Промышленные предприятия — один из крупнейших сегментов субъектов КИИ. Оборонная, металлургическая, химическая, горнодобывающая промышленность прямо названы в 187-ФЗ. Главный тип объектов КИИ здесь — АСУ ТП: системы, от которых зависит не только производство, но и безопасность людей. Разбираем, кто обязан выполнять 187-ФЗ в промышленности, какие системы становятся объектами КИИ и что требует ФСТЭК.
Субъектами КИИ признаются организации и ИП, которым принадлежат объекты КИИ в сферах, перечисленных в статье 2 187-ФЗ. Для промышленности это:
Кроме прямо перечисленных отраслей, субъектами КИИ признаются организации, которые обеспечивают взаимодействие информационных систем или сетей из перечисленных сфер (187-ФЗ ст. 2 п. 8). Форма собственности значения не имеет: частные, государственные и смешанные предприятия под одинаковыми требованиями.
Вопрос «Мы точно субъект КИИ?» — не самый правильный. Правильный: «Управляют ли наши производственные процессы информационные системы или АСУ ТП?». Если да — субъект. Дальше задача: определить, какие именно ИС становятся объектами КИИ.
По 187-ФЗ объекты КИИ — это информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), обеспечивающие критические процессы субъекта. На промышленном предприятии объектами КИИ, как правило, становятся:
Частая ошибка — включить в перечень только «очевидные» ИС и пропустить инженерную инфраструктуру. ФСТЭК при проверке сравнивает перечень с реальной архитектурой и фиксирует расхождения.
Защита АСУ ТП и объектов КИИ
«Кредо-С» проектирует и внедряет системы защиты АСУ ТП на промышленных предприятиях. Лицензиат ФСТЭК России.
АСУ ТП управляют физическими процессами — температурой реактора, давлением в трубопроводе, скоростью конвейера. Кибератака на такую систему может привести не только к остановке производства, но и к авариям, угрозе жизни людей, экологическим последствиям. Это делает АСУ ТП особым типом объектов.
Три ключевых отличия от корпоративных ИС:
«Воздушный зазор» (air gap — физическая изоляция АСУ ТП от корпоративной сети и интернета) — не защита. Большинство атак на промышленные системы реализуются через подрядчиков с удалённым доступом, USB-носители на технологических площадках, корпоративную сеть с неверно настроенным межсетевым экраном.
Промышленные предприятия работают под двумя нормативными документами ФСТЭК, и важно понимать, какой применяется когда.
| Документ | Когда применяется | Содержание |
|---|---|---|
| Приказ ФСТЭК №31 (ред. от 15.03.2021) | АСУ ТП на критически важных и потенциально опасных объектах — если оператор принял решение защищать информацию, но АСУ ТП не признана значимым объектом КИИ | Требования к организации защиты, трёхуровневая структура АСУ ТП, меры защиты по классам |
| Приказ ФСТЭК №239 (ред. от 28.08.2024) | АСУ ТП, признанные значимыми объектами КИИ по итогам категорирования | Требования к безопасности по категориям значимости (1/2/3), состав мер защиты, категорированный подход |
Приказ №31 прямо указывает: для АСУ ТП, являющихся значимыми объектами КИИ, применяется приказ №239. Оба документа могут применяться одновременно, если предприятие решает защищать и незначимые АСУ ТП по №31.
Приказ ФСТЭК №31 описывает типовую архитектуру АСУ ТП, которую используют при проектировании системы защиты:
Каждый уровень имеет свои угрозы и свои меры защиты. Верхний уровень — ближе к корпоративной ИТ-среде, здесь работают антивирусы и межсетевые экраны. Средний и нижний — OT-среда, где классические ИБ-меры часто неприменимы и требуется специализированное промышленное оборудование защиты.
При категорировании АСУ ТП оценивают последствия нарушения её работы по пяти критериям значимости (187-ФЗ ст. 7 ч. 2): социальная, политическая, экономическая, экологическая значимость, значимость для обороны страны. Для промышленных АСУ ТП наиболее часто значимыми оказываются:
АСУ ТП горнодобывающего предприятия, металлургического завода или химического производства, как правило, попадают в 3-ю категорию значимости (локальный уровень последствий). Объекты с более масштабными последствиями — во 2-ю или 1-ю.
«Поставим третью — меньше требований» — рабочая логика до первой проверки. ФСТЭК выдаёт предписание и требует повторного категорирования. Разрыв между реальными последствиями и задекларированными фиксируется как нарушение.
Промышленное предприятие, признавшее себя субъектом КИИ, должно:
Повторное категорирование — не реже раза в 5 лет (ПП-127 п. 21), а также при существенном изменении архитектуры АСУ ТП. Подробный порядок категорирования — в статье «Как провести категорирование объектов КИИ». О санкциях за нарушения 187-ФЗ — в материале «Ответственность за нарушение требований 187-ФЗ». Обзор системы КИИ — на странице «Критическая информационная инфраструктура».
Инвентаризацию провести, комиссию собрать, акты оформить, отправить во ФСТЭК — всё это реально сделать своими силами. Где ломается: проектирование системы защиты. АСУ ТП работают на Modbus, OPC, PROFINET. ПЛК 15-летней давности не патчится. Окно обслуживания — раз в год. Стандартные ИТ-решения сюда не масштабируются, а специалистов, которые понимают одновременно 187-ФЗ и OT-архитектуру, на рынке немного.
«Кредо-С» проводит категорирование объектов КИИ и проектирует системы защиты АСУ ТП с учётом требований приказов ФСТЭК №239 и №31. Подробнее об услуге — на странице «Защита АСУ ТП».
Большинство субъектов КИИ обрабатывают персональные данные — медицинские записи, данные сотрудников, сведения о клиентах. Выполнение 187-ФЗ не освобождает от 152-ФЗ: это два независимых набора обязательств с разными регуляторами.
| КИИ (187-ФЗ) | Персональные данные (152-ФЗ) | |
|---|---|---|
| Регулятор | ФСТЭК, ФСБ, отраслевые органы | Роскомнадзор + ФСТЭК (технические меры) |
| Основной приказ | № 239 — меры защиты, № 235 — организация | № 21 — меры для ИСПДн |
| Ответственность ЮЛ | КоАП ст. 13.12.1: 50–100 тыс. (нарушение требований), 100–500 тыс. (нарушение информирования об инцидентах) | КоАП ст. 13.11: до 15 млн руб. за первичную утечку ПДн (ч. 14); оборотный штраф 1-3% выручки (20-500 млн руб.) — только за повторную (ч. 15) |
Приказ № 239 частично перекрывает технические меры для ИСПДн. Но правовая часть — основания обработки, согласия субъектов, уведомление Роскомнадзора — остаётся отдельной обязанностью по 152-ФЗ.
С 30 мая 2025 года действуют оборотные штрафы за повторную утечку персональных данных: от 1% до 3% годовой выручки (не менее 20 млн и не более 500 млн рублей, ч. 15 ст. 13.11 КоАП РФ); за первичную утечку — фиксированный штраф для юрлиц до 15 млн руб. (ч. 14). Субъект КИИ при инциденте может получить одновременно административный штраф по ст. 13.12.1 и оборотный по ст. 13.11.
Кредо-С совмещает оба направления: аудит КИИ и ИСПДн проводится параллельно, меры выбираются с учётом требований обоих регуляторов. Защита персональных данных →
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года