ФЗ №187

Федеральный закон от 26.07.2017 N 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»


Кого касается 


Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения;

  • науки;

  • транспорта;

  • связи;

  • энергетики;

  • государственной регистрации прав на недвижимое имущество и сделок с ним;

  • банковской и иных сферах финансового рынка;

  • топливно-энергетического комплекса;

  • атомной энергии;

  • оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности;

  • а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.


Цель закона


Целью обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации является ее устойчивое функционирование при проведении в отношении ее компьютерных атак.



Основные понятия, используемые в законе:


Автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;


Безопасность критической информационной инфраструктуры – состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;


Значимый объект критической информационной инфраструктуры (ЗОКИИ) – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;


Критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;


Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;


Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:

  • здравоохранения;

  • науки;

  • транспорта;

  • связи;

  • энергетики;

  • государственной регистрации прав на недвижимое имущество и сделок с ним;

  • банковской и иных сферах финансового рынка;   

  • топливно-энергетического комплекса;   

  • атомной энергии;   

  • оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности;   

  • а также российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.


Принципами обеспечения безопасности критической информационной инфраструктуры являются:

1) законность;

2) непрерывность и комплексность обеспечения безопасности КИИ, достигаемые в том числе за счет взаимодействия уполномоченных федеральных органов исполнительной власти и субъектов критической информационной инфраструктуры;

3) приоритет предотвращения компьютерных атак.


ГосСОПКА Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации 


ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. 

Под информационными ресурсами Российской Федерации понимаются:

  • информационные системы;

  • информационно-телекоммуникационные сети;

  • автоматизированные системы управления.                                                                                                                        


К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:


1) подразделения и должностные лица федерального органа исполнительной власти;


2) организация, создаваемая федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования ГосСОПКА;


3) подразделения и должностные лица субъектов КИИ которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.



Средствами, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются:

  • технические;

  • программные; 

  • программно-аппаратные;

  • иные средства для, предупреждения, ликвидации последствий компьютерных атак и обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.



Национальный координационный центр по компьютерным инцидентам осуществляет свою деятельность в соответствии с «Положением о Национальном координационном центре по компьютерным инцидентам», утверждаемым ФСБ России.


В ГосСОПКА осуществляются сбор, накопление, систематизация и анализ информации, которая поступает в данную систему через средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак, информации, которая представляется субъектами КИИ и ФСТЭК России.



Согласно законодательству, субъекты КИИ должны провести категорирование объектов КИИ.


Категорирование объекта КИИ представляет собой установление соответствия критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.



 Категорирование объектов КИИ осуществляется исходя из:

  • социальной значимости, выражающейся в оценке: возможного ущерба, причиняемого жизни или здоровью людей; возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи; а также максимального времени отсутствия доступа к государственной услуге для получателей такой услуги;

  • политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

  • экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;

  • экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;

  • значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.


В соответствии с Федеральным законом № 187 устанавливаются три категории значимости объектов КИИ – первая (самая высокая), вторая и третья (самая низкая).


Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.


Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии таких категорий субъекты КИИ в течение 10 дней в письменном виде уведомляют ФСТЭК России.


ФСТЭК России 30-дневный срок проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту КИИ одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.


 В случае, если субъектом КИИ соблюден порядок осуществления категорирования, ФСТЭК России вносит сведения о таком объекте КИИ в реестр значимых объектов критической информационной инфраструктуры, о чем в 10-дневный срок уведомляется субъект КИИ.



Категория значимости, к которой отнесен значимый объект КИИ, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:


1) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;


2) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;


3) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.



Федеральный Закон № 187 предусматривает обязанности для субъектов КИИ:

  • незамедлительно информировать о компьютерных инцидентах ФСБ России, а также ЦБ РФ (если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном ими порядке;

  • оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;

  • в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.


Предусматриваются также дополнительные обязанности для субъектов, которым принадлежат значимые объекты КИИ:

  • соблюдать требования по обеспечению безопасности значимых объектов КИИ, установленные ФСТЭК России;

  • выполнять предписания должностных лиц ФСТЭК России, об устранении нарушений в части соблюдения требований по обеспечению безопасности значимого объекта КИИ, выданные этими лицами в соответствии со своей компетенцией;

  • реагировать на компьютерные инциденты в порядке, утвержденном ФСБ России; принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ;

  • обеспечивать беспрепятственный доступ должностным лицам ФСТЭК России к значимым объектам КИИ при реализации этими лицами полномочий по государственному контролю в области обеспечения безопасности значимых объектов КИИ.




Система безопасности значимых объектов КИИ


В соответствии с требованиями, утвержденными ФСТЭК России к созданию систем безопасности, субъект КИИ создает систему безопасности значимых объектов КИИ и обеспечивает ее функционирование. 


Основные задачи Системы безопасности значимых объектов КИИ:

  • предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом критической информационной инфраструктуры, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

  • недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта критической информационной инфраструктуры;

  • восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;

  • непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.



Статья 11. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры


1. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, устанавливаемые федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, дифференцируются в зависимости от категории значимости объектов критической информационной инфраструктуры, и этими требованиями предусматриваются:


1) планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;


2) принятие организационных и технических мер для обеспечения безопасности значимых объектов критической информационной инфраструктуры;


3) установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры.


2. Государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, могут устанавливать дополнительные требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, содержащие особенности функционирования таких объектов в установленной сфере деятельности.



Государственный контроль в области обеспечения безопасности значимых объектов КИИ


Государственный контроль в области обеспечения безопасности значимых объектов КИИ проводится в целях проверки соблюдения субъектами КИИ требований, установленных Федеральным законом № 187, и принятыми в соответствии с ним нормативными правовыми актами.


Указанный государственный контроль проводится путем осуществления ФСТЭК России плановых или внеплановых проверок.


Основанием для осуществления плановой проверки является истечение 3 лет со дня:

  • внесения сведений об объекте КИИ в реестр значимых объектов КИИ;

  • окончания осуществления последней плановой проверки в отношении значимого объекта КИИ.

Основанием для осуществления внеплановой проверки является:

  • истечение срока выполнения субъектом КИИ выданного ФСТЭК России предписания об устранении выявленного нарушения требований по обеспечению безопасности значимых объектов КИИ;

  • возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте КИИ;

  • приказ (распоряжение) руководителя ФСТЭК России, изданный в соответствии с поручением Президента РФ или Правительства РФ либо на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.


По итогам плановой или внеплановой проверки ФСТЭК России составляется акт проверки по утвержденной форме.


На основании акта проверки в случае выявления нарушения требований Федерального закона № 187 и принятых в соответствии с ним нормативных правовых актов по обеспечению безопасности значимых объектов КИИ ФСТЭК России выдает субъекту КИИ предписание об устранении выявленного нарушения с указанием сроков его устранения.


Нарушение требований Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации.

Полная версия документа

Оставьте заявку на  бесплатную консультацию