Безопасность объектов КИИ: требования 187-ФЗ и меры защиты

Критическая информационная инфраструктура (КИИ) — это системы, от которых зависит жизнь страны. Банковские переводы, электроснабжение городов, управление железнодорожным транспортом — все это работает на объектах КИИ. Если злоумышленники получат доступ к таким системам, последствия могут затронуть миллионы людей. Поэтому государство установило строгие требования к защите КИИ.

Согласно Федеральному закону № 187-ФЗ, к критической информационной инфраструктуре относятся информационные системы и сети, сбой или нарушение работы которых способны повлиять на экономику, безопасность государства, окружающую среду или нормальную работу социально значимых процессов. 

Субъекты КИИ — это организации, которые владеют или управляют такими объектами. К ним относятся следующие виды деятельности:

• здравоохранение;

• наука;

• транспорт;

• связь;

• энергетика;

• банковская сфера;

• топливно-энергетический комплекс;

• атомная энергия;

• оборонная промышленность;

• ракетно-космическая промышленность;

• горнодобывающая промышленность;

• металлургия и химическая промышленность.

Объекты КИИ — это конкретные технические решения: информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления технологическими процессами (АСУ ТП).

К примеру, сервис бронирования билетов железнодорожного перевозчика, платежная система банка или мониторинга электростанции — все это объекты КИИ.

Не все объекты КИИ одинаково важны. Выход из строя системы бронирования билетов на пригородные электрички — это неудобство. Остановка системы управления атомной станцией — катастрофа. Поэтому закон вводит процедуру категорирования, которая определяет, насколько критичен каждый объект.

Субъект КИИ создает комиссию, которая оценивает потенциальный ущерб от остановки каждой системы по четырем критериям:

1. Социальный: угроза жизни и здоровью людей.

2. Экономический: потери для экономики и бюджета.

3. Экологический: вред окружающей среде.

4. Ущерб обороноспособности: снижение оборонного потенциала страны.

На основе этой оценки объекту присваивается одна из трех категорий значимости.

Первая категория — наивысшая, означает критическую важность объекта.

Вторая и третья категории соответствуют меньшему уровню значимости. Если система не попадает ни в одну категорию, она считается незначимым объектом КИИ — на нее распространяются упрощенные требования.

Например, платежная система крупного банка, через которую ежедневно проходят транзакции на сумму более 10 млрд рублей, получит первую категорию — ее остановка парализует расчеты по всей стране. А система бронирования переговорных комнат в офисе того же банка не попадет ни в одну категорию.

Сведения о результатах категорирования (включая доменные имена и сетевые адреса объектов) направляются во ФСТЭК России для учета и включения объекта в реестр значимых объектов КИИ. Для ряда отраслей объекты могут быть включены в реестр на основании типовых отраслевых перечней, утвержденных Правительством РФ, без проведения отдельной процедуры категорирования субъектом КИИ.  

Переоценивать категорию нужно не реже одного раза в пять лет или при существенных изменениях в работе объекта, а также при введении новых отраслевых типовых перечней объектов КИИ (даже если пятилетний срок не истек). С 1 сентября 2025 года компании обязаны пересмотреть категории своих объектов КИИ в соответствии с новыми отраслевыми перечнями, утвержденными Правительством РФ. 

Закон устанавливает обязательные меры для владельцев значимых объектов КИИ. Эти требования указаны в Приказе ФСТЭК России № 239 и документах ФСБ.

Разберем, как соблюдают требования 187-ФЗ.

Создают системы безопасности значимого объекта КИИ — это комплекс организационных и технических мер, который защищает объект от кибератак и сбоев. Система должна охватывать все этапы жизненного цикла объекта: от проектирования до вывода из эксплуатации.

Подключаются к ГосСОПКА (Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак) — обязательное требование для значимых объектов.

Разрабатывают план по реагированию на инциденты информационной безопасности (ИИБ). План должен содержать сценарии действий для разных типов инцидентов, контакты ответственных лиц и как правильно взаимодействовать с регуляторами.

Уведомляют НКЦКИ об инцидентах — владелец объекта обязан сообщать в Национальный координационный центр по компьютерным инцидентам обо всех случаях компьютерных атак, нарушения работы системы безопасности или утечек данных.

Оценивают угрозы и уязвимости проводится регулярно. Субъект КИИ должен анализировать актуальные киберугрозы для своей отрасли, выявлять слабые места в защите и корректировать меры безопасности.

Проводится оценка соответствия требованиям безопасности для значимых объектов. Перед вводом объекта в эксплуатацию проводятся приемочные испытания, результаты которых фиксируются в соответствующих протоколах.

Для незначимых объектов требования в целом упрощены по сравнению со значимыми: у них должны быть базовые меры защиты, и они не обязаны проходить полную аттестацию. При этом обязанность непрерывного взаимодействия с ГосСОПКА в соответствии с Приказом ФСБ России от 25.12.2025 № 548 возлагается на субъектов КИИ, которым принадлежат значимые объекты КИИ, а также на руководителей органов и организаций, на которых возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона № 187-ФЗ; на незначимые объекты КИИ данная обязанность не распространяется. 

Безопасность значимых объектов КИИ требует многоуровневого подхода.

Организационные меры формируют основу системы безопасности объекта КИИ. Разработка политик ИБ определяет правила работы с данными, порядок доступа к системам и ответственность сотрудников. Обучение персонала помогает предотвратить инциденты, связанные с человеческим фактором: по статистике РБК и InfoWatch, около 95,6% умышленных утечек данных происходит по вине сотрудников и руководителей компании (среди всех утечек, включая случайные, доля человеческого фактора еще выше). 

Технические меры включают межсетевое экранирование для фильтрации трафика между сегментами сети, антивирусную защиту на всех рабочих станциях и серверах, системы класса SIEM для сбора и анализа событий безопасности, регулярное резервное копирование данных с хранением копий на географически удаленных площадках, шифрование конфиденциальной информации как при передаче, так и при хранении.

Сетевые меры обеспечивают защиту на уровне инфраструктуры. Сегментация сети разделяет объект на изолированные зоны — например, производственная сеть не должна напрямую соединяться с корпоративной. Демилитаризованная зона (DMZ) размещает публичные сервисы отдельно от внутренних систем. Защита от DDoS-атак предотвращает перегрузку каналов связи.

Мониторинг и реагирование включают создание центра мониторинга безопасности (SOC), который круглосуточно отслеживает события в системе, централизованное логирование всех действий пользователей и систем, налаженные процессы реагирования на инциденты с четкими сроками и ответственными.

Как работает аттестация объекта КИИ

Аттестация — это проверка того, что все меры защиты внедрены правильно и работают эффективно. ФСТЭК проверяет техническую документацию объекта, конфигурацию систем защиты, журналы событий безопасности, процедуры резервного копирования и восстановления, права доступа пользователей.

Для успешного прохождения аттестации нужно подготовить полный комплект документов: модель угроз, техническое задание на создание системы защиты, эксплуатационную документацию, протоколы испытаний средств защиты информации, акты проверок.

Законодательство не запрещает размещать объекты КИИ в облачных инфраструктурах, но устанавливает строгие условия. Облачный провайдер должен иметь действующие аттестаты соответствия требованиям по защите информации, установленным ФСТЭК России и ФСБ России в рамках требований к безопасности значимых объектов КИИ (реквизиты аттестата должны быть указаны в договоре или прилагаться к нему для подтверждения соответствия). Инфраструктура должна располагаться на территории России в дата-центрах, соответствующих как минимум Tier III по международной классификации надежности (это требование является общепринятой отраслевой практикой для критических систем, но не закреплено напрямую в 187-ФЗ). Все программное обеспечение и оборудование, используемое на значимых объектах КИИ, должно быть включено в реестр отечественного ПО и реестр российской радиоэлектронной продукции (с 1 сентября 2024 года — с учетом порядка перехода на доверенные программно-аппаратные комплексы). 

Cloud.ru предоставляет инфраструктуру, соответствующую требованиям для размещения объектов КИИ в облаке. Платформа имеет действующие аттестаты соответствия требованиям по защите информации, установленным нормативными правовыми актами в рамках обеспечения безопасности значимых объектов КИИ (в том числе требованиям Приказа ФСТЭК России от 25.12.2017 № 239), что подтверждает безопасность обработки данных на значимых объектах КИИ. Инфраструктура Cloud.ru использует девять дата-центров в России с уровнем доступности SLA 99,982%.  

Система защиты информации построена в соответствии с Указами Президента № 250 и № 166, федеральными законами № 152-ФЗ, 187-ФЗ, Приказов ФСТЭК России № 17 для государственных информационных систем, № 21 для персональных данных и № 239 для КИИ.

В облаке используются сертифицированные отечественные операционные системы и базы данных, защищенные каналы связи, виртуальный межсетевой экран нового поколения UserGate, который имеет актуальный сертификат ФСТЭК России № 3905 (продлен в апреле 2026 года) , подтверждающий соответствие требованиям регулятора и возможность использования на объектах КИИ. 

Преимущества облачного размещения включают масштабируемость ресурсов без капитальных затрат на оборудование, встроенные средства защиты информации (СЗИ), которые не нужно покупать и настраивать отдельно, круглосуточный мониторинг инфраструктуры командой провайдера.

Однако ответственность за безопасность объекта КИИ остается на его владельце. Субъект КИИ должен категорировать объект, согласовать с провайдером разделение зон ответственности в договоре, организовать аттестацию объекта с учетом облачной инфраструктуры, настроить собственные меры защиты на уровне приложений и данных. Кроме того, подрядчики и аутсорсинг (включая облачного провайдера) подлежат обязательному учету при категорировании объекта КИИ, даже если они формально находятся за пределами периметра субъекта КИИ. Если третьи лица участвуют в эксплуатации, администрировании или восстановлении объекта КИИ, их роль напрямую влияет на последствия нарушения функционирования и, следовательно, на категорию значимости. 

Административная ответственность за нарушение правил эксплуатации объектов КИИ установлена статьей 13.12.2 КоАП РФ, введенной Федеральным законом от 09.04.2026 № 76-ФЗ. Данная статья предусматривает наложение административного штрафа: на должностных лиц — от 10 000 до 50 000 рублей, на юридических лиц — от 100 000 до 500 000 рублей. Также продолжает действовать статья 13.12.1 КоАП РФ, устанавливающая ответственность за нарушение требований в области обеспечения безопасности КИИ: для юридических лиц штраф составляет от 50 000 до 100 000 рублей (при отсутствии угрозы тяжких последствий) или от 100 000 до 500 000 рублей — в более серьезных случаях. 

Уголовная ответственность наступает по статье 274.1 УК РФ в случае неправомерного воздействия на критическую информационную инфраструктуру, если это повлекло тяжкие последствия. Наказание может достигать до десяти лет лишения свободы.

ФСТЭК и ФСБ могут выдать предписание об устранении нарушений. Игнорирование предписаний приводит к увеличению штрафов и приостановке деятельности объекта. Репутационные риски включают потерю доверия клиентов и партнеров, негативную огласку в случае утечки данных или остановки сервисов.

Работу с объектами КИИ лучше выстраивать поэтапно. Это поможет определить требования закона, подготовить документы и заранее понять, какие меры защиты понадобятся бизнесу.

Шаг 1. Определить, относится ли ваша организация к субъектам КИИ. Проверьте, является ли ваша организация юридическим лицом, работающим в одной из двенадцати критичных отраслей, и владеет ли она объектами, которые могут попасть под определение КИИ. Важно: с 1 сентября 2025 года индивидуальные предприниматели исключены из числа субъектов КИИ (Федеральный закон от 07.04.2025 № 58-ФЗ) и не подпадают под действие 187-ФЗ. 

Шаг 2. Создать комиссию по категорированию. В состав комиссии должны войти руководители подразделений, которые отвечают за информационные системы, специалисты по информационной безопасности, представители технических служб.

Шаг 3. Провести инвентаризацию всех информационных систем, сетей и АСУ ТП. Для каждого объекта оцените потенциальный ущерб от остановки его работы.

Шаг 4. Присвоить категорию значимости и направить документы во ФСТЭК. После утверждения категории у вас будет 18 месяцев на создание системы безопасности и проведение аттестации в соответствии с требованиями Приказа ФСТЭК № 239. Обратите внимание: с 1 сентября 2026 года вступают в силу обновленные требования к показателям защищенности (Кзи и Пзи) — расчет необходимо выполнять не реже одного раза в 6 месяцев и не реже одного раза в 2 года соответственно, что следует учитывать при планировании работ. 

Шаг 5. Выбрать модель защиты: строить собственную инфраструктуру или использовать защищенное, аттестованное на соответствие требованиям безопасности информации облако провайдера.

Безопасность объектов критической информационной инфраструктуры — это защита от угроз, которые могут парализовать работу целых отраслей. Ответственность за безопасность объекта всегда лежит на его владельце, и начинать работы по защите КИИ нужно с анализа рисков.