Какие дополнительные указы и обновления изданы?

Отношение к закону и реальная ситуация

Проблемы и положительные стороны принятия закона

Что делать тем, кого он касается?

12 июля 2017 года Государственная Дума приняла Федеральный закон о безопасности критической информационной инфраструктуры Российской Федерации (далее — КИИ). Закон был подписан Президентом РФ 26 июля 2017, вступил в силу 1 января 2018 года. Закон состоит из 15-ти статей, кратко описанных в конце данной публикации.

С того момента закон редактировался, был принят ещё целый ряд указов и правовых актов. Среди них приказ ФСТЭК России № 235 от 21.12.2017 (ред. от 20.04.2023) «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования», а также приказ ФСТЭК России  № 239 от 25.12.2017 (ред. от 28.08.2024) «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

С 30 марта 2022 года благодаря указам № 166 и № 887 Президента РФ кардинально изменились требования и подходы к защите значимых объектов КИИ. Два ключевых изменения — запрет на приобретение иностранного ПО и ПАК с 31 марта 2022 года и полный запрет на использование импортного ПО и ПАК на значимых объектах КИИ с 1 января 2025 года.

Позже, 14 ноября 2023 года, во исполнение пункта 2 Указа № 166 Правительство выпустило Постановление № 1912, в котором, в частности, был установлен запрет на использование с 1 сентября 2024 года ПАК, приобретённых с той же даты  — 1 сентября 2024 года. В нём же был установлен срок перехода на преимущественное (пока ещё на тот момент!) применение доверенных ПАК до 1 января 2030 года.

В связи с требованиями времени, СВО, санкциями и связанными с этими факторами угрозами для Российской Федерации появился Указ Президента РФ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ». Этот указ кардинально изменил подход к обеспечению кибербезопасности в российских компаниях. По оценкам экспертов, этот документ затронул около 500 тысяч организаций, составляющих до 95% российской экономики. 

На момент появления указа № 250 бытовало мнение людей о том, что никто в компаниях не хочет заниматься информационной безопасностью и тратить на это деньги, что практически все проигнорировали требования закона № 187-ФЗ РФ, за исключением специализированных структур. Среди причин и проблем назывались постоянные изменения и противоречия нормативной базы и руководящих документов, хаос, дефицит реальных специалистов, отсутствие средств у не столичных компаний и пассивное ожидание проверок. Делились мнением, например, и о том, что ранее, на бумаге, также заместитель руководителя организации отвечал за техническую защиту информации (как это установлено законом № 187-ФЗ теперь), но на практике, не имея соответствующих компетенций, не интересовался вопросом, делегируя его профильному отделу с соответствующим специалистом по защите информации.

Очевидно, что в стране были необходимы не только разработка специального отечественного софта, но и создание мотивации и профильной системы обучения, а не пассивный режим должностных лиц, пока не придут проверяющие органы. Также государство могло обязать компании соблюдать стандарт ISO/IEC 27001 как обязательный, чтобы ситуация улучшилась. Например, в области развития компетенций должностных лиц. Кстати, как положительный пример, можно уп��мянуть открытие магистратуры в университете «Сириус», выпускники которой изучают предметы, проходя полноценную инженерную практику на реальных предприятиях, таких как «Росатом». Возможно, что и ваше предприятие могло бы стать базой для такой практики и внедрения отечественных разработок.

25 марта 2025 года Госдумой принят законопроект, вносящий изменения в ФЗ № 187-ФЗ.

7 апреля 2025 года Президент РФ Владимир Путин подписал Федеральный закон № 58-ФЗ (изменения в № 187-ФЗ) о переводе критически важных объектов информационной структуры на отечественное программное обеспечение для укрепления цифровой безопасности страны.

Отвертеться не получится, как и найти лазейку, как это практиковали компании в прошлые годы. Также по закону возможны повторные штрафы и даже уголовная ответственность в случае нарушений.

Обновленный Федеральный закон направлен на усиление технологической независимости и повышение безопасности КИИ и вступает в силу 1 сентября 2025 года.

Теперь, по новому закону, перевести значимые объекты КИИ на российское программное обеспечение обязаны не только Государственные органы и компании, но и коммерческие. А для каждой отрасли Правительство утвердит типовые значимые объекты КИИ, которые собственники (субъекты КИИ) обязаны будут классифицировать.

Соответствующие российские ведомства до конца 2025 года определят типовые значимые объе��ты КИИ для каждой отрасли и установят сроки их перевода на российское программное обеспечение.

Кстати, уже в 2023 году российские аналоги могли заместить около 80% иностранного ПО, а по части позиций были уже не менее двух альтернативных вариантов. Была создана государственная программа “Отечественное ПО”. К слову, на покупку лицензий, внедрение и поддержку импортного ПО ежегодно только частный сектор выделял около 200 млрд рублей. Теперь эти средства можно направить на импортозамещение, поддерживая и экономику страны.

Также в конце июня 2025 года в России принят стандарт ПНСТ 1007-2025 «Критическая информационная инфраструктура (КИИ). Программно-аппаратные комплексы (ПАК). Классификация по назначению». Документ устанавливает классификацию ПАК, которые можно будет применять на объектах КИИ после их признания доверенными.

Что делать тем, кого касается № 187-ФЗ?

Для начала нужно определить с помощью указанных в статье закона органов власти, является ли ваша организация субъектом КИИ, если это не было сделано ранее, и получить либо не получить категорию значимости.

После утверждения и выпуска соответствующих новых документов Правительства РФ и ФСТЭК России, организациям, уже отнесённым к субъектам КИИ, необходимо:

  • запланировать пересмотр объектов КИИ и их категорий значимости;

  • подсчитать, сколько используется импортного ПО и программно-аппаратных средств в составе значимых объектов КИИ;

  • просчитать бюджеты перехода на отечественные решения, хотя бы примерно;

  • внести в план работы импортозамещение — переход на отечественные ПО и ПАК, который возможно осуществить, учитывая сроки, риски и приоритеты;

  • самостоятельно или с помощью специализированных центров (см. НКЦКИ) наладить взаимодействие с ГосСОПКА. Можно подключиться к центру мониторинга информационной безопасности от УЦСБ USSC-SOC.

  • проанализировать соответствие требованиям закона № 187-ФЗ, особенно соответствие отраслевым особенностям и присутствие объектов в отраслевых перечнях, и актуальным Правилам категорирования;

  • зафиксировать все данные для последующей подачи в соответствующие инстанции, а именно: зафиксировать проектный или штатный режим функционирования всех объектов и составить список доменов и IP-адресов, если объекты имеют доступ к сети «Интернет».

(до подписания закона № 58-ФЗ)

Статья 1 определяет сферу действия этого Федерального закона (далее — ФЗ).Так № 187-ФЗ регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры РФ (далее — КИИ) в целях её устойчивого функционирования при проведении в отношении ее компьютерных атак.

Закон издан для того, чтобы предупредить и избежать негативных последствий и ущерба для функционирования каждой конкретной российской организации, подпадающей под некоторые категории, и Российской Федерации в целом при проведении в отношении их компьютерных атак.

Статья 2 определяет основные понятия, а именно, что такое

  • автоматизированная система управления (АСУ),

  • безопасность КИИ,

  • значимый объект КИИ,

  • компьютерная атака, 

  • компьютерный инцидент,

  • КИИ, 

  • объекты КИИ, 

  • субъекты КИИ.

Статья 3 уточняет правовое регулирование отношений в области обеспечения безопасности КИИ в соответствии с Конституцией РФ, общепризнанными принципами и нормами международного права, настоящим Федеральным законом, другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами.

Также в статье уточняется, что особенности применения настоящего Федерального закона к сетям связи общего пользования определяются Федеральным законом от 7 июля 2003 года № 126-ФЗ «О связи» и принимаемыми в соответствии с ним нормативными правовыми актами РФ.

Статья 4 обозначает принципы обеспечения безопасности КИИ, такие как

  1. законность;

  2. непрерывность и комплексность обеспечения безопасности КИИ, достигаемые в том числе за счет взаимодействия уполномоченных федеральных органов исполнительной власти (далее — ФОИВ) и субъектов КИИ;

  3. приоритет предотвращения компьютерных атак.

Статья 5 разъясняет, что такое Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), какими силами и средствами обладает и как осуществляет свою деятельность.

Статья 6 описывает полномочия Президента РФ, Правительства РФ и федеральных органов исполнительной власти РФ в области обеспечения безопасности КИИ — кто и что определяет, устанавливает, утверждает, предлагает, контролирует, координирует, организует.

Статья 7 посвящена категорированию объектов КИИ с присвоением либо неприсвоением одной из трёх возможных категорий значимости, исходя из социальной, политической, экономической, экологической значимости, значимости объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка. Описаны процесс информирования органов и сроки, процессы внесения в реестр либо исключения из него (далее редактировались новыми документами).

Статья 8 о составлении и ведении реестра значимых объектов КИИ.

Статья 9 описывает права субъектов КИИ, в том числе на получение важной информации, приобретение оборудования, организацию мероприятий для защиты информации, а также их обязанности.

Так, субъекты КИИ обязаны своевременно информировать о компьютерных инцидентах ФОИВ (и Центральный банк РФ для финансовой сферы), соблюдать требования по обеспечению безопасности значимых объектов КИИ, выполнять предписания должностных лиц ФОИВ, реагировать на компьютерные инциденты в порядке, утвержденном ФОИВ, принимать меры по ликвидации последствий компьютерных атак, обеспечивать беспрепятственный доступ должностным лицам ФОИВ.

Статья 10 описывает 4 основные задачи системы безопасности значимого объекта КИИ, которые обязан выполнять субъект КИИ:

  1. предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом КИИ, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

  2. недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта КИИ;

  3. восстановление функционирования значимого объекта КИИ, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;

  4. непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Статья 11 говорит о требованиях по обеспечению безопасности значимых объектов КИИ, устанавливаемых уполномоченным ФОИВ, а также о дополнительных требованиях от иных Государственных органов и российских юридических лиц.

Статья 12 посвящена оценке безопасности КИИ в целях прогнозирования возникновения возможных угроз безопасности КИИ и выработки мер по повышению устойчивости ее функционирования при проведении в отношении ее компьютерных атак.

Уполномоченный ФОИВ проводит анализ получаемых 

  • данных о признаках компьютерных атак и о процессе использования средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциде��ты,

  • информации, представляемой субъектами КИИ и ФОИВ, а также не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными,

  • сведений по итогам проведения государственного контроля,

  • иной информации.

Для реализации вышеизложенного ФОИВ организует установку в сетях электросвязи, используемых для организации взаимодействия объектов КИИ, средств, предназначенных для поиска признаков компьютерных атак в таких сетях.

Также в статье сказано о взаимодействии ФОИВ, обеспечивающего функционирование, с ФОИВ, обеспечивающим безопасность.

Статья 13 предупреждает о государственном контроле в области обеспечения безопасности значимых объектов КИИ в виде плановых или внеплановых проверок. Основанием для осуществления плановой проверки является истечение трех лет со дня внесения сведений об объекте КИИ в реестр значимых или со дня окончания осуществления последней плановой проверки. Также расписано о том, что является основанием для осуществления внеплановой проверки, об акте проверки и последствиях при нарушениях.

Статья 14 об ответственности за нарушение этого закона и сопутствующих нормативных правовых актов в соответствии с законодательством РФ.

Статья 15 оглашает дату вступления закона в силу с 1 января 2018 года.