КИИ под защитой: когда и почему обязательны сертифицированные средства защиты информации — Контур.Эгида

В этой статье

КИИ под защитой: когда и почему обязательны сертифицированные средства защиты информации

14 ноября 2025

Критическая информационная инфраструктура — одна из самых уязвимых сфер: ошибка в защите здесь может обернуться не просто убытками, а угрозой безопасности людей. В статье разбираемся, кто обязан применять сертифицированные средства защиты информации, как определить, относится ли компания к субъектам КИИ, какие риски несут организации, которые пренебрегают требованиями, и какие сложности могут возникнуть на практике.

Фотография Ольга Попова Ольга Попова Ведущий юрист

Кто относится к КИИ и зачем это определять

Является ли компания субъектом критической информационной инфраструктуры (КИИ), определяет закон 187-ФЗ «О безопасности КИИ». Главный критерий — деятельность компании в одной из сфер, перечисленных в законе. Специальная комиссия внутри организации определяет, есть ли в ее структуре объекты, соответствующие признакам КИИ. В комиссию входят руководители подразделений, которые знают особенности своих систем и могут оценить, соответствуют ли они установленным критериям.

Среди сфер, относящихся к КИИ, — энергетика, транспорт, связь, наука, здравоохранение, банковская и финансовая сферы, предприятия топливно-энергетического комплекса, металлургической, химической, горнодобывающей, ракетно-космической и атомной промышленности.

При категорировании организации необходимо использовать типовые перечни объектов КИИ, утверждённые уполномоченным органом в соответствующей сфере деятельности. Это помогает определить, какие именно системы предприятия относятся к объектам КИИ и требуют дальнейшей оценки значимости.

Если в организации есть объекты КИИ, которым присвоена категория значимости, на них распространяются требования приказа № 239 ФСТЭК, а значит — необходимо выделять дополнительные ресурсы на обеспечение мер защиты. Для объектов без категории эти требования не применяются, поэтому дополнительных расходов не возникает.

Регуляторы и нормативная база

Основным регулятором в сфере КИИ является ФСТЭК России. Проверки могут также проводить ФСБ, прокуратура и профильные министерства — например, Минтранс или Минпромторг, если предприятие относится к их сфере ответственности. Государственные органы вправе запрашивать у компании сведения о том, проводилось ли категорирование и какие меры защиты уже реализованы, если компания относится к КИИ.

К нормативной базе по вопросам защиты КИИ относятся:

  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры»;
  • постановление правительства №127 о категорировании объектов КИИ;
  • приказы ФСТЭК №236, №239 и №31;
  • указ Президента №250;
  • приказы ФСБ, регулирующие реагирование на инциденты.

Эти документы определяют, какие меры безопасности обязательны и в каких случаях нужно использовать сертифицированные средства защиты информации.

Чем рискует бизнес, если игнорирует требования к защите КИИ

Опасность для объектов КИИ — не абстракция. В производственных системах сбой может повлечь аварии, ущерб для экологии и угрозу жизни людей. Атаки на информационные системы чреваты утечками данных, остановкой бизнес-процессов и репутационными потерями.

Риски подтверждают инциденты, случившиеся в последние годы. Например, атака хактивистов на три иранских сталелитейных завода нарушила технологические процессы: один из ковшей с жидким чугуном обрушился, начался пожар. По некоторым данным, злоумышленники использовали ПО, удаляющее данные.

Последствия подобных инцидентов для субъектов КИИ включают и технологические, и финансовые аспекты: простои, аварии, восстановление инфраструктуры и репутационные потери способны нанести серьёзный ущерб бизнесу. При этом ответственность несут не только компании, но и конкретные сотрудники, из-за которых произошел инцидент.

Что такое сертифицированные СЗИ и зачем они нужны

Сертифицированные средства защиты информации (СЗИ) — это решения, прошедшие специальные испытания по методикам, утвержденным ФСТЭК или ФСБ России. Сертификат подтверждает, что средство обеспечивает требуемый уровень защиты и соответствует нормативным требованиям.

Использование несертифицированных решений — риск. Помимо возможных штрафов за несоблюдение закона, остаются и технологические уязвимости, вот почему СЗИ — не просто «галочка» для регулятора, а ваша страховка:

Снимает с вас ответственность за сбои ПО на стороне вендора. Представьте: вы построили защиту на несертифицированном продукте, произошел сбой, в результате — инцидент. Регулятор спросит: «Почему вы решили, что эта программа защищает? Вы сами провели полный аудит ее кода и функций?». Ответить на этот вопрос будет непросто.

Сертификат подтверждает, что средство защиты прошло испытания в аккредитованной лаборатории и признано соответствующим требованиям безопасности. Это гарантирует, что производитель отвечает за корректную работу своего решения и заявленные функции защиты. Вы выполняете требование закона, используя проверенный инструмент.

Экономит ваши время и деньги. Самостоятельно проверить эффективность средства защиты — дорого и почти нереально. Вам потребуется своя лаборатория, эксперты и месяцы тестирования. Сертификат решает эту проблему — вы покупаете уже проверенное решение.

Когда применение сертифицированных СЗИ обязательно

В определенных контурах использование сертифицированного СЗИ — это обязательное условие, а не рекомендация. Применение несертифицированного аналога приравнивается к его отсутствию.

Для значимых объектов КИИ средства защиты информации должны пройти оценку на соответствие требованиям безопасности. Это может быть обязательная сертификация, испытания или приёмка — в зависимости от формы, предусмотренной пунктом 28 приказа № 239 ФСТЭК.

В зависимости от категории объекта КИИ предъявляются разные требования к классу защиты:

Категория значимости объекта Примеры объектов Минимальный класс защиты СЗИ

I категория (наиболее значимая)

АЭС, объекты единой энергосистемы, центральный банк

не ниже 4-го

II категория

Крупные транспортные узлы (например, аэропорты), система водоснабжения мегаполиса

не ниже 5-го

III категория

Региональная больница, отделение крупного банка

не ниже 6-го

Без категории

 

использование сертифицированных СЗИ не обязательно

Чем выше категория значимости, тем строже требования к защите. Если же объект КИИ не имеет категории значимости, требования приказа № 239 ФСТЭК к использованию сертифицированных средств защиты на него не распространяются, и организация может использовать любые подходящие решения.

С какими трудностями сталкиваются компании

Даже при соблюдении всех требований сертифицированные СЗИ могут создавать сложности в эксплуатации. Средства защиты — такое же программное обеспечение, как и любое другое, и на разных компьютерах они могут вести себя по-разному: где-то установиться без проблем, а где-то вызвать сбой или конфликт с другими программами. Иногда после внедрения СЗИ часть других рабочих инструментов перестает функционировать, например из-за несовместимости, что приводит к простоям и потере ресурсов на восстановление работоспособности системы.

Еще одна проблема — ограниченный выбор сертифицированных решений. Универсальных систем нет, а отдельные СЗИ могут быть несовместимы между собой. Из-за этого сложно построить комплексную защиту без конфликтов и потерь производительности.

Кроме того, не каждое оборудование готово к установке современных средств защиты. Например, на старых промышленных системах попытка интеграции может привести к сбою работы оборудования, особенно если оно изначально разрабатывалось иностранными производителями — или просто больше не поддерживается.

Чтобы минимизировать риски, новые решения нужно тестировать на стендах и внедрять в периоды, когда простои менее критичны — например, в нерабочие дни.

Как выбрать и внедрить СЗИ

Выбор средств защиты информации зависит от того, что именно защищается: автоматизированная система управления, информационная система или телекоммуникационная сеть. Для каждого типа объектов применяются разные классы и виды СЗИ — это прямо предусмотрено приказами ФСТЭК № 235 и № 239.

Процесс обычно включает несколько этапов:

Анализ и моделирование угроз — помогает определить, какие угрозы актуальны для конкретной инфраструктуры.

Перед выбором конкретных решений важно понять, какие угрозы актуальны для вашей инфраструктуры и какие меры требуются, чтобы выполнить требования законодательства.

Проверка имеющихся решений — возможно, часть из них уже сертифицирована и удовлетворяет всем требованиям к защите.

Иногда нужные средства уже установлены — например, антивирус или система защиты от несанкционированного доступа (СЗИ от НСД). В этом случае важно проверить, сертифицированы ли они и соответствуют ли установленным требованиям.

Проектирование системы защиты, оценка совместимости всех компонентов и подбор подходящих СЗИ. Важно помнить, что средства защиты работают только в системе: антивирус не заменит межсетевой экран, а криптографическая защита — средства от несанкционированного доступа. Поэтому комплексный подход — ключевой фактор эффективности.

Тестирование — сначала на стендах, потом в реальной среде.

Для сложных объектов КИИ стоит привлекать специалистов, которые смогут не только подобрать сертифицированные решения под конкретный тип системы, но и учесть, чтобы новое средство не мешало работе оборудования — особенно на старых промышленных установках, где любое вмешательство может привести к сбоям.

Главное

  • Присвоение статуса субъекта КИИ — обязанность, а не выбор компании, если она подпадает под критерии КИИ, установленные законом.
  • Для значимых объектов обязательны сертифицированные СЗИ.
  • Использование несертифицированных решений допустимо только на объектах без категории значимости.
  • Несоблюдение требований грозит штрафами, сбоями и репутационными потерями.
  • Перед внедрением средств защиты их нужно тестировать и проверять их совместимость с уже имеющимся ПО.

Защита объектов КИИ — это не вопрос формального соответствия, а элемент устойчивости бизнеса. Сертифицированные СЗИ помогают не просто выполнить требования закона, но и предотвратить реальные угрозы, от которых зависит работа компании и безопасность людей.

Фотография Ольга Попова Ольга Попова Ведущий юрист
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться