Защита КИИ – главное о законах, мерах и требованиях
Дата публикации: 18.12.2025
Критическая информационная инфраструктура не зря называется именно так. Это безусловно важная и в то же время крайне уязвимая сфера, ошибка или сбой в которой приводит не только к финансовым потерям и репутационному ущербу, но и к нарушениям в работе предприятий жизнеобеспечения, повлечь за собой угрозу безопасности здоровью и даже жизни людей. Такие серьезные риски в сочетании со строгими требованиями законов приводят к тому, что защита КИИ становится обязательной и необходимой мерой.
Законодательное регулирование
Основной закон о защите КИИ – это, конечно же, №187-ФЗ. В этом документе законодатели прописали такие ключевые моменты, как:
само понятие КИИ, реестр значимых объектов;
какие субъекты подпадают под действие этого закона, их права и обязанности;
принципы, в соответствии с которыми должна обеспечиваться защита КИИ, и требования к их системе безопасности;
присвоение категорий объектам КИИ.
Кроме того, №187-ФЗ содержит пункты о государственном контроле исполнения его требований и ответственности, которая наступает в случае обнаружения нарушений.
Помимо указанного ФЗ при разработке и реализации мероприятий по защите критической информационной инфраструктуры также следует учитывать положения следующих нормативных актов (в данном вопросе они могут рассматриваться как сопутствующие, но при этом обязательные к исполнению):
№152-ФЗ – если субъект КИИ также занимается обработкой ПДн;
№149-ФЗ;
постановления Правительства (в том числе №1478);
актуальные приказы и иные нормативные документы ФСБ и ФСТЭК в зависимости от сферы деятельности организации.
Кстати, в сентябре 2025 года вступила в действие обновленная редакция закона, в соответствии с которой ИП теперь исключены из перечня субъектов КИИ. Однако если ИП работает с госсистемами либо в смежных секторах, отдельные требования ФСТЭК и ФСБ могут по-прежнему на них распространяться.
Также стоит обратить внимание на усиление требований к использованию отечественного ПО и ПАК.
Как защитить КИИ: требования, меры и ключевые этапы построения системы защиты
Основные требования к защите КИИ предусмотрены положениями №187-ФЗ и сопутствующих нормативных актах. В их число входят следующие обязанности субъектов:
если организация – субъект КИИ, средства защиты информации, используемые ею, должны быть современными и эффективными (применять криптографию, системы контроля доступа, предусматривать внедрение защиты от атак киберпреступников) – тем, кто к субъектам КИИ не относится, такое СрЗИ тоже пригодятся;
реагировать на инциденты (выявлять и устранять угрозы, проводить расследование причин, ликвидировать последствия) и уведомлять о них уполномоченные органы;
разрабатывать и внедрять внутренние системы защиты, проводить тестирование на проникновение и искать уязвимости, постоянно контролировать безопасность, анализировать риски и обновлять защитные системы;
выделять критические объекты и процессы КИИ, присваивать им категории в установленном порядке.
Не менее важным требованием является необходимость перехода на ПО российских разработчиков. ПАК и ПО, используемые субъектами КИИ, должны быть включены в единый реестр.
Система защиты КИИ представляет собой целый комплекс, состоящий из взаимосвязанных и постоянно взаимодействующих элементов.
В их число входят:
нормативные документы (от федеральных законов и стандартов ФСТЭК до локальных политик и регламентов самого субъекта КИИ);
техническая инфраструктура (в частности, ее составе должны присутствовать системы мониторинга и реагирования, СрЗИ, ПАК, резервные ЦОД);
квалифицированный персонал с четким распределением ролей и зон ответственности (образование, обучение и повышение квалификации – важный элемент, о котором нельзя забывать);
процессы обеспечения защиты (от категорирования объектов и оценки угроз до реагирования на инциденты и аудита системы в целом).
Поэтапная схема, в соответствии с которой может быть выстроена защита объектов критической информационной инфраструктуры, в общем случае выглядит так:
инвентаризация имеющихся объектов КИИ, а также критически важных ключевых процессов;
присвоение категорий объектам;
выявление уязвимостей и угроз с последующим анализом;
формирование модели угроз;
разработка требований безопасности;
подбор и внедрение технических защитных средств;
разработка и внедрение организационно-распорядительных документов;
проведение обучения сотрудников (также стоит предусмотреть регулярное повышение квалификации и отработку действий в случае выявления инцидентов);
организация регулярного мониторинга и проведение аудитов для поддержания мер защиты в актуальном, работоспособном и эффективном состоянии.
Также должны быть разработаны и реализованы меры защиты КИИ. В составе общей системы они включают в себя организационные, технические, процедурные, правовые и договорные элементы.
Часто задаваемые вопросы
Какой закон регулирует защиту КИИ в России?
Основной закон о защите критической информационной инфраструктуры — 187-ФЗ, который вводит само понятие КИИ, реестр значимых объектов, порядок категорирования, перечень субъектов с их правами и обязанностями, а также положения о госконтроле и ответственности за нарушения. Помимо 187-ФЗ обязательны к исполнению сопутствующие акты: 152-ФЗ (если субъект обрабатывает персональные данные), 149-ФЗ, постановления Правительства (в том числе №1478) и актуальные приказы ФСТЭК и ФСБ в зависимости от сферы деятельности организации.
Кто является субъектом КИИ и попадают ли под закон ИП?
Субъектами КИИ являются организации, работающие в значимых сферах (финансы, энергетика, транспорт, здравоохранение и другие отрасли жизнеобеспечения), которые владеют объектами критической информационной инфраструктуры. С сентября 2025 года вступила в силу обновлённая редакция закона, согласно которой индивидуальные предприниматели исключены из перечня субъектов КИИ. При этом, если ИП работает с государственными системами или в смежных секторах, отдельные требования ФСТЭК и ФСБ могут по-прежнему на него распространяться.
Как поэтапно построить систему защиты КИИ?
Система защиты КИИ строится по поэтапной схеме из девяти шагов: инвентаризация объектов КИИ и ключевых процессов, присвоение категорий объектам, выявление и анализ уязвимостей и угроз, формирование модели угроз, разработка требований безопасности, подбор и внедрение технических средств защиты, разработка организационно-распорядительных документов, обучение сотрудников и организация регулярного мониторинга и аудитов. Сама система включает четыре взаимосвязанных элемента: нормативные документы, техническую инфраструктуру (СЗИ, ПАК, системы мониторинга, резервные ЦОД), квалифицированный персонал с распределением ролей и процессы обеспечения защиты.
Какие требования предъявляются к защите объектов КИИ?
Основные требования к защите КИИ установлены 187-ФЗ и сопутствующими актами: субъекты обязаны применять современные и эффективные средства защиты информации (криптография, контроль доступа, защита от кибератак), реагировать на инциденты и уведомлять о них уполномоченные органы, проводить тестирование на проникновение и поиск уязвимостей, постоянно контролировать безопасность и анализировать риски, а также выделять критические объекты и присваивать им категории. Отдельное обязательное требование — переход на программное обеспечение и ПАК российских разработчиков, включённые в единый реестр.
Обязательно ли субъектам КИИ переходить на отечественное ПО?
Да, переход на программное обеспечение и программно-аппаратные комплексы российских разработчиков — обязательное требование для субъектов КИИ, и используемые ими ПО и ПАК должны быть включены в единый реестр отечественного ПО. В последнее время требования к импортозамещению ПО и ПАК для критической информационной инфраструктуры усиливаются, поэтому субъектам КИИ необходимо заранее планировать замену иностранных решений на реестровые отечественные аналоги, чтобы соответствовать законодательству и избежать претензий регуляторов.
Колесник Дмитрий Николаевич
Директор по информационной безопасности
Защита КИИ — это не просто соблюдение 187-ФЗ, а выстроенная система из категорирования объектов, отечественных СЗИ, обученных людей и постоянного мониторинга, где цена ошибки измеряется не штрафами, а рисками для жизни и здоровья людей.