За ФЗ-187 стоит не только защита от кибератак, но и новая система управления цифровыми активами.

от

«Требования ФЗ-187 часто сводят к киберугрозам и отчетности, но это только часть айсберга. Главное — он впервые создаёт в России юридическую рамку для управления цифровыми активами на государственном уровне, заставляя переосмыслить, что такое ‘критическая информацияционная инфраструктура’ и где в ней начинается ответственность бизнеса.»

Краткое содержание

  • 187-ФЗ или ФЗ-187 — неофициальное, но устоявшееся сокращение для Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Регулирует защиту объектов КИИ (Критической информационной инфраструктуры).
  • Основная цель — обеспечение устойчивости КИИ России к компьютерным атакам.
  • Ключевой регулятор — Федеральная служба по техническому и экспортному контролю (ФСТЭК России), которая устанавливает требования, методики и проводит проверки.
  • Требования закона можно разделить на несколько блоков: категорирование объектов, выполнение нормативов по защите, информирование об инцидентах, проведение мероприятий по обеспечению безопасности.
  • Статус объекта КИИ присваивается по итогам категорирования и определяет строгость применяемых мер защиты.
  • Выполнение требований — обязанность субъектов КИИ (государственные органы, компании).

Ключевые термины и сфера действия

Чтобы понять требования 187-ФЗ, нужно разобраться в его словаре и границах применения. В центре внимания — объекты критической информационной инфструктуры.

Что такое объект КИИ?

Это не просто сервер или компьютер. Объект КИИ, это технологический процесс, система управления, информационная система или сеть связи, которые используются субъектом КИИ для управления или обеспечения функционирования критически важного объекта (КВО). Или же сам процесс, прекращение или нарушение которого ведёт к тяжёлым последствиям в определённых сферах.

Пример: автоматизированная система управления энергосетью, система диспетчеризации на железной дороге, информационная система, обрабатывающая данные о воздушном движении, промышленная сеть управления технологическим процессом на крупном химическом заводе.

Кто является субъектом КИИ?

Субъект КИИ, это юридическое лицо (или индивидуальный предприниматель), которое владеет на праве собственности, арендует или иным законным образом использует объект КИИ. Проще говоря, это организация, отвечающая за его безопасность. К субъектам КИИ относятся:

  • Государственные органы.
  • Российские коммерческие и некоммерческие организации, работающие в определённых сферах (см. ниже).

Сферы деятельности, подпадающие под действие закона

Закон чётко определяет перечень сфер, объекты в которых могут быть отнесены к КИИ:

  1. Здравоохранение.
  2. Наука.
  3. Транспорт.
  4. Связь.
  5. Энергетика.
  6. Банковская сфера и иные сферы финансового рынка.
  7. Топливно-энергетический комплекс.
  8. Атомная энергетика.
  9. Оборонная промышленность.
  10. Ракетно-космическая промышленность.
  11. Горнодобывающая промышленность.
  12. Металлургическая промышленность.
  13. Химическая промышленность.

Если ваша организация работает в одной из этих сфер, она с высокой вероятностью является субъектом КИИ.

Этапы выполнения требований 187-ФЗ

Работа по закону — не разовое мероприятие, а циклический процесс. Его можно разбить на последовательные шаги.

1. Категорирование

Это отправная точка. Цель — определить, является ли ваша информационная система или технологический процесс объектом КИИ, и если да, то присвоить ему одну из трёх категорий значимости.

  • Категория 1 (высшая) — присваивается объектам КИИ, нарушение безопасности которых может привести к тяжёлым последствиям для жизни и здоровья людей, безопасности государства, экономики.
  • Категория 2 — присваивается объектам КИИ, нарушение безопасности которых может привести к значительным последствиям.
  • Категория 3 — присваивается объектам КИИ, нарушение безопасности которых может привести к иным последствиям (не отнесённым к тяжёлым или значительным).

Категорирование проводится субъектом КИИ самостоятельно по методике ФСТЭК. Результат оформляется актом категорирования и утверждается руководителем организации.

2. Уведомление регулятора

После проведения категорирования субъект КИИ обязан уведомить ФСТЭК России о результатах. В уведомлении указываются сведения об объекте, присвоенная категория и другая необходимая информация.

3. Обеспечение безопасности

После категорирования начинается основная работа — выполнение требований по защите информации. Их объём и строгость напрямую зависят от присвоенной категории.

Требования сформулированы в целом ряде нормативных документов ФСТЭК, ключевыми из которых являются:

  • Приказ ФСТЭК России № 31 (Требования по обеспечению безопасности значимых объектов КИИ).
  • Приказ ФСТЭК России № 239 (Состав и содержание организационных и технических мер по обеспечению безопасности).

Основные группы требований к защите

Требования к безопасности объектов КИИ носят комплексный характер и охватывают несколько направлений.

Направление Ключевые меры
Организационные меры Назначение ответственных лиц, разработка документов (политики безопасности, регламентов, планов), обучение персонала, управление доступом, организация физической охраны объектов.
Технические меры Сегментация сетей, использование средств защиты информации (СЗИ), резервное копирование, мониторинг и обнаружение вторжений, защита от DDoS-атак, контроль целостности программного обеспечения.
Мероприятия по безопасности Проведение аттестации объекта по требованиям безопасности, оценка защищённости (аудит), моделирование угроз, плановые проверки выполнения требований.

На практике для объекта 1-й категории потребуется внедрение полноценного Security Operations Center (SOC), строгая изоляция сетей АСУ ТП от корпоративных, использование сертифицированных ФСТЭК средств защиты. Для 3-й категории меры могут быть существенно проще.

4. Аттестация объекта КИИ

Аттестация, это процедура подтверждения соответствия объекта КИИ установленным требованиям безопасности. Проводится аккредитованными ФСТЭК организациями (органами по аттестации).

По итогам успешной аттестации выдаётся аттестат соответствия, который действителен в течение 3 лет (для объектов 1 и 2 категорий) или 5 лет (для объектов 3 категории).

5. Информирование об инцидентах

Субъект КИИ обязан незамедлительно, но не позднее 1 часа с момента обнаружения, информировать ГосСОПКА (Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак) о любых инцидентах информационной безопасности, влияющих на функционирование объекта КИИ.

Это одна из самых строгих норм закона, требующая от организации налаженного процесса мониторинга и оперативного реагирования.

6. Плановые и внеплановые проверки

ФСТЭК России имеет право проводить плановые и внеплановые проверки соблюдения субъектами КИИ требований закона. Основанием для внеплановой проверки может стать, например, поступление информации об инциденте.

Типичные сложности и ошибки при реализации

Теоретическое знание требований часто расходится с практикой их внедрения. Вот что обычно вызывает проблемы.

Ошибка категорирования

Самостоятельное занижение категории, чтобы избежать жёстких требований. Это рискованная стратегия: при проверке ФСТЭК может не согласиться с выводами и обязать пересмотреть категорию, что повлечёт срыв сроков и дополнительные расходы. Категорирование нужно проводить максимально объективно, ориентируясь на возможные последствия, а не на желаемую простоту реализации.

Формальный подход к документации

Разработка политик безопасности и регламентов «для галочки», без привязки к реальным бизнес-процессам и ИТ-архитектуре. В случае инцидента или проверки такие документы не помогут, а лишь продемонстрируют несостоятельность системы защиты. Документы должны быть рабочими инструментами.

Игнорирование АСУ ТП и промышленных сетей

Фокус на защите классических офисных IT-систем (почта, файловые серверы) при полном отсутствии контроля над сетями технологического уровня. Для многих субъектов КИИ из промышленного сектора именно АСУ ТП и являются главными объектами защиты по 187-ФЗ. Их специфика (устаревшее ПО, закрытые протоколы, непрерывность работы) требует особых подходов и решений, которые часто игнорируются.

Непонимание требований к средствам защиты

Попытка использовать для защиты объекта КИИ обычные коммерческие средства защиты информации, не имеющие сертификатов ФСТЭК и не включённые в реестр российского ПО. Для выполнения требований к объектам 1 и 2 категорий часто требуются именно сертифицированные СЗИ. Их выбор, внедрение и сопровождение — отдельная сложная задача.

Как 187-ФЗ соотносится с 152-ФЗ?

152-ФЗ «О персональных данных» и 187-ФЗ «О безопасности КИИ» — два столба российского ИБ-регулирования. Их часто путают или пытаются выполнить одним набором мер, но это разные законы с разными целями.

Критерий 152-ФЗ «О персональных данных» 187-ФЗ «О безопасности КИИ»
Объект защиты Персональные данные граждан РФ. Критическая информационная инфраструктура (технологические процессы, системы управления).
Основная цель Защита частной жизни, прав и свобод человека. Обеспечение устойчивости государства и экономики к кибератакам.
Ключевой регулятор Роскомнадзор. ФСТЭК России.
Критерий применения Обработка персональных данных. Работа в одной из 13 критических сфер и наличие объекта КИИ.
Ответственность Оператор ПДн. Субъект КИИ.

Одна и та же организация может быть одновременно и оператором персональных данных (подпадая под 152-ФЗ), и субъектом КИИ (подпадая под 187-ФЗ). В этом случае она должна выполнять требования обоих законов, что требует построения комплексной, но дифференцированной системы защиты.

Что будет, если не выполнять требования?

Несоблюдение 187-ФЗ влечёт за собой административную, а в некоторых случаях и уголовную ответственность.

  • Штрафы для должностных лиц — могут достигать 50 000 рублей.
  • Штрафы для юридических лиц — могут достигать 1 000 000 рублей.
  • Приостановка деятельности — на срок до 90 суток по решению суда.
  • Дисквалификация должностных лиц — на срок до 3 лет.
  • Уголовная ответственность — наступает в случае, если несоблюдение требований привело к тяжким последствиям (например, аварии с человеческими жертвами, масштабным экологическим катастрофам, сбоям в работе целых отраслей). Санкции по соответствующим статьям УК РФ могут включать лишение свободы.

Кроме прямых санкций, существует репутационный риск, потеря доверия со стороны государства и партнёров, а также прямые убытки от успешной кибератаки, которой можно было бы избежать.

Что дальше? Тенденции и развитие регулирования

Регуляторика в области КИИ не статична. Ожидаются следующие изменения и акценты:

  • Ужесточение требований к импортозамещению. Использование российского ПО и аппаратного обеспечения на объектах КИИ будет не просто рекомендацией, а жёстким требованием, особенно для объектов высших категорий.
  • Развитие системы ГосСОПКА. Роль ГосСОПКА как единого центра мониторинга и реагирования будет усиливаться. Требования по интеграции с ней станут более детализированными.
  • Фокус на промышленную безопасность (ИБ АСУ ТП). Появятся новые, более специализированные нормативные документы, регулирующие защиту именно промышленных систем, с учётом их специфики.
  • Пересмотр категорий и сфер. Список критических сфер может быть расширен (например, за счёт IT-сектора или логистики), а критерии категорирования — уточнены.

Выполнение требований 187-ФЗ, это не разовая кампания, а постоянный процесс адаптации к меняющимся угрозам и регуляторным ожиданиям. Успех здесь зависит от системного подхода, понимания реальных рисков для бизнеса и государства, а не от механического закрытия пунктов в чек-листах.

Оставьте комментарий