КИИ

Введение

Критическая информационная инфраструктура (КИИ) – объекты информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих в наиболее чувствительных отраслях экономики и государственного управления. Согласно 187-ФЗ, нарушение штатного функционирования объектов КИИ может привести к ущербу жизни и здоровью граждан, экологии, обороноспособности или финансовой системе страны.

Закон обязывает субъектов КИИ – организации, которым на праве собственности или аренды принадлежат объекты КИИ – проводить категорирование, принимать меры защиты и незамедлительно информировать НКЦКИ об инцидентах.

История и контекст

Понятие «критическая инфраструктура» появилось в российском законодательстве задолго до 187-ФЗ, однако системного подхода не было. Толчком к принятию закона стали кибератаки на украинские энергосистемы (2015–2016) и глобальные эпидемии WannaCry и NotPetya (2017). ФЗ-187 вступил в силу 1 января 2018 года; поправки 2025 года (ФЗ-58 от 07.04.2025) усилили требования по импортозамещению в КИИ и ввели отраслевые перечни типовых объектов.

Как устроено категорирование КИИ

Субъект КИИ обязан:

1. Создать комиссию по категорированию во главе с руководителем.
2. Составить перечень объектов КИИ и определить критические процессы.
3. Присвоить каждому объекту одну из трёх категорий значимости (1 – высшая, 3 – низшая) по 14 показателям в 5 сферах: социальной, политической, экономической, экологической, оборонной.
4. Направить сведения во ФСТЭК; значимые объекты вносятся в Реестр значимых объектов КИИ.
5. Для значимых объектов – построить систему обеспечения безопасности (СОБ КИИ) в соответствии с Приказом ФСТЭК №239.

Где применяется

• Энергетика – АСУ ТП электростанций, сетевых объектов.
• Транспорт – системы управления авиационным движением, ж/д диспетчеризацией.
• Здравоохранение – больничные информационные системы, МИС.
• Финансы и банки – АБС, процессинговые центры.
• Связь – ИС операторов телекоммуникаций.
• Оборонная промышленность – ИС предприятий ОПК.

Преимущества и ограничения

Закон создаёт системный подход к защите самых уязвимых объектов ИТ-инфраструктуры. Ограничения: высокие затраты на категорирование и защиту; нехватка квалифицированных специалистов; длительный переход на российское ПО (требования с 01.01.2025) создаёт операционные риски.

Связь с другими понятиями

КИИ регулируется 187-ФЗ; мониторинг инцидентов ведётся через ГосСОПКА и НКЦКИ. Технические требования устанавливают ФСТЭК (Приказ №239) и ФСБ. Инциденты на объектах КИИ должны раскрываться согласно регламентам Playbook (ИБ).