«Формально — закон о безопасности инфраструктуры. Фактически — механизм, переводящий безопасность в статус контролируемого товара, где поставщик и цена определяются не рынком, а административными решениями.»
Новый этап регулирования: что скрывается за номером 187?
Действительно, с июля 2023 года Федеральный закон № 187-ФЗ, часто называемый законом о КИИ, формально сменил парадигму: защищать нужно не данные, а сами процессы. Если 152-ФЗ был про конфиденциальность, то 187-ФЗ — про бесперебойную работу критически важных систем.
Но отраслевое обсуждение быстро сместилось с инженерных аспектов на логику исполнения. Речь перестала идти о поиске оптимальных технических решений. Закон сконструирован так, что ключевым результатом становится не устойчивость конкретной компании, а финансовый поток через узкий круг уполномоченных игроков. Безопасность становится измеримой не в метриках времени восстановления, а в рублях, освоенных на сертифицированные решения и услуги.
Ключевые отличия 187-ФЗ от 152-ФЗ: не эволюция, а смена парадигмы
Основное различие не в формулировках, а в принципах применения. 152-ФЗ был широким и относительно стандартным. 187-ФЗ — точечным, но гораздо более жёстким. Всё крутится вокруг понятия значимого объекта критической информационной инфраструктуры (ОКИИ). Попадание в этот перечень меняет всё — от архитектуры систем до финансового планирования.
| Критерий | 152-ФЗ «О персональных данных» | 187-ФЗ «О безопасности КИИ» |
|---|---|---|
| Объект регулирования | Любой оператор ПДн | Субъект КИИ (владелец ОКИИ) по особому перечню |
| Что защищаем | Конфиденциальность информации | Функционирование системы (доступность) |
| Природа угроз | Утечки, несанкционированный доступ | Целевые атаки, приводящие к остановке (DDoS, саботаж) |
| Характер требований | Организационно-распорядительные меры | Жёсткие предписания по архитектуре, оборудованию, СОК |
| Подтверждение | Уведомительный принцип, проверки РКН | Обязательная аттестация объекта силами аккредитованной организации |
| Последствия несоответствия | Штрафы, предписания | Крупные штрафы, приостановка эксплуатации, уголовная ответственность |
Цели за рамками безопасности: почему возникает скепсис?
Открыто озвучивается защита от кибератак и цифровой суверенитет. Однако структура закона подталкивает к иному пониманию.
Закон создаёт не просто рынок, а замкнутую экосистему с административным распределением ролей. Право проводить аттестацию, проектировать системы защиты и поставлять ключевые средства имеют только организации, аккредитованные ФСТЭК и ФСБ. Это исключает свободную конкуренцию и делает ценообразование непрозрачным.
Многие требования сформулированы как цели: «обеспечить отказоустойчивость», «обнаруживать инциденты». Детальные технические регламенты, адаптированные под отрасль, часто отсутствуют. В результате субъект КИИ оказывается в прямой зависимости от трактовки подрядчика, который заинтересован в самом объёмном и дорогом проекте.
[ИЗОБРАЖЕНИЕ: Схема финансовых потоков при исполнении 187-ФЗ. Субъект КИИ → Аккредитованный подрядчик (аудит, проектирование, поставка СЗИ) → Оплата услуг. Второй контур: Аккредитованный подрядчик → ФСТЭК (госпошлина за аккредитацию/сертификацию) → Бюджет. Свободный рынок ИБ-услуг отделён красной пунктирной линией с надписью «Административный барьер».]
Бюджет как главный KPI
Фокус смещается. Вопрос «Как эффективно нейтрализовать угрозу?» заменяется на «Какую сумму можно обосновать для выполнения формальных требований?». Защищённость начинает измеряться стоимостью закупленного сертифицированного оборудования, а не способностью системы противостоять реальным атакам.
Возникает парадокс: организация может пройти аттестацию, получив формальное заключение, но оставаться уязвимой для методов, не описанных в типовых методиках. Сертифицированные средства могут соответствовать ГОСТам, но их интеграция в конкретную среду и практическая эффективность остаются за скобками проверки.
Распределение издержек и выгод
- Регуляторы (ФСТЭК, ФСБ) получают прямой рычаг влияния на архитектуру ключевых систем и инструмент нетарифного регулирования, направляя спрос на отечественные решения.
- Аккредитованные игроки оказываются в привилегированном положении. Закон для них — гарантированный источник дохода, защищённый от рыночной конкуренции.
- Крупные госкомпании и монополии несут колоссальные затраты, но их масштаб позволяет амортизировать удар. Часто эти расходы закладываются в тарифы или компенсируются иным госфинансированием.
- Частный бизнес, попавший в перечень — самая уязвимая группа. Для средней производственной или логистической компании расходы по 187-ФЗ могут быть сопоставимы с годовым ИТ-бюджетом, что несоизмеримо с реальной вероятностью целевой атаки на её, например, систему складского учёта.
Есть ли альтернативный взгляд: защита как побочный эффект?
Несмотря на критику, закон может давать косвенные позитивные результаты. Он вынуждает топ-менеджмент заниматься вопросами ИТ-безопасности на системном уровне. Даже формальное выполнение требований по резервированию или созданию центра мониторинга повышает общую живучесть по сравнению с полным их отсутствием.
Ключевым побочным продуктом становится составление реальной карты информационных активов и их связей. Для многих организаций это первая полная инвентаризация ИТ-среды, что само по себе ценно для управления рисками.
[ИЗОБРАЖЕНИЕ: Сравнительная таблица двух стратегий. Столбец 1: «Формальное соответствие». Характеристики: Ориентация на закрытие чек-листа, работа с первым предложенным подрядчиком, фокус на документах, высокая стоимость, низкий прирост реальной устойчивости. Столбец 2: «Прагматичная адаптация». Характеристики: Внутренний аудит рисков перед началом, выбор подрядчика как эксперта, приоритизация мер, интеграция защиты в бизнес-процессы, умеренная стоимость, значимый прирост устойчивости.]
Практические шаги: как минимизировать издержки
- Верификация основания. Тщательно проверьте, на каком именно основании ваш объект попал в реестр. Иногда уточнение представленных сведений позволяет снизить категорию значимости.
- Независимая оценка до подрядчика. Проведите внутренний или силами независимых консультантов глубокий аудит инфраструктуры и рисков. Это даст понимание реального положения и основу для переговоров, не позволяя навязать избыточные работы.
- Стратегическое планирование. Разделите работы на обязательные первоочерёдные организационные шаги и долгосрочные технические мероприятия. Привяжите план к бюджетным циклам.
- Выбор подрядчика как партнёра. Запрашивайте у аккредитованных организаций не просто КП, а технические отчёты по аналогичным проектам, резюме ключевых специалистов. Цель — найти эксперта, а не продавца.
- Перевод затрат в бизнес-термины. Обосновывайте бюджет руководству через предотвращение ущерба от простоя, защиту репутации, выполнение требований контрактов с крупными заказчиками, для которых соответствие 187-ФЗ становится условием цепочки поставок.
Заключение: балансировка на грани
187-ФЗ — это политико-экономический инструмент, облачённый в форму закона об ИБ. Его конечный эффект для национальной безопасности будет зависеть от того, не вытеснит ли бюрократическая симуляция реальную защиту.
Для специалиста по безопасности этот закон — проверка на зрелость. Теперь требуются не только технические знания, но и компетенции в управлении затратами, ведении переговоров и объяснении ценности ИБ на языке бизнес-результатов. Задача — пройти между жёсткими требованиями и разорительными затратами, превратив вынужденное соответствие в осмысленное усиление собственной устойчивости.