Категорирование и защита критической информационной инфраструктуры (КИИ) по 187-ФЗ

Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» устанавливает обязательные требования к субъектам КИИ. Объекты ТЭК, транспорта, связи, финансового сектора, атомной и оборонной промышленности, здравоохранения подлежат категорированию и оснащению сертифицированными средствами защиты информации.

Категории значимости объектов КИИ

Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов КИИ» устанавливает 3 категории значимости:

  • 1 категория — федерального значения. Социально-экономические, оборонные последствия для всей Российской Федерации.
  • 2 категория — регионального значения. Последствия для субъекта РФ или нескольких регионов.
  • 3 категория — объектового значения. Последствия для самой организации.

Требования ФСТЭК к защите КИИ

  • Приказ ФСТЭК №239 от 25.12.2017 — Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ
  • Приказ ФСТЭК №235 от 21.12.2017 — Об утверждении Перечня мер защиты информации в ГИС, АСУ ТП, КИИ
  • Приказ ФСТЭК №236 от 22.12.2017 — Форма акта категорирования объекта КИИ
  • Постановление Правительства РФ №127 от 08.02.2018 — Правила категорирования объектов КИИ

Этапы обеспечения безопасности КИИ

  1. Определение объекта КИИ — анализ инфраструктуры, выявление объектов, подпадающих под 187-ФЗ
  2. Категорирование — присвоение 1, 2 или 3 категории значимости с оформлением акта категорирования
  3. Разработка модели угроз — с учётом специфики АСУ ТП и промышленных протоколов (Modbus, Profibus, IEC 61850)
  4. Внедрение сертифицированных СЗИ — межсетевые экраны промышленного уровня, СОА, антивирусы, СКЗИ
  5. Аттестация объекта КИИ — подтверждение соответствия требованиям ФСТЭК
  6. Создание ГСОПКА — системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (для субъектов КИИ 1 и 2 категории)
  7. Регулярный мониторинг — ежегодная оценка показателей защищённости (Кзи) и зрелости (Пзи)

📋 Что нужно для категорирования КИИ

  • ✅ Перечень объектов, которые могут быть отнесены к КИИ
  • ✅ Схема информационных потоков и сетевого взаимодействия
  • ✅ Данные о технологических процессах и промышленных системах
  • ✅ Сведения о возможных последствиях вывода объекта из строя
  • ✅ Оценка влияния на социально-экономическую и оборонную безопасность

Ответственность за нарушение требований КИИ

  • Штрафы до 1 млн рублей для юридических лиц
  • Приостановка деятельности организации
  • Уголовная ответственность для должностных лиц (ст. 274.1 УК РФ)
  • Административная ответственность (ст. 13.12 КоАП РФ)

💰 Стоимость услуг

УслугаСтоимостьСрок
Категорирование 1 объекта КИИот 90 000 ₽2-3 недели
Категорирование от 5 объектовот 70 000 ₽/объектот 3 недель
Модель угроз для КИИот 150 000 ₽3-4 недели
Комплексная защита КИИ (категорирование + СЗИ + аттестация)от 500 000 ₽от 2 месяцев

* Точная стоимость определяется после предпроектного обследования

❓ Часто задаваемые вопросы

Что такое КИИ?

КИИ — критическая информационная инфраструктура. Объекты в сферах энергетики, транспорта, связи, финансового сектора, атомной и оборонной промышленности, здравоохранения, вывод которых из строя может нанести ущерб безопасности РФ.

Какие штрафы за нарушение требований КИИ?

Штрафы до 1 млн рублей, приостановка деятельности, уголовная ответственность для должностных лиц.

Обязательна ли установка ГСОПКА?

Для субъектов КИИ 1 и 2 категории — да. Для 3 категории — по решению собственника объекта.

Какой срок действия аттестата КИИ?

Аттестат выдаётся на срок до 3 лет. При изменении категории или архитектуры — переаттестация.

Нужно ли отчитываться перед ФСТЭК?

Да, необходимо ежегодно направлять в ФСТЭК показатели защищённости (Кзи) и зрелости (Пзи).

📄 Нормативные документы

📜
Приказ ФСТЭК №239 от 25.12.2017

Требования по обеспечению безопасности значимых объектов КИИ

📖 Читать на fstec.ru 📑 Читать на Контур.Норматив ⚖️ Читать на КонсультантПлюс
📜
Приказ ФСТЭК №235 от 21.12.2017

Перечень мер защиты информации в ГИС, АСУ ТП, КИИ

📖 Читать на fstec.ru
⚖️
Федеральный закон №187-ФЗ

О безопасности критической информационной инфраструктуры РФ

⚖️ Читать закон
📋
Постановление №127

Правила категорирования объектов КИИ

⚖️ Читать постановление

📚 Полезные материалы

Нужна консультация?

Оставьте заявку, и наш специалист свяжется с вами для уточнения деталей.

Или напишите нам: sales@rnt.ru | +7 (495) 777-75-77

АО «РНТ» — системный интегратор полного цикла в области информационной безопасности. Лицензии ФСТЭК России, ФСБ России, Минобороны. 20+ лет опыта, 4 доктора наук, 35 кандидатов наук, собственное производство средств защиты информации. Более 500 успешных проектов для органов государственной власти, финансового сектора, топливно-энергетического комплекса и объектов КИИ.

Приказ №117 | Сертификация | Лицензия ФСТЭК | Аттестация | Модель угроз | КИИ | Аттестация ГИС | ТЗКИ | Защита ПДн | Реестр ФСТЭК