ФЗ: Как закон о КИИ перестраивает бизнес-процессы

от

«1072-ФЗ — не тихий шум на фоне других регулятивных актов. Его требования не просят защиты данных, а прямо требуют построения систем кибербезопасности в ключевых секторах. Бизнес больше не может перекладывать риски на отдел ИБ — они становятся задачей всей цепочки управления, от совета директоров до отдела закупок. Закон создаёт основу, где киберугроза юридически равна физическому кризису, что неизбежно перестраивает бюджет, процессы и приоритеты компании.»

Что на самом деле скрывается за номером 187

Федеральный закон № 187-ФЗ от 2023 года «О безопасности критической информационной инфраструктуры Российской Федерации» часто упоминается в связке с уже привычным 152-ФЗ о персональных данных. Но это ошибочное упрощение. Если 152-ФЗ, это инструкция по обращению с конфиденциальной информацией, то 187-ФЗ, это план гражданской обороны для цифрового мира компаний в стратегически важных отраслях.

Закон оперирует понятием «критическая информационная инфраструктура» (КИИ). К ней относятся информационные системы, сети и центры обработки данных, нарушение функционирования которых приведёт к тяжёлым последствиям для жизни, здоровья людей, безопасности государства, экономике или экологии. Перечень субъектов КИИ утверждает ФСТЭК, и в него попадают не только госструктуры, но и частные компании из энергетики, связи, финансового сектора, транспорта, здравоохранения и других ключевых отраслей.

187-ФЗ адресован не всем подряд, а конкретным организациям, чья цифровая устойчивость важна для страны в целом. Основная цель — не просто защитить данные, а обеспечить непрерывность критически важных процессов в условиях кибератак или инцидентов.

Требования, которые меняют бизнес-процессы

Требования закона выходят далеко за рамки установки антивируса или настройки брандмауэра. Они структурированы по нескольким уровням значимости объектов КИИ и предписывают конкретные меры.

Организационные изменения

Закон требует назначения ответственного за обеспечение безопасности КИИ — должностного лица с необходимыми полномочиями. На практике это часто приводит к созданию отдельного подразделения или усилению существующей службы информационной безопасности, которая получает прямой доступ к высшему руководству. Кроме того, необходимо разработать и утвердить целый пакет документов: политику безопасности КИИ, правила разграничения доступа, планы по обеспечению безопасности и восстановлению после инцидентов.

Технические меры защиты

Речь идёт о внедрении средств защиты информации, сертифицированных ФСТЭК. Это могут быть системы обнаружения вторжений, анализа защищённости, управления событиями информационной безопасности. Ключевое отличие от 152-ФЗ — акцент на обнаружение и противодействие целенаправленным атакам, а не только на контроль доступа. Для объектов высокой значимости требуется создание систем мониторинга и реагирования на инциденты, которые работают в режиме реального времени.

Взаимодействие с ГосСОПКА

Одно из самых значимых нововведений — обязанность подключения к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Это означает, что информация об инцидентах безопасности в компании автоматически передаётся в национальный координационный центр. Бизнес перестаёт быть изолированным островком в киберпространстве и становится частью общей системы национальной киберобороны.

Катастрофа для бюджета и операционной деятельности?

Для многих организаций первоначальная оценка затрат выглядит пугающей. Нужны инвестиции в дорогостоящее сертифицированное оборудование и ПО, найм или переквалификация специалистов, постоянные затраты на обслуживание систем и проведение обязательных аттестаций. Процедура категорирования объектов КИИ, определения их значимости и разработки всех необходимых документов может занять месяцы и отвлечь ключевых IT-специалистов от текущих задач.

Крайний сценарий «катастрофы» выглядит так: компания получает предписание о принадлежности к субъектам КИИ, не успевает выполнить все требования в установленные сроки, попадает под штрафы, а в худшем случае — под ограничение или приостановление деятельности её критически важных информационных систем. Для бизнеса, чья деятельность напрямую зависит от IT, это равносильно остановке производства.

Необходимость как основа долгосрочной устойчивости

Однако если отойти от тактики реагирования на штрафы и взглянуть стратегически, 187-ФЗ предлагает бизнесу чёткую дорожную карту для укрепления собственной киберустойчивости. Угрозы целевых атак, вымогательского ПО и промышленного шпионажа, это не абстракция, а ежедневная реальность. Закон принудительно заставляет компанию провести инвентаризацию своих ключевых активов, выявить уязвимости и построить системную защиту.

Внедрение требований закона даёт конкретные преимущества:

  • Снижение операционных рисков. Построенная система безопасности минимизирует вероятность успешной кибератаки, которая может привести к многомиллионным убыткам из-за простоя, потери данных или репутационного ущерба.
  • Улучшение управляемости IT-инфраструктуры. Процессы категорирования, мониторинга и реагирования повышают общую зрелость управления информационными технологиями в компании.
  • Повышение доверия со стороны партнёров и государства. Соответствие требованиям 187-ФЗ становится маркером зрелости и надёжности компании, особенно при участии в госзакупках или работе с другими субъектами КИИ.
  • Интеграция в национальную систему кибербезопасности. Подключение к ГосСОПКА даёт доступ к актуальной информации об угрозах и поддержке государства при крупных инцидентах.

Практические шаги: как превратить необходимость в конкурентное преимущество

Вместо пассивного ожидания предписаний от регулятора, компаниям из потенциально затрагиваемых отраслей стоит действовать на опережение.

  1. Самостоятельное предварительное категорирование. Проанализировать свою IT-инфраструктуру и бизнес-процессы на предмет соответствия критериям КИИ. Определить, какие системы являются критическими для непрерывности работы.
  2. Gap-анализ. Провести аудит существующих мер безопасности и сопоставить их с требованиями 187-ФЗ. Это поможет оценить масштаб и стоимость необходимых изменений.
  3. Поэтапное планирование. Разработать дорожную карту внедрения, разбитую на этапы: от разработки документов и назначения ответственных до поэтапного внедрения технических средств. Это позволит распределить финансовую нагрузку.
  4. Диалог с регулятором. Установить контакт с территориальным управлением ФСТЭК. Консультации на ранних этапах могут помочь избежать ошибок в трактовке требований.
  5. Интеграция в корпоративную систему управления рисками. Не рассматривать кибербезопасность КИИ как отдельный IT-проект. Включить киберриски в общую систему риск-менеджмента компании, отчитываться о них перед советом директоров.

Вывод: эволюция, а не революция

ФЗ-187, это не бизнес-катастрофа, а жёсткий, но закономерный этап эволюции регулирования в цифровую эпоху. Он переводит кибербезопасность из разряда технических расходов в категорию стратегических инвестиций в устойчивость бизнеса. Для компаний, которые воспримут его как необходимость и возможность для глубокой модернизации своих подходов к безопасности, закон станет не источником издержек, а фактором, укрепляющим долгосрочную конкурентоспособность и доверие в условиях цифровых угроз. Катастрофой он становится только для тех, кто игнорирует реальность этих угроз и продолжает рассматривать информационную безопасность как формальность.

Оставьте комментарий