Введение
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» – основополагающий нормативный акт, регулирующий защиту ИТ-систем стратегических отраслей России. Закон вступил в силу 1 января 2018 года и существенно расширил обязанности государственных и частных организаций в части ИБ.
Закон устанавливает понятия «субъект КИИ», «объект КИИ», «значимый объект КИИ», определяет порядок категорирования, требования к системе защиты и обязанность взаимодействия с ГосСОПКА/НКЦКИ при инцидентах.
История и контекст
До 187-ФЗ защита критической инфраструктуры регулировалась разрозненными подзаконными актами ФСТЭК и ФСБ. Нормы 187-ФЗ формировались под влиянием международного опыта (NIST SP 800-82, директивы ЕС NIS/NIS2) и уроков кибератак на инфраструктуру Украины в 2015–2016 годах. В 2025 году принят ФЗ-58, внёсший поправки об отраслевых перечнях объектов КИИ, расширении полномочий Правительства и обязательном импортозамещении ПО на значимых объектах с 01.01.2025.
Ключевые требования 187-ФЗ
- Категорирование – каждый субъект КИИ обязан определить перечень своих объектов КИИ и присвоить им категорию значимости (1–3) в соответствии с ПП РФ №127.
- Реестр значимых объектов КИИ – сведения о значимых объектах направляются во ФСТЭК; ФСТЭК ведёт государственный реестр.
- Система обеспечения безопасности (СОБ) – для значимых объектов требуется создание СОБ КИИ по Приказу ФСТЭК №239.
- Государственный контроль – ФСТЭК проводит плановые и внеплановые проверки субъектов КИИ.
- Уведомление об инцидентах – незамедлительно (не позднее 24 ч) сообщать в НКЦКИ о компьютерных инцидентах на объектах КИИ.
- Использование отечественного ПО – с 2025 года на значимых объектах КИИ обязательно российское ПО и оборудование.
Где применяется
- Организации 13 установленных отраслей: здравоохранение, транспорт, энергетика, связь, финансы, оборонная промышленность и другие.
- Государственные органы, использующие ГИС.
- Частные компании – операторы технологической инфраструктуры (нефтяные, газовые, металлургические холдинги).
Преимущества и ограничения
Закон создал единый правовой фундамент для защиты самых уязвимых объектов страны. Ограничения: значительная административная нагрузка на организации; дефицит квалифицированных специалистов по КИИ; требование импортозамещения создаёт операционные риски при отсутствии зрелых отечественных аналогов.
Связь с другими понятиями
187-ФЗ определяет понятие КИИ; мониторинг инцидентов – через ГосСОПКА и НКЦКИ; технические требования – от ФСТЭК (Приказ №239) и ФСБ; обязательность сертифицированных СКЗИ и ViPNet.
