187-ФЗ и приказы ФСТЭК № 235, 239 — основа защиты объектов КИИ. Субъект КИИ обязан провести категорирование объектов КИИ, направить сведения во ФСТЭК, создать систему безопасности значимых объектов и подключиться к ГосСОПКА. Ориентировочный срок полного цикла — от 6 до 18 месяцев в зависимости от масштаба инфраструктуры.
К субъектам КИИ закон № 187-ФЗ относит организации, работающие в 13 сферах: энергетика, здравоохранение, транспорт, связь, финансы, ТЭК, оборонная, химическая, металлургическая и горнодобывающая промышленность и другие. Принадлежность определяется по кодам ОКВЭД, лицензиям и фактической деятельности. Единый федеральный список КИИ в открытом доступе не публикуется, однако отраслевые регуляторы утверждают перечни типовых объектов, которые помогают предприятиям идентифицировать свои системы.
В перечень объектов КИИ включаются информационные системы, сети и АСУ, обеспечивающие критические процессы. Категорирование проводится по ПП РФ № 127: комиссия оценивает последствия инцидентов по социальной, политической, экономической и экологической значимости и присваивает категорию от первой (наивысшей) до третьей либо фиксирует отсутствие категории. Особое внимание — АСУ ТП: остановка технологического процесса часто даёт максимальные показатели ущерба, поэтому промышленные системы чаще получают значимые категории.
| Этап | Содержание работ | Ориентировочный срок |
|---|---|---|
| Инвентаризация | Определение критических процессов и систем | 1–2 месяца |
| Категорирование | Работа комиссии, оценка ущерба по ПП № 127 | 2–4 месяца |
| Направление сведений | Отправка форм во ФСТЭК | до 10 рабочих дней после утверждения |
| Проектирование СБ | Модель угроз, техпроект по приказу № 239 | 3–6 месяцев |
| Внедрение и контроль | Поставка СЗИ, настройка, приёмочные испытания | 4–8 месяцев |
Защита КИИ строится на двух приказах ФСТЭК: № 235 определяет требования к системе безопасности и ответственным за неё, № 239 — состав мер защиты значимых объектов. Для государственных систем с 1 марта 2026 года действует приказ ФСТЭК № 117, заменивший приказ № 17. Организациям, у которых объекты КИИ одновременно являются ГИС, требования нужно гармонизировать: аттестация обязательна, меры по КИИ и ГИС объединяются в одном проекте.
Базовый комплект документов: акт категорирования, модель угроз по методике ФСТЭК, политика безопасности значимых объектов, регламенты реагирования и план взаимодействия с НКЦКИ. Модель угроз опирается на банк данных угроз ФСТЭК и учитывает реальные векторы атак: компрометацию подрядчиков, фишинг, уязвимости периметра, атаки на системы виртуализации. Документы должны соответствовать фактической конфигурации систем — ФСТЭК сверяет их при государственном контроле.
Техническая защита на действующем производстве внедряется поэтапно. Первый шаг — пассивные меры: сегментация сети, выделение технологического сегмента, мониторинг трафика АСУ ТП средствами промышленных IDS. Далее — активные: межсетевые экраны, средства доверенной загрузки, контроль целостности. Изменения в технологическом сегменте тестируются на стенде и вносятся в плановые окна обслуживания. Подключение к ГосСОПКА и организация мониторинга (собственный или внешний SOC) завершают проект.
Безопасность КИИ — управляемый процесс: категорирование, проектирование, внедрение мер по приказу № 239 и постоянный мониторинг. Чем раньше предприятие начнёт работы, тем ниже риск административной ответственности по ст. 13.12.1 КоАП РФ (штраф для ЮЛ — 50–500 тыс. руб.) и реального ущерба от атак на технологические системы.
«Кредо-С» выполняет проекты по 187-ФЗ полного цикла: категорирование, разработку моделей угроз и ОРД, проектирование систем безопасности значимых объектов, поставку и внедрение сертифицированных СЗИ, аттестацию ГИС и последующее сопровождение, включая подготовку к проверкам ФСТЭК.
Защита объектов КИИ под ключ
Кредо-С — лицензиат ФСТЭК России. Категорирование, модель угроз, внедрение мер по приказу № 239, подключение к ГосСОПКА. Полный цикл по 187-ФЗ.
Большинство субъектов КИИ обрабатывают персональные данные — медицинские записи, данные сотрудников, сведения о клиентах. Выполнение 187-ФЗ не освобождает от 152-ФЗ: это два независимых набора обязательств с разными регуляторами.
| КИИ (187-ФЗ) | Персональные данные (152-ФЗ) | |
|---|---|---|
| Регулятор | ФСТЭК, ФСБ, отраслевые органы | Роскомнадзор + ФСТЭК (технические меры) |
| Основной приказ | № 239 — меры защиты, № 235 — организация | № 21 — меры для ИСПДн |
| Ответственность ЮЛ | КоАП ст. 13.12.1: 50–100 тыс. (нарушение требований), 100–500 тыс. (нарушение информирования об инцидентах) | КоАП ст. 13.11: до 15 млн руб. за первичную утечку ПДн (ч. 14); оборотный штраф 1-3% выручки (20-500 млн руб.) — только за повторную (ч. 15) |
Приказ № 239 частично перекрывает технические меры для ИСПДн. Но правовая часть — основания обработки, согласия субъектов, уведомление Роскомнадзора — остаётся отдельной обязанностью по 152-ФЗ.
С 30 мая 2025 года действуют оборотные штрафы за повторную утечку персональных данных: от 1% до 3% годовой выручки (не менее 20 млн и не более 500 млн рублей, ч. 15 ст. 13.11 КоАП РФ); за первичную утечку — фиксированный штраф для юрлиц до 15 млн руб. (ч. 14). Субъект КИИ при инциденте может получить одновременно административный штраф по ст. 13.12.1 и оборотный по ст. 13.11.
Кредо-С совмещает оба направления: аудит КИИ и ИСПДн проводится параллельно, меры выбираются с учётом требований обоих регуляторов. Защита персональных данных →
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года