To main content
06 марта 2025

Критическая информационная инфраструктура (КИИ): нормативные правовые акты и обеспечение бесперебойной работы стратегических объектов

Рассмотрим какие именно объекты могут считаться КИИ, какие нормативные акты существуют в этой сфере и к каким рискам может привести игнорирование законодательства.
Критическая информационная инфраструктура (КИИ) — это «нервная система» ключевых отраслей государства: энергетики, связи, транспорта, финансов и других важных направлений. Любой сбой в работе КИИ может привести к серьёзным последствиям, вплоть до остановки целых производств или сбоев в поставке жизненно важных услуг. Именно поэтому в России появился Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и дополнительные документы, разъясняющие, как владельцам и операторам КИИ следует организовать деятельность.

Почему КИИ играет столь важную роль

В первую очередь, это социальная значимость. Если в энергетическом комплексе или медицине возникнет крупный сбой, пострадают не только инфраструктура компании, но и люди, зависящие от непрерывного снабжения ресурсами или услугами. Кроме того, неспособность обеспечить работоспособность критических объектов может повлечь репутационные потери и отразиться на уровне доверия со стороны клиентов и партнеров.
Также важны правовые риски. Несоблюдение требований государства может обернуться значительными штрафами и даже уголовной ответственностью, если нарушение было грубым или повлекло за собой серьезные последствия. Поскольку злоумышленники все чаще атакуют крупные IT-системы, в том числе и в сферах, относящихся к КИИ, профилактические меры и соответствие законам — гарантия того, что деятельность компании не будет парализована из-за внешнего воздействия.

Какие объекты относятся к КИИ

Согласно законодательству, под КИИ понимают информационные системы и сети связи, которые обеспечивают непрерывную работу стратегически важных отраслей. Федеральный закон № 187-ФЗ и сопутствующие акты указывают перечень направлений:
  1. Энергетика (электростанции, нефтегазовые предприятия и т. д.).
  2. Транспорт (аэропорты, железные дороги, крупные логистические узлы).
  3. Связь (операторы телекоммуникаций, центры обработки данных).
  4. Финансы (банки, платежные системы).
  5. Здравоохранение (медицинские учреждения, системы электронных записей к врачу).
  6. Промышленность (включая оборонные предприятия и научные институты).
  7. Иные направления (топливный комплекс, атомная энергетика и т. д.).
Чтобы установить, подпадают ли объекты под КИИ, в нормативных актах прописаны критерии значимости. Чем серьёзнее возможный ущерб (материальный, социальный, экологический), тем выше вероятность, что система будет признана критической.

Нормативная база и ссылки на законы

Для понимания того, какие требования действуют в сфере КИИ, важно изучить основные правовые документы:
1. Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Текст закона регламентирует общие правила по выявлению, защите и мониторингу объектов КИИ, а также вводит понятие «категории значимости».
2. Постановление Правительства Р Ф от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации»
Документ содержит методику по присвоению объектам КИИ одной из трёх категорий: чем выше категория, тем серьезнее требования к безопасности.
3. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Приказ регламентирует конкретные меры по защите, начиная с организации пропускного режима и заканчивая правилами шифрования и сбора логов.
3. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Приказ регламентирует конкретные меры по защите, начиная с организации пропускного режима и заканчивая правилами шифрования и сбора логов.
Эти три акта тесно взаимосвязаны между собой. В случае несоблюдения требований, прописанных в них, владельцы систем могут столкнуться с проверками регуляторов (ФСТЭК, ФСБ, Роскомнадзор), вынесением предписаний и серьезными санкциями.

Различия в категориях и уровни защиты

По результатам категорирования объекты КИИ могут быть отнесены к одной из трёх категорий значимости:

КИИ первой категории

Присваивается наиболее критичным системам. Любой инцидент здесь способен вызвать широкий общественный резонанс, повлиять на регион или отрасль. Требования к защите самые жёсткие: необходим круглосуточный мониторинг, сертифицированные средства защиты, подробные планы действий при ЧС.

КИИ второй категории

Это объекты, сбой в которых влечет серьезный ущерб, но обычно ограниченный региональным масштабом. Здесь тоже требуется тщательный контроль, но объём мер немного меньше, чем в первой категории.

КИИ третьей категории

Является «минимальной» по сравнению с двумя первыми, но всё же предполагает целый комплекс мер: резервирование, документированное реагирование на инциденты, базовые средства защиты.

Чем грозит игнорирование законов о КИИ

Когда компания не учитывает требования 187-ФЗ и подзаконных актов, она ставит под удар не только себя, но и стабильность отрасли или региона. Последствия могут быть как юридические, так и репутационные.
Бизнес рискует получить серьезные штрафы за несоответствие требованиям, а при наличии отягчающих обстоятельств (например, массовая утечка данных) — административную или уголовную ответственность руководителей.
Система, признанная КИИ, при отсутствии должных мер становится лакомой целью для злоумышленников!
Хакерская атака может парализовать деятельность на часы или дни, повлечь финансовые потери, отток клиентов и большой резонанс в СМИ.
Партнеры, узнав о несоответствии законам, могут отказаться от сотрудничества. Репутация в стратегических отраслях играет ключевую роль, и случай сбоев или киберинцидентов зачастую приводит к потере доверия.

Меры безопасности при работе с КИИ

Для обеспечения непрерывности работы критической информационной инфраструктуры и соответствия нормативам необходимо комплексно подходить к организации работы систем. В частности, важно:
  1. Соблюдать процесс категорирования. Без определения значимости невозможно выстроить адекватную структуру защиты.
  2. Обеспечивать резервирование критичных узлов. В случае отказа основного узла работу должна взять на себя резервная линия.
  3. Организовывать корректный документооборот, регламентирующий, как фиксировать инциденты, кто отвечает за устранение, каково время реакции на сбой.
  4. Проводить регулярные учения, тесты и аудиты, чтобы проверять, насколько отработаны процедуры и готовы ли сотрудники к внештатным ситуациям.
  5. Интегрировать и обновлять программные решения. Системы, контролирующие производство или распределительные сети, должны соответствовать требованиям актуальных стандартов и быть совместимыми с внешними сервисами.

Как Logrocon может помочь в части обеспечения надежности КИИ

Несмотря на то, что компания Logrocon не оказывает услуги в области кибербезопасности (внедрение систем обнаружения вторжений, криптографии и т. д.), мы помогаем владельцам КИИ с другими аспектами организации и сопровождения критических IT-процессов. Наша деятельность включает:
  1. Аудит и интеграцию систем, чтобы объекты КИИ могли взаимодействовать в едином информационном поле.
  2. Настройку платформы и инструментов для отслеживания показателей работы, формирования отчетности, планирования оптимизационных мероприятий.
  3. Консультации по повышению операционной эффективности и непрерывности производства.
За счёт такого подхода вы получаете комплексное решение: с одной стороны, соблюдаете законодательство, а с другой — внедряете современные IT-практики, которые повышают надежность и прозрачность инфраструктуры.
А для тех, кто не знает с чего начать цифровую трансформацию, или не готов выстраивать подобную систему с нуля мы предлагаем ознакомится с продуктом компании Logrocon «Платформа обработки телеметрической информации и поддержки принятия решений».

Итоги

Критическая информационная инфраструктура — это не просто набор узлов, обеспечивающих работу отрасли, а фундамент системной стабильности, в том числе, в масштабах государства. Федеральный закон № 187-ФЗ и подзаконные акты задают правовую основу, однако многое зависит от того, насколько грамотно руководство компаний подходит к интеграции и управлению своими IT-активами.
Игнорирование норм сулит санкции, репутационный урон и высокие риски остановки бизнеса. Но при правильной организации работы, своевременном категорировании и регулярном обновлении инфраструктуры компания не только избегает проблем с надзорными органами, но и укрепляет свою конкурентоспособность.
Если вам важно выстроить надежную и одновременно эффективную схему функционирования КИИ без углубления в аспекты кибербезопасности, Logrocon готов помочь с оптимизацией, интеграцией и сопровождением цифровых систем, ориентируясь на требования закона и специфику вашего бизнеса.
Продолжение здесь: «Критическая информационная инфраструктура (КИИ): как обеспечить устойчивую работу стратегических объектов».

Готовы обсудить, как улучшить управление КИИ в вашей организации?

Свяжитесь с нами, и мы расскажем о возможностях нашей платформы и поможем внедрить интегрированные решения, обеспечивающие непрерывность и прозрачность процессов.
Статьи по теме:
Вам также может быть интересно