187-ФЗ и приказы ФСТЭК: как закрыть требования по защите КИИ
187-ФЗ «О безопасности критической информационной инфраструктуры» обязывает субъекты КИИ выявить свои объекты, провести их категорирование, отнести значимые объекты к одной из категорий значимости и выполнить требования ФСТЭК по их защите, а также подключиться к ГосСОПКА и взаимодействовать с НКЦКИ. Это не разовый проект, а постоянный процесс: поддержание актуальности перечня объектов, реагирование на инциденты и контроль выполнения требований. **Если коротко:** последовательность одна для всех — определить, относитесь ли вы к субъектам КИИ, инвентаризировать объекты, провести категорирование и направить сведения во ФСТЭК, а для значимых объектов построить систему безопасности на доверенных, сертифицированных средствах защиты. Ниже — кто такие субъекты КИИ, какие обязанности возникают, как устроены этапы и план приведения в соответствие, а также таблица «требование → что сделать». Подобрать сертифицированные средства защиты под значимые объекты помогает [рейтинг систем защиты АСУ ТП](/rating/ot-ics-security).
Промышленная сеть требует видимости без остановки процесса
В OT и АСУ ТП защита строится вокруг пассивной инвентаризации, сегментации и аккуратной проверки промышленных протоколов.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Что такое КИИ и кто такие субъекты КИИ
Критическая информационная инфраструктура — это информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, работающие в значимых для государства сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская и финансовая сфера, ТЭК, атомная промышленность, оборонка, ракетно-космическая, горнодобывающая, металлургическая и химическая отрасли. Перечень сфер задан самим 187-ФЗ.
Субъект КИИ — это организация (государственная или частная), которой принадлежат или которая эксплуатирует объекты КИИ в одной из этих сфер. Если ваша деятельность относится к указанным отраслям и у вас есть информационные системы или АСУ ТП, обеспечивающие технологические или производственные процессы, с высокой вероятностью вы — субъект КИИ и обязаны выполнять закон вне зависимости от того, оформляли вы это формально или нет.
КИИ простыми словами: ключевые понятия
Госорганы и бизнес в значимых сферах
Подлежит учёту и категорированию
Итог — категория или её отсутствие
К нему применяются требования ФСТЭК
Обязательное информирование об инцидентах
Какие обязанности возникают у субъекта КИИ
Закон и подзаконные акты ФСТЭК и ФСБ распределяют обязанности субъекта КИИ по нескольким направлениям. Их удобно разделить на организационные (учёт, категорирование, информирование) и технические (построение системы безопасности значимых объектов).
- **Инвентаризация и учёт.** Выявить все объекты КИИ и вести их актуальный перечень. - **Категорирование.** Оценить значимость каждого объекта и присвоить категорию либо обосновать её отсутствие, направив сведения регулятору. - **Информирование ФСТЭК.** Направлять сведения о результатах категорирования по установленной форме и поддерживать их в актуальном состоянии при изменениях. - **Защита значимых объектов.** Для объектов с присвоенной категорией создать систему безопасности и выполнить требования ФСТЭК к её содержанию. - **Реагирование на инциденты.** Обеспечить взаимодействие с ГосСОПКА и информирование НКЦКИ о компьютерных инцидентах в установленном порядке. - **Поддержание режима.** Назначить ответственных, утвердить документы и поддерживать меры защиты на протяжении всего жизненного цикла объекта.
Категорирование объектов КИИ: как устроено
Категорирование — центральный этап. Субъект создаёт комиссию, выявляет процессы, нарушение которых критично, сопоставляет объекты с этими процессами и оценивает возможный ущерб по установленным показателям значимости (социальная, экономическая, экологическая, политическая значимость, влияние на оборону и безопасность). По итогам объекту присваивается одна из категорий значимости либо фиксируется, что значимость отсутствует.
Принципиально важно: даже если по итогам оценки ни один объект не получил категорию, результаты всё равно направляются во ФСТЭК — «нет категории» это тоже результат категорирования, который нужно обосновать и оформить. Конкретные показатели, формы и сроки задаются подзаконными актами Правительства и ФСТЭК — сверяйте их по действующим редакциям, а не по пересказам.
> Точные значения показателей, число категорий и сроки направления сведений установлены > постановлениями Правительства и приказами ФСТЭК и периодически меняются. Опирайтесь на > официальные тексты 187-ФЗ и актуальные подзаконные акты, а не на вторичные источники.
Трудоёмкость этапов приведения в соответствие 187-ФЗ
Усреднённая редакционная оценка относительной трудоёмкости этапов по открытым практикам. Не норматив и не замена проектной оценке под вашу инфраструктуру.
Требования ФСТЭК к защите значимых объектов
Для значимых объектов КИИ ФСТЭК предъявляет требования к созданию системы безопасности: от организационных мер и проектной документации до набора технических мер защиты, выбираемых в зависимости от категории значимости. Чем выше категория, тем строже базовый набор мер. Ниже — ориентир «требование → что сделать на практике»; формулировки обобщены, точный состав мер берите из действующих приказов ФСТЭК.
| Требование (направление) | Что сделать на практике |
|---|---|
| Определить статус субъекта КИИ | Соотнести деятельность со сферами 187-ФЗ, зафиксировать решение |
| Учесть объекты КИИ | Провести инвентаризацию ИС, сетей и АСУ ТП, вести актуальный перечень |
| Провести категорирование | Создать комиссию, оценить ущерб, присвоить категорию или обосновать её отсутствие |
| Уведомить регулятора | Направить сведения о категорировании во ФСТЭК по установленной форме |
| Создать систему безопасности | Назначить ответственных, разработать документы и модель угроз для значимых объектов |
| Применить меры защиты | Выбрать и внедрить меры под категорию: разграничение доступа, мониторинг, защита данных |
| Использовать доверенные СЗИ | Применять средства защиты с сертификатами ФСТЭК и из реестра отечественного ПО |
| Подключиться к ГосСОПКА | Организовать взаимодействие с НКЦКИ и информирование о компьютерных инцидентах |
ГосСОПКА и взаимодействие с НКЦКИ
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, а НКЦКИ (Национальный координационный центр по компьютерным инцидентам) — её координирующий орган. Субъект КИИ обязан информировать о компьютерных инцидентах и взаимодействовать с НКЦКИ в установленном порядке. На практике это означает наличие средств и процессов обнаружения инцидентов, регламента реагирования и канала обмена сведениями — самостоятельно либо через привлечённый центр ГосСОПКА (корпоративный или ведомственный).
План приведения в соответствие: этапы проекта
-
01
Определение статуса
Установите, относитесь ли вы к субъектам КИИ, соотнеся деятельность со сферами 187-ФЗ, и зафиксируйте вывод документально.
-
02
Инвентаризация объектов
Выявите информационные системы, сети и АСУ ТП, которые могут быть объектами КИИ, и сформируйте перечень.
-
03
Категорирование
Создайте комиссию, оцените критичные процессы и возможный ущерб, присвойте категории значимости или обоснуйте их отсутствие.
-
04
Уведомление ФСТЭК
Направьте сведения о результатах категорирования по установленной форме и порядку.
-
05
Проектирование защиты
Для значимых объектов разработайте модель угроз, проектную и организационно-распорядительную документацию.
-
06
Внедрение средств защиты
Установите и настройте сертифицированные СЗИ, реализуйте меры под присвоенную категорию.
-
07
Подключение к ГосСОПКА
Организуйте обнаружение инцидентов и взаимодействие с НКЦКИ.
-
08
Поддержание и контроль
Актуализируйте перечень и категорирование при изменениях, поддерживайте меры защиты и реагирование на протяжении всего жизненного цикла.
Чек-лист готовности к требованиям 187-ФЗ
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики средств защиты сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы на объектах КИИ и в АСУ ТП, отзывы и интервью клиентов, внешняя репутация, специализация, наличие сертификатов ФСТЭК и прозрачность данных. Поэтому статью стоит читать в связке с [рейтингом систем защиты АСУ ТП](/rating/ot-ics-security): здесь — требования и порядок их выполнения, там — сравнение конкретных решений по подтверждённым фактам.
Следующий шаг
Определились с требованиями и этапами — переходите к подбору сертифицированных решений: **[рейтинг систем защиты АСУ ТП →](/rating/ot-ics-security)**. Полезно прочитать рядом: [как защитить АСУ ТП и промышленные сети](/research/ot-ics-security-zashchita-asu-tp), [российские решения для АСУ ТП против Claroty и Nozomi](/research/rossiyskie-resheniya-asu-tp-vs-claroty-nozomi) и [рейтинг систем защиты АСУ ТП и КИИ 2026](/research/reyting-sistem-zashchity-asu-tp-2026).
Частые вопросы
Кто обязан выполнять требования 187-ФЗ?
Субъекты КИИ — организации, которым принадлежат или которые эксплуатируют объекты КИИ в значимых сферах (здравоохранение, транспорт, связь, энергетика, банки, ТЭК, промышленность и др.). Обязанность возникает по факту деятельности в этих сферах, а не по факту оформления статуса.
Что делать, если ни один объект не получил категорию значимости?
Результаты категорирования всё равно направляются во ФСТЭК. Отсутствие категории — это тоже результат, который нужно обосновать и оформить. При этом базовые обязанности субъекта КИИ (учёт объектов, взаимодействие с ГосСОПКА) сохраняются.
Чем отличаются объект КИИ и значимый объект КИИ?
Объект КИИ — любая ИС, сеть или АСУ ТП субъекта, подлежащая учёту и категорированию. Значимый объект — тот, которому по итогам категорирования присвоена категория значимости; именно к нему применяются требования ФСТЭК по защите.
Можно ли использовать иностранные средства защиты на значимых объектах?
Политика регулятора направлена на переход значимых объектов КИИ на доверенные отечественные средства защиты с сертификатами ФСТЭК и из реестра отечественного ПО. Перед закупкой проверяйте статус средства в официальных реестрах.
Что такое ГосСОПКА и обязательно ли к ней подключаться?
ГосСОПКА — государственная система обнаружения и ликвидации последствий компьютерных атак, а НКЦКИ — её координирующий центр. Субъект КИИ обязан информировать о компьютерных инцидентах и взаимодействовать с НКЦКИ в установленном порядке — самостоятельно или через привлечённый центр ГосСОПКА.
Где сравнить конкретные решения для защиты КИИ?
В рейтинге систем защиты АСУ ТП и КИИ — там решения ранжированы по подтверждённым сигналам, а не по рекламе.
Источники и метод проверки
187-ФЗ «О безопасности критической информационной инфраструктуры» обязывает субъекты КИИ выявить свои объекты, провести их категорирование, отнести значимые объекты к одной из категорий значимости и выполнить требования ФСТЭК по их защите, а также подключиться к ГосСОПКА и взаимодействовать с НКЦКИ. Это не разовый проект, а постоянный процесс: поддержание актуальности перечня объектов, реагирование на инциденты и контроль выполнения требований. **Если коротко:** последовательность одна для всех — определить, относитесь ли вы к субъектам КИИ, инвентаризировать объекты, провести категорирование и направить сведения во ФСТЭК, а для значимых объектов построить систему безопасности на доверенных, сертифицированных средствах защиты. Ниже — кто такие субъекты КИИ, какие обязанности возникают, как устроены этапы и план приведения в соответствие, а также таблица «требование → что сделать». Подобрать сертифицированные средства защиты под значимые объекты помогает [рейтинг систем защиты АСУ ТП](/rating/ot-ics-security).