ФЗ-187 о КИИ: новые императивные требования для бизнеса

от

«Обычно смотрю на 152-ФЗ и думаю, что там уже всё есть. Потом читаю ФЗ-187 и понимаю, что все предыдущие усилия — только подготовка. Этот закон не договаривает с бизнесом, а переопределяет уровень критического обслуживания всего государства. Бизнес оказывается не партнёром, а подчинённым. И единственный вопрос — кто за это заплатит.»

В 2022 году был принят Федеральный закон от 21.07.2022 № 187-ФЗ «О критической информационной инфраструктуре Российской Федерации». Он не является частью 152-ФЗ или ФСТЭКовского профиля. Это самостоятельный пласт регулирования, который накладывается поверх существующих требований. Если 152-ФЗ говорит о «персональных данных и информационных системах», то ФЗ-187 говорит о «безопасности государства и его населения».

Главное — закон о КИИ работает по-другому. Он вводит не добровольное или обусловленное согласием соблюдение, а императивные требования, обязательные для исполнения под угрозой очень серьёзной административной, а в определённых случаях и уголовной ответственности.

Когда говорят о «выбивании бюджетов», обычно имеют в виду, что требования 152-ФЗ часто рассматривают как вынужденные затраты, которые можно минимизировать для оптимизации расходов. Система сертификации СОВ иногда воспринимается через эту призму.

Но ФЗ-187 меняет контекст. Он ставит бизнес перед выбором: либо ты принимаешь на себя риски как участник КИИ и тратишь реальные ресурсы на выполнение требований, либо ты можешь быть исключён из цепочек поставок и рынка. Это переводит расходы из категории регулируемых в категорию операционных издержек. Обойти их нельзя — только перестать соответствовать статусу объекта КИИ, что для многих организаций означает потерю рынка.

Объекты КИИ: кто под ударом попадает сразу

Ключевое понятие закона — «критическая информационная инфраструктура». Это не какая-то отдельная сеть. Это набор информационных систем, сетей связи, которые обеспечивают работу объектов критической инфраструктуры. КИИ, это не здание или завод, а именно информационный «слой», который им управляет.

Объекты, которые автоматически становятся субъектами КИИ, это отрасли, связанные с безопасностью государства и жизнеобеспечением населения:

  • Здравоохранение (диагностические центры, лабораторные комплексы, системы управления ресурсами скорой помощи).
  • Транспорт (системы управления движением, логистические комплексы аэропортов и вокзалов).
  • Энергетика (диспетчеризация сетей, управление генерирующими мощностями).
  • Финансы (крупнейшие платёжные системы, биржи, клиринговые центры).
  • Связь (магистральные узлы связи, центры обработки вызова экстренных служб).

Государство составляет реестр таких объектов. Организация может не знать о своём включении в него, пока не получит уведомление от Гостехкомиссии при ФСТЭК России или другого уполномоченного органа. Это отличает ФЗ-187 от 152-ФЗ, где статус определён по формальным признакам, а ответственность наступает при их обнаружении по факту. Здесь статус присваивается сверху.

Уровни безопасности: почему классика 152-ФЗ не подходит

152-ФЗ оперирует системами персональных данных и разграничением их по объёмам. Модель угроз стандартизирована. Для КИИ модель угроз разрабатывается под конкретный объект с привязкой к его реальной функциональности. Угроза оценивается не с точки зрения утечки данных, а с точки зрения нарушения работы инфраструктуры: физический сбой, экологическая катастрофа, дезорганизация управления регионом.

ФЗ-187 вводит шесть категорий значимости объектов КИИ. Первая — наивысшая. Определяет категорию не ФСТЭК, а специальная комиссия внутри уполномоченного органа исходя из оценки последствий нарушения функционирования. В расчёт берётся количество населения, которое может пострадать, масштаб экономического ущерба, тяжесть экологических последствий.

Основные требования: что нужно будет делать на практике

  1. Выделить и аттестовать уполномоченных работников, ответственных за безопасность КИИ.
  2. Утвердить перечень мер по обеспечению безопасности КИИ (ПМБ КИИ), это внутренний и глубоко детальный документ.
  3. Внедрить систему безопасности информации (СБИ КИИ), которая включает в себя организационные и технические меры.
  4. Создать центры мониторинга и управления безопасностью (ЦМУБ КИИ).
  5. Обеспечить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  6. Проводить регулярные оценки защищённости КИИ — как внутренние, так и с привлечением лицензированных организациями ФСТЭК.
  7. Предоставлять отчётность о компьютерных инцидентах в ультимативные сроки (не более часа с момента обнаружения).

Стоимость создания ЦМУБ для компании среднего масштаба может превысить сумму, сравнимую с годовым бюджетом всего IT-департамента. При этом закон не предусматривает переходных периодов — требования вступают в силу с момента присвоения категории.

Кто платит: государство, бизнес или потребитель

Закон не содержит положений о бюджетной поддержке или компенсации затрат. В теории бизнес может попытаться включить дополнительные издержки в стоимость своих товаров или услуг, особенно если он обладает рыночной властью и находится в монопольном или олигопольном положении. Для организаций в сфере ЖКХ или транспорта такой манёвр ограничен тарифным регулированием.

Для многих средних компаний, которые оказываются объектами КИИ «по цепочке» (например, поставщик программного обеспечения для диспетчеризации городского транспорта), расходы становятся внезапными и неподъёмными. Это создаёт риск вымывания части игроков с рынка и усиления крупных, «системообразующих» компаний, способных распределить затраты.

Так возникает двойственная ситуация. С одной стороны, закон действительно создаёт более высокий и системный уровень защиты критически важных объектов. С другой — он создаёт естественный барьер для входа на рынок и перераспределяет финансовую нагрузку, создавая преимущество для крупного капитала, связанного с государством.

Реальность и контроль: как работает надзор

Контроль за исполнением ФЗ-187 возложен на ФСБ России (через Центр по борьбе с киберпреступлениями), ФСТЭК России и Роскомнадзор в части телекоммуникаций. Полномочия у проверяющих существенны: от плановых и внеплановых проверок до доступа к любым информационным системам объекта КИИ без необходимости предупреждения.

Наиболее значимые санкции за нарушение:

  • Для должностных лиц — штрафы от 500 000 до 1 000 000 рублей, дисквалификация до трёх лет.
  • Для юридических лиц — штрафы от 5 000 000 рублей и приостановка деятельности до 90 суток.
  • За несообщение о компьютерном инциденте — штраф для организации до 1 000 000 рублей.

Если неисполнение требований повлекло тяжкие последствия, наступает уголовная ответственность по статье 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру»). Максимальное наказание — лишение свободы до десяти лет.

Стратегия для бизнеса: как действовать под новыми правилами

Тактика «просто пройти проверку» тут не работает. Нужен стратегический подход.

  1. Диагностика статуса. Самостоятельно оценить, может ли организация быть отнесена к КИИ по видам деятельности. Если есть сомнения, имеет смысл инициировать диалог с уполномоченным органом, не дожидаясь уведомления.
  2. Оценка расходов. Создать финансовую модель проекта обеспечения безопасности КИИ с горизонтом 3-5 лет. Не считать один раз — бюджет будет расти из-за необходимости постоянной модернизации СБИ и ЦМУБ.
  3. Работа с компетенциями. Подготовка или найм специалистов с опытом работы в сфере КИИ. Нужны не просто инженеры ИБ, а люди, которые понимают регламенты ФСТЭК именно по этой части.
  4. Пересмотр договоров. Все договоры с поставщиками, которые касаются инфраструктуры КИИ, должны содержать пункты о требовании соответствия ФЗ-187. Это распределяет риски и часть затрат.
  5. Создание ПМБ КИИ. Этот документ должен быть не формальным, а реальной инструкцией. Его будут тщательно проверять. В него закладываются все процедуры, включая сценарии ликвидации инцидентов.

Тот, кто рассматривает ФЗ-187 как чистую формальность, рискует больше всего. Закон создаёт жёсткий и закрытый контур управления. Умение работать внутри него станет новым конкурентным преимуществом для IT-компаний и поставщиков решений в области информационной безопасности.

Защита или способ выбить бюджеты?

Однозначного ответа нет. ФЗ-187, это инструмент, который решает проблемы государственной безопасности, создавая при этом новые условия для хозяйственной деятельности. Он повышает устойчивость ключевых отраслей к кибератакам, что в текущих условиях объективно необходимо.

Бизнес сталкивается с возросшим финансовым и административным бременем. В некоторых сегментах это может привести к концентрации рынка и устранению мелких игроков.

Финансирование этих расходов — открытый вопрос. Государство может пойти по пути частичного субсидирования или предоставления налоговых льгот для отдельных категорий объектов КИИ. Без этого экономическая нагрузка может оказаться разрушительной для части критически важных, но финансово уязвимых организаций, таких как региональные медицинские или образовательные центры.

В итоге ФЗ-187 — не вымогательство, а новая реальность с серьёзными последствиями. Он заставляет пересмотреть подход к безопасности не как к набору технических мер, а как к основополагающему элементу стратегии выживания и развития в условиях цифрового суверенитета.

Оставьте комментарий