Федеральный закон о защите критической инфраструктуры: что нужно знать бизнесу

Цифровизация экономики сделала информационные системы уязвимой целью для киберпреступников и враждебных государств. Атака на энергетическую компанию может обесточить целый регион, взлом банковской системы парализует финансовые операции, компрометация транспортной инфраструктуры создает угрозу безопасности граждан. Осознавая критическую важность защиты стратегически значимых информационных систем, государство приняло 187-ФЗ — федеральный закон о безопасности критической информационной инфраструктуры, который вступил в силу с января 2018 года и продолжает развиваться, устанавливая все более строгие требования к защите.

Кто попадает под действие закона

Закон распространяется на компании, работающие в стратегически важных отраслях экономики — здравоохранении, науке, транспорте, связи, энергетике, банковской сфере, топливно-энергетическом комплексе, атомной энергетике, оборонной и ракетно-космической промышленности, горнодобывающей, металлургической и химической отраслях. Эти организации признаются субъектами критической информационной инфраструктуры и обязаны выполнять комплекс требований по обеспечению безопасности своих информационных систем.

Ключевым моментом является то, что не все информационные системы таких компаний автоматически становятся объектами критической инфраструктуры. Организация должна самостоятельно провести процедуру категорирования — определить, какие именно системы обеспечивают критически важные процессы, сбой в работе которых может привести к серьезным социальным, экономическим, экологическим последствиям или угрозе безопасности государства.

Процесс категорирования

Руководитель организации создает постоянно действующую комиссию, в которую входят специалисты по информационной безопасности, работники IT-подразделений, ответственные за критичные бизнес-процессы. Комиссия анализирует все процессы компании и выявляет те, нарушение которых несет наибольшие риски. Затем определяются информационные системы, обрабатывающие данные для этих критических процессов.

Каждой системе присваивается одна из трех категорий значимости либо принимается решение, что система не является значимой. Первая категория — наивысшая, присваивается объектам, инцидент на которых может угрожать жизни более пятисот человек или привести к масштабным экономическим потерям. Третья категория охватывает менее критичные системы. Результаты категорирования оформляются актом, который направляется в ФСТЭК России для внесения в государственный реестр значимых объектов. С этого момента на организацию накладываются обязательства по обеспечению безопасности в соответствии с присвоенной категорией.

Требования к защите

Для значимых объектов критической инфраструктуры установлены жесткие требования по организации защиты. Компании обязаны провести анализ угроз, разработать модель потенциального нарушителя, построить архитектуру системы безопасности, включающую идентификацию и аутентификацию пользователей, управление доступом, антивирусную защиту, средства обнаружения вторжений, обеспечение целостности и доступности данных, защиту технических средств.

Принципиально важным стало требование о технологическом суверенитете. С сентября 2025 года вступили в силу изменения, запрещающие использование иностранных средств защиты информации на значимых объектах. Все применяемые решения должны быть сертифицированы ФСТЭК России и ФСБ России, разработаны отечественными компаниями и включены в единый реестр российского программного обеспечения. Это касается межсетевых экранов, антивирусных систем, средств обнаружения вторжений, криптографических решений, систем контроля доступа.

Система мониторинга и реагирования

Закон предусматривает создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак — ГосСОПКА. Эта система координирует действия всех субъектов критической инфраструктуры при возникновении киберугроз. Организации обязаны сообщать о компьютерных инцидентах в течение суток с момента обнаружения. Информация передается через специализированные центры реагирования, которые могут быть как ведомственными, так и корпоративными.

За координацию работы ГосСОПКА отвечает ФСБ России, которая получила расширенные полномочия по последним изменениям в законе. Служба вправе требовать от субъектов критической инфраструктуры техническую информацию о системах, координировать расследования инцидентов, организовывать централизованный мониторинг угроз. ФСТЭК России осуществляет государственный контроль за соблюдением требований безопасности, проводит плановые проверки раз в три года и внеплановые при наличии информации о нарушениях.

Изменения и актуализация данных

Законодательство о критической инфраструктуре постоянно развивается, отражая эволюцию киберугроз и технологические изменения. Недавние поправки упростили административные процедуры — с сентября 2024 года субъектам не нужно составлять перечни объектов для категорирования, эта функция передана регуляторам. Одновременно ужесточился контроль за актуальностью представляемых сведений — организации обязаны оперативно уведомлять о любых изменениях в составе и характеристиках значимых объектов.

Несоблюдение требований закона влечет административную ответственность. Штрафы для должностных лиц составляют от десяти до пятидесяти тысяч рублей, для организаций — от пятидесяти до пятисот тысяч рублей. Более серьезные последствия могут наступить при компьютерном инциденте, произошедшем из-за ненадлежащей защиты объекта критической инфраструктуры.

Федеральный закон о безопасности критической информационной инфраструктуры стал базой для выстраивания системной защиты стратегически важных активов страны, определив зоны ответственности бизнеса и государства в обеспечении киберустойчивости экономики.