Теоретическая база знаний
Защита критической информационной инфраструктуры (КИИ) регулируется 187-ФЗ «О безопасности КИИ Российской Федерации». Субъекты КИИ обязаны провести категорирование объектов, разработать и реализовать меры защиты согласно требованиям ФСТЭК, а при наличии значимых объектов – подключиться к ГосСОПКА. Ответственность за нарушения предусмотрена как административная, так и уголовная.
Обеспечение безопасности КИИ согласно 187-ФЗ
Закон № 187-ФЗ формирует рамочные требования к субъектам КИИ – организациям, работающим в сферах энергетики, транспорта, здравоохранения, связи, банков и ряда других отраслей. Обеспечение безопасности КИИ предполагает не только технические меры, но и организационную перестройку: назначение ответственных лиц, разработку планов реагирования на инциденты и поддержание взаимодействия с НКЦКИ (Национальным координационным центром по компьютерным инцидентам).
Санкции за нарушение требований закона существенны: для должностных лиц – до 100 тысяч рублей штрафа, для юридических – до 500 тысяч. При ненадлежащей защите значимого объекта КИИ, повлёкшей последствия, возможна уголовная ответственность. Практика проверок показывает, что регулятор уделяет особое внимание полноте категорирования объектов КИИ и соответствию реализованных мер утверждённым планам.
Нормативная база защиты КИИ: ПП-127, Приказ №239 и 187-ФЗ
Порядок категорирования объектов КИИ установлен Постановлением Правительства РФ от 08.02.2018 №127 (ред. от 07.11.2025). Оно определяет критерии значимости, методику расчёта показателей и требования к составу комиссии. Ошибки в процессе категорирования – неверное определение субъектности, игнорирование зависимых процессов, некорректный расчёт показателей – приводят к тому, что значимые объекты остаются незащищёнными, а организация формально нарушает закон. Приказ ФСТЭК №239 закрепляет меры защиты значимых объектов КИИ для каждой категории. Примечание: Приказ ФСТЭК №117 (действует с 01.03.2026) регулирует требования к защите государственных информационных систем (ГИС) — подробнее на профильном ресурсе о приказе ФСТЭК №117.
Для уже категорированных объектов требования Приказа ФСТЭК №239 закрепляют минимальный набор технических и организационных мер, соответствующих присвоенной категории. Несоблюдение сроков направления сведений в ФСТЭК – самостоятельное нарушение, фиксируемое при плановых проверках.
| Категория значимости | Масштаб возможного ущерба | Минимальный набор мер защиты |
| 1-я (высшая) | Угрозы федерального масштаба: сбой энергосистемы, транспортного узла | Максимальный уровень защиты: СОВ, ГосСОПКА, резервирование, контроль привилегий. Подключение к ГосСОПКА обязательно |
| 2-я | Угрозы регионального масштаба: нарушение работы ЖКХ, регионального транспорта | Средний уровень: МЭ, антивирус, контроль доступа, взаимодействие с НКЦКИ |
| 3-я | Угрозы муниципального / отраслевого масштаба | Базовый уровень: организационные меры, МЭ, резервное копирование, инвентаризация активов |
| Незначимый | Объект не признан значимым по итогам категорирования | Меры защиты по усмотрению субъекта КИИ; категорирование обязательно, сведения направляются во ФСТЭК |
Категорирование объектов КИИ и выполнение требований ФСТЭК
Проекты по защите КИИ в промышленности и госсекторе
Промышленные предприятия и государственные структуры сталкиваются с типовыми проблемами при реализации проектов по защите КИИ: устаревшая АСУ ТП без встроенных механизмов защиты, плоская сеть без сегментации, отсутствие мониторинга событий ИБ. Специфика ИБ в промышленности – необходимость защищать технологические сети, не нарушая производственных процессов.
Для ИБ в госсекторе приоритетом является соответствие требованиям регуляторов: ФСТЭК, ФСБ, а при обработке государственной тайны – соблюдение требований системы сертификации. Защита информации на предприятии в рамках КИИ строится по принципу «защищать то, что действительно критично», а не «защищать всё одинаково».
Защита объектов КИИ и внедрение средств защиты
Перечень технических мер для значимых объектов определяется категорией и согласовывается с требованиями ФСТЭК. В типовом проекте:
- защита критической информационной инфраструктуры: сегментация сети, организация демилитаризованных зон
- внедрение средств обнаружения вторжений (СОВ) и анализа трафика
- управление доступом и привилегированными учётными записями
- резервирование критичных узлов и каналов связи
- организация подключения к ГосСОПКА при наличии значимых объектов
«Кредо-С» специализируется на защите объектов КИИ в промышленности и государственных структурах. Компания проводит экспертный аудит и аудит информационной безопасности, разрабатывает организационно-распорядительную документацию, проектирует и внедряет технические средства защиты, а также сопровождает организации при взаимодействии с ФСТЭК и НКЦКИ. Опыт охватывает объекты 1-й, 2-й и 3-й категории значимости.