С 2018 года в России действует Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Он обязывает организации, работающие в ключевых отраслях экономики, определить себя как субъекта КИИ, провести категорирование объектов и выполнить требования по их защите. Невыполнение этих требований грозит штрафами до 500 000 рублей и уголовной ответственностью.
В этой статье разберём, что такое субъект КИИ, как определить, относится ли ваша организация к субъектам, и какие шаги предпринять для выполнения 187-ФЗ.
Что такое субъект КИИ: определение по 187-ФЗ
Субъект критической информационной инфраструктуры (КИИ) — это государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления, функционирующие в одной из сфер, определённых статьёй 2 Федерального закона от 26.07.2017 №187-ФЗ.
Три типа объектов КИИ
Закон выделяет три категории объектов, которые могут принадлежать субъекту КИИ:
- Информационные системы (ИС) — совокупность информации в базах данных и обеспечивающих её обработку технологий и технических средств. Примеры: ERP-система, медицинская информационная система, АБС банка.
- Информационно-телекоммуникационные сети (ИТКС) — технологическая система для передачи информации по линиям связи. Примеры: сети передачи данных телеком-оператора, корпоративная сеть крупного предприятия.
- Автоматизированные системы управления (АСУ) — комплекс технических и программных средств для управления технологическим или производственным процессом. Примеры: АСУ ТП электростанции, система управления водоснабжением.
Важный момент: организация становится субъектом КИИ не потому, что ей присвоили этот статус, а в силу закона — если она владеет объектами, функционирующими в установленных сферах. Никакого реестра субъектов КИИ не существует: вы обязаны самостоятельно определить свой статус.
13 сфер деятельности субъектов КИИ
Статья 2 Федерального закона №187-ФЗ определяет 13 сфер деятельности, в которых функционируют объекты КИИ. Если ваша организация работает хотя бы в одной из них и владеет ИС, ИТКС или АСУ — вы субъект КИИ.
| № | Сфера деятельности | Типичные организации | Примеры объектов КИИ |
|---|---|---|---|
| 1 | Здравоохранение | Больницы, поликлиники, лаборатории, фармкомпании | МИС, ЛИМС, система электронных рецептов |
| 2 | Наука | НИИ, университеты, исследовательские центры | Информационные системы с результатами НИОКР |
| 3 | Транспорт | Авиакомпании, РЖД, логистические компании, порты | АСУ управления движением, система бронирования |
| 4 | Связь | Операторы связи, интернет-провайдеры | Сети передачи данных, системы биллинга |
| 5 | Энергетика | Электростанции, электросетевые компании | АСУ ТП генерации и передачи электроэнергии |
| 6 | Банковская сфера | Банки, НКО | АБС, ДБО, процессинговые системы |
| 7 | Сфера финансовых рынков | Биржи, депозитарии, брокеры, страховые компании | Торговые системы, депозитарные системы |
| 8 | Топливно-энергетический комплекс | Нефте- и газодобывающие компании, НПЗ | АСУ ТП добычи, переработки, транспортировки |
| 9 | Атомная энергия | Росатом и предприятия атомной отрасли | АСУ ТП ядерных установок, ИС учёта ядерных материалов |
| 10 | Оборонная промышленность | Предприятия ОПК | ИС управления производством вооружений |
| 11 | Ракетно-космическая отрасль | Роскосмос и предприятия отрасли | АСУ управления полётами, ИС производства |
| 12 | Горнодобывающая промышленность | Горнодобывающие компании, карьеры, шахты | АСУ ТП добычи, системы безопасности шахт |
| 13 | Металлургическая и химическая промышленность | Металлургические комбинаты, химические заводы | АСУ ТП плавки, системы управления реакторами |
Неочевидные случаи отнесения к субъектам КИИ
Распространённое заблуждение: «мы обычная компания, КИИ нас не касается». На практике субъектами КИИ оказываются:
- Частные клиники и стоматологии — работают в сфере здравоохранения, владеют медицинскими ИС.
- Малые интернет-провайдеры — работают в сфере связи, владеют сетями передачи данных.
- Логистические компании — могут попадать в сферу транспорта.
- Микрофинансовые организации — работают в банковской и финансовой сфере.
- Страховые компании — относятся к сфере финансовых рынков.
- Научные организации — университеты и НИИ с собственными ИС.
Размер организации не имеет значения. ИП с одной клиникой и госкорпорация с тысячами объектов — оба являются субъектами КИИ, если попадают в установленные сферы.
Кто точно НЕ является субъектом КИИ
Для полноты картины укажем, кто не попадает под 187-ФЗ:
- Организации, не работающие ни в одной из 13 сфер (розничная торговля, общепит, бытовые услуги, строительство без элементов ТЭК).
- Физические лица, не являющиеся ИП.
- Организации, использующие ИС исключительно как пользователи чужих сервисов (SaaS), не владеющие собственными системами в сфере КИИ.
Однако пограничные случаи требуют юридического анализа. Например, строительная компания, обслуживающая объекты энергетики, может оказаться субъектом КИИ, если владеет АСУ, функционирующей в этой сфере.
Как определить, являетесь ли вы субъектом КИИ
Приведём пошаговый алгоритм, который поможет установить статус вашей организации.
Шаг 1. Определите сферу деятельности
Проанализируйте виды деятельности вашей организации по ОКВЭД и фактическую деятельность. Сопоставьте их с 13 сферами из таблицы выше. Обратите внимание: значение имеет не только основной ОКВЭД, но и дополнительные виды деятельности.
Например, производственное предприятие с собственной котельной может попадать в сферу энергетики, даже если основная деятельность — машиностроение.
Шаг 2. Определите объекты КИИ
Составьте перечень всех информационных систем, сетей и АСУ, которые принадлежат организации и функционируют в выявленных сферах деятельности. Для каждого объекта определите:
- тип объекта (ИС, ИТКС, АСУ);
- какие процессы он обеспечивает;
- в какой сфере функционирует;
- на каком основании принадлежит организации (собственность, аренда, лицензия).
Шаг 3. Проверьте принадлежность объектов
Организация является субъектом КИИ только в отношении объектов, которые принадлежат ей на законном основании. Если вы используете облачный сервис (SaaS), субъектом КИИ в отношении этой ИС является провайдер, а не вы. Однако если вы развернули собственную систему в облаке (IaaS) — вы остаётесь субъектом.
Шаг 4. Оформите результаты
Если вы установили, что являетесь субъектом КИИ:
- Издайте приказ о создании комиссии по категорированию.
- Сформируйте перечень объектов КИИ — он утверждается руководителем и направляется во ФСТЭК в течение 5 рабочих дней.
- Проведите категорирование каждого объекта (на это отводится 1 год с момента утверждения перечня).
Шаг 5. Уведомьте ФСТЭК
Перечень объектов КИИ направляется во ФСТЭК России в произвольной форме. Рекомендуется включить: наименование субъекта, ИНН, контактные данные, перечень объектов с указанием типа и сферы деятельности.
Категорирование объектов КИИ — обзор процедуры
После определения себя как субъекта КИИ и формирования перечня объектов необходимо провести категорирование — оценку значимости каждого объекта. Порядок установлен Постановлением Правительства РФ от 08.02.2018 №127.
Этапы категорирования
-
Создание комиссии. Руководитель издаёт приказ о создании комиссии по категорированию. В состав входят: руководитель или заместитель, ответственный за ИБ, ИТ-специалисты, представители подразделений-владельцев процессов.
-
Анализ процессов. Для каждого объекта КИИ определяются процессы, которые он обеспечивает, и оценивается масштаб возможных последствий компьютерной атаки.
-
Оценка по критериям значимости. ПП РФ №127 устанавливает 5 групп критериев:
| Группа критериев | Что оценивается |
|---|---|
| Социальная значимость | Вред жизни и здоровью людей, нарушение жизнеобеспечения |
| Политическая значимость | Нарушение работы госорганов, прекращение госуслуг |
| Экономическая значимость | Финансовый ущерб бюджету и субъекту КИИ |
| Экологическая значимость | Вредное воздействие на окружающую среду |
| Значимость для обороны | Нарушение обороноспособности и безопасности государства |
- Присвоение категории. По результатам оценки объекту присваивается одна из трёх категорий значимости:
| Категория | Уровень последствий | Примеры |
|---|---|---|
| 1 категория (максимальная) | Масштабные: угроза жизни, ущерб более 0,1% ВВП | АСУ ТП ядерного объекта, ИС крупного госбанка |
| 2 категория | Существенные: вред здоровью, ощутимый ущерб | МИС региональной больницы, система водоснабжения |
| 3 категория (минимальная) | Ограниченные: умеренный ущерб | ИС среднего промышленного предприятия |
| Без категории | Не достигают пороговых значений | ИС малого предприятия в сфере связи |
- Оформление акта. Результаты фиксируются в акте категорирования, который направляется во ФСТЭК в течение 10 рабочих дней после подписания.
Категория определяет набор обязательных мер защиты по Приказам ФСТЭК №235 и №239. Чем выше категория — тем строже требования.
Какие документы нужны субъекту КИИ
Полный комплект документации зависит от категории значимости объектов. Ниже — перечень основных документов, сгруппированных по этапам.
Документы для определения статуса и категорирования
- Приказ о создании комиссии по категорированию — определяет состав и полномочия комиссии.
- Перечень объектов КИИ — утверждённый руководителем список всех объектов КИИ организации.
- Акт категорирования — фиксирует результаты оценки по критериям значимости и присвоенную категорию.
- Сведения для направления во ФСТЭК — по форме Приказа ФСТЭК №236.
Документы для значимых объектов КИИ (категории 1-3)
Для объектов, которым присвоена категория значимости, субъект КИИ обязан дополнительно разработать:
- Модель угроз безопасности — анализ актуальных угроз конкретному объекту КИИ.
- Техническое задание на создание системы безопасности — требования к мерам защиты на основе модели угроз и Приказа ФСТЭК №239.
- Проект системы безопасности — архитектура защиты, выбранные средства, порядок настройки.
- План реагирования на компьютерные инциденты — процедуры обнаружения, реагирования и восстановления.
- Приказ о назначении ответственного за обеспечение безопасности значимых объектов КИИ.
- Организационно-распорядительные документы по безопасности — политики, инструкции, регламенты в соответствии с Приказом ФСТЭК №235.
Документы для подключения к ГосСОПКА
Субъекты КИИ обязаны информировать НКЦКИ (Национальный координационный центр по компьютерным инцидентам) о компьютерных инцидентах. Для этого необходимо:
- заключить соглашение с НКЦКИ;
- организовать канал передачи данных об инцидентах;
- разработать регламент информирования (в срок не более 24 часов для значимых объектов, не более 3 часов для инцидентов на объектах 1 категории).
Подготовка документов по КИИ требует системного подхода. Конструктор документов Кибероснова поможет сформировать основные документы с учётом требований 187-ФЗ, ПП РФ №127 и приказов ФСТЭК.
Ответственность за невыполнение требований
Законодательство предусматривает серьёзные санкции за нарушения в сфере КИИ. С каждым годом ответственность ужесточается.
Административная ответственность
| Нарушение | Статья КоАП | Штраф для юрлица |
|---|---|---|
| Непредоставление сведений о категорировании во ФСТЭК | ст. 19.7.15 | до 500 000 руб. |
| Нарушение порядка категорирования | ст. 19.7.15 | до 100 000 руб. |
| Нарушение требований по обеспечению безопасности значимых объектов КИИ | ст. 13.12.1 | до 150 000 руб. |
| Непредоставление или несвоевременное предоставление информации об инцидентах в ГосСОПКА | ст. 19.7.15 | до 500 000 руб. |
Уголовная ответственность
Статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» предусматривает:
- Часть 1 — создание, распространение вредоносного ПО для воздействия на КИИ: лишение свободы до 5 лет.
- Часть 2 — неправомерный доступ к информации КИИ: лишение свободы до 6 лет.
- Часть 3 — нарушение правил эксплуатации значимых объектов КИИ: лишение свободы до 6 лет.
- Части 4-5 — те же деяния, повлёкшие тяжкие последствия: лишение свободы до 10 лет.
Уголовная ответственность распространяется на должностных лиц: руководителей, ответственных за безопасность КИИ, ИТ-директоров.
Практические рекомендации
С чего начать
-
Проведите аудит сфер деятельности. Сопоставьте ОКВЭД и фактическую деятельность с 13 сферами из 187-ФЗ. Привлеките юристов для анализа пограничных случаев.
-
Инвентаризируйте информационные активы. Составьте полный перечень ИС, ИТКС и АСУ. Определите, какие из них функционируют в сферах КИИ. Не забудьте про АСУ ТП — они часто остаются вне зоны внимания ИТ-департамента.
-
Сформируйте комиссию. Включите представителей ИТ, ИБ, юристов, владельцев бизнес-процессов. Комиссия должна обладать достаточными компетенциями для оценки критериев значимости.
-
Утвердите перечень и направьте во ФСТЭК. Срок — 5 рабочих дней после утверждения. Не затягивайте: ФСТЭК активно проверяет выполнение этого требования.
-
Проведите категорирование. На это есть 1 год, но начать стоит сразу. По результатам оформите акт категорирования для каждого объекта.
Типичные ошибки
-
Игнорирование статуса субъекта КИИ. Многие организации не осознают, что попадают под 187-ФЗ. Особенно это касается небольших медицинских организаций, региональных провайдеров связи и микрофинансовых компаний. Незнание закона не освобождает от ответственности — ФСТЭК ведёт активную работу по выявлению субъектов КИИ, не выполнивших требования.
-
Занижение категории значимости. Намеренное занижение при категорировании — рискованная стратегия. ФСТЭК вправе пересмотреть результаты и потребовать повторного категорирования. Если при проверке выяснится, что категория занижена, организация получит предписание и штраф.
-
Формальное категорирование без анализа процессов. Комиссия должна реально оценить последствия инцидентов, а не формально заполнить таблицы. Шаблонные формулировки без привязки к реальной инфраструктуре — первое, на что обращают внимание проверяющие.
-
Отсутствие пересмотра категорий. Категория пересматривается не реже чем раз в 5 лет, а также при изменении объекта КИИ или показателей критериев. Организации, которые провели категорирование в 2018-2019 годах, уже должны планировать пересмотр.
-
Неполная инвентаризация объектов. Часто в перечень не включают АСУ ТП, системы видеонаблюдения с элементами управления, резервные серверы и тестовые среды. Любая система, функционирующая в сфере КИИ, должна быть учтена.
Взаимодействие с ФСТЭК
ФСТЭК России проверяет выполнение требований 187-ФЗ в рамках государственного контроля. Проверки бывают:
- Плановые — по утверждённому графику, который публикуется на сайте ФСТЭК. Субъекты КИИ со значимыми объектами проверяются чаще.
- Внеплановые — по факту инцидента, по жалобе, по поручению Президента или Правительства.
При проверке ФСТЭК запрашивает: перечень объектов КИИ, акты категорирования, модели угроз, документацию на систему безопасности, результаты оценки защищённости. Рекомендуем заранее подготовить папку с полным комплектом документов.
Сроки выполнения основных требований
| Действие | Срок | Основание |
|---|---|---|
| Направление перечня объектов КИИ во ФСТЭК | 5 рабочих дней после утверждения | ПП РФ №127, п. 15 |
| Проведение категорирования | 1 год с момента утверждения перечня | ПП РФ №127, п. 15 |
| Направление сведений о категорировании во ФСТЭК | 10 рабочих дней после подписания акта | ПП РФ №127, п. 17 |
| Пересмотр категории значимости | Не реже 1 раза в 5 лет | ПП РФ №127, п. 21 |
| Уведомление НКЦКИ об инциденте (значимые объекты) | 3-24 часа | 187-ФЗ, ст. 9 |
Как сэкономить время и ресурсы
Для большинства субъектов КИИ основная сложность — не технические меры защиты, а документационная нагрузка. Десятки документов, каждый из которых должен соответствовать конкретным нормативным актам.
Используйте Конструктор документов Кибероснова для автоматизации подготовки документации по КИИ. Сервис учитывает требования 187-ФЗ, ПП РФ №127, Приказов ФСТЭК №235 и №239 и формирует готовые документы на основе данных вашей организации.
Нормативная база
Для удобства приводим перечень основных нормативных актов, регулирующих сферу КИИ:
| Документ | Что регулирует |
|---|---|
| 187-ФЗ от 26.07.2017 | Основной закон о безопасности КИИ: понятия, субъекты, обязанности, ответственность |
| ПП РФ №127 от 08.02.2018 | Порядок категорирования объектов КИИ, критерии значимости, сроки |
| Приказ ФСТЭК №235 от 21.12.2017 | Требования к созданию системы безопасности значимых объектов КИИ |
| Приказ ФСТЭК №239 от 25.12.2017 | Состав мер по обеспечению безопасности значимых объектов КИИ |
| Приказ ФСТЭК №236 от 22.12.2017 | Форма направления сведений о категорировании во ФСТЭК |
| ст. 274.1 УК РФ | Уголовная ответственность за воздействие на КИИ |
| ст. 19.7.15 КоАП РФ | Административная ответственность за нарушения в сфере КИИ |
Закон о безопасности КИИ — один из ключевых нормативных актов в сфере информационной безопасности России. Определение статуса субъекта КИИ и выполнение требований 187-ФЗ — не формальность, а необходимость, подкреплённая серьёзными санкциями. Начните с инвентаризации объектов и формирования комиссии — это первые и самые важные шаги.
