ФЗ №187
Действующая редакция
с 7 апреля 2025
Описание изменений Федерального закона № 187-ФЗ
Объекты: объекты критической информационной инфраструктуры (далее – КИИ), значимые объекты КИИ, субъекты КИИ.
Самое главное: Федеральный закон № 187-ФЗ устанавливает требования в отношении обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
Используемые термины:
- критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
- объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
- значимый объект критической информационной инфраструктуры (далее – ЗОКИИ) – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
- субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере:
- здравоохранения, науки,
- транспорта, связи,
- энергетики,
- государственной регистрации прав на недвижимое имущество и сделок с ним,
- банковской сфере и иных сферах финансового рынка,
- топливно-энергетического комплекса,
- атомной энергии,
- оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности,
- российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.
- государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) – единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
- информационный ресурс – информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.
Расширение круга участников КИИ и ГосСОПКА
В государственную систему обнаружения и ликвидации последствий компьютерных атак включены не только субъекты КИИ, но и иные органы и организации, участвующие в реагировании на компьютерные инциденты.
Обязанности по информированию о компьютерных атаках и взаимодействию с ГосСОПКА распространены не только на субъектов КИИ, но и иные органы и организации.
Обязанности по обеспечению обнаружения и реагирования на компьютерные атаки распространяются также на руководителей государственных органов, государственных предприятий, учреждений, фондов, государственных корпораций и иных российских юридических лиц, находящихся под контролем Российской Федерации или её субъектов.
Исключено упоминание индивидуальных предпринимателей как субъектов КИИ.
Новые нормативные механизмы категорирования объектов КИИ
Согласно ст. 7 187-ФЗ, субъекты КИИ должны провести категорирование объектов КИИ, которое представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
Правительство Российской Федерации также устанавливает:
- перечни типовых отраслевых объектов КИИ – утверждённые списки объектов, характерных для каждой отрасли;
- отраслевые особенности категорирования:
- отраслевые признаки значимости;
- показатели критериев значимости;
- порядок расчёта этих показателей;
- методику определения категории значимости.
Для финансового рынка эти особенности утверждаются с согласованием Центрального Банка РФ.
- требования к программно-аппаратным средствам;
Для финансового рынка – с согласованием Центрального Банка РФ.
- порядок и сроки перехода на:
- российское программное обеспечение из Единого реестра российского ПО;
- программно-аппаратные средства, отвечающие установленным требованиям.
- порядок государственного мониторинга исполнения требований, включая контроль за внедрением российского программного обеспечения, соблюдением требований к программно-аппаратным средствам и выполнением сроков перехода.
Усиление требований к категорированию и проверке
Проверка категорирования проводится с учётом перечней типовых объектов и отраслевых особенностей.
Уполномоченный орган проверяет сведения о категорировании на соответствие:
- перечням типовых отраслевых объектов КИИ;
- отраслевым особенностям категорирования, которые включают:
- отраслевые признаки значимости,
- показатели значимости,
- методику расчёта показателей.
Введён механизм возврата сведений с мотивированным обоснованием. В случае возвращения сведений о категорировании субъект КИИ обязан устранить нарушения и повторно представить корректные сведения в течение 10 рабочих дней с момента получения мотивированного возврата
В перечни типовых отраслевых объектов КИИ включаются только те типы информационных систем, сетей и автоматизированных систем управления, которые обладают признаком значимости.
Перечни типовых отраслевых объектов КИИ подлежат пересмотру и дополнению на основании предложений ФСТЭК России или органа, уполномоченного в сфере функционирования ГосСОПКА.
Категория значимости подлежит изменению, если объект КИИ перестал соответствовать критериям значимости, показателям их значений и отраслевым особенностям категорирования, на основании которых ему была присвоена категория значимости.
Обязанности по использованию российского ПО
Для всех значимых объектов КИИ установлены требования:
- использовать программное обеспечение, включённое в Единый реестр российского программного обеспечения, либо программное обеспечение, применяемое в государственных информационных системах и системах государственных органов, при условии соответствия требованиям по защите информации.
- соблюдать требования к программно-аппаратным средствам, применяемым на значимых объектах КИИ (для финансового сектора – по согласованию с Центральным Банком);
- осуществлять непрерывное взаимодействие с ГосСОПКА в порядке, установленном уполномоченным федеральным органом.
Требования к программно-аппаратным средствам
Правительство устанавливает:
- требования к программно-аппаратным средствам, используемым на значимых объектах;
- порядок перехода на такие средства;
- порядок мониторинга соблюдения этих требований.
Расширение применения технических средств обнаружения атак
Средства обнаружения, предупреждения и ликвидации последствий компьютерных атак могут устанавливаться в сетях электросвязи, обеспечивающих взаимодействие объектов, и на информационных ресурсах государственных органов, государственных предприятий, учреждений, фондов, государственных корпораций и иных российских юридических лиц, находящихся под контролем Российской Федерации или её субъектов.
Средства могут включать средства, предназначенные для поиска признаков компьютерных атак.
Порядок и технические условия установки и эксплуатации таких средств устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Расширение обязанностей по информированию о компьютерных атаках
Информирование о компьютерных атаках теперь обязаны обеспечивать:
- субъекты КИИ;
- государственные органы, предприятия, учреждения, фонды, корпорации;
- иные российские юридические лица, находящиеся под контролем Российской Федерации и (или) субъекта Российской Федерации (если иное не предусмотрено международным договором), — в части принадлежащих им информационных ресурсов Российской Федерации (на праве собственности, аренды или ином законном основании).
Порядок информирования утверждается уполномоченным органом; для финансового рынка – с согласованием Центрального Банка РФ.
Расширение сведений, включаемых в реестр ЗОКИИ
В реестр ЗОКИИ включаются дополнительные сведения: доменное имя и сетевой адрес объекта.
Система безопасности значимых объектов КИИ
Субъекты критической информационной инфраструктуры обязан:
- создавать, обеспечивать функционирование и совершенствовать систему безопасности значимых объектов КИИ в соответствии с Приказом ФСТЭК № 235;
- обеспечить защиту информации и технических средств, восстановление функционирования (в том числе за счёт резервного копирования) и непрерывное взаимодействие с ГосСОПКА в соответствии с Приказом ФСТЭК № 239 с учетом категории значимости объекта.
Усиление государственного контроля
Государственный контроль включает:
- проверку корректности категорирования с учётом отраслевых особенностей;
- оценку соответствия объектов критериям значимости;
- контроль выполнения требований по переходу на российское программное обеспечение и программно-аппаратные средства.
Переходный период
- до момента утверждения перечней типовых отраслевых объектов и отраслевых особенностей категорирование продолжает осуществляться по действующим правилам Постановления Правительства № 127.
- переход на российское программное обеспечение и установленные требования к программно-аппаратным средствам будет осуществляться по порядку, определяемому Правительством РФ.
Некоторые возможные риски несоблюдения требований Приказа ФСТЭК № 187
1. Административные и финансовые санкции
Статьи:
- Статья 13.12 КоАП РФ – ответственность за нарушение требований о защите информации;
- п. 1 Статьи 13.12.1 КоАП РФ – ответственность за нарушение требований к созданию систем безопасности ЗОКИИ и обеспечению их функционирования;
- п. 2 Статьи 13.12.1 КоАП РФ – ответственность за нарушение порядка информирования о компьютерных инцидентах, реагирования на них и ликвидации последствий компьютерных атак в отношении значимых объектов КИИ;
- п. 3 Статьи 13.12.1 КоАП РФ – ответственность за нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, а также между субъектами КИИ и иностранными/международными организациями, участвующими в реагировании на инциденты.
Риски: штрафы от 5000 до 500 000 рублей.
2. Уголовная ответственность
Статьи:
- п. 3 Статьи 274.1 УК РФ – ответственность за нарушение правил эксплуатации средств хранения, обработки и передачи информации КИИ, а также правил доступа, если это повлекло причинение вред КИИ.
Риски: принудительные работы до 5 лет или лишение свободы до 6 лет, с возможным запретом занимать должности до 3 лет.
