ФЗ-187 касается организаций, у которых сбой в ИТ-системе может нарушить лечение, перевозки, связь, платежи, производство, энергоснабжение или работу технологического оборудования. В зоне КИИ могут оказаться не только электростанции, банки и операторы связи, но и больницы, транспортные компании, заводы, научные центры, оборонные подрядчики, организации ТЭК и участники финансового рынка.
Логика закона простая: сначала организация понимает, есть ли у нее объекты КИИ, потом оценивает их значимость и только после этого выбирает меры защиты. Покупкой межсетевого экрана задачу не закрыть. Субъект КИИ должен выявить системы, провести категорирование, направить сведения во ФСТЭК России, защитить значимые объекты и наладить работу с компьютерными инцидентами. Формулировки лучше сверять с ФЗ-187, постановлением Правительства РФ № 127, приказом ФСТЭК № 235 и приказом ФСТЭК № 239.
Кто относится к субъектам КИИ
КИИ в законе описывает не отдельный сервер, а инфраструктуру, через которую работают значимые процессы. В нее входят информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и сети электросвязи. Субъектами КИИ могут быть государственные органы, учреждения, российские юридические лица и индивидуальные предприниматели, если они работают в сферах из закона.
Список сфер широкий: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, финансовый рынок, ТЭК, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Размер компании сам по себе не решает вопрос. Небольшой подрядчик с доступом к важному технологическому контуру может быть ближе к КИИ, чем крупный офисный бизнес без таких процессов.
Объект КИИ не обязан выглядеть как отдельный дата-центр. Это может быть медицинская информационная система, диспетчеризация транспорта, АСУ ТП на заводе, банковский контур обработки платежей, сеть связи, система управления оборудованием или сервис, без которого останавливается важная операция. Смотрят не на название программы и не на цену сервера, а на функцию системы и последствия сбоя.
Как проходит категорирование
Категорирование нужно, чтобы понять, считается ли объект значимым и какая категория ему подходит. Категорий три: первая, вторая и третья. Первая категория наивысшая. Если объект не достигает показателей значимости, категорию ему не присваивают, но решение все равно оформляют. Просто сказать у нас ничего критичного нет недостаточно.
Эту работу проводит комиссия субъекта КИИ. В нее входят представители владельца объекта, ИТ-службы, информационной безопасности, технологических подразделений, юристы и специалисты, которые понимают назначение системы. Комиссия описывает объект, связывает его с процессами организации, оценивает последствия компьютерного инцидента и принимает решение по категории.
Примеры помогают быстрее понять логику. У больницы значимым объектом может оказаться медицинская информационная система с данными пациентов и назначениями. У транспортной компании - система диспетчерского управления. У промышленного предприятия - АСУ ТП. У финансовой организации - система платежей или операций клиентов. В каждом случае оценивают не железо, а вред от остановки, подмены данных или потери управления.
После категорирования сведения направляют во ФСТЭК России по установленной форме. Если меняется архитектура, назначение объекта, владелец, состав систем или показатели значимости, документы нужно пересмотреть. На проверке обычно сравнивают не только наличие акта, но и совпадает ли бумага с реальной инфраструктурой.
Что организация должна сделать
Работу лучше начинать с инвентаризации. Нужна реальная карта систем, сетей, АСУ, серверов, сервисов, технологических сегментов, интеграций и удаленных доступов. Внутри часто находятся забытые узлы: резервный сервер, старый контур диспетчеризации, подключение подрядчика, отдельная консоль управления оборудованием или база, о которой помнят два человека в отделе.
- Проверить, входит ли организация в одну из сфер ФЗ-187.
- Выделить системы и сети, которые поддерживают значимые процессы.
- Создать комиссию и провести категорирование по постановлению № 127.
- Оформить решение комиссии и направить сведения во ФСТЭК России.
- Для значимых объектов создать систему безопасности по приказу № 235.
- Выбрать меры защиты по приказу № 239 с учетом категории, архитектуры и модели угроз.
- Закрепить порядок реагирования на компьютерные инциденты и передачи сведений в НКЦКИ.
- Описать доступ администраторов, технологов, подрядчиков и сервисных организаций.
Значимый объект КИИ требует не общего положения об информационной безопасности, а рабочей системы защиты. В ней должны быть правила доступа, сетевое разграничение, регистрация событий, резервное копирование, защита от вредоносного ПО, контроль уязвимостей, порядок обновлений, восстановление после сбоя и проверка мер защиты. Набор средств выбирают по категории, модели угроз и реальному устройству объекта.
Подрядчиков нельзя оставлять за скобками. Интегратор, сервисная компания или внешний администратор могут подключаться к значимому объекту чаще, чем штатный специалист. В договорах и регламентах нужно указать учетные записи, способ подключения, журналы действий, запрет общих паролей, сроки уведомления об инцидентах и порядок отключения доступа после завершения работ.
Что проверяют в документах и защите
ФЗ-187 нельзя выполнить одной лицензией или папкой с шаблонами. Проверяют управляемость процесса: знает ли организация состав объектов, понимает ли связи с критичными функциями, выдает ли права по ролям, ведет ли журналы, проверяет ли уязвимости, умеет ли восстановить работу и сообщает ли об инцидентах.
| Участок проверки | Что должно быть | Типичная ошибка |
|---|---|---|
| Состав объектов | Перечень систем, сетей, АСУ и связей с процессами | Описали офисные серверы, но забыли технологический контур |
| Категорирование | Комиссия, исходные данные, оценка последствий, акт и сведения во ФСТЭК | Категорию выбрали формально, без расчета показателей |
| Доступ | Роли, учетные записи, журнал действий, выдача и отзыв прав | Остались общие учетные записи и старые пароли подрядчиков |
| Инциденты | Порядок обнаружения, реагирования и передачи сведений в НКЦКИ | Событие видно в логах, но никто не знает, кто сообщает дальше |
Средства защиты должны закрывать конкретные риски. SIEM помогает собирать события, но не исправляет общие учетные записи. Сканер уязвимостей показывает слабые места, но не заменяет установку обновлений. Резервное копирование помогает только после проверки восстановления. Межсетевой экран полезен, если правила соответствуют реальным потокам данных, а не копируют старую схему сети.
Чем грозит нарушение
За нарушения в области безопасности КИИ применяется статья 13.12.1 КоАП РФ. Если организация не выполняет требования к созданию и работе системы безопасности значимых объектов, штраф для должностных лиц составляет от 10 тысяч до 50 тысяч рублей, для юридических лиц - от 50 тысяч до 100 тысяч рублей. За нарушение порядка информирования об инцидентах или обмена информацией санкции для юридических лиц выше - до 500 тысяч рублей.
С 2026 года действует статья 13.12.2 КоАП РФ за нарушение правил эксплуатации объектов КИИ и правил доступа к ним, если в действиях нет признаков преступления. Штраф для граждан составляет от пяти тысяч до 10 тысяч рублей, для должностных лиц - от 10 тысяч до 50 тысяч рублей, для юридических лиц - от 100 тысяч до 500 тысяч рублей.
Если нарушение переходит в неправомерное воздействие на КИИ, применяется статья 274.1 УК РФ. Она охватывает вредоносные программы и иную опасную компьютерную информацию, неправомерный доступ к охраняемой информации в КИИ, а также нарушение правил эксплуатации или доступа, если это привело к уничтожению, блокированию, модификации либо копированию данных. При тяжких последствиях максимальное наказание доходит до 10 лет лишения свободы.
FAQ: частые вопросы
Если объекту не присвоили категорию, можно ничего не делать?
Нет. Решение об отсутствии категории нужно обосновать и оформить. Если система, функция или показатели значимости меняются, результат пересматривают.
Маленькая компания может быть субъектом КИИ?
Да. Важен не размер, а сфера деятельности и роль систем в значимых процессах. Небольшой подрядчик с доступом к технологическому контуру тоже может попасть в зону ФЗ-187.
Можно ли передать работу по ФЗ-187 подрядчику?
Подрядчик может помочь с инвентаризацией, категорированием, документами, внедрением защиты и мониторингом. Ответственность субъекта КИИ при этом остается у организации.
Что сделать в первую очередь?
Начать с перечня систем и процессов, затем определить объекты КИИ, создать комиссию, провести категорирование и понять, какие системы требуют защиты по требованиям ФСТЭК.
