Дата публикации: 16.06.2026

187-ФЗ и приказы ФСТЭК № 235, 239 — основа защиты объектов КИИ. Субъект КИИ обязан провести категорирование объектов КИИ, направить сведения во ФСТЭК, создать систему безопасности значимых объектов и подключиться к ГосСОПКА. Ориентировочный срок полного цикла — от 6 до 18 месяцев в зависимости от масштаба инфраструктуры.

Как определить объекты КИИ и пройти категорирование

К субъектам КИИ закон № 187-ФЗ относит организации, работающие в 13 сферах: энергетика, здравоохранение, транспорт, связь, финансы, ТЭК, оборонная, химическая, металлургическая и горнодобывающая промышленность и другие. Принадлежность определяется по кодам ОКВЭД, лицензиям и фактической деятельности. Единый федеральный список КИИ в открытом доступе не публикуется, однако отраслевые регуляторы утверждают перечни типовых объектов, которые помогают предприятиям идентифицировать свои системы.

Какие системы относятся к значимым объектам КИИ

В перечень объектов КИИ включаются информационные системы, сети и АСУ, обеспечивающие критические процессы. Категорирование проводится по ПП РФ № 127: комиссия оценивает последствия инцидентов по социальной, политической, экономической и экологической значимости и присваивает категорию от первой (наивысшей) до третьей либо фиксирует отсутствие категории. Особое внимание — АСУ ТП: остановка технологического процесса часто даёт максимальные показатели ущерба, поэтому промышленные системы чаще получают значимые категории.

ЭтапСодержание работОриентировочный срок
ИнвентаризацияОпределение критических процессов и систем1–2 месяца
КатегорированиеРабота комиссии, оценка ущерба по ПП № 1272–4 месяца
Направление сведенийОтправка форм во ФСТЭКдо 10 рабочих дней после утверждения
Проектирование СБМодель угроз, техпроект по приказу № 2393–6 месяцев
Внедрение и контрольПоставка СЗИ, настройка, приёмочные испытания4–8 месяцев

Что требуют регуляторы для защиты критической инфраструктуры

Защита КИИ строится на двух приказах ФСТЭК: № 235 определяет требования к системе безопасности и ответственным за неё, № 239 — состав мер защиты значимых объектов. Для государственных систем с 1 марта 2026 года действует приказ ФСТЭК № 117, заменивший приказ № 17. Организациям, у которых объекты КИИ одновременно являются ГИС, требования нужно гармонизировать: аттестация обязательна, меры по КИИ и ГИС объединяются в одном проекте.

Как подготовить документы и модель угроз

Базовый комплект документов: акт категорирования, модель угроз по методике ФСТЭК, политика безопасности значимых объектов, регламенты реагирования и план взаимодействия с НКЦКИ. Модель угроз опирается на банк данных угроз ФСТЭК и учитывает реальные векторы атак: компрометацию подрядчиков, фишинг, уязвимости периметра, атаки на системы виртуализации. Документы должны соответствовать фактической конфигурации систем — ФСТЭК сверяет их при государственном контроле.

Как выстроить защиту КИИ без остановки бизнес-процессов

Техническая защита на действующем производстве внедряется поэтапно. Первый шаг — пассивные меры: сегментация сети, выделение технологического сегмента, мониторинг трафика АСУ ТП средствами промышленных IDS. Далее — активные: межсетевые экраны, средства доверенной загрузки, контроль целостности. Изменения в технологическом сегменте тестируются на стенде и вносятся в плановые окна обслуживания. Подключение к ГосСОПКА и организация мониторинга (собственный или внешний SOC) завершают проект.

Ответственность за нарушение требований по защите КИИ

Безопасность КИИ — управляемый процесс: категорирование, проектирование, внедрение мер по приказу № 239 и постоянный мониторинг. Чем раньше предприятие начнёт работы, тем ниже риск административной ответственности по ст. 13.12.1 КоАП РФ (штраф для ЮЛ — 50–500 тыс. руб.) и реального ущерба от атак на технологические системы.

«Кредо-С» выполняет проекты по 187-ФЗ полного цикла: категорирование, разработку моделей угроз и ОРД, проектирование систем безопасности значимых объектов, поставку и внедрение сертифицированных СЗИ, аттестацию ГИС и последующее сопровождение, включая подготовку к проверкам ФСТЭК.

Защита объектов КИИ под ключ

Кредо-С — лицензиат ФСТЭК России. Категорирование, модель угроз, внедрение мер по приказу № 239, подключение к ГосСОПКА. Полный цикл по 187-ФЗ.

Узнать подробнее

КИИ и персональные данные: две параллельные ответственности

Большинство субъектов КИИ обрабатывают персональные данные — медицинские записи, данные сотрудников, сведения о клиентах. Выполнение 187-ФЗ не освобождает от 152-ФЗ: это два независимых набора обязательств с разными регуляторами.

Как разграничить требования

КИИ (187-ФЗ)Персональные данные (152-ФЗ)
РегуляторФСТЭК, ФСБ, отраслевые органыРоскомнадзор + ФСТЭК (технические меры)
Основной приказ№ 239 — меры защиты, № 235 — организация№ 21 — меры для ИСПДн
Ответственность ЮЛКоАП ст. 13.12.1: 50–100 тыс. (нарушение требований), 100–500 тыс. (нарушение информирования об инцидентах)КоАП ст. 13.11: до 15 млн руб. за первичную утечку ПДн (ч. 14); оборотный штраф 1-3% выручки (20-500 млн руб.) — только за повторную (ч. 15)

Приказ № 239 частично перекрывает технические меры для ИСПДн. Но правовая часть — основания обработки, согласия субъектов, уведомление Роскомнадзора — остаётся отдельной обязанностью по 152-ФЗ.

С 30 мая 2025 года действуют оборотные штрафы за повторную утечку персональных данных: от 1% до 3% годовой выручки (не менее 20 млн и не более 500 млн рублей, ч. 15 ст. 13.11 КоАП РФ); за первичную утечку — фиксированный штраф для юрлиц до 15 млн руб. (ч. 14). Субъект КИИ при инциденте может получить одновременно административный штраф по ст. 13.12.1 и оборотный по ст. 13.11.

Кредо-С совмещает оба направления: аудит КИИ и ИСПДн проводится параллельно, меры выбираются с учётом требований обоих регуляторов. Защита персональных данных →

Часто задаваемые вопросы

Как понять, является ли наша компания субъектом КИИ?
Проверьте принадлежность к сферам из ст. 2 закона № 187-ФЗ по кодам ОКВЭД, лицензиям и фактической деятельности. Если организация работает в одной из 14 сфер и владеет ИС, сетями или АСУ, она является субъектом КИИ.
Что грозит за непроведение категорирования объектов КИИ?
Административная ответственность по ст. 13.12.1 КоАП РФ со штрафами для юридических лиц, а при инцидентах на незащищенных значимых объектах – уголовная ответственность должностных лиц по ст. 274.1 УК РФ.
Чем приказ ФСТЭК № 239 отличается от приказа № 117?
Приказ № 239 устанавливает меры защиты значимых объектов КИИ, а приказ № 117 — требования к защите информации в ГИС и иных системах госорганов, заменив с 01.03.2026 приказ № 17. Если объект одновременно ГИС и значимый объект КИИ, применяются оба документа.
Обязательна ли аттестация информационных систем для объектов КИИ?
Для значимых объектов КИИ допускается приемка в форме испытаний, аттестация обязательна для ГИС. Выбор формы оценки соответствия определяется статусом системы и требованиями регулятора.
Сколько длится проект по обеспечению безопасности КИИ?
Ориентировочно от 6 до 18 месяцев в зависимости от количества объектов, категорий значимости и состояния инфраструктуры. Категорирование занимает 3–6 месяцев, внедрение мер защиты – от полугода.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных