187-ФЗ КИИ: что значит «субъект критической инфраструктуры»
187-ФЗ «О безопасности критической информационной инфраструктуры РФ» — закон, который регулирует защиту систем, чьё нарушение работы может затронуть жизнь страны: связь, энергетика, транспорт, финансы, здравоохранение, наука.
Зачем это нужно бизнесу
Многие компании, попадающие под 187-ФЗ, об этом не знают или думают, что закон касается только госкорпораций и крупных холдингов. Это не так. Под закон попадают юрлица любой формы собственности, работающие в одной из 14 сфер: связь (включая интернет-провайдеров и операторов передачи данных), банковская сфера, ТЭК, транспорт, здравоохранение, наука, оборонка, ракетно-космическая, атомная, химическая, металлургическая, горнодобывающая промышленность.
Если компания работает в одной из этих сфер и владеет информационными системами или сетями связи — она субъект КИИ по закону, независимо от размера. Дальше идёт категорирование объектов КИИ: каждый объект получает категорию значимости (К1, К2, К3 или «не значимый»). От категории зависит, насколько строгие требования к защите применяются.
Для бизнеса попадание под 187-ФЗ означает дополнительные обязательства, дополнительные затраты на безопасность и регулярное взаимодействие с регулятором (ФСТЭК России). Невыполнение требований — это уже не «штраф РКН», а потенциально административная и в отдельных случаях уголовная ответственность за нарушения, приведшие к инцидентам.
Как это работает
Процесс соответствия 187-ФЗ строится в несколько этапов.
Категорирование. Компания должна сама определить, является ли она субъектом КИИ, выявить свои объекты КИИ (информационные системы, АСУ, сети связи, обеспечивающие выполнение функций в критической сфере), оценить возможные последствия инцидента на каждом объекте и присвоить категорию значимости (К1 — наибольшая, К3 — наименьшая, либо «без категории»). Результат категорирования направляется во ФСТЭК.
Меры защиты значимых объектов. Для объектов с категорией К1, К2, К3 ФСТЭК утвердил набор обязательных требований (приказ № 239 и развивающие документы). Основное: - Использование только сертифицированных ФСТЭК средств защиты информации; - Меры по разграничению доступа, идентификации, аутентификации; - Антивирусная защита, обнаружение вторжений (IDS/IPS); - Защита периметра (межсетевые экраны), защита от DDoS; - Управление инцидентами, журналирование событий безопасности, регулярный аудит; - Защита виртуализации и облачной инфраструктуры, если применяется; - Резервное копирование критичных данных; - Контроль целостности ПО и конфигураций.
Подключение к ГосСОПКА. Все субъекты КИИ обязаны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), передавать туда сведения об инцидентах и в установленный срок сообщать о существенных событиях.
Запрет на иностранные СЗИ для значимых объектов. Для объектов с категорией защищённости разрешены только средства защиты из реестра отечественного ПО / сертифицированные ФСТЭК. Это серьёзно ограничивает выбор продуктов и требует пересмотра инфраструктуры компаний, исторически построенных на западных решениях.
Важно: 187-ФЗ — пересечение IT, технических средств защиты и юридической работы. Мы как IT-подрядчик закрываем технические аспекты (внедрение СЗИ, мониторинг, реагирование на инциденты, интеграция с ГосСОПКА через лицензированных операторов). Категорирование, оформление документов во ФСТЭК и юридическое сопровождение лучше вести с привлечением специализированной компании, имеющей соответствующие лицензии.
Когда нужно компании
- Если ваша компания работает в одной из 14 критических сфер (связь, ТЭК, транспорт, банки, медицина, наука и т. д.) — нужно как минимум провести категорирование и убедиться, есть ли объекты КИИ;
- Если вы провайдер связи или интернета — почти всегда субъект КИИ;
- Если вы оператор медицинской информационной системы или ИС финансовой организации — высокий риск попадания;
- Если уже есть письмо от ФСТЭК или предписание прокуратуры — нужно срочно подтягиваться к требованиям;
- Если планируется участие в госзакупках в критических сферах — соответствие 187-ФЗ часто является условием.
Что включает наша услуга
- Аудит инфраструктуры на предмет наличия объектов КИИ, помощь с предварительным определением сферы деятельности компании по классификатору 187-ФЗ;
- Технический аудит существующих СЗИ: какие соответствуют требованиям ФСТЭК, какие нужно заменить;
- Подбор и внедрение сертифицированных средств защиты: межсетевые экраны (UserGate, Континент, Ideco, ViPNet), антивирус (Kaspersky, Dr.Web, отечественные), IDS/IPS, DLP, SIEM;
- Помощь с сегментацией сети значимых объектов от общей инфраструктуры — критично для снижения категории и упрощения защиты;
- Подключение к ГосСОПКА через лицензированных операторов, настройка передачи сведений об инцидентах;
- Подключение к нашему NOC/SOC: круглосуточный мониторинг событий безопасности, реагирование на инциденты, ведение журналов.
Сложные юридические вопросы (категорирование, формирование комиссии, оформление документов во ФСТЭК) рекомендуем закрывать с привлечением специализированных консультантов, имеющих лицензии ФСТЭК на проведение работ. При необходимости — поможем с подбором.
Связанные термины
- 152-ФЗ: соответствие закону о персональных данных — отдельный закон для персональных данных, часто применяется параллельно
- Корпоративный антивирус (управление) — антивирусная защита — обязательная мера для всех категорий
- Защита от DDoS — защита доступности — обязательное требование для значимых объектов
- WAF — Web Application Firewall — защита веб-приложений в составе значимых объектов
- Ежеквартальный ИБ-аудит: регулярные проверки безопасности — регулярный аудит — обязательная мера и хорошая практика
- Remote-access VPN: удалённый доступ сотрудников — для субъектов КИИ — только сертифицированные ФСБ ГОСТ-VPN
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «187-ФЗ КИИ», укажите сферу деятельности и предполагаемое количество объектов — получите ориентир по техническим затратам. Финальная смета — после обследования и предварительной оценки объёма работ. Для оформительной части привлекаем профильных партнёров.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП