СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Статьи
Игорь
30 мая
#ИБ

Критическая информационная инфраструктура: что это, 187-ФЗ, субъекты и объекты

Критическая информационная инфраструктура: что это, 187-ФЗ, субъекты и объекты

Изображение: OpenAI

От информационных систем больниц, банков, транспорта и энергетики зависит повседневная жизнь страны. Если такая система остановится из-за кибератаки, последствия выходят далеко за рамки одной компании. Именно поэтому государство выделило эти системы в отдельную категорию и обязало владельцев защищать их по особым правилам. Эти правила задаёт Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Закон затрагивает организации из ключевых отраслей экономики, от здравоохранения до атомной энергетики, а за его нарушение предусмотрена ответственность вплоть до уголовной. При этом формулировки 187-ФЗ и подзаконных актов написаны юридическим языком, и разобраться, попадает ли конкретная компания под его действие, бывает непросто. Ниже разбираем по порядку, что такое критическая информационная инфраструктура, кто относится к её субъектам и объектам, как проходит категорирование, какие требования предъявляет ФСТЭК России и чем грозит несоблюдение закона. Все нормы приведены по состоянию на 2026 год с учётом последних изменений.

Содержание

  1. Что такое КИИ простыми словами
  2. Закон 187-ФЗ: что он регулирует
  3. Субъекты КИИ: кого касается закон
  4. Объекты КИИ и перечень типовых объектов
  5. Категорирование и категории значимости
  6. Реестр значимых объектов и роль ФСТЭК России
  7. Как защищают значимые объекты КИИ
  8. ГосСОПКА и уведомление о компьютерных инцидентах
  9. Организационные меры и импортозамещение
  10. Ответственность за нарушения
  11. Что изменилось в регулировании КИИ в 2025-2026 годах
  12. Частые вопросы

Что такое КИИ простыми словами

Критическая информационная инфраструктура — это совокупность информационных систем, без которых не могут нормально работать ключевые отрасли экономики и государства. Закон 187-ФЗ определяет её через два связанных понятия. Сначала вводятся объекты КИИ, а затем сама инфраструктура как их объединение.

Объектами КИИ закон называет «информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры» (п. 7 ст. 2 187-ФЗ). Проще говоря, это три типа систем. Информационные системы хранят и обрабатывают данные. Информационно-телекоммуникационные сети передают их. Автоматизированные системы управления отвечают за работу промышленного и технологического оборудования, например за конвейер на заводе или за энергоблок на станции.

Сама критическая информационная инфраструктура определяется шире. Это «объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов» (п. 6 ст. 2 187-ФЗ). То есть к перечисленным системам добавляются каналы связи, которые их соединяют. Разница тонкая, но для закона важная. Под объектом КИИ понимается отдельная система внутри организации, а вся инфраструктура охватывает ещё и связь между такими системами.

Зачем понадобился отдельный закон

Прежде защита информационных систем регулировалась общими нормами, которые не учитывали особую значимость инфраструктуры жизнеобеспечения. Атака на систему управления электросетью или на банковский процессинг отличается по последствиям от взлома обычного корпоративного сайта. В первом случае под угрозой оказываются здоровье людей, оборона страны и стабильность экономики.

187-ФЗ закрепил для таких систем отдельный режим. Он обязал владельцев выявить критически важные системы, оценить возможный ущерб от их остановки, присвоить им категорию значимости и выстроить защиту под надзором государства. Параллельно закон ввёл два специальных термина, которые в нём используются вместо привычного «инцидента ИБ». Компьютерная атака определяется как «целенаправленное воздействие программных и (или) программно-аппаратных средств» на объекты КИИ с целью нарушить их работу (п. 4 ст. 2). Компьютерный инцидент — «факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры» либо нарушения безопасности обрабатываемой им информации (п. 5 ст. 2). Эти формулировки ещё пригодятся в разделе про уведомление государства об атаках.

Закон 187-ФЗ: что он регулирует

187-ФЗ задаёт общие правила игры, а конкретику отдаёт подзаконным актам и регуляторам. Сам закон определяет основные понятия, перечисляет принципы защиты, распределяет полномочия между государственными органами и закрепляет обязанности владельцев критических систем. Детали категорирования, требования к защите и формы документов вынесены в постановления Правительства и приказы ведомств.

За регулирование отвечают сразу несколько государственных органов, и важно не путать их зоны ответственности. ФСТЭК России курирует категорирование объектов, устанавливает требования к защите значимых объектов и ведёт их реестр. ФСБ России отвечает за обнаружение и отражение компьютерных атак через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), а координирует эту работу подведомственный ей Национальный координационный центр по компьютерным инцидентам, или НКЦКИ. Правительство Российской Федерации утверждает правила категорирования и перечни типовых объектов. Такое разделение часто вызывает путаницу, поэтому к роли каждого органа мы ещё вернёмся в соответствующих разделах.

Для бизнеса закон сводится к нескольким практическим обязанностям. Нужно понять, относится ли организация к субъектам КИИ. Если да, провести категорирование своих систем, сообщить о результатах во ФСТЭК России, обеспечить защиту значимых объектов и подключиться к обмену информацией об атаках с ГосСОПКА. Каждый из этих шагов разберём дальше, начиная с главного вопроса о том, на кого вообще распространяется закон.

Путь субъекта КИИ по 187-ФЗ: категорирование, реестр значимых объектов, защита и уведомление об инцидентах в ГосСОПКА
Основные шаги субъекта КИИ по 187-ФЗ. Источник: 187-ФЗ, ПП № 127, приказы ФСТЭК России № 235, № 236, № 239, приказ ФСБ России № 367

Субъекты КИИ: кого касается закон

Субъект КИИ — это организация, которой принадлежат критически важные информационные системы и которая работает в одной из перечисленных в законе отраслей. По п. 8 ст. 2 187-ФЗ к субъектам относятся «государственные органы, государственные учреждения, российские юридические лица», владеющие на праве собственности, аренды или ином законном основании информационными системами, сетями или автоматизированными системами управления. Сюда же закон относит организации, которые обеспечивают взаимодействие таких систем между собой.

Ключевой признак здесь отраслевой. Организация становится субъектом не потому, что у неё есть компьютеры, а потому, что её системы работают в значимой для государства сфере. Если деятельность компании не относится ни к одной из отраслей закона, под 187-ФЗ она не подпадает, даже если у неё развитая ИТ-инфраструктура.

Сферы, попадающие под 187-ФЗ

Закон называет конкретный закрытый список отраслей. Системы субъекта должны функционировать в одной из следующих сфер.

  • здравоохранение, наука, транспорт, связь, энергетика;
  • банковская сфера и иные сферы финансового рынка;
  • топливно-энергетический комплекс и область атомной энергии;
  • оборонная и ракетно-космическая промышленность;
  • горнодобывающая, металлургическая и химическая промышленность.

Если организация работает в одной из этих сфер и владеет соответствующими системами, она субъект КИИ по умолчанию, без какого-либо отдельного решения государства.

На практике сложности возникают на стыке отраслей. Например, ИТ-компания, которая разрабатывает софт для больниц, может оказаться субъектом, если обеспечивает работу медицинских систем. Поэтому вывод о принадлежности к КИИ делается не по названию компании, а по фактической деятельности и роли её систем.

Почему ИП больше не субъект КИИ

До осени 2025 года к субъектам КИИ закон относил и индивидуальных предпринимателей. Федеральный закон от 07.04.2025 № 58-ФЗ это изменил и исключил из определения слова «и (или) индивидуальные предприниматели». Теперь индивидуальный предприниматель субъектом КИИ не считается, даже если его деятельность формально попадает в нужную отрасль. Под закон подпадают только государственные органы, государственные учреждения и российские юридические лица. Это одно из свежих изменений, к которым мы вернёмся в отдельном разделе про обновления 2025-2026 годов.

Объекты КИИ и перечень типовых объектов

Если организация признала себя субъектом КИИ, дальше она работает уже не с абстрактной инфраструктурой, а с конкретными объектами. Напомним, что объектами закон называет информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления. На уровне предприятия это могут быть система электронного документооборота, биллинг оператора связи, АСУ ТП на производстве или процессинговый центр банка.

Долгое время субъекты определяли свои объекты через так называемые критические процессы. Сначала выявляли процессы, нарушение которых грозит ущербом, а затем системы, которые эти процессы обслуживают. С конца 2025 года подход изменился. Теперь категорированию подлежат объекты, которые соответствуют типам систем из официальных перечней типовых отраслевых объектов. Этап самостоятельного выявления критических процессов из правил убрали, и отправной точкой стал утверждённый государством перечень.

Перечень типовых отраслевых объектов

Этот перечень утверждён распоряжением Правительства Российской Федерации от 26.02.2026 № 360-р. Он содержит 397 типовых отраслевых объектов и охватывает все сферы из закона, от здравоохранения и науки до энергетики, банков и оборонной промышленности. Для каждого объекта указаны характерные процессы и вид деятельности субъекта, по которым его можно опознать в своей инфраструктуре.

Практический смысл перечня в том, что субъект сверяет свои системы с этим документом. Если система соответствует одному из типовых объектов, она подлежит категорированию. Если не соответствует ни одному, оснований включать её в КИИ нет. Появление единого перечня заметно упростило самый спорный этап, на котором раньше компании по-разному трактовали, какие именно системы относить к критическим.

Категорирование и категории значимости

Категорирование представляет собой процедуру, по итогам которой объекту присваивается одна из категорий значимости либо делается вывод, что значимости нет. Правила категорирования и показатели критериев значимости утверждены постановлением Правительства Российской Федерации от 08.02.2018 № 127. Проводит процедуру специальная комиссия субъекта, которая оценивает возможный ущерб от нарушения работы объекта по социальным, политическим, экономическим, экологическим показателям и показателям в области обороны страны, безопасности государства и правопорядка.

Категорий значимости три. Самая высокая первая, самая низкая третья, а присваивается категория по наивысшему достигнутому значению среди всех показателей. Объекты, получившие категорию, называются значимыми и попадают под усиленные требования к защите. Объекты без категории остаются объектами КИИ, но к их защите закон таких жёстких требований не предъявляет.

Сама процедура, состав комиссии, критерии значимости и сроки подачи сведений во ФСТЭК России составляют отдельную большую тему со своими нюансами и недавними изменениями. Подробно порядок и сроки разобраны в статье CISOCLUB «Категорирование объектов КИИ: порядок и сроки в 2026 году».

Реестр значимых объектов и роль ФСТЭК России

Результаты категорирования не остаются внутри организации. Субъект направляет сведения о присвоенной категории во ФСТЭК России в течение 10 рабочих дней со дня утверждения акта категорирования. Форма таких сведений установлена приказом ФСТЭК России от 22.12.2017 № 236. Ведомство проверяет полученные данные в тридцатидневный срок и при отсутствии замечаний включает объект в реестр значимых объектов КИИ.

Реестр ведёт ФСТЭК России, и именно факт включения в него делает объект значимым в юридическом смысле. С этого момента организация обязана выполнять требования к защите, а сам объект попадает в поле зрения государственного контроля. Присвоенная категория не действует бессрочно. Её нужно пересматривать не реже одного раза в пять лет, а также при изменениях, которые влияют на исходные данные категорирования, например при модернизации системы или изменении масштаба деятельности.

Как защищают значимые объекты КИИ

После включения объекта в реестр начинается основная работа по его защите. Требования здесь задают два приказа ведомства. Приказ ФСТЭК России от 21.12.2017 № 235 определяет, как субъект создаёт систему безопасности значимого объекта, включая организационную структуру, документы и распределение ответственности. Приказ ФСТЭК России от 25.12.2017 № 239 устанавливает конкретные меры защиты, которые нужно реализовать на самом объекте.

Набор мер зависит от категории значимости. Чем выше категория, тем строже требования и тем шире перечень обязательных мер. В него входят основные группы мер защиты.

  • управление доступом и идентификация пользователей;
  • защита от вредоносного кода;
  • обнаружение и предотвращение вторжений;
  • регистрация событий безопасности и аудит;
  • контроль целостности и защищённость каналов связи.

Это далеко не полный перечень, конкретный набор мер определяется по приказу № 239 в зависимости от категории. Средства защиты, которые применяет субъект, должны пройти оценку соответствия, а угрозы для объекта определяются с опорой на банк данных угроз безопасности информации ФСТЭК России.

На практике защита значимого объекта строится из нескольких классов средств. Это межсетевые экраны нового поколения (NGFW), антивирусная защита, системы обнаружения и предотвращения вторжений, средства управления информацией и событиями безопасности (SIEM), системы оркестрации, автоматизации и реагирования на инциденты безопасности (SOAR) и другие средства защиты информации в составе комплексной системы обеспечения ИБ. Многие субъекты выстраивают вокруг значимых объектов полноценный мониторинг событий ИБ. Как устроен такой мониторинг на практике, читайте в статье CISOCLUB «Практика внедрения и эксплуатации SIEM».

ГосСОПКА и уведомление о компьютерных инцидентах

Защита значимых объектов не сводится к внутренним мерам. Государство выстроило единую систему, которая собирает данные об атаках со всей страны и помогает на них реагировать. Эту роль выполняет ГосСОПКА. За её работу отвечает ФСБ России, а оперативной координацией занимается НКЦКИ.

Здесь и пригождаются термины из начала статьи. Субъект КИИ обязан сообщать государству о компьютерных инцидентах, то есть о фактах нарушения работы своих объектов или безопасности обрабатываемой информации. Порядок информирования установлен приказом ФСБ России от 24.07.2018 № 367, а сроки реагирования на инциденты зависят от значимости объекта. О компьютерном инциденте на значимом объекте КИИ субъект сообщает в НКЦКИ не позднее 3 часов с момента обнаружения, об инциденте на остальных объектах не позднее 24 часов. Жёсткий трёхчасовой срок для значимых объектов закреплён приказом ФСБ России от 25.12.2025 № 547. Для значимых объектов это не разовая отчётность, а постоянный обмен информацией, в том числе об атаках и их признаках. Чтобы укладываться в сроки и не упускать инциденты, субъекты автоматизируют их обработку. О том, как устроена автоматизация реагирования, читайте в статье CISOCLUB «SOAR: автоматизация реагирования на инциденты».

На практике это означает, что у субъекта должны быть налажены и техническая возможность фиксировать инциденты, и регламент, по которому сотрудники понимают, что и в какой срок передавать. Сама механика уведомления государства об инцидентах, сроки и каналы взаимодействия выходят за рамки одного раздела. Подробно о том, как реагировать на инцидент и кого уведомлять по закону, читайте в статье CISOCLUB «Инцидент ИБ: что это, как реагировать и кого уведомлять по закону».

Организационные меры и импортозамещение

Помимо технических требований к субъектам КИИ предъявляются организационные. Их задал Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Он касается государственных органов, системообразующих и стратегических организаций, а также субъектов КИИ.

Указ требует от организаций возложить полномочия по обеспечению информационной безопасности на отдельного заместителя руководителя и создать структурное подразделение, ответственное за это направление, либо наделить такими функциями уже существующее. Персональная ответственность за состояние информационной безопасности при этом лежит на самом руководителе. Тем самым защита информации из задачи ИТ-службы превратилась в зону ответственности высшего руководства.

Вторая важная часть указа касается импортозамещения. С 1 января 2025 года организациям запрещено использовать средства защиты информации, страной происхождения которых являются недружественные государства, или произведённые подпадающими под их юрисдикцию компаниями. Для субъектов КИИ это означает переход на отечественные средства защиты, и именно этот срок во многом ускорил волну импортозамещения в защите критической инфраструктуры.

Ответственность за нарушения

Требования закона подкреплены реальной ответственностью, причём как административной, так и уголовной. Это отличает регулирование КИИ от многих других областей, где дело ограничивается штрафами. За нарушения в сфере критической инфраструктуры можно лишиться свободы.

Административные штрафы предусмотрены за организационные нарушения. По ст. 19.7.15 КоАП РФ наказывается непредставление или недостоверность сведений о категорировании, а по ст. 13.12.1 КоАП РФ нарушение требований к защите значимых объектов и к порядку информирования об инцидентах. Суммы для юридических лиц доходят до 500 тысяч рублей. Уголовная ответственность наступает по ст. 274.1 УК РФ за неправомерное воздействие на критическую информационную инфраструктуру. Эта статья охватывает и создание вредоносных программ для КИИ, и неправомерный доступ, и нарушение правил эксплуатации, а максимальное наказание по ней достигает десяти лет лишения свободы.

НарушениеНормаОтветственность
Непредставление или недостоверность сведений о категорированиист. 19.7.15 КоАП РФдолжностные лица 10-50 тыс. руб., юридические лица 50-100 тыс. руб.
Нарушение требований к защите значимых объектовч. 1 ст. 13.12.1 КоАП РФдолжностные лица 10-50 тыс. руб., юридические лица 50-100 тыс. руб.
Нарушение порядка информирования о компьютерных инцидентахч. 2 ст. 13.12.1 КоАП РФюридические лица 100-500 тыс. руб.
Неправомерное воздействие на КИИст. 274.1 УК РФвплоть до лишения свободы на срок до 10 лет
Ответственность за нарушения требований 187-ФЗ о безопасности КИИ

Уголовная ответственность по ст. 274.1 наступает не только за внешние атаки. Под неё может попасть и сотрудник субъекта КИИ, который нарушил правила эксплуатации защищаемых систем, если это повлекло вред. Поэтому грамотно выстроенные внутренние регламенты и разграничение доступа защищают не только инфраструктуру, но и самих работников от рисков.

Что изменилось в регулировании КИИ в 2025-2026 годах

Регулирование КИИ за последние 2 года заметно обновилось, и многие статьи в интернете уже не отражают действующих норм. Самым весомым изменением стал Федеральный закон от 07.04.2025 № 58-ФЗ. Он исключил индивидуальных предпринимателей из числа субъектов и закрепил в законе механизм перечней типовых отраслевых объектов и отраслевых особенностей категорирования. По сути, государство перешло от того, чтобы каждый субъект сам определял критичность своих систем, к единым отраслевым ориентирам.

Вслед за законом обновились и правила категорирования. Постановление Правительства Российской Федерации от 07.11.2025 № 1762 убрало из процедуры этап самостоятельного выявления критических процессов и привязало категорирование к типам систем из перечней. Затем, в феврале 2026 года, появился и сам перечень из 397 типовых отраслевых объектов, утверждённый распоряжением № 360-р. Параллельно государство начало выпускать отраслевые особенности категорирования для отдельных сфер. Для банковской сферы и финансового рынка они действуют с февраля 2026 года, для науки приняты в марте, а для сферы связи вступят в силу с 1 сентября 2026 года.

Сохраняется и срок 1 января 2025 года, с которого субъектам КИИ запрещено использовать средства защиты из недружественных государств. Все эти изменения складываются в один тренд. Регулирование становится более централизованным и отраслевым, а требования к импортозамещению ужесточаются. Организациям, которые проходили категорирование до 2025 года, имеет смысл свериться с новыми перечнями и убедиться, что их выводы всё ещё актуальны. Разбор конкретных нововведений и того, что они меняют для бизнеса, читайте в статье CISOCLUB «Как изменились требования к КИИ: новые правила 187-ФЗ».

Частые вопросы

Как понять, что организация относится к субъектам КИИ

Нужно проверить два условия одновременно. Организация должна быть государственным органом, государственным учреждением или российским юридическим лицом и работать в одной из отраслей, перечисленных в законе, от здравоохранения до химической промышленности. Если оба условия выполняются и компании принадлежат соответствующие информационные системы, она субъект КИИ в силу самого закона, а не по решению какого-либо ведомства.

Что будет, если не провести категорирование

Категорирование обязательно для субъектов КИИ. За непредоставление или недостоверность сведений о результатах предусмотрены штрафы по ст. 19.7.15 КоАП РФ, для юридических лиц до 100 тысяч рублей. Отказ от процедуры не освобождает от обязанности, а лишь добавляет риск претензий со стороны контролирующих органов.

Чем объект КИИ отличается от значимого объекта

Объект КИИ становится значимым, только если по итогам категорирования ему присвоена одна из трёх категорий значимости и он включён в реестр ФСТЭК России. Объекты без категории остаются объектами КИИ, но жёсткие требования к защите по приказам ФСТЭК России к ним не применяются. Значимые объекты, напротив, защищаются по полной программе и находятся под государственным контролем.

Обязательно ли подключаться к ГосСОПКА

Информировать государство о компьютерных инцидентах обязаны все субъекты КИИ, а сведения передаются в НКЦКИ не позднее 24 часов с момента обнаружения инцидента. Для владельцев значимых объектов взаимодействие с ГосСОПКА носит постоянный характер и включает обмен информацией об атаках, а не только разовые уведомления.

Можно ли использовать иностранные средства защиты

С 1 января 2025 года субъектам КИИ запрещено применять средства защиты информации из недружественных государств или произведённые подпадающими под их юрисдикцию компаниями. На практике это означает переход на отечественные средства защиты, прошедшие оценку соответствия по требованиям российских регуляторов.

Заключение

Безопасность критической информационной инфраструктуры выстроена вокруг простой логики. Государство определило отрасли, без которых страна не может работать, обязало их организации выявить критически важные системы и защитить их под надзором ФСТЭК России и ФСБ России. Для бизнеса это означает понятную последовательность действий. Сначала проверить, относится ли организация к субъектам КИИ. Затем провести категорирование, сообщить о результатах во ФСТЭК России, обеспечить защиту значимых объектов и наладить обмен информацией об инцидентах с ГосСОПКА.

Цена ошибки здесь выше, чем в большинстве других областей информационной безопасности. Невыполнение требований грозит штрафами, а неправомерное воздействие на инфраструктуру наказывается вплоть до лишения свободы. При этом регулирование продолжает меняться, и за последний год оно стало заметно более централизованным и отраслевым. Организациям, которые уже проходили категорирование, имеет смысл свериться с новыми перечнями и требованиями к импортозамещению. Тем, кто только начинает, разумно идти по шагам, разобранным выше, и опираться на актуальные редакции нормативных актов, а не на устаревшие разъяснения.

Игорь
Автор: Игорь
Представитель редакции CISOCLUB. Пишу статьи по ИБ, ИТ.
Комментарии: