Что нужно сделать субъекту КИИ по 187-ФЗ?

Обязательные шаги: 1) Направить в ФСТЭК перечень объектов КИИ. 2) Провести категорирование каждого объекта. 3) Построить СЗКИ (систему защиты) согласно присвоенной категории. 4) Подключиться к ГосСОПКА и уведомлять об инцидентах в течение 24 часов.

Какая ответственность за нарушение 187-ФЗ?

Административные штрафы — до нескольких миллионов рублей. При тяжких последствиях — уголовная ответственность по ст. 274.1 УК РФ: до 10 лет лишения свободы для руководителей. С 2023 года суды активно применяют эту статью.

КИИ187-ФЗБезопасность

Что такое КИИ и кто обязан выполнять требования 187-ФЗ в 2025 году

8 мая 2025 · 10 мин чтения · System Networks

Если ваша организация работает в энергетике, транспорте, здравоохранении, финансах или ещё в 9 отраслях — вы являетесь субъектом КИИ и обязаны выполнять требования 187-ФЗ. Нарушение грозит уголовной ответственностью. Разбираем, что именно требует закон и что нужно сделать.

Что такое КИИ: определение из закона

КИИ (критическая информационная инфраструктура) — это информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ. Проще говоря: серверы, сети, АСУ ТП и любые IT-системы организаций из 13 стратегически важных отраслей.

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» принят в 2017 году. С тех пор требования только ужесточаются: в 2023 году введена уголовная ответственность, в 2025 году запрещено использование иностранного ПО на значимых объектах КИИ.

Кто является субъектом КИИ

Субъект КИИ — любая организация (государственная или частная), которая работает в одной из 13 отраслей и владеет информационными системами, используемыми в этой деятельности. Форма собственности не имеет значения.

Здравоохранение— Больницы, поликлиники, лаборатории, фармпроизводители

Наука— НИИ, исследовательские центры, ядерные объекты

Транспорт— Авиакомпании, РЖД, морские порты, логистика

Связь— Операторы телефонии, интернет-провайдеры, почта

Энергетика— Электростанции, тепловые сети, атомные объекты

Банки и финансы— Банки, страховые компании, биржи, НПФ

ТЭК— Нефтяные компании, газовые операторы, трубопроводы

Оборонная промышленность— Производители вооружений и военной техники

Ракетно-космическая— Роскосмос и его подрядчики

Горнодобывающая— Шахты, карьеры, горно-обогатительные комбинаты

Металлургия— Металлургические заводы, прокатные производства

Химическая промышленность— Химические заводы, производители удобрений

⚠️ Важно

Даже если ваша компания работает в одной из этих отраслей косвенно (например, является IT-подрядчиком банка или поставщиком медоборудования) — статус субъекта КИИ зависит от того, какие именно системы вы используете в своей деятельности. Лучше проконсультироваться со специалистом, чем пропустить обязательство.

Что значит «объект КИИ» и чем отличается от «субъекта»

Субъект КИИ — организация, которая попадает под действие закона.

Объект КИИ — конкретная информационная система или АСУ ТП этой организации. У одного субъекта может быть несколько объектов разных категорий значимости.

Пример: региональная больница — субъект КИИ. Её медицинская информационная система (МИС), система учёта лекарств и система управления медоборудованием — три разных объекта КИИ, каждый из которых требует отдельного категорирования.

Категории значимости объектов КИИ

После выявления объектов КИИ каждому присваивается категория значимости — от 1-й (наивысшая) до 3-й. Категория определяет объём требований по защите. Если объект не представляет угрозы при компрометации — он может быть признан «незначимым» и освобождён от части требований.

1-я категория

Компрометация объекта может привести к чрезвычайной ситуации федерального масштаба, ущербу более 1 млрд рублей или угрозе для жизни людей. Максимальные требования к защите.

2-я категория

Региональный масштаб последствий, ущерб 50–1000 млн рублей. Требования средней строгости.

3-я категория

Локальные последствия, ущерб до 50 млн рублей. Базовые требования по защите.

Незначимый объект

Последствия компрометации не превышают пороговых значений ни по одному критерию. Минимальные требования.

Что обязан сделать субъект КИИ: пошаговый план

01
Создать комиссию по категорированию
Приказом руководителя создаётся комиссия из технических и юридических специалистов. Она выявляет все объекты КИИ и оценивает возможные последствия их компрометации.
02
Направить перечень объектов в ФСТЭК
Перечень объектов КИИ направляется в ФСТЭК России в течение 1 года с момента вступления в силу 187-ФЗ для организации. Для большинства — срок уже прошёл.
03
Провести категорирование
По каждому объекту составляется акт категорирования с обоснованием присвоенной категории. Акты направляются в ФСТЭК на утверждение в течение 10 дней.
04
Разработать и внедрить СЗКИ
На основании категории объекта разрабатывается и внедряется Система защиты критической информационной инфраструктуры согласно приказам ФСТЭК № 235 и № 239.
05
Подключиться к ГосСОПКА
Организация обязана взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак — уведомлять об инцидентах в течение 24 часов.
06
Перейти на российское ПО
С 2025 года на значимых объектах КИИ запрещено иностранное ПО. Это требование введено Указом Президента № 166.

Ответственность за нарушение 187-ФЗ в 2025 году

С 2023 года за нарушения в сфере безопасности КИИ введена уголовная ответственность по статье 274.1 УК РФ:

!Неправомерный доступ к объекту КИИ — до 6 лет лишения свободы
!Создание вредоносного ПО для атак на КИИ — до 10 лет
!Нарушение правил эксплуатации с тяжкими последствиями — до 10 лет
!Административные штрафы — до нескольких миллионов рублей
!Персональная ответственность руководителей

Типичные ошибки при категорировании КИИ

По нашему опыту сопровождения более 40 проектов категорирования, чаще всего встречаются следующие ошибки:

Ошибка: Неполный перечень объектов
В перечень не включают АСУ ТП, считая их «не IT». Все автоматизированные системы управления — объекты КИИ.
Ошибка: Занижение категории
Стремление снизить объём работ приводит к занижению категории. ФСТЭК возвращает акты на доработку и штрафует.
Ошибка: Нарушение сроков
Акты категорирования должны быть поданы в ФСТЭК в течение 1 года. После этого — ежегодная переоценка.
Ошибка: Ошибки в расчёте последствий
Неверный расчёт числа пострадавших или ущерба приводит к неправильной категории и отказу ФСТЭК.

Нужна помощь с КИИ?

Защита КИИ по 187-ФЗ: категорирование, СЗКИ, ГосСОПКА →

40+ проектов · ни одного отказа ФСТЭК · лицензии ФСТЭК и ФСБ

Частые вопросы о КИИ и 187-ФЗ

Кто является субъектом КИИ по 187-ФЗ?

Субъекты КИИ — организации из 13 отраслей: здравоохранение, наука, транспорт, связь, энергетика, банки, ТЭК, атомная, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Форма собственности не важна.

Что нужно сделать субъекту КИИ?

1) Направить в ФСТЭК перечень объектов. 2) Провести категорирование. 3) Построить СЗКИ. 4) Подключиться к ГосСОПКА. 5) Перейти на российское ПО (для значимых объектов с 2025 года).

Нужно ли малому бизнесу выполнять 187-ФЗ?

Да, если организация работает в одной из 13 отраслей — независимо от размера. Маленькая частная клиника или небольшой оператор связи — субъекты КИИ с теми же обязательствами.