IoT в составе КИИ: требования 187-ФЗ и подходы к защите

Когда IoT попадает под 187-ФЗ

187-ФЗ регулирует не «устройства» как таковые, а информационные системы, автоматизированные системы управления и сети связи, которые обеспечивают критические процессы субъектов КИИ — в энергетике, промышленности, транспорте, здравоохранении, связи, финансах и других сферах из закона. IoT попадает под регулирование не из-за метки «IoT», а потому, что конкретный датчик или контроллер является элементом такой системы.

На практике это значит: если показания датчика влияют на управление техпроцессом, а его отказ или подмена данных могут привести к аварии, остановке производства или ущербу для людей, устройство и канал его телеметрии — часть объекта КИИ. И наоборот, изолированный «умный» прибор, не связанный с критическими процессами, в периметр может не входить. Границу проводят на этапе категорирования, опираясь на перечень процессов субъекта.

Как увязать IoT с категорированием КИИ

Категорирование — отправная точка. Субъект КИИ определяет перечень критических процессов, затем объекты (системы), которые их обеспечивают, и присваивает категорию значимости (или фиксирует её отсутствие). Чтобы IoT не выпал из этой логики, его нужно учитывать наравне с традиционной ИТ-инфраструктурой:

- **Включайте устройства в перечень объектов.** Датчики, шлюзы, контроллеры и каналы телеметрии — это активы, обеспечивающие процесс, а не «фон». - **Оценивайте последствия по процессу.** Категория зависит от ущерба при нарушении работы или достоверности данных, а не от стоимости самой железки. - **Фиксируйте связи и зависимости.** Один шлюз может агрегировать десятки датчиков — его компрометация влияет на весь сегмент. - **Документируйте границы объекта.** Чётко обозначьте, где заканчивается объект КИИ и начинается смежная неответственная инфраструктура.

О конкретных приказах и формах говорим общими словами: требования к категорированию и к обеспечению безопасности значимых объектов задаются подзаконными актами ФСТЭК России. Актуальные редакции и формы всегда сверяйте по первоисточникам, а не по пересказам.

Четыре подхода к защите IoT в КИИ

IoT-устройства редко позволяют поставить на них агент, часто работают на устаревших прошивках и закрытых протоколах, а заменить их без остановки процесса нельзя. Поэтому защита смещается с конечного устройства на окружающую среду. Базовый контур держится на четырёх подходах:

- **Инвентаризация.** Нельзя защитить то, что не видно. Нужна непрерывная карта устройств, их прошивок, протоколов и связей — основа и для категорирования, и для мониторинга. - **Сегментация.** IoT и АСУ ТП выносятся в отдельные сегменты с жёстким контролем трафика между ними и корпоративной сетью; необновляемые устройства изолируются. - **Мониторинг.** Преимущественно пассивный анализ трафика, выявление аномалий в телеметрии и командах, интеграция событий в SOC и взаимодействие с ГосСОПКА. - **Доверенные устройства.** Аутентификация устройств, контроль целостности прошивок и доверенность обновлений, оперативный отзыв скомпрометированных узлов.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Решения и поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом IoT Security](/rating/iot-security): здесь — требования и подходы, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с требованиями — переходите к выбору решений: **[рейтинг решений IoT Security →](/rating/iot-security)**. Полезно прочитать рядом: [как защитить устройства, прошивки и телеметрию](/research/iot-security-zashchita-ustroystv), [чем выбрать платформу защиты IoT](/research/kak-vybrat-iot-security-platformu) и [рейтинг решений IoT Security 2026](/research/reyting-iot-security-resheniy-2026).