Сфера критической информационной инфраструктуры (КИИ) находится под пристальным вниманием государства. Геополитическая обстановка и рост киберугроз сделали защиту КИИ вопросом национальной безопасности. Федеральный закон № 187-ФЗ возлагает на субъекты КИИ серьезные обязанности по категорированию объектов, созданию систем защиты и информированию о компьютерных инцидентах. КИИ и Регуляторный комплаенс (187-ФЗ, ФСТЭК) — это сложная область на стыке права и информационной безопасности, где ошибки ведут к уголовной ответственности руководства.
Субъктами КИИ являются государственные органы и частные компании, владеющие информационными системами, функционирующими в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, топливно-энергетического комплекса, атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Если ваша компания работает в одной из этих сфер (даже косвенно), вы обязаны провести процедуру категорирования.
Обязанности субъекта КИИ
Процесс комплаенса состоит из нескольких обязательных шагов.
1. Категорирование объектов
Это фундамент. Компания должна создать комиссию и проанализировать все свои информационные системы (ИС).
Цель — определить, является ли объект «значимым» (ЗОКИИ).
Категории значимости (1, 2 или 3) присваиваются в зависимости от возможного ущерба:
- Социального (ущерб жизни и здоровью людей).
- Политического (нарушение международных отношений).
- Экономического (ущерб бюджету или доходам).
- Экологического.
Результаты категорирования направляются во ФСТЭК. Даже если объектов значимой категории нет, об этом тоже нужно уведомить регулятора.
2. Создание системы защиты (СЗИ)
Для значимых объектов КИИ необходимо создать систему безопасности в соответствии с Приказами ФСТЭК № 235 и № 239.
Это включает:
- Применение сертифицированных средств защиты информации.
- Разработку организационно-распорядительной документации.
- Аттестацию или приемку системы.
Важный тренд — импортозамещение. С 2026 года для ЗОКИИ запрещено использование иностранного ПО и средств защиты из недружественных стран (Указ Президента № 166).
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
3. Подключение к ГосСОПКА
Субъекты КИИ обязаны информировать Национальный координационный центр по компьютерным инцидентам (НКЦКИ) обо всех атаках и инцидентах. Для этого необходимо подключиться к инфраструктуре ГосСОПКА (напрямую или через корпоративные центры мониторинга).
Ответственность: Уголовный кодекс
Нарушение правил эксплуатации КИИ — это не штраф, это тюремный срок.
Статья 274.1 УК РФ предусматривает наказание до 10 лет лишения свободы за:
- Создание программ для воздействия на КИИ.
- Неправомерный доступ к КИИ.
- Нарушение правил эксплуатации средств хранения, обработки информации, если это повлекло вред КИИ.
Под ударом находятся руководители организаций и ответственные за ИБ (CISO), если будет доказано, что они не выделили ресурсы или не обеспечили соблюдение регламентов.
Наши услуги по КИИ
Мы помогаем бизнесу пройти путь от идентификации себя как субъекта КИИ до построения эшелонированной защиты:
- Аудит и инвентаризация информационных систем.
- Юридическое сопровождение работы комиссии по категорированию.
- Подготовка сведений для отправки во ФСТЭК.
- Разработка внутренних регламентов и инструкций.
- Защита интересов при проверках ФСТЭК и ФСБ.
КИИ и Регуляторный комплаенс — это не бюрократия, а гарантия того, что в случае кибератаки руководство компании не окажется на скамье подсудимых.