ФЗ №187

ФЗ №187

«О безопасности критической информационной инфраструктуры Российской Федерации»

Описание изменений Федерального закона № 187-ФЗ

Объекты: объекты критической информационной инфраструктуры (далее – КИИ), значимые объекты КИИ, субъекты КИИ.

Самое главное: Федеральный закон № 187-ФЗ устанавливает требования в отношении обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

Используемые термины:

  • критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
  • объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
  • значимый объект критической информационной инфраструктуры (далее – ЗОКИИ) – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
  • субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:
    • здравоохранения, науки,
    • транспорта, связи,
    • энергетики,
    • государственной регистрации прав на недвижимое имущество и сделок с ним,
    • банковской сфере и иных сферах финансового рынка,
    • топливно-энергетического комплекса,
    • атомной энергии,
    • оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности,
    • российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.
  • государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) – единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
  • информационный ресурс – информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.

Расширение круга участников КИИ и ГосСОПКА

В государственную систему обнаружения и ликвидации последствий компьютерных атак включены не только субъекты КИИ, но и иные органы и организации, участвующие в реагировании на компьютерные инциденты.

Обязанности по информированию о компьютерных атаках и взаимодействию с ГосСОПКА распространены не только на субъектов КИИ, но и иные органы и организации.

Обязанности по обеспечению обнаружения и реагирования на компьютерные атаки распространяются также на руководителей государственных органов, государственных предприятий, учреждений, фондов, государственных корпораций и иных российских юридических лиц, находящихся под контролем Российской Федерации или её субъектов.

Исключено упоминание индивидуальных предпринимателей как субъектов КИИ.

Новые нормативные механизмы категорирования объектов КИИ

Согласно ст. 7 187-ФЗ, субъекты КИИ должны провести категорирование объектов КИИ, которое представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

Правительство Российской Федерации также устанавливает:

  • перечни типовых отраслевых объектов КИИ – утверждённые списки объектов, характерных для каждой отрасли;
  • отраслевые особенности категорирования:
    • отраслевые признаки значимости;
    • показатели критериев значимости;
    • порядок расчёта этих показателей;
    • методику определения категории значимости.

Для финансового рынка эти особенности утверждаются с согласованием Центрального Банка РФ.

  • требования к программно-аппаратным средствам;

Для финансового рынка – с согласованием Центрального Банка РФ.

  • порядок и сроки перехода на:
    • российское программное обеспечение из Единого реестра российского ПО;
    • программно-аппаратные средства, отвечающие установленным требованиям.
  • порядок государственного мониторинга исполнения требований, включая контроль за внедрением российского программного обеспечения, соблюдением требований к программно-аппаратным средствам и выполнением сроков перехода.

Усиление требований к категорированию и проверке

Проверка категорирования проводится с учётом перечней типовых объектов и отраслевых особенностей.

Уполномоченный орган проверяет сведения о категорировании на соответствие:

  • перечням типовых отраслевых объектов КИИ;
  • отраслевым особенностям категорирования, которые включают:
    • отраслевые признаки значимости,
    • показатели значимости,
    • методику расчёта показателей.

Введён механизм возврата сведений с мотивированным обоснованием. В случае возвращения сведений о категорировании субъект КИИ обязан устранить нарушения и повторно представить корректные сведения в течение 10 рабочих дней с момента получения мотивированного возврата

В перечни типовых отраслевых объектов КИИ включаются только те типы информационных систем, сетей и автоматизированных систем управления, которые обладают признаком значимости.

Перечни типовых отраслевых объектов КИИ подлежат пересмотру и дополнению на основании предложений ФСТЭК России или органа, уполномоченного в сфере функционирования ГосСОПКА.

Категория значимости подлежит изменению, если объект КИИ перестал соответствовать критериям значимости, показателям их значений и отраслевым особенностям категорирования, на основании которых ему была присвоена категория значимости.

Обязанности по использованию российского ПО

Для всех значимых объектов КИИ установлены требования:

  • использовать программное обеспечение, включённое в Единый реестр российского программного обеспечения, либо программное обеспечение, применяемое в государственных информационных системах и системах государственных органов, при условии соответствия требованиям по защите информации.
  • соблюдать требования к программно-аппаратным средствам, применяемым на значимых объектах КИИ (для финансового сектора – по согласованию с Центральным Банком);
  • осуществлять непрерывное взаимодействие с ГосСОПКА в порядке, установленном уполномоченным федеральным органом.

Требования к программно-аппаратным средствам

Правительство устанавливает:

  • требования к программно-аппаратным средствам, используемым на значимых объектах;
  • порядок перехода на такие средства;
  • порядок мониторинга соблюдения этих требований.

Расширение применения технических средств обнаружения атак

Средства обнаружения, предупреждения и ликвидации последствий компьютерных атак могут устанавливаться в сетях электросвязи, обеспечивающих взаимодействие объектов, и на информационных ресурсах государственных органов, государственных предприятий, учреждений, фондов, государственных корпораций и иных российских юридических лиц, находящихся под контролем Российской Федерации или её субъектов.

Средства могут включать средства, предназначенные для поиска признаков компьютерных атак.

Порядок и технические условия установки и эксплуатации таких средств устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Расширение обязанностей по информированию о компьютерных атаках

Информирование о компьютерных атаках теперь обязаны обеспечивать:

  • субъекты КИИ;
  • государственные органы, предприятия, учреждения, фонды, корпорации;
  • иные российские юридические лица, находящиеся под контролем Российской Федерации и (или) субъекта Российской Федерации (если иное не предусмотрено международным договором), — в части принадлежащих им информационных ресурсов Российской Федерации (на праве собственности, аренды или ином законном основании).

Порядок информирования утверждается уполномоченным органом; для финансового рынка – с согласованием Центрального Банка РФ.

Расширение сведений, включаемых в реестр ЗОКИИ

В реестр ЗОКИИ включаются дополнительные сведения: доменное имя и сетевой адрес объекта.

Система безопасности значимых объектов КИИ

Субъекты критической информационной инфраструктуры обязан:

  • создавать, обеспечивать функционирование и совершенствовать систему безопасности значимых объектов КИИ в соответствии с Приказом ФСТЭК № 235;
  • обеспечить защиту информации и технических средств, восстановление функционирования (в том числе за счёт резервного копирования) и непрерывное взаимодействие с ГосСОПКА в соответствии с Приказом ФСТЭК № 239 с учетом категории значимости объекта.

Усиление государственного контроля

Государственный контроль включает:

  • проверку корректности категорирования с учётом отраслевых особенностей;
  • оценку соответствия объектов критериям значимости;
  • контроль выполнения требований по переходу на российское программное обеспечение и программно-аппаратные средства.

Переходный период

В соответствии с Федеральным законом от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации»»:

  • до момента утверждения перечней типовых отраслевых объектов и отраслевых особенностей категорирование продолжает осуществляться по действующим правилам Постановления Правительства № 127.
  • переход на российское программное обеспечение и установленные требования к программно-аппаратным средствам будет осуществляться по порядку, определяемому Правительством РФ.

Некоторые возможные риски несоблюдения требований Приказа ФСТЭК № 187

1. Административные и финансовые санкции

Статьи:

  • Статья 13.12 КоАП РФ – ответственность за нарушение требований о защите информации;
  • п. 1 Статьи 13.12.1 КоАП РФ – ответственность за нарушение требований к созданию систем безопасности ЗОКИИ и обеспечению их функционирования;
  • п. 2 Статьи 13.12.1 КоАП РФ – ответственность за нарушение порядка информирования о компьютерных инцидентах, реагирования на них и ликвидации последствий компьютерных атак в отношении значимых объектов КИИ;
  • п. 3 Статьи 13.12.1 КоАП РФ – ответственность за нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, а также между субъектами КИИ и иностранными/международными организациями, участвующими в реагировании на инциденты.

Риски: штрафы от 5000 до 500 000 рублей.

2. Уголовная ответственность

Статьи:

  • п. 3 Статьи 274.1 УК РФ – ответственность за нарушение правил эксплуатации средств хранения, обработки и передачи информации КИИ, а также правил доступа, если это повлекло причинение вред КИИ.

Риски: принудительные работы до 5 лет или лишение свободы до 6 лет, с возможным запретом занимать должности до 3 лет.

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией