Дата публикации: 20.05.2026

Промышленные предприятия — один из крупнейших сегментов субъектов КИИ. Оборонная, металлургическая, химическая, горнодобывающая промышленность прямо названы в 187-ФЗ. Главный тип объектов КИИ здесь — АСУ ТП: системы, от которых зависит не только производство, но и безопасность людей. Разбираем, кто обязан выполнять 187-ФЗ в промышленности, какие системы становятся объектами КИИ и что требует ФСТЭК.

Промышленность как субъект КИИ: кто обязан выполнять 187-ФЗ

Субъектами КИИ признаются организации и ИП, которым принадлежат объекты КИИ в сферах, перечисленных в статье 2 187-ФЗ. Для промышленности это:

  • оборонная промышленность — предприятия ОПК, производители вооружений и военной техники;
  • ракетно-космическая промышленность — разработчики и производители космических аппаратов, ракетных комплексов;
  • горнодобывающая промышленность — добыча угля, руды, нефти, газа, строительных материалов;
  • металлургическая промышленность — чёрная и цветная металлургия, производство металлопроката;
  • химическая промышленность — производство химической продукции, удобрений, взрывчатых веществ.

Кроме прямо перечисленных отраслей, субъектами КИИ признаются организации, которые обеспечивают взаимодействие информационных систем или сетей из перечисленных сфер (187-ФЗ ст. 2 п. 8). Форма собственности значения не имеет: частные, государственные и смешанные предприятия под одинаковыми требованиями.

Вопрос «Мы точно субъект КИИ?» — не самый правильный. Правильный: «Управляют ли наши производственные процессы информационные системы или АСУ ТП?». Если да — субъект. Дальше задача: определить, какие именно ИС становятся объектами КИИ.

Что является объектами КИИ на промышленном предприятии

По 187-ФЗ объекты КИИ — это информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), обеспечивающие критические процессы субъекта. На промышленном предприятии объектами КИИ, как правило, становятся:

  • АСУ технологическими процессами (АСУ ТП) — системы управления производственным оборудованием: SCADA, DCS (распределённые системы управления), системы на базе программируемых логических контроллеров (ПЛК), системы ЧПУ.
  • Системы диспетчерского управления — централизованные пульты, через которые операторы контролируют несколько технологических линий или объектов.
  • MES-системы (Manufacturing Execution System) — оперативное управление производством, если их остановка нарушает технологический процесс.
  • Корпоративные ИС, напрямую связанные с управлением производством: планирование, контроль качества, управление ресурсами — в части, критичной для непрерывности.
  • Инженерная инфраструктура с цифровым управлением: системы электроснабжения производственных площадок, вентиляции технологических зон, противопожарной защиты.

Частая ошибка — включить в перечень только «очевидные» ИС и пропустить инженерную инфраструктуру. ФСТЭК при проверке сравнивает перечень с реальной архитектурой и фиксирует расхождения.

Защита АСУ ТП и объектов КИИ

«Кредо-С» проектирует и внедряет системы защиты АСУ ТП на промышленных предприятиях. Лицензиат ФСТЭК России.

Узнать подробнее

Чем АСУ ТП отличаются от обычных ИС: специфика OT-безопасности

АСУ ТП управляют физическими процессами — температурой реактора, давлением в трубопроводе, скоростью конвейера. Кибератака на такую систему может привести не только к остановке производства, но и к авариям, угрозе жизни людей, экологическим последствиям. Это делает АСУ ТП особым типом объектов.

Три ключевых отличия от корпоративных ИС:

  • Приоритет доступности над конфиденциальностью. В корпоративной ИС можно отключить систему для патчинга. АСУ ТП непрерывного производства нельзя остановить в любое время — плановое окно обслуживания раз в год или реже.
  • Устаревшие компоненты с длинным жизненным циклом. ПЛК и SCADA работают 10–20 лет. Производитель может не выпускать обновления безопасности. «Отключить» уязвимый компонент зачастую невозможно без остановки процесса.
  • Физические последствия инцидентов. Взлом корпоративной почты — утечка данных. Взлом АСУ ТП нефтеперерабатывающего завода — пожар или взрыв. Это напрямую влияет на категорию значимости объекта при категорировании.

«Воздушный зазор» (air gap — физическая изоляция АСУ ТП от корпоративной сети и интернета) — не защита. Большинство атак на промышленные системы реализуются через подрядчиков с удалённым доступом, USB-носители на технологических площадках, корпоративную сеть с неверно настроенным межсетевым экраном.

Два приказа ФСТЭК для АСУ ТП: в чём разница

Промышленные предприятия работают под двумя нормативными документами ФСТЭК, и важно понимать, какой применяется когда.

ДокументКогда применяетсяСодержание
Приказ ФСТЭК №31 (ред. от 15.03.2021) АСУ ТП на критически важных и потенциально опасных объектах — если оператор принял решение защищать информацию, но АСУ ТП не признана значимым объектом КИИ Требования к организации защиты, трёхуровневая структура АСУ ТП, меры защиты по классам
Приказ ФСТЭК №239 (ред. от 28.08.2024) АСУ ТП, признанные значимыми объектами КИИ по итогам категорирования Требования к безопасности по категориям значимости (1/2/3), состав мер защиты, категорированный подход

Приказ №31 прямо указывает: для АСУ ТП, являющихся значимыми объектами КИИ, применяется приказ №239. Оба документа могут применяться одновременно, если предприятие решает защищать и незначимые АСУ ТП по №31.

Трёхуровневая структура АСУ ТП и что защищается на каждом уровне

Приказ ФСТЭК №31 описывает типовую архитектуру АСУ ТП, которую используют при проектировании системы защиты:

  • Верхний уровень (операторский/диспетчерский) — рабочие станции операторов, серверы SCADA, исторические серверы, инженерные станции. Здесь работает персонал, управляющий процессом.
  • Средний уровень (автоматического управления) — контроллеры (ПЛК, DCS-контроллеры), серверы управления, коммуникационные узлы. Принимают команды сверху, передают вниз.
  • Нижний (полевой) уровень — датчики, исполнительные механизмы, промышленные устройства ввода-вывода. Непосредственно взаимодействуют с физическим оборудованием.

Каждый уровень имеет свои угрозы и свои меры защиты. Верхний уровень — ближе к корпоративной ИТ-среде, здесь работают антивирусы и межсетевые экраны. Средний и нижний — OT-среда, где классические ИБ-меры часто неприменимы и требуется специализированное промышленное оборудование защиты.

Категорирование АСУ ТП: как определить категорию значимости

При категорировании АСУ ТП оценивают последствия нарушения её работы по пяти критериям значимости (187-ФЗ ст. 7 ч. 2): социальная, политическая, экономическая, экологическая значимость, значимость для обороны страны. Для промышленных АСУ ТП наиболее часто значимыми оказываются:

  • Социальный критерий — остановка производства приводит к нарушению жизнеобеспечения населения (например, остановка котельной или водоснабжения);
  • Экологический критерий — авария на АСУ ТП может вызвать выброс опасных веществ, загрязнение почвы или воды;
  • Экономический критерий — прямой финансовый ущерб от остановки производства, порчи оборудования или сырья.

АСУ ТП горнодобывающего предприятия, металлургического завода или химического производства, как правило, попадают в 3-ю категорию значимости (локальный уровень последствий). Объекты с более масштабными последствиями — во 2-ю или 1-ю.

«Поставим третью — меньше требований» — рабочая логика до первой проверки. ФСТЭК выдаёт предписание и требует повторного категорирования. Разрыв между реальными последствиями и задекларированными фиксируется как нарушение.

Типичные ошибки промышленных предприятий при выполнении 187-ФЗ

  • Перечень объектов составлен по документации, а не по реальной архитектуре. Схемы АСУ ТП устарели, оборудование модернизировалось, а перечень не обновлялся. ФСТЭК сравнивает с «живой» архитектурой.
  • АСУ ТП включена в перечень, но смежные системы — нет. Система управления энергоснабжением площадки, газоанализаторы с цифровым интерфейсом, СКУД на технологических объектах — часто выпадают из перечня.
  • Заниженная категория без обоснования. Последствия инцидента не анализируются по всем критериям. Особенно занижают экологические и социальные последствия.
  • В комиссию не включён специалист по технологическим процессам. ПП-127 п. 11 требует участия специалистов по технологическим процессам и эксплуатации оборудования. Без них состав комиссии неправомерен.
  • Система защиты создана «на бумаге». Документация по системе безопасности оформлена, меры в ней прописаны, но технически не реализованы. ФСТЭК проверяет фактическое состояние, а не комплект документов.
  • Подрядчик по ИТ и подрядчик по АСУ ТП работают раздельно. ИБ-политики, разработанные для корпоративной сети, применяются к АСУ ТП без адаптации. Промышленные протоколы (Modbus, OPC, PROFINET) требуют отдельных решений.

Сроки и порядок действий

Промышленное предприятие, признавшее себя субъектом КИИ, должно:

  • Создать комиссию по категорированию (приказ руководителя, состав по ПП-127 п. 11).
  • Составить перечень объектов КИИ — всех ИС, ИТКС и АСУ, включая АСУ ТП и смежную инфраструктуру.
  • Провести категорирование по каждому объекту, составить акты.
  • В течение 10 рабочих дней после утверждения актов направить сведения во ФСТЭК (ПП-127 п. 17; 187-ФЗ ст. 7 ч. 5).
  • Для значимых объектов создать систему безопасности (приказ ФСТЭК №235, ред. от 20.04.2023) и реализовать меры защиты (приказ №239, ред. от 28.08.2024).
  • Подключить значимые объекты к ГосСОПКА или заключить договор с аккредитованным центром.

Повторное категорирование — не реже раза в 5 лет (ПП-127 п. 21), а также при существенном изменении архитектуры АСУ ТП. Подробный порядок категорирования — в статье «Как провести категорирование объектов КИИ». О санкциях за нарушения 187-ФЗ — в материале «Ответственность за нарушение требований 187-ФЗ». Обзор системы КИИ — на странице «Критическая информационная инфраструктура».

Защита АСУ ТП и объектов КИИ на промышленном предприятии

Инвентаризацию провести, комиссию собрать, акты оформить, отправить во ФСТЭК — всё это реально сделать своими силами. Где ломается: проектирование системы защиты. АСУ ТП работают на Modbus, OPC, PROFINET. ПЛК 15-летней давности не патчится. Окно обслуживания — раз в год. Стандартные ИТ-решения сюда не масштабируются, а специалистов, которые понимают одновременно 187-ФЗ и OT-архитектуру, на рынке немного.

«Кредо-С» проводит категорирование объектов КИИ и проектирует системы защиты АСУ ТП с учётом требований приказов ФСТЭК №239 и №31. Подробнее об услуге — на странице «Защита АСУ ТП».

КИИ и персональные данные: две параллельные ответственности

Большинство субъектов КИИ обрабатывают персональные данные — медицинские записи, данные сотрудников, сведения о клиентах. Выполнение 187-ФЗ не освобождает от 152-ФЗ: это два независимых набора обязательств с разными регуляторами.

Как разграничить требования

КИИ (187-ФЗ)Персональные данные (152-ФЗ)
РегуляторФСТЭК, ФСБ, отраслевые органыРоскомнадзор + ФСТЭК (технические меры)
Основной приказ№ 239 — меры защиты, № 235 — организация№ 21 — меры для ИСПДн
Ответственность ЮЛКоАП ст. 13.12.1: 50–100 тыс. (нарушение требований), 100–500 тыс. (нарушение информирования об инцидентах)КоАП ст. 13.11: до 15 млн руб. за первичную утечку ПДн (ч. 14); оборотный штраф 1-3% выручки (20-500 млн руб.) — только за повторную (ч. 15)

Приказ № 239 частично перекрывает технические меры для ИСПДн. Но правовая часть — основания обработки, согласия субъектов, уведомление Роскомнадзора — остаётся отдельной обязанностью по 152-ФЗ.

С 30 мая 2025 года действуют оборотные штрафы за повторную утечку персональных данных: от 1% до 3% годовой выручки (не менее 20 млн и не более 500 млн рублей, ч. 15 ст. 13.11 КоАП РФ); за первичную утечку — фиксированный штраф для юрлиц до 15 млн руб. (ч. 14). Субъект КИИ при инциденте может получить одновременно административный штраф по ст. 13.12.1 и оборотный по ст. 13.11.

Кредо-С совмещает оба направления: аудит КИИ и ИСПДн проводится параллельно, меры выбираются с учётом требований обоих регуляторов. Защита персональных данных →

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных