Кибероснова152-ФЗ
187-ФЗ

КИИ — документы по 187-ФЗ

Шаблоны документов для субъектов критической информационной инфраструктуры: акт категорирования, перечень объектов, план реагирования, модель угроз.

Что такое КИИ и 187-ФЗ

Критическая информационная инфраструктура (КИИ) — информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в ключевых отраслях. Федеральный закон N 187-ФЗ устанавливает требования к безопасности КИИ, обязывая субъектов проводить категорирование и обеспечивать защиту.

Кто является субъектом КИИ

Организации из 13 сфер деятельности по 187-ФЗ:

ЗдравоохранениеНаукаТранспортСвязьЭнергетикаБанки и финансыТЭКАтомная энергияОборонная промышленностьРакетно-космическая отрасльГорнодобывающая промышленностьМеталлургияХимическая промышленность

Документы для субъекта КИИ

Акт категорирования

Результат процедуры категорирования объектов КИИ с присвоением категории значимости.

Открыть шаблон

Перечень объектов КИИ

Список информационных систем, АСУ и сетей, подлежащих категорированию.

Открыть шаблон

План реагирования

Порядок действий при компьютерных инцидентах на объектах КИИ.

Открыть шаблон

Модель угроз КИИ

Описание актуальных угроз безопасности значимых объектов КИИ.

Открыть шаблон

Порядок категорирования

  1. 1Определите, относится ли организация к одной из 13 сфер деятельности
  2. 2Сформируйте комиссию по категорированию приказом руководителя
  3. 3Составьте перечень объектов КИИ и направьте его в ФСТЭК
  4. 4Проведите категорирование — присвойте категорию значимости (I, II, III) или отсутствие
  5. 5Оформите акт категорирования и направьте сведения в ФСТЭК в 10-дневный срок

Штрафы и ответственность за нарушения в сфере КИИ

Ответственность за нарушения
  • Ст. 19.7.15 КоАП РФнарушение порядка категорированияштраф до 500 000 ₽
  • Ст. 274.1 УК РФнеправомерное воздействие на КИИдо 10 лет лишения свободы
  • Приказ ФСБ №282несвоевременное уведомление НКЦКИ об инцидентеадминистративный штраф

Частые вопросы о КИИ

Кто является субъектом КИИ по 187-ФЗ?

Субъекты КИИ — государственные органы, учреждения и юридические лица, которым принадлежат информационные системы, АСУ или сети связи в одной из 14 сфер деятельности (ст. 2 187-ФЗ): здравоохранение, наука, транспорт, связь, энергетика, финансы, ТЭК, оборона, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность, а также регистрация прав. ИП субъектами КИИ не являются.

Какие штрафы за нарушения в сфере КИИ?

За нарушение порядка категорирования — штраф по ст. 19.7.15 КоАП РФ до 500 000 руб. для юридических лиц. За неправомерное воздействие на КИИ — уголовная ответственность по ст. 274.1 УК РФ: до 10 лет лишения свободы (если наступили тяжкие последствия). За непредставление сведений об инциденте в НКЦКИ — административный штраф. С 2025 года ответственность ужесточена.

Обязательно ли категорирование объектов КИИ?

Да. Все субъекты КИИ обязаны провести категорирование в соответствии с Постановлением Правительства РФ от 08.02.2018 №127. Категорирование проводится комиссией, результаты оформляются актом и направляются во ФСТЭК в течение 10 рабочих дней. Срок — не более 1 года с момента утверждения перечня объектов.

Сколько категорий значимости объектов КИИ?

Три категории значимости: I (высшая), II и III. Категория определяется по 14 критериям из ПП №127, включая социальную, экономическую и экологическую значимость. Если объект не соответствует ни одному критерию — ему присваивается статус «без категории», но субъект всё равно обязан обеспечить безопасность.

Как подключиться к ГосСОПКА?

Для подключения к ГосСОПКА необходимо: направить заявку в НКЦКИ (cert.gov.ru), организовать канал защищённой связи, назначить ответственного за взаимодействие, обеспечить передачу информации об инцидентах в установленные сроки (3 часа для значимых объектов, 24 часа для остальных). Подключение обязательно для всех субъектов КИИ согласно Приказу ФСБ №282.

Какие документы нужны субъекту КИИ?

Минимальный пакет: перечень объектов КИИ, акт категорирования, модель угроз, план реагирования на инциденты. Для значимых объектов дополнительно: технический паспорт, организационно-распорядительные документы по безопасности (Приказ ФСТЭК №239), журнал учёта инцидентов, регламент взаимодействия с НКЦКИ.

Чем отличается КИИ от ИСПДн?

ИСПДн (152-ФЗ) защищает персональные данные граждан, КИИ (187-ФЗ) защищает критически важную инфраструктуру государства. Организация может быть одновременно оператором ПДн и субъектом КИИ — тогда нужны документы по обоим направлениям. Регуляторы тоже разные: Роскомнадзор (ПДн) и ФСТЭК+ФСБ (КИИ).

Полезные статьи

Как определить, является ли ваша организация субъектом КИИ

Пошаговая инструкция по 187-ФЗ

Подготовьте документы по КИИ

Акт категорирования, перечень объектов, модель угроз — в онлайн-конструкторе

Открыть конструкторВсе шаблоны