Федеральный закон No 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» --- системообразующий нормативный акт, определяющий правовые основы обеспечения безопасности КИИ. Закон затрагивает организации в 14 сферах деятельности --- от энергетики и транспорта до здравоохранения и науки. 187-ФЗ устанавливает три уровня обязанностей: категорирование объектов КИИ (для всех субъектов), обеспечение безопасности значимых объектов (по требованиям ФСТЭК) и информирование об инцидентах (взаимодействие с ГосСОПКА). За нарушения предусмотрена ответственность вплоть до уголовной --- до 10 лет лишения свободы по ст. 274.1 УК РФ. В этой статье --- исчерпывающий разбор закона, подзаконных актов и практических обязанностей субъектов КИИ.
187-ФЗ: общая характеристика и структура закона
187-ФЗ вступил в силу 1 января 2018 года и стал первым российским законом, комплексно регулирующим безопасность критической информационной инфраструктуры. До его принятия защита КИИ регулировалась разрозненными документами, не образующими единой системы.
Цели и предмет регулирования
Согласно статье 1, закон регулирует отношения в области обеспечения безопасности КИИ Российской Федерации в целях её устойчивого функционирования при проведении в отношении неё компьютерных атак.
Основные цели 187-ФЗ:
- Определение понятийного аппарата (субъекты, объекты, значимые объекты КИИ)
- Установление полномочий государственных органов (Президент, Правительство, ФСТЭК, ФСБ)
- Определение прав и обязанностей субъектов КИИ
- Создание государственной системы обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Установление порядка категорирования объектов КИИ
- Определение требований к обеспечению безопасности значимых объектов
- Установление ответственности за нарушения
Дата принятия, вступления в силу, последние изменения
| Параметр | Значение |
|---|---|
| Дата принятия Государственной Думой | 12 июля 2017 года |
| Дата одобрения Советом Федерации | 19 июля 2017 года |
| Дата подписания Президентом | 26 июля 2017 года |
| Вступление в силу | 1 января 2018 года |
| Последние существенные изменения | 2023--2024 гг. (расширение перечня сфер, усиление ответственности) |
Закон состоит из 15 статей, сгруппированных в 5 глав:
- Общие положения (ст. 1--4)
- Государственная система обнаружения и ликвидации последствий компьютерных атак (ст. 5--6)
- Категорирование объектов КИИ (ст. 7)
- Обеспечение безопасности значимых объектов КИИ (ст. 8--12)
- Заключительные положения (ст. 13--15)
Место 187-ФЗ в системе законодательства об ИБ
187-ФЗ не существует изолированно. Он связан с целым рядом нормативных актов:
- 149-ФЗ «Об информации, информационных технологиях и о защите информации» --- базовый закон об информационной безопасности
- 152-ФЗ «О персональных данных» --- пересекается в части защиты ПДн на объектах КИИ
- 63-ФЗ «Об электронной подписи» --- применяется при использовании средств криптографической защиты
- УК РФ, ст. 274.1 --- уголовная ответственность за неправомерное воздействие на КИИ (введена одновременно с 187-ФЗ)
- КоАП, ст. 19.7.15 --- административная ответственность за нарушение порядка категорирования
Субъекты и объекты КИИ: основные определения
187-ФЗ вводит терминологию, которая используется во всей подзаконной нормативной базе. Точное понимание определений критически важно --- от этого зависит, попадает ли организация в периметр регулирования.
Кто является субъектом КИИ (14 сфер деятельности)
Субъект КИИ --- государственный орган, государственное учреждение, российское юридическое лицо или индивидуальный предприниматель, которому на праве собственности, аренды или ином законном основании принадлежат ИС, ИТКС, АСУ, функционирующие в одной из установленных сфер.
14 сфер деятельности КИИ:
| No | Сфера | Примеры организаций |
|---|---|---|
| 1 | Здравоохранение | Больницы, поликлиники, лаборатории |
| 2 | Наука | НИИ, университеты, академии наук |
| 3 | Транспорт | Авиакомпании, РЖД, порты, логистика |
| 4 | Связь | Операторы связи, провайдеры |
| 5 | Энергетика | Электростанции, сетевые компании |
| 6 | Банковская сфера | Банки, НКО |
| 7 | Финансовый рынок | Биржи, брокеры, депозитарии |
| 8 | Топливно-энергетический комплекс | Нефтегазовые компании, трубопроводы |
| 9 | Атомная энергия | Росатом, АЭС |
| 10 | Оборонная промышленность | Предприятия ОПК |
| 11 | Ракетно-космическая отрасль | Роскосмос, предприятия отрасли |
| 12 | Горнодобывающая промышленность | Горнодобывающие компании |
| 13 | Металлургическая промышленность | Металлургические комбинаты |
| 14 | Химическая промышленность | Химические предприятия |
Принадлежность к сфере определяется по фактическому виду деятельности, а не по коду ОКВЭД. Организация, осуществляющая деятельность в нескольких сферах, является субъектом КИИ по каждой из них.
Что является объектом КИИ (ИС, ИТКС, АСУ)
Объект КИИ --- информационная система (ИС), информационно-телекоммуникационная сеть (ИТКС) или автоматизированная система управления (АСУ), функционирующая в одной из 14 сфер.
- ИС --- ERP-системы, CRM, медицинские ИС, финансовые системы, системы документооборота
- ИТКС --- корпоративные сети, сети передачи данных, сети связи
- АСУ --- АСУ ТП (управление технологическими процессами), SCADA-системы, системы управления инженерной инфраструктурой
Значимые и незначимые объекты КИИ
После категорирования объекты КИИ делятся на две группы:
- Значимые --- объекты, которым присвоена 1-я, 2-я или 3-я категория значимости. К ним применяется полный набор требований по обеспечению безопасности (приказы ФСТЭК No 235 и No 239).
- Незначимые --- объекты без категории значимости. Требования приказов No 235 и No 239 к ним формально не применяются, но субъект всё равно обязан информировать об инцидентах и содействовать ФСБ.
Полномочия государственных органов: ФСТЭК и ФСБ
187-ФЗ распределяет полномочия между двумя ключевыми ведомствами. Понимание их ролей критически важно для субъекта КИИ --- взаимодействовать придётся с обоими.
| Аспект | ФСТЭК | ФСБ |
|---|---|---|
| Фокус | Превентивная защита | Обнаружение и реагирование |
| Ключевые полномочия | Требования к безопасности, ведение реестра, контроль и надзор | ГосСОПКА, порядок информирования об инцидентах, расследование |
| Документы | Приказы No 235, No 239 | Приказы No 367, No 368 |
| Проверки | Плановые и внеплановые | Оценка через ГосСОПКА |
| Взаимодействие с субъектом | Категорирование, меры защиты, рассмотрение сведений | Информирование об инцидентах, содействие в расследовании |
ФСТЭК --- «до инцидента» (требования, контроль), ФСБ --- «во время и после инцидента» (обнаружение, реагирование, расследование). На практике зоны пересекаются, и субъект КИИ взаимодействует с обоими ведомствами.
Обязанности субъектов КИИ по 187-ФЗ
187-ФЗ устанавливает конкретный перечень обязанностей для каждого субъекта КИИ. Невыполнение любой из них --- основание для привлечения к ответственности.
Категорирование объектов КИИ
Статья 7 обязывает субъекта КИИ:
- Создать комиссию по категорированию
- Определить перечень объектов КИИ
- Оценить критерии значимости по 14 показателям (ПП-127)
- Присвоить категорию или определить отсутствие необходимости присвоения
- Направить сведения во ФСТЭК в 10-дневный срок
Срок категорирования --- 1 год с момента утверждения перечня объектов КИИ. Для автоматизации полного цикла категорирования используется модуль категорирования КИИ.
Обеспечение безопасности значимых объектов
Статья 10 обязывает субъекта КИИ, владеющего значимыми объектами:
- Создать систему безопасности значимого объекта (в соответствии с приказом ФСТЭК No 235)
- Реализовать организационные и технические меры защиты (в соответствии с приказом ФСТЭК No 239)
- Обеспечить функционирование системы безопасности на постоянной основе
- Обеспечить беспрепятственный доступ должностных лиц ФСТЭК к значимому объекту при проведении проверок
Информирование об инцидентах
Статья 9 обязывает незамедлительно информировать ФСБ (через НКЦКИ) о компьютерных инцидентах:
- Обнаружение компьютерных атак --- в течение 24 часов
- Компьютерные инциденты --- незамедлительно (для значимых объектов --- в течение 3 часов)
- Результаты реагирования --- в течение 48 часов после завершения мероприятий
Содействие ФСБ и ФСТЭК
Дополнительные обязанности:
- Оказывать содействие ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак
- Обеспечить выполнение порядка, технических условий установки и эксплуатации средств ГосСОПКА (при наличии)
- Предоставлять ФСТЭК беспрепятственный доступ к объектам КИИ
- Выполнять предписания ФСТЭК об устранении нарушений
Сроки исполнения обязанностей
| Обязанность | Срок |
|---|---|
| Утверждение перечня объектов КИИ | Не установлен (рекомендуется --- 3 месяца) |
| Категорирование | 1 год с момента утверждения перечня |
| Направление сведений во ФСТЭК | 10 дней с момента утверждения акта |
| Создание системы безопасности | Не установлен (рекомендуется --- 1 год после присвоения категории) |
| Информирование об инцидентах (значимые) | 3 часа с момента обнаружения |
| Информирование об инцидентах (незначимые) | 24 часа с момента обнаружения |
| Пересмотр категорий | Не реже 1 раза в 5 лет |
Контролируйте выполнение всех обязанностей субъекта КИИ в едином дашборде --- КиберОснова отслеживает статус по каждому требованию. Подробнее --- на странице соответствия требованиям.
Требования к обеспечению безопасности значимых объектов КИИ
Для значимых объектов КИИ (с присвоенной категорией) 187-ФЗ и подзаконные акты устанавливают детальные требования к организации защиты.
Приказ ФСТЭК No 235: система безопасности
Приказ No 235 определяет требования к созданию системы безопасности значимого объекта КИИ:
- Ответственные лица --- назначение лица, ответственного за обеспечение безопасности, и (или) создание структурного подразделения
- Планирование --- разработка плана мероприятий по обеспечению безопасности
- Документирование --- разработка организационно-распорядительных документов (политика, регламенты, инструкции)
- Проектирование --- разработка технического задания на создание системы безопасности
- Внедрение --- установка и настройка средств защиты
- Обеспечение функционирования --- эксплуатация системы безопасности, обучение персонала
Приказ ФСТЭК No 239: меры защиты по категориям
Приказ No 239 устанавливает базовые наборы мер защиты, дифференцированные по категориям. Меры охватывают 14 групп: идентификация и аутентификация (ИАФ), управление доступом (УПД), ограничение программной среды (ОПС), защита машинных носителей (ЗНИ), аудит безопасности (АУД), антивирусная защита (АВЗ), предотвращение вторжений (СОВ), обеспечение целостности (ОЦЛ), обеспечение доступности (ОДТ), защита информационной системы (ЗИС), реагирование на инциденты (ИНЦ), управление конфигурацией (УКФ), управление обновлениями (ОБН), планирование мероприятий (ПЛН).
Чем выше категория значимости, тем больше мер в каждой группе. Например, для управления доступом: 3-я категория --- 10 мер, 2-я --- 13, 1-я --- 14.
Организационные и технические меры
Меры защиты делятся на организационные и технические:
- Организационные --- назначение ответственных, разработка политик безопасности, обучение персонала, планирование реагирования на инциденты, проведение аудитов. Для контроля их выполнения используется модуль аудита ИБ.
- Технические --- средства идентификации и аутентификации, управления доступом, антивирусной защиты, обнаружения вторжений (IDS/IPS), межсетевые экраны, криптографическая защита, резервное копирование, SIEM.
Модель угроз для объектов КИИ
Для значимых объектов КИИ разрабатывается модель угроз в соответствии с Методикой ФСТЭК 2021 года. Модель угроз определяет:
- Перечень актуальных угроз на основании данных БДУ ФСТЭК
- Потенциальных нарушителей и их возможности
- Возможные последствия реализации угроз
- Меры защиты, нейтрализующие актуальные угрозы
Для автоматизации разработки модели угроз с использованием данных БДУ применяется модуль моделирования угроз.
ГосСОПКА: взаимодействие субъектов КИИ
ГосСОПКА --- государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Это центральный элемент 187-ФЗ в части обнаружения и реагирования.
Структура ГосСОПКА и НКЦКИ
ГосСОПКА имеет многоуровневую структуру:
- НКЦКИ (Национальный координационный центр по компьютерным инцидентам) --- головной центр, оператор --- ФСБ
- Ведомственные центры --- центры мониторинга отраслевых регуляторов
- Корпоративные центры --- SOC (Security Operations Center) субъектов КИИ
- Средства ГосСОПКА --- технические средства обнаружения и предупреждения атак
Порядок информирования об инцидентах (Приказ ФСБ No 367)
Порядок информирования определён приказом ФСБ No 367:
- Обнаружение инцидента --- субъект КИИ выявляет компьютерный инцидент.
- Регистрация --- фиксация параметров инцидента (дата, время, тип, затронутый объект).
- Информирование НКЦКИ --- направление уведомления через личный кабинет портала ГосСОПКА, по электронной почте или телефону.
- Реагирование --- принятие мер по локализации и ликвидации последствий.
- Отчёт --- направление отчёта о результатах реагирования.
Сроки информирования:
- Для значимых объектов КИИ --- не более 3 часов с момента обнаружения
- Для иных объектов --- не более 24 часов с момента обнаружения
Обмен информацией об угрозах
НКЦКИ обеспечивает обмен информацией о компьютерных атаках между субъектами КИИ:
- Бюллетени об угрозах --- информация о выявленных атаках и уязвимостях
- Индикаторы компрометации (IoC) --- технические признаки атак
- Рекомендации по реагированию --- конкретные действия для субъектов КИИ
Подключение к технической инфраструктуре
Для значимых объектов КИИ предусмотрена возможность подключения к технической инфраструктуре ГосСОПКА --- установка средств обнаружения и предупреждения компьютерных атак, интегрированных с центральной системой. Субъект КИИ обязан обеспечить установку и эксплуатацию этих средств.
Ответственность за нарушение требований 187-ФЗ
187-ФЗ предусматривает два вида ответственности --- административную и уголовную. Уголовная ответственность по ст. 274.1 УК РФ --- беспрецедентна для сферы информационной безопасности.
Административная ответственность (КоАП)
Статья 19.7.15 КоАП (введена в 2019 году) устанавливает ответственность за:
| Нарушение | Должностные лица | Юридические лица |
|---|---|---|
| Нарушение порядка категорирования | 10 000 --- 50 000 руб. | 50 000 --- 100 000 руб. |
| Непредоставление или нарушение сроков предоставления сведений во ФСТЭК | 10 000 --- 50 000 руб. | 50 000 --- 100 000 руб. |
| Нарушение порядка информирования об инцидентах | 10 000 --- 50 000 руб. | 100 000 --- 500 000 руб. |
| Нарушение порядка обмена информацией об инцидентах | 20 000 --- 50 000 руб. | 100 000 --- 500 000 руб. |
Штрафы могут показаться невысокими, однако повторные нарушения увеличивают суммы, а систематическое невыполнение требований привлекает внимание надзорных органов.
Уголовная ответственность (ст. 274.1 УК РФ)
Статья 274.1 УК РФ --- «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» --- содержит 5 частей с нарастающей тяжестью наказания:
| Часть | Деяние | Максимальное наказание |
|---|---|---|
| 1 | Создание/распространение вредоносных программ для воздействия на КИИ | Лишение свободы до 5 лет |
| 2 | Неправомерный доступ к информации КИИ | Лишение свободы до 6 лет |
| 3 | Нарушение правил эксплуатации, повлёкшее вред КИИ | Лишение свободы до 6 лет |
| 4 | Деяния группой лиц / с использованием служебного положения | Лишение свободы до 8 лет |
| 5 | Деяния, повлёкшие тяжкие последствия | Лишение свободы до 10 лет |
Обратите внимание на часть 3: нарушение правил эксплуатации. Это означает, что должностное лицо субъекта КИИ, допустившее нарушение правил безопасности, повлёкшее инцидент, может быть привлечено к уголовной ответственности.
По состоянию на 2026 год большинство уголовных дел по ст. 274.1 возбуждено в отношении внешних нарушителей (части 1 и 2). Случаи привлечения должностных лиц субъектов КИИ (часть 3) единичны, но прецеденты существуют. Административные штрафы применяются регулярно --- по результатам проверок ФСТЭК.
Как снизить риски: compliance-подход
Снижение рисков привлечения к ответственности требует системного подхода:
- Категорирование --- провести в установленные сроки, оформить документально
- Система безопасности --- создать в соответствии с приказами No 235 и No 239
- Информирование --- настроить процесс взаимодействия с ГосСОПКА
- Документирование --- фиксировать все действия, решения, меры
- Аудит --- проводить внутренние проверки до прихода ФСТЭК
- Обучение --- обеспечить осведомлённость персонала
Снизьте риск привлечения к ответственности --- автоматизируйте контроль соответствия требованиям 187-ФЗ. КиберОснова обеспечивает полный цикл: от категорирования до мониторинга выполнения мер защиты.
Подзаконные нормативные акты к 187-ФЗ
187-ФЗ --- рамочный закон, детализированный подзаконными актами. Полная нормативная база:
| Документ | Орган | Область регулирования |
|---|---|---|
| ПП-127 от 08.02.2018 | Правительство | Правила категорирования (комиссия, 14 показателей, пороговые значения) |
| ПП-162 от 17.02.2018 | Правительство | Государственный контроль (порядок проверок ФСТЭК) |
| Приказ ФСТЭК No 235 | ФСТЭК | Требования к системе безопасности значимых объектов |
| Приказ ФСТЭК No 236 | ФСТЭК | Форма сведений о результатах категорирования |
| Приказ ФСТЭК No 239 | ФСТЭК | Меры защиты по категориям значимости |
| Приказ ФСБ No 196 | ФСБ | Требования к средствам ГосСОПКА |
| Приказ ФСБ No 281 | ФСБ | Порядок установки средств ГосСОПКА |
| Приказ ФСБ No 367 | ФСБ | Порядок информирования об инцидентах |
| Приказ ФСБ No 368 | ФСБ | Обмен информацией об инцидентах между субъектами |
| Ст. 274.1 УК РФ | --- | Уголовная ответственность |
| Ст. 19.7.15 КоАП | --- | Административная ответственность |
Все перечисленные документы обязательны для субъектов КИИ. Ключевые для повседневной работы --- ПП-127 (категорирование), приказы ФСТЭК No 235/239 (защита), приказы ФСБ No 367/368 (инциденты).
Автоматизация выполнения требований 187-ФЗ
Полное выполнение требований 187-ФЗ --- многоэтапный цикл: категорирование, проектирование защиты, внедрение мер, эксплуатация, мониторинг инцидентов, аудит, пересмотр. Каждый этап требует документирования, контроля сроков и координации. Ручное управление при масштабе свыше 5 объектов КИИ неэффективно.
SGRC-система (Security Governance, Risk, Compliance) автоматизирует весь цикл. Платформа КиберОснова закрывает все этапы:
- Категорирование --- от создания комиссии до направления сведений во ФСТЭК
- Модель угроз --- с интеграцией БДУ ФСТЭК и автоматическим определением актуальных угроз
- Меры защиты --- отслеживание внедрения каждой меры из приказа No 239 с привязкой к категории объекта
- Соответствие --- единый дашборд с процентом выполнения по каждому нормативному акту
- Документы --- автоматическая генерация приказов, актов, сведений, протоколов
- Аудит --- внутренние проверки, контроль предписаний ФСТЭК
Итоги
187-ФЗ --- не рекомендательный документ, а закон прямого действия с конкретными обязанностями, сроками и ответственностью. Для субъектов КИИ закон устанавливает три уровня требований, которые необходимо выполнять последовательно и системно.
Пять ключевых выводов:
-
14 сфер деятельности --- от здравоохранения до оборонной промышленности. Если ваша организация работает в любой из них и владеет ИС, ИТКС или АСУ --- вы субъект КИИ.
-
Три уровня обязанностей --- категорирование (для всех субъектов), обеспечение безопасности (для значимых объектов), информирование об инцидентах (для всех субъектов).
-
Два регулятора --- ФСТЭК (требования и контроль) и ФСБ (ГосСОПКА и реагирование). Субъект КИИ взаимодействует с обоими.
-
Уголовная ответственность --- до 10 лет по ст. 274.1 УК РФ. Распространяется не только на внешних нарушителей, но и на должностных лиц субъекта КИИ.
-
Подзаконная база --- ПП-127, приказы ФСТЭК No 235/239, приказы ФСБ No 367/368. Все обязательны для исполнения.
Если ваша организация начинает выполнение требований 187-ФЗ или готовится к проверке ФСТЭК --- запросите демо КиберОснова. Покажем, как платформа автоматизирует весь цикл: от категорирования до мониторинга безопасности КИИ.
