Главная Вики Безопасность

187-ФЗ КИИ: что значит «субъект критической инфраструктуры»

187-ФЗ «О безопасности критической информационной инфраструктуры РФ» — закон, который регулирует защиту систем, чьё нарушение работы может затронуть жизнь страны: связь, энергетика, транспорт, финансы, здравоохранение, наука.

Зачем это нужно бизнесу

Многие компании, попадающие под 187-ФЗ, об этом не знают или думают, что закон касается только госкорпораций и крупных холдингов. Это не так. Под закон попадают юрлица любой формы собственности, работающие в одной из 14 сфер: связь (включая интернет-провайдеров и операторов передачи данных), банковская сфера, ТЭК, транспорт, здравоохранение, наука, оборонка, ракетно-космическая, атомная, химическая, металлургическая, горнодобывающая промышленность.

Если компания работает в одной из этих сфер и владеет информационными системами или сетями связи — она субъект КИИ по закону, независимо от размера. Дальше идёт категорирование объектов КИИ: каждый объект получает категорию значимости (К1, К2, К3 или «не значимый»). От категории зависит, насколько строгие требования к защите применяются.

Для бизнеса попадание под 187-ФЗ означает дополнительные обязательства, дополнительные затраты на безопасность и регулярное взаимодействие с регулятором (ФСТЭК России). Невыполнение требований — это уже не «штраф РКН», а потенциально административная и в отдельных случаях уголовная ответственность за нарушения, приведшие к инцидентам.

Как это работает

Процесс соответствия 187-ФЗ строится в несколько этапов.

Категорирование. Компания должна сама определить, является ли она субъектом КИИ, выявить свои объекты КИИ (информационные системы, АСУ, сети связи, обеспечивающие выполнение функций в критической сфере), оценить возможные последствия инцидента на каждом объекте и присвоить категорию значимости (К1 — наибольшая, К3 — наименьшая, либо «без категории»). Результат категорирования направляется во ФСТЭК.

Меры защиты значимых объектов. Для объектов с категорией К1, К2, К3 ФСТЭК утвердил набор обязательных требований (приказ № 239 и развивающие документы). Основное: - Использование только сертифицированных ФСТЭК средств защиты информации; - Меры по разграничению доступа, идентификации, аутентификации; - Антивирусная защита, обнаружение вторжений (IDS/IPS); - Защита периметра (межсетевые экраны), защита от DDoS; - Управление инцидентами, журналирование событий безопасности, регулярный аудит; - Защита виртуализации и облачной инфраструктуры, если применяется; - Резервное копирование критичных данных; - Контроль целостности ПО и конфигураций.

Подключение к ГосСОПКА. Все субъекты КИИ обязаны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), передавать туда сведения об инцидентах и в установленный срок сообщать о существенных событиях.

Запрет на иностранные СЗИ для значимых объектов. Для объектов с категорией защищённости разрешены только средства защиты из реестра отечественного ПО / сертифицированные ФСТЭК. Это серьёзно ограничивает выбор продуктов и требует пересмотра инфраструктуры компаний, исторически построенных на западных решениях.

Важно: 187-ФЗ — пересечение IT, технических средств защиты и юридической работы. Мы как IT-подрядчик закрываем технические аспекты (внедрение СЗИ, мониторинг, реагирование на инциденты, интеграция с ГосСОПКА через лицензированных операторов). Категорирование, оформление документов во ФСТЭК и юридическое сопровождение лучше вести с привлечением специализированной компании, имеющей соответствующие лицензии.

Когда нужно компании

Что включает наша услуга

Сложные юридические вопросы (категорирование, формирование комиссии, оформление документов во ФСТЭК) рекомендуем закрывать с привлечением специализированных консультантов, имеющих лицензии ФСТЭК на проведение работ. При необходимости — поможем с подбором.

Связанные термины

Получить расчёт

Зайдите в калькулятор, отметьте чекбокс «187-ФЗ КИИ», укажите сферу деятельности и предполагаемое количество объектов — получите ориентир по техническим затратам. Финальная смета — после обследования и предварительной оценки объёма работ. Для оформительной части привлекаем профильных партнёров.

Связанные термины
Расчёт стоимости

Хотите оценить стоимость под свою инфраструктуру?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).

Открыть калькулятор Получить КП