Что такое КИИ и кого касается 187‑ФЗ — Контур.Эгида

В этой статье

Что такое КИИ и кого касается 187‑ФЗ

8 сентября 2025

Критическая информационная инфраструктура (КИИ) — объекты, от работы которых зависит безопасность государства. Разбираем, какие организации подпадают под 187-ФЗ, какие меры защиты обязательны и с чего начать категорирование.

Фотография Ольга Попова Ольга Попова Ведущий юрист

Критическая информационная инфраструктура (КИИ) — информационные системы, сети и базы данных, нарушение работы которых угрожает безопасности государства, экономике или гражданам. Федеральный закон № 187-ФЗ обязывает операторов КИИ внедрять меры защиты, уведомлять о киберинцидентах и проходить категорирование. Под действие закона попадают организации в 15 отраслях: энергетика, транспорт, здравоохранение, финансы, госсектор и другие. 

Защита КИИ является ключевым элементом информационной безопасности страны, поскольку любые нарушения в их работе могут привести к серьезным последствиям для всего общества.

187-ФЗ — Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон был принят для защиты важнейших объектов информационной инфраструктуры страны и регулирования мер безопасности в отношении КИИ.

Основные понятия и цели закона

КИИ охватывает все сферы жизнедеятельности, которые имеют критическое значение для функционирования государства. К таким объектам относятся:

  • Энергетическая система: электростанции, подстанции, линии передачи электроэнергии.

  • Транспортная инфраструктура: системы управления воздушным движением, железнодорожные системы, морские и речные порты.

  • Системы здравоохранения: медицинские информационные системы, базы данных, содержащие персональные данные граждан.

  • Системы водоснабжения и водоотведения: водоочистные и водонасосные станции.

  • Государственные информационные ресурсы: системы, с помощью которых осуществляется управление государственными учреждениями, полиции, армии, органов налоговой и миграционной службы.

Цель закона — обеспечить безопасность данных и систем, минимизировать риски утечек информации, предотвратить кибератаки, а также оперативно устранять последствия возможных инцидентов.

Какие организации попадают под требования 187-ФЗ?

187-ФЗ касается всех организаций, работающих с КИИ. Закон налагает на них обязательства по защите данных и инцидентам, связанным с возможными нарушениями безопасности. К субъектам КИИ, относятся юридические лица,у которых в ОКВЭД или лицензиях указана деятельность в одной из следующих сфер:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • банковская сфера и иные финансовые сферы;
  • топливно-энергетический комплекс;
  • область атомной энергии;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • горнодобывающая промышленность;
  • металлургическая промышленность;
  • химическая промышленность;
  • сфера государственной регистрации недвижимости
  • юридические лица и/или ИП, которые обеспечивают взаимодействие указанных систем или сетей.

Основные требования 187-ФЗ

Закон устанавливает жесткие требования для операторов КИИ:

Уведомление о компьютерных инцидентах. Субъекты критической информационной инфраструктуры (КИИ) обязаны  уведомлять о компьютерных атаках и компьютерных инцидентах, федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

Планирование мероприятий по защите информации. Все организации, работающие с КИИ, должны разрабатывать и внедрять внутренние системы защиты, проводить регулярные проверки безопасности и тесты на уязвимости.

Мониторинг и анализ рисков. Обязанность по регулярному мониторингу безопасности и анализу рисков нарушений информационной безопасности ложится на руководителей организаций. Также требуются постоянные обновления системы защиты от новых угроз и атак.

Контроль и реагирование на инциденты. В случае инцидента, организации обязаны не только немедленно принять меры для ликвидации угрозы, но и провести расследование, выяснив причины нарушения безопасности и устранить последствия.

Какие СЗИ подходят для КИИ? Читайте в статье.

Использование современных технологий защиты. Операторы КИИ обязаны использовать современные технологии и системы защиты данных, например, системы криптографической защиты, средства защиты от кибератак, системы аутентификации и контроля доступа.

Ответственность за нарушение требований 187-ФЗ

Несоблюдение норм 187-ФЗ может привести к серьезным последствиям для организаций. Штрафы для юридических лиц могут составлять от 50 тыс. до 500 тыс рублей в зависимости от характера нарушения.В случае наступления инцидента с тяжкими последствиями до 10 лет лишения свободы (УК РФ ст. 274.1)

Какие штрафы ждут за нарушение нормативных актов в сфере ИБ? Читайте в статье.

С чего начать работы по КИИ

  1. Создать комиссию по категорированию. 

  2. Составить перечень процессов юридического лица, из которых выделяются критические. 

    Критические процессы — это бизнес-процессы, относящиеся к одной из 15 сфер, нарушение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка

  3. Составить список объектов КИИ, имеющихся  у юридического лица.
    Объекты критической информационной инфраструктуры — информационные системы (CRM, бухгалтерские системы), информационно-телекоммуникационные сети (локальные сети), автоматизированные системы управления субъектов критической информационной инфраструктуры (АСУ ТП, ЧПУ, МРТ, КТ, ИВЛ итд).

    Если объекты КИИ задействованы в критических процессах, то необходимо провести их категорирование

  4. Провести сверку списка объектов организации с типовым отраслевым перечнем объектов КИИ

  5. Провести категорирование на основании перечня показателей критериев значимости

  6. Сведения о результатах категорирования в 10-дневный срок должны быть направлены во ФСТЭК

Объекты КИИ, которым присвоены категории значимости (ЗОКИИ), нуждаются в особой защите. Для этого необходимо разработать комплекс мероприятий, включающий в себя  разработку документации, внедрение технических средств защиты и другие меры. 

Коротко о 187-ФЗ в вопросах и ответах

Какие организации обязаны выполнять 187-ФЗ?

Юрлица и ИП, чья деятельность относится к одной из 15 сфер (энергетика, транспорт, здравоохранение, финансы, госсектор и др.) и которые эксплуатируют объекты КИИ.

Что такое категорирование КИИ?

Процедура оценки значимости объекта КИИ по критериям ФСТЭК. Результат — присвоение категории (1–3) или вывод из-под действия закона.

Какие штрафы предусмотрены за нарушение 187-ФЗ?
Для юрлиц: от 50 000 до 500 000 ₽; при тяжких последствиях — уголовная ответственность до 10 лет (ст. 274.1 УК РФ).

Можно ли использовать облачные сервисы для КИИ?

 Да, при условии, что провайдер имеет сертификаты ФСТЭК, данные хранятся в РФ, а договор предусматривает разграничение ответственности.

Нужно ли сертифицировать все средства защиты?

 Да, для объектов КИИ обязательны СЗИ, имеющие действующие сертификаты ФСТЭК России.

 

Фотография Ольга Попова Ольга Попова Ведущий юрист
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться