ФЗ №187 — кратко о федеральном законе

О чем ФЗ №187

Федеральный закон №187 о безопасности КИИ вступил в силу в 2017 году. За последние годы он несколько раз дополнялся и уточнялся, последние поправки были внесены в 2025 году. Появились подзаконные акты, поэтому сейчас государственные и коммерческие организации адаптируются к изменениям и учатся работать по новым требованиям закона.

Суть №187-ФЗ о КИИ — это защита информационных систем (ИС), информационно-телекоммуникационных сетей (ИТС) и автоматизированных систем управления (АСУ), которые используются в значимых сферах и нарушение работы которых может повлиять на устойчивость функционирования организации, отрасли, государства или безопасности граждан.

Иными словами, закон о КИИ — это защита информационных систем значимых отраслей экономики: энергетики, связи, медицины, водоснабжения и так далее.

Важно: закон №187-ФЗ о безопасности КИИ имеет много подзаконных актов, которые регламентируют его исполнение: это Постановления Правительства (ПП), Приказы ФСТЭК, ФСБ и дополнительные Указы Президента о информационной безопасности.

Например, железнодорожный транспорт — это стратегически важная инфраструктура страны. Но управляют железнодорожными развязками с помощью диспетчерских систем — а это уже критическая информационная инфраструктура. Ее взлом может привести к сбоям в управлении перевозками и существенным последствиям для транспортной инфраструктуры.

На кого распространяется ФЗ

Субъектами КИИ могут быть:

• государственные органы;
• государственные учреждения;
• российские юридические лица (за исключением ИП) и иные организации при условии, что им принадлежат объекты КИИ (АСУ ТП, ИС, телекоммуникационные системы) в установленных сферах законом.

Требования к субъектам КИИ

ФЗ №187 предписывает субъектам КИИ:

1. Определить причастность к КИИ.
2. Провести категорирование объектов КИИ и уведомить ФСТЭК.
3. Перейти на ПО российского производства.
4. Обеспечить безопасность информационных систем.
5. Уведомлять о компьютерных атаках ГосСОПКА.

Изменения в ФЗ №187

1. Изменения 2023 года

С 10.07.2023 года увеличилось количество сфер деятельности, которые причастны к критической информационной инфраструктуре страны. Добавилась сфера государственной регистрации прав на недвижимое имущество и сделок с ним.

Основание изменений — Федеральный закон №312-ФЗ.

2. Изменения 2025 года

С 07.04.2025 года появилось много изменений. Основание поправок — Федеральный закон от 07.04.2025 №58-ФЗ.

2.1. ИП не может быть субъектом КИИ

Раньше субъектом КИИ могли быть индивидуальные предприниматели (ИП), но поправки от 2025 года исключили их из списка.

2.2. Утвержден перечень отраслевых объектов КИИ

Раньше предприниматели сами определяли, является ли организация субъектом КИИ, а теперь Правительство РФ утверждает перечень типовых отраслевых объектов КИИ, а также использует коды ОКВЭД как один из ориентиров для отнесения деятельности к соответствующей сфере.

Правительство Распоряжением №360-р ввело перечень типовых объектов КИИ. В новый перечень вошло более 500 отраслевых объектов в разных сферах: здравоохранение, наука, транспорт, связь, энергетика и топливо, банки, атомная энергия, оборонная промышленность, металлургия, химическая промышленность и проч.

Пример объектов КИИ в здравоохранении:

• ЕГИСЗ.
• Информационная система (ИС) медицинского учреждения.
• ИС фармацевтической компании.
• ИС лабораторий.
• ИС медицинского страхования и проч.

Для каждого объекта КИИ — один или несколько кодов ОКВЭД. Например, для информационных систем фармацевтических организаций — 46.46 (оптовая торговля лекарствами) и 47.73 (розничная торговля препаратами).

Таким образом, определить, является ли организация субъектом КИИ после поправок 2025 года стало проще. Если раньше был общий перечень сфер и критериев, то теперь — четкие объекты деятельности с кодами ОКВЭД.

2.3. Категорирование по отраслевым правилам

Раньше категорирование проводилось только по общим принципам. После изменений 2025 года Правительство РФ начало утверждать отраслевые особенности категорирования и перечни типовых отраслевых объектов КИИ, например, ПП №4 утвердило правила в области атомной энергии.

2.4. Усилился контроль за субъектами КИИ

Изменения:

• Правительство устанавливает требования к программно-аппаратным средствам, а также порядок и сроки перехода на российское ПО. На значимых объектах КИИ (ЗОКИИ) необходимо использовать только отечественные программы, которые входят в Единый реестр российского ПО.
• Организациям необходимо вести постоянный мониторинг инцидентов, а в случае компьютерной атаки — уведомлять об этом ГосСОПКА. Это государственная структура, которая занимается обнаружением компьютерных атак, их предотвращением и ликвидацией последствий.
• ФСТЭК России обязан вести реестр всех субъектов КИИ и проверять верность категорирования.

Таким образом, изменения в законе №187-ФЗ увеличили контроль за субъектами КИИ и определили, какую роль в мониторинге, контроле и реагировании на инциденты имеет ФСТЭК и государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак— ГосСОПКА.

Подзаконные акты ФЗ №187

Среди основных документов: Постановление Правительства (ПП) №127, приказы ФСТЭК №235 и №239.

1. Изменения в ПП №127

Всем организациям необходимо провести категорирование объектов КИИ и уведомить ФСТЭК. Каждому объекту КИИ, который вы используете в организации, нужно присвоить категорию значимости — от 1 до 3, или утвердить ее незначимой. Основной подзаконный акт, на который нужно ориентироваться, — Постановление Правительства РФ №127 «О категорировании объектов КИИ».

В него было добавлено несколько изменений — в 2019 (ПП №452), 2021 (ПП №2431), 2022 (ПП №1463 и №2360), 2024 (ПП №1281) и 2025 (ПП №1762) годах.

Основные изменения:

• Подход к категорированию изменился: теперь оно привязано к типовым отраслевым объектам и отраслевым особенностям, а не только к ранее используемой логике анализа критических процессов. То есть раньше компаниям нужно было самостоятельно оценивать процессы, которые влияют на значимость объектов КИИ. Теперь все проходит структурированнее: нужно сравнивать свои сервисы и информационные системы с перечнем типовых отраслевых объектов КИИ. Раньше тоже были такие отраслевые перечни, но они носили характер рекомендации, а теперь — правила.
• Если вашего объекта нет в отраслевых перечнях, его все равно нужно категорировать. Если по критериям значимости (смотрите их в приложении к Постановлению Правительства с изменениями за 2025 год) объект входит в КИИ, но не числится в отраслевых перечнях, то организация должна присвоить категорию от 1 до 3, обосновать выбор в акте категорирования и направить предложение о включении такого объекта в перечень во ФСТЭК.

С введением изменений категорирование объектов КИИ стало более формализованным.

2. Изменения в приказе ФСТЭК №235

В приказ ФСТЭК №235 от 2017 года были внесены изменения в 2019 году (приказом №64) и в 2023 году (приказом №69). В приказе — требования к тому, какие системы безопасности должны быть разработаны организациями для защиты ЗОКИИ. Среди изменений:

• Уточнены требования к квалификации специалистов, обеспечивающих безопасность ЗОКИИ, в том числе допущена возможность привлечения специалистов со средним профессиональным образованием в области ИБ.
• Если у организации есть дочерние предприятия, то главный отдел по безопасности должен руководить подразделениями ИБ дочерних компаний.

3. Изменения в приказе ФСТЭК №239

Субъекты КИИ должны разработать систему для обеспечения информационной безопасности в соответствии с категорией объекта КИИ. Чем выше категория (первая — самая высокая), тем больше требований к защите. Подробные требования по каждой категории — в Приказе ФСТЭК №239.

В приказ ФСТЭК №239 были внесены изменения в 2018 году (Приказ №138), 2019 году (Приказ №60) 2020 году (Приказ №35) и 2024 году (Приказ №159).

Основные изменения касаются перечня мер защиты. В полный список мер входят, в том числе:

• Аутентификация субъектов доступа.
• Аудит безопасности.
• Антивирусная защита.
• Защите от атак, направленных на отказ в обслуживании.
• Предотвращение компьютерных атак.
• Регулярное обновление ПО.
• Проведение мероприятий по обеспечению безопасности.
• Обучение персонала.
• Реагирование на инциденты и прочие меры защиты.

Чтобы соответствовать требованиям ФСТЭК, нужно разработать СОИБ — совокупность организационных и технических мер обеспечения информационной безопасности. Она может включать разные сертифицированные инструменты — от антивируса до системы мониторинга ИБ (SIEM).

В 1 квартале 2026 года ожидается очередное обновление Приказа ФСТЭК №239, где будут детализированы меры защиты для облачных сервисов, требования к криптографической защите и использованию искусственного интеллекта в целях безопасности КИИ.

Что будет за нарушение закона

Федеральный закон от 26.05.2021 №141-ФЗ ввел ответственность за нарушение требований по информационной безопасности ФЗ №187. Под какие статьи может попасть организация:

• КоАП РФ ст. 13.12.1 — нарушение требований безопасности КИИ, в т.ч. не оповещение об инциденте.
• КоАП РФ ст. 19.7.15 — нарушение сроков или порядка подачи информации об объектах КИИ.
• КоАП РФ ст. 19.4.1 — уклонение от проверки системы безопасности.

За эти и сопутствующие нарушения штраф организации может составить 500 000 рублей. Должностных лиц также накажут рублем. Например, по КоАП РФ ст. 13.12.1 если ответственный за регистрацию инцидентов не передал эту информацию в ГосСОПКА, штраф для него может составить 50 000 рублей.

Кроме того, при нарушениях руководителям может грозить не только административная, но и уголовная ответственность. По статье 274.1 УК РФ руководители могут получить принудительные работы, лишение свободы на срок до 10 лет и ограничение на занятие руководящих должностей.

Чтобы избежать штрафов и уголовного наказания, нужно в точности соблюдать ФЗ №187, а также все его подзаконные акты и новые требования. Эксперты компании «Управление информационной безопасности» оказывают комплексные услуги по защите КИИ: от аудита текущей ситуации до категорирования, разработки СОИБ и внедрения систем безопасности в соответствии со всеми стандартами и законодательными изменениями.