dallas Lock, ПАК «Соболь» | Защита от НСД |
| Межсетевые экраны | ViPNet Coordinator, Континент, UserGate | Фильтрация трафика |
| Средства обнаружения вторжений | ViPNet IDS, R-Vision, Kaspersky Anti-APT | Обнаружение атак |
| Антивирусы | Kaspersky, Dr.Web (сертифицированные версии) | Антивирусная защита |
| СКЗИ | КриптоПро, ViPNet CSP | Шифрование, ЭП |
| Средства анализа защищенности | MaxPatrol, RedCheck, XSpider | Сканирование уязвимостей |
| SIEM | MaxPatrol SIEM, Kaspersky Unified Monitoring | Сбор и корреляция событий |
| ОС | Astra Linux Special Edition, Альт 8 СП | Сертифицированные ОС |
Что запрещено для значимых объектов КИИ
Запрещено на значимых объектах КИИ
- Использование неподтвержденных средств защиты — все СЗИ должны быть сертифицированы ФСТЭК или ФСБ.
- Использование иностранного ПО в системах управления — если есть российские аналоги в реестре отечественного ПО (постановление № 1236).
- Подключение к интернету без защиты — обязательно использование межсетевых экранов и средств обнаружения вторжений.
- Удаленный доступ без двухфакторной аутентификации.
- Отсутствие резервного копирования.
- Хранение данных за рубежом, если объект значимый.
6. Ответственность за несоблюдение
Административная ответственность (КоАП РФ)
| Статья | Нарушение | Штраф на должностных лиц | Штраф на юридических лиц |
|---|---|---|---|
| 13.12.1 | Нарушение требований о создании систем безопасности значимых объектов КИИ | 10 000 – 50 000 ₽ | 50 000 – 100 000 ₽ |
| 13.12.2 | Непредставление сведений о компьютерных инцидентах | 10 000 – 50 000 ₽ | 100 000 – 500 000 ₽ |
| 13.12.3 | Нарушение порядка категорирования | 10 000 – 50 000 ₽ | 50 000 – 100 000 ₽ |
| 13.12.4 | Использование неподтвержденных средств защиты | 10 000 – 20 000 ₽ | 50 000 – 100 000 ₽ |
| 13.12.5 | Неисполнение предписаний ФСТЭК | 20 000 – 50 000 ₽ | 100 000 – 500 000 ₽ |
| 13.12.6 | Повторное нарушение | 50 000 – 100 000 ₽ | 500 000 – 1 000 000 ₽ |
Уголовная ответственность
- Ст. 274.1 УК РФ — неправомерное воздействие на критическую информационную инфраструктуру РФ (до 10 лет лишения свободы).
- Ст. 274.2 УК РФ — нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации (до 5 лет).
Блокировка деятельности
ФСТЭК может приостановить эксплуатацию объекта КИИ до устранения нарушений.
7. Чек-лист: проверьте себя
- Определена отраслевая принадлежность (есть ли у вас объекты в 13 сферах).
- Создана комиссия по категорированию (приказ).
- Проведена инвентаризация всех объектов (ИС, АСУ ТП, сети).
- Проведено категорирование для каждого объекта.
- Акты категорирования утверждены руководителем.
- Сведения направлены во ФСТЭК.
- Разработаны организационно-распорядительные документы по защите КИИ.
- Внедрены сертифицированные средства защиты (для значимых объектов).
- Налажено взаимодействие с ГосСОПКА/НКЦКИ.
- Проведено обучение сотрудников.
- Проведена аттестация (для значимых объектов 1-2 категории).
8. Часто задаваемые вопросы
Нужно ли категорировать объекты, если мы небольшая компания, но работаем в энергетике?
Да, нужно. 187-ФЗ не делает исключений для малого бизнеса. Критичность определяется не размером компании, а отраслью и потенциальными последствиями от атак.
| Ситуация | Статус объекта | Что делать |
|---|---|---|
| Есть объекты (ИС, АСУ ТП, сети), последствия от атак минимальны | Объект без категории | Категорирование провести обязательно, объект включается в реестр, но требования по защите ниже |
| Есть объекты, последствия оцениваются как значимые | 3, 2 или 1 категория | Категорирование провести обязательно, далее — внедрение мер по приказу ФСТЭК № 31 |
| Нет объектов КИИ (не используем информационные системы) | Не субъект КИИ | Ничего делать не нужно, но отсутствие систем надо подтвердить |
Даже один небольшой объект в энергетике — это уже основание для категорирования. Не проведёте — попадёте под штраф.
Что будет, если не провести категорирование?
Формально — административная ответственность. Реально — риски гораздо шире.
| Вид ответственности | Санкции | Последствия |
|---|---|---|
| Административная (ст. 13.12.3 КоАП РФ) | Штраф на юрлицо до 100 000 руб., на должностных лиц до 50 000 руб. | Первое предупреждение или небольшой штраф |
| Повторное нарушение | Штраф до 500 000 руб. или приостановка деятельности до 90 суток | Реальные потери, остановка работы |
| Предписание ФСТЭК | Обязательное устранение в срок | Дополнительные затраты и проверка |
| Репутационные риски | Потеря доверия партнёров и регуляторов | Проблемы с госзаказом, лицензиями |
| Уголовная ответственность руководителя | При тяжких последствиях — ст. 274.1 УК РФ | До 10 лет лишения свободы |
На практике: если вы не провели категорирование и попали под проверку, первый штраф — это только начало. Дальше — предписание, затраты на срочное исправление и повторная проверка.
Нужно ли получать лицензию ФСТЭК?
Зависит от вашей роли.
| Кто | Нужна ли лицензия | Комментарий |
|---|---|---|
| Оператор КИИ (сам эксплуатирует объекты) | НЕТ | Лицензия на ТЗКИ не требуется для собственной эксплуатации, даже на значимых объектах |
| Подрядчик, создающий систему защиты для оператора КИИ | ДА | Лицензия ФСТЭК на техническую защиту конфиденциальной информации обязательна |
| Подрядчик, разрабатывающий ПО для КИИ | НЕТ, но… | Нужна лицензия ФСБ на разработку СКЗИ, если используется криптография |
| Оператор, оказывающий услуги другим организациям (аутсорсинг) | ДА | Если вы обрабатываете ПДн или защищаете КИИ других юрлиц — лицензия нужна |
Кратко: если вы только пользуетесь своей системой — лицензия не нужна. Если строите безопасность для других — обязана быть.
Как взаимодействовать с ГосСОПКА?
ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Взаимодействие обязательно для всех субъектов КИИ.
| Этап | Действие | Сроки / Пояснение |
|---|---|---|
| 1. Определить центр компетенций | Выбрать: НКЦКИ ФСБ России (основной) или коммерческий центр ГосСОПКА | Центр должен быть аттестован ФСБ |
| 2. Заключить соглашение | Подписать договор с НКЦКИ или коммерческим центром | Без этого взаимодействие невозможно |
| 3. Установить средства обнаружения | Внедрить ViPNet IDS, Kaspersky Anti-APT или другие сертифицированные ФСБ решения | Средства должны быть в реестре ФСБ |
| 4. Настроить передачу данных | Обеспечить передачу информации об инцидентах в НКЦКИ | В автоматическом или ручном режиме |
| 5. Назначить ответственных | Определить лиц, реагирующих на инциденты | Должны быть обучены |
| 6. Сообщать об инцидентах | Передавать данные обо всех значимых событиях | В установленные сроки (обычно 24 часа) |
Если вы не подключены к ГосСОПКА, это считается нарушением требований ФСТЭК (приказ № 239).
Можно ли использовать иностранное ПО?
Вопрос сложный. Формально — можно, но с большими ограничениями.
| Тип объекта | Иностранное ПО | Условия |
|---|---|---|
| Значимые объекты КИИ (1-3 категории) | Запрещено в системах управления | Если есть российский аналог в реестре отечественного ПО (постановление № 1236). Исключение — если аналога нет, нужно согласование с ФСТЭК |
| Объекты без категории | Можно, но нежелательно | Рекомендуется постепенный переход на российское ПО |
| Общесистемное ПО (ОС, СУБД) | Ограниченно | Для значимых объектов — только из реестра отечественного ПО |
| Средства защиты информации | Запрещено | Только сертифицированные ФСТЭК/ФСБ российские СЗИ |
| Криптография | Категорически запрещено | Только российские СКЗИ с сертификатами ФСБ |
Практический совет: если у вас значимый объект, проведите инвентаризацию ПО и замените иностранное на российское из реестра. Это снизит риски претензий и упростит аттестацию.
9. Как мы помогаем клиентам в ООО «Стратегия Ра»
Мы проводим полный цикл работ по приведению организаций в соответствие с 187-ФЗ:
- Аудит и инвентаризация — определяем, какие объекты попадают под КИИ.
- Категорирование — проводим оценку последствий, готовим акты.
- Разработка документов — политики, положения, инструкции, модель угроз.
- Техническое проектирование — выбираем сертифицированные средства защиты, разрабатываем техзадание.
- Внедрение СЗИ — настраиваем межсетевые экраны, антивирусы, SIEM, ГосСОПКА.
- Аттестация — проводим испытания, получаем аттестат соответствия.
- Сопровождение — помогаем взаимодействовать с ФСТЭК и НКЦКИ.
Совет
Не откладывайте категорирование. Это первый и самый важный шаг. Даже если вы не успеете внедрить все меры защиты, сам факт проведения категорирования и подачи сведений во ФСТЭК снизит риски административной ответственности.
10. Полезные ссылки
| Ресурс | Назначение | Ссылка |
|---|---|---|
| Текст 187-ФЗ | Оригинал закона | consultant.ru |
| Приказ ФСТЭК № 31 | Требования к значимым объектам | fstec.ru |
| Приказ ФСТЭК № 239 | Требования ко всем субъектам КИИ | fstec.ru |
| Методика категорирования | Рекомендации ФСТЭК | fstec.ru |
| Реестр отечественного ПО | Проверка аналогов | reestr.digital.gov.ru |
| НКЦКИ ФСБ | Взаимодействие по инцидентам | cert.gov.ru |
Важно
187-ФЗ — это не просто набор требований, а система национальной безопасности. Проверки ФСТЭК и ФСБ проводятся регулярно, и штрафы за неисполнение растут. Если вы подпадаете под действие закона, начните работу прямо сегодня.