BRICSPULSE
$1 = 71.01 $1 = 6.79 ¥$1 = 95.81
Back
ru flagRussiaSoftwareFederal LawActive

Critical Information Infrastructure Security Law (187-FZ)

Jul 26, 2017
RussianEnglish

Краткое резюме

Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" является основным нормативным актом, регулирующим отношения в области обеспечения безопасности критической информационной инфраструктуры (КИИ) России. Закон был принят Государственной Думой 12 июля 2017 г., одобрен Советом Федерации 19 июля 2017 г. и вступил в силу с 1 января 2018 г.

Закон устанавливает правовую основу для защиты информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих в стратегически важных отраслях экономики: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере, топливно-энергетическом комплексе, атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Документ создаёт Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и определяет порядок категорирования объектов КИИ.

Закон регулярно обновляется; последние масштабные изменения внесены Федеральным законом от 7 апреля 2025 г. N 58-ФЗ (вступают в силу с 1 сентября 2025 г.), значительно расширяющими обязанности субъектов КИИ, включая требования по импортозамещению программного обеспечения и программно-аппаратных средств.

Ключевые положения

  • Определение КИИ. Критическая информационная инфраструктура -- это объекты КИИ (информационные системы, телекоммуникационные сети, АСУ) и сети электросвязи, используемые для их взаимодействия. Субъекты КИИ -- государственные органы и российские юридические лица, которым принадлежат эти объекты.

  • Категорирование объектов. Установлены три категории значимости объектов КИИ (первая, вторая, третья), присваиваемые на основе критериев социальной, политической, экономической, экологической значимости и значимости для обороноспособности.

  • ГосСОПКА. Создана Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак -- единый территориально распределённый комплекс сил и средств для обнаружения, предупреждения и реагирования на компьютерные инциденты.

  • Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Организация при уполномоченном федеральном органе исполнительной власти, координирующая деятельность субъектов КИИ по вопросам кибербезопасности.

  • Реестр значимых объектов КИИ. Федеральный орган ведёт реестр, содержащий сведения о значимых объектах: наименование, сетевые адреса, категорию значимости, данные о ПО и применяемых мерах защиты.

  • Импортозамещение (с 2025 г.). На значимых объектах КИИ обязательно использование ПО из единого реестра российских программ. Правительство устанавливает порядок и сроки перехода, а также требования к программно-аппаратным средствам.

  • Непрерывное взаимодействие с ГосСОПКА. С 1 сентября 2025 г. субъекты КИИ, владеющие значимыми объектами, обязаны осуществлять непрерывное взаимодействие с ГосСОПКА.

Цели и сроки

Событие / ТребованиеДата
Вступление закона в силу1 января 2018 г.
Категорирование объектов КИИНепрерывный процесс; пересмотр при изменении объектов или организации
Плановые проверкиРаз в 3 года с момента включения в реестр
Внеплановые проверкиПри инцидентах, невыполнении предписаний, по поручению Президента/Правительства
Требования по импортозамещению ПОС 1 сентября 2025 г.
Требования к программно-аппаратным средствамС 1 сентября 2025 г.
Непрерывное взаимодействие с ГосСОПКАС 1 сентября 2025 г.
Расширенные обязанности для госоргановС 1 сентября 2025 г.

Субъект КИИ обязан в 10-дневный срок после присвоения категории направить сведения в ФСТЭК; проверка занимает 30 дней; при замечаниях -- 10 дней на устранение.

Механизмы реализации

  • Президент РФ определяет основные направления политики, уполномоченные органы и порядок создания ГосСОПКА.
  • Правительство РФ устанавливает показатели критериев значимости, порядок категорирования, перечни типовых отраслевых объектов КИИ, отраслевые особенности категорирования, требования к программно-аппаратным средствам и порядок мониторинга импортозамещения.
  • ФСТЭК России (уполномоченный орган по обеспечению безопасности КИИ): ведёт реестр, утверждает требования безопасности, проводит государственный контроль, выдаёт предписания.
  • ФСБ России (уполномоченный орган по обеспечению функционирования ГосСОПКА): создаёт НКЦКИ, координирует обнаружение и ликвидацию последствий атак, определяет перечень информации для ГосСОПКА, организует установку средств обнаружения.
  • Центральный банк РФ участвует в согласовании требований для банковской сферы и финансового рынка.
  • Субъекты КИИ обязаны: категорировать объекты, создавать системы безопасности, незамедлительно информировать об инцидентах, реагировать на атаки, обеспечивать доступ для проверок, использовать российское ПО.

Влияние на отрасль

Закон 187-ФЗ оказал фундаментальное влияние на российский ИТ-рынок и рынок информационной безопасности. Он создал обширный рынок услуг и продуктов в сфере кибербезопасности, поскольку тысячи организаций в стратегических отраслях обязаны выполнять требования по защите объектов КИИ.

Для ИТ-компаний закон создал значительные бизнес-возможности: разработка средств обнаружения и предупреждения атак, системная интеграция, аудит безопасности, консалтинг по категорированию. Одновременно закон стал драйвером импортозамещения в ИТ-секторе -- с 2025 года значимые объекты КИИ обязаны использовать российское ПО из единого реестра, что стимулирует развитие отечественных разработчиков операционных систем, СУБД, офисного и специализированного ПО.

Для инвестиционного климата закон создаёт двойственный эффект: с одной стороны, повышает уровень кибербезопасности и доверия к цифровой инфраструктуре; с другой -- увеличивает затраты организаций на compliance и ограничивает использование зарубежных решений, что может влиять на конкурентоспособность отдельных компаний.

Расширение сферы действия закона в 2025 году на информационные ресурсы государственных органов и организаций под государственным контролем значительно увеличивает круг субъектов регулирования и объём рынка кибербезопасности.

История изменений

  • 26 июля 2017 г. -- принятие Федерального закона N 187-ФЗ.
  • 1 января 2018 г. -- вступление в силу.
  • 7 апреля 2025 г. -- Федеральный закон N 58-ФЗ вносит масштабные изменения (вступают в силу с 1 сентября 2025 г.):
    • Расширено определение субъектов КИИ.
    • Введены перечни типовых отраслевых объектов КИИ.
    • Установлены отраслевые особенности категорирования.
    • Введены требования к программно-аппаратным средствам на значимых объектах.
    • Установлен порядок перехода на отечественное ПО.
    • Введена обязанность непрерывного взаимодействия с ГосСОПКА.
    • Расширены обязанности руководителей госорганов и организаций под госконтролем.

Связанные документы

  • Указ Президента РФ "О безопасности КИИ" -- определяет уполномоченные органы и порядок создания ГосСОПКА.
  • Постановления Правительства РФ о критериях значимости, порядке категорирования, государственном контроле.
  • Приказы ФСТЭК России -- требования по обеспечению безопасности значимых объектов КИИ (приказы N 235, 239).
  • Федеральный закон "Об информации, информационных технологиях и о защите информации" (N 149-ФЗ) -- единый реестр российских программ.
  • Федеральный закон "О связи" (N 126-ФЗ) -- особенности применения к сетям связи общего пользования.
  • Указ Президента РФ о развитии искусственного интеллекта (N 490) -- доверенные технологии ИИ для субъектов КИИ.
  • Указ Президента РФ от 30 марта 2022 г. N 166 -- о мерах по обеспечению технологической независимости и безопасности КИИ.