Пн-Пт 9:00-18:00 · admin@softdefence.ru · +7 (495) 278-02-72 Заказать звонок
Главная / База знаний / КИИ и 187-ФЗ / КИИ и 187-ФЗ: кто такие субъекты КИИ и как категорировать объекты
03 | Мая | 2026

КИИ И 187-ФЗ: КТО ТАКИЕ СУБЪЕКТЫ КИИ И КАК КАТЕГОРИРОВАТЬ ОБЪЕКТЫ

КИИ и 187-ФЗ
Объекты критической информационной инфраструктуры — это не только Газпром и Сбер. Под закон попадают банки, медицина, образование, ИТ-компании-подрядчики гос-сектора.

Федеральный закон 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры РФ» — один из самых жёстких в области ИБ. За его нарушение — уголовная ответственность по статье 274.1 УК РФ (до 10 лет лишения свободы для отдельных составов). Разберём системно: кто попадает, как категорировать, какие меры обязательны.

Кто такой субъект КИИ

Согласно ст.2 закона, субъекты КИИ — это юр.лица, которые владеют объектами КИИ в одной из 13 сфер:

  1. Здравоохранение
  2. Наука
  3. Транспорт
  4. Связь
  5. Энергетика
  6. Банковская и иная финансовая
  7. ТЭК
  8. Атомная энергия
  9. ОПК
  10. Ракетно-космическая
  11. Горнодобывающая
  12. Металлургическая
  13. Химическая

Кто чаще всего «попадает» в КИИ

На практике под закон в первую очередь попадают: банки, операторы связи, медицинские организации (особенно с электронными медкартами), научно-исследовательские институты, энергетические компании, авиакомпании и аэропорты, машиностроительные заводы. Если у вас в этих сферах есть АИС или АСУ ТП — вы субъект КИИ. Регистрация во ФСТЭК — обязательна.

Что такое объект КИИ

Объект — это информационная система, АСУ ТП или информационно-телекоммуникационная сеть, без которой деятельность субъекта в указанной сфере остановится или будет существенно затруднена. Примеры:

  • Банк — АБС (автоматизированная банковская система), процессинг карт, интернет-банк
  • Энергокомпания — SCADA-система электростанции, диспетчерский пункт
  • Больница — медицинская информационная система (МИС), система регистратуры
  • Аэропорт — система обработки багажа, аэронавигация
  • Завод — АСУ ТП производства, MES-система

Категорирование

Постановление №127 от 08.02.2018 определяет 3 категории значимости (1 — высшая, 2 — средняя, 3 — низшая) или статус «без категории».

Процедура категорирования

  1. Субъект формирует комиссию по категорированию (не менее 5 человек, в составе — специалисты по ИБ, технологии, экономике)
  2. Составляется перечень объектов, подлежащих категорированию (всё, что подходит под определение объекта КИИ)
  3. По каждому объекту оценивается ущерб по 14 показателям (ущерб экономике РФ, экологии, обороне, гражданам, репутации страны)
  4. Определяется максимальное значение показателя — это и есть категория
  5. Составляется акт категорирования
  6. Сведения направляются во ФСТЭК России в течение 30 дней с момента включения объекта в перечень

14 показателей значимости (вкратце)

  • Социальная значимость (ущерб гражданам)
  • Политическая значимость (ущерб репутации страны)
  • Экономическая значимость (потери ВВП)
  • Экологическая значимость
  • Значимость для обеспечения обороны и безопасности
  • Объём предоставляемых услуг
  • и ещё 8 специальных показателей

Обязательные СЗИ для значимых объектов

Для значимых объектов КИИ требуются (приказ ФСТЭК №239):

  • Сертифицированные ФСТЭК средства защиты от НСД (например, Secret Net Studio, Dallas Lock, Аккорд)
  • Антивирусное ПО из реестра ФСТЭК (Касперский, Dr.Web)
  • Системы обнаружения вторжений (IDS/IPS)
  • Средства защиты от утечки (DLP)
  • СКЗИ при передаче по открытым каналам (КриптоПро, ViPNet)
  • АПМДЗ (аппаратно-программный модуль доверенной загрузки) — для 1-2 категории
  • Средства резервного копирования
  • SIEM-системы для централизованного управления событиями

Класс защиты ФСТЭК для категорий КИИ

Категория КИИКласс защиты ФСТЭКОсобенности
1 (высшая)1Б — К1Мандатный контроль, замкнутая программная среда, АПМДЗ, постоянный мониторинг
2 (средняя)К1 — К3СЗИ от НСД, АПМДЗ опционально, мониторинг
3 (низшая)К3 — К6Базовый набор СЗИ, антивирус

Подключение к ГосСОПКА

Субъекты значимых объектов обязаны передавать данные о компьютерных инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которой управляет НКЦКИ.

Как подключиться к ГосСОПКА

  1. Подать заявку в НКЦКИ через личный кабинет на сайте gov-cert.ru
  2. Получить уникальный идентификатор и сертификат для подписи сообщений
  3. Настроить SIEM или специальный коннектор для передачи данных
  4. Тестовый прогон, потом перевод в боевой режим

Большинство современных российских SIEM/SOC (например, Kaspersky Industrial CyberSecurity) уже имеют встроенный коннектор для ГосСОПКА.

Штрафы и ответственность

За нарушение требований по 187-ФЗ предусмотрены:

НарушениеСтатьяСанкция
Нарушение требований защиты значимого объекта13.12.1 КоАПШтраф юр.лицу до 500 тыс. ₽
Сокрытие инцидента13.12.1 КоАПШтраф юр.лицу до 1 млн ₽
Создание вредоноса для КИИ274.1 ч.1 УКДо 5 лет лишения свободы
Несанкционированный доступ к КИИ274.1 ч.2 УКДо 6 лет
Нарушение порядка использования274.1 ч.3 УКДо 6 лет
Нарушение, повлекшее тяжкие последствия274.1 ч.5 УКДо 10 лет лишения свободы

Подготовка к проверке ФСТЭК

Внеплановые проверки субъектов КИИ — типовая практика. Готовиться нужно так:

  1. Иметь актуальный акт категорирования (не старше 1 года) и копии направленных во ФСТЭК сведений
  2. Иметь модель угроз и нарушителя
  3. Хранить документацию по СЗИ — сертификаты, формуляры, лицензии
  4. Иметь план реагирования на инциденты
  5. Логи инцидентов за последние 12 месяцев
  6. Подтверждение подключения к ГосСОПКА
  7. Внутренние процедуры (приказы, регламенты)

FAQ по КИИ и 187-ФЗ

Что считается «компьютерным инцидентом» для ГосСОПКА?

Любое событие, которое привело или может привести к нарушению функционирования объекта КИИ. Например: успешная или неуспешная попытка взлома, обнаружение вредоносного ПО, аномальная активность пользователя, утечка данных, DDoS-атака.

Сколько времени даётся на сообщение об инциденте?

В течение 24 часов с момента обнаружения. Поэтому SIEM/SOC должны работать круглосуточно.

Можно ли использовать иностранное СЗИ для значимого объекта?

Нет. Все СЗИ для значимых объектов КИИ должны иметь сертификат ФСТЭК России и (по предметным средствам) ФСБ. Иностранные продукты не сертифицируются — нельзя.

Что делать, если сертификат ФСТЭК на используемое СЗИ истёк?

Прекратить использование и заменить на сертифицированное. Использование несертифицированных СЗИ для значимого объекта — нарушение, штраф до 500 тыс. ₽.

Должны ли субсидиарные компании отдельно регистрироваться?

Да, если они владеют собственными объектами КИИ. Регистрация привязана к юр.лицу.

Поможем с категорированием и поставкой СЗИ

СОФТЗАЩИТА имеет опыт работы со значимыми объектами КИИ 1 и 2 категорий — банки, энергетика, медицина. Помогаем с подбором СЗИ под класс защиты, подключением к ГосСОПКА, подготовкой к проверке ФСТЭК. Запросить аудит готовности.

Купить упомянутые продукты

Товары, о которых рассказано в этом материале — все с сертификацией ФСТЭК и в реестре Минцифры.

Astra Linux Special Edition (релиз Смоленск) ФСТЭК К1 Реестр 44-ФЗ ПАК «Горизонт-ВС» ФСТЭК К4 Реестр 44-ФЗ
к статьям рубрики «КИИ и 187-ФЗ»