Федеральный закон № 187-ФЗ от 26.07.2017 регулирует защиту критической информационной инфраструктуры. Несмотря на то что центр тяжести закона — информационная безопасность, в его подзаконных актах прямо указаны и физические меры защиты. Это означает: проектирование объекта КИИ не сводится к настройке межсетевых экранов.
Главные подзаконные акты, по которым «живёт» 187-ФЗ:
- Постановление Правительства РФ № 127 (категорирование);
- Приказ ФСТЭК России № 235 (требования к СЗИ);
- Приказ ФСТЭК России № 239 (меры защиты значимых ОКИИ);
- Приказы ФСБ и ФСТЭК по ГосСОПКА и НКЦКИ.
Какие объекты подпадают
Под действие 187-ФЗ попадают информационные системы, сети связи и АСУ субъектов КИИ — организаций, действующих в установленных сферах:
- здравоохранение, наука, транспорт, связь;
- энергетика, ТЭК, атомная отрасль;
- банковская сфера, финансовые рынки;
- оборонная, ракетно-космическая, химическая, металлургическая, горнодобывающая промышленность.
Если организация ведёт деятельность в одной из сфер и эксплуатирует ИТ-системы, она признаётся субъектом КИИ. Внутри субъекта КИИ выявляются конкретные объекты КИИ и проводится их категорирование.
Категорирование — алгоритм
- Создание комиссии по категорированию (приказом руководителя).
- Идентификация объектов КИИ.
- Анализ возможных последствий компьютерных инцидентов: социальная, политическая, экономическая, экологическая, оборонная значимость.
- Сопоставление с показателями значимости (приложение к ПП № 127).
- Присвоение категории (1, 2, 3) или признание объекта незначимым.
- Направление сведений во ФСТЭК России.
Минимально обязательный набор технических систем
| Группа | Что включает | Категория объекта |
|---|---|---|
| СЗИ | Межсетевые экраны, СОВ, антивирусы, СКЗИ — сертифицированные ФСТЭК/ФСБ | Все значимые |
| Управление доступом | Идентификация, аутентификация, разграничение прав | Все значимые |
| Регистрация событий | SIEM, корреляция, длительное хранение журналов | 1, 2, 3 |
| Защита периметра | МСЭ, IDS/IPS | Все значимые |
| Защита помещений (ЗПС) | СКУД, СОТ, ОПС, контроль доступа в серверные | Все значимые |
| Защита технических средств (ЗТС) | Контроль целостности, защита от утечек по тех. каналам | 1, 2 (частично 3) |
| Резервирование и восстановление | Бэкапы, DR, кластеризация | Все значимые |
| Связь с ГосСОПКА | Передача данных в НКЦКИ | Все значимые |
Физическая безопасность как часть КИИ
Группы мер «ЗПС» и «ЗТС» по приказу ФСТЭК № 239 — это именно физическая безопасность:
- контроль и управление доступом в помещения с СВТ значимого ОКИИ;
- видеонаблюдение в технических помещениях и на путях подхода;
- охранная сигнализация с круглосуточным выводом на пост охраны;
- защита от несанкционированного доступа к носителям информации;
- защита от утечек по техническим каналам (ПЭМИН, акустика, виброакустика — для 1 и 2 категорий).
Особенности проектирования
На стыке ИТ и физической безопасности есть специфические требования:
- Раздельные подсистемы для значимых ОКИИ и общих систем — там, где это требуется приказом № 239 и моделью угроз.
- Сертифицированные ФСТЭК средства видеоаналитики для критических зон.
- Журналирование физических событий с интеграцией в SIEM.
- Изоляция технологических сетей от корпоративных через сертифицированные шлюзы.
- Обновление и поддержка СЗИ только через сертифицированные каналы.
Контроль и ответственность
Контроль за выполнением требований 187-ФЗ осуществляет ФСТЭК России (через периодические проверки) и ФСБ России (по компетенции в части ГосСОПКА). Ответственность — административная (КоАП ст. 13.12.1) и уголовная (УК РФ ст. 274.1) за неправомерное воздействие на КИИ или нарушение правил эксплуатации.
Что делать субъекту КИИ в 2025 году
- Подтвердить актуальность перечня ОКИИ и категорий значимости.
- Актуализировать модель угроз с учётом изменений ИТ-среды.
- Привести в соответствие комплекс СЗИ + ЗПС/ЗТС, проверить сертификаты.
- Подключиться к ГосСОПКА (если ещё не сделано).
- Провести внутренний аудит и закрыть выявленные несоответствия.
- Назначить ответственных по ИБ и обеспечить их повышение квалификации.
КОНТУР-ЗЕТ — ваш партнёр в реализации требований
ООО «КОНТУР-ЗЕТ» — аккредитованная проектная и монтажная организация с опытом более 15 лет на объектах транспортной инфраструктуры, ТЭК и промышленности. Мы выполняем полный цикл работ: от обследования и разработки проектной документации до пусконаладки и сдачи систем надзорным органам.
В части темы статьи мы предлагаем:
- Проектирование комплексных систем безопасности значимых объектов КИИ — от физических подсистем СКУД/СОТ/ОПС до интеграции с SIEM и поддержки требований ФСТЭК — с учётом действующих норм и актуальной редакции нормативной базы.
- Аудит существующих систем на соответствие требованиям с выдачей письменного заключения и дорожной карты по приведению в норму.
- Сопровождение приёмки объекта надзорными органами (МЧС, Ростехнадзор, Росгвардия, ФСТЭК, ФСБ — в зависимости от типа объекта).
- Гарантийное и постгарантийное обслуживание с регламентным ТО и оперативным реагированием.
Если ваш объект готовится к проектированию, реконструкции или плановой проверке — обращение к опытному подрядчику на раннем этапе кратно снижает риски срыва сроков и претензий со стороны контролирующих органов.