Какие дополнительные указы и обновления изданы?

Отношение к закону и реальная ситуация

Проблемы и положительные стороны принятия закона

Что делать тем, кого он касается?

12 июля 2017 года Государственная Дума приняла Федеральный закон о безопасности критической информационной инфраструктуры Российской Федерации (далее — КИИ). Закон был подписан Президентом РФ 26 июля 2017, вступил в силу 1 января 2018 года. Закон состоит из 15-ти статей, кратко описанных в конце данной публикации.

С того момента закон редактировался, был принят ещё целый ряд указов и правовых актов. Среди них приказ ФСТЭК России № 235 от 21.12.2017 (ред. от 20.04.2023) «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования», а также приказ ФСТЭК России  № 239 от 25.12.2017 (ред. от 28.08.2024) «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

С 30 марта 2022 года благодаря указам № 166 и № 887 Президента РФ кардинально изменились требования и подходы к защите значимых объектов КИИ. Два ключевых изменения — запрет на приобретение иностранного ПО и ПАК с 31 марта 2022 года и полный запрет на использование импортного ПО и ПАК на значимых объектах КИИ с 1 января 2025 года.

Позже, 14 ноября 2023 года, во исполнение пункта 2 Указа № 166 Правительство выпустило Постановление № 1912, в котором, в частности, был установлен запрет на использование с 1 сентября 2024 года ПАК, приобретённых с той же даты  — 1 сентября 2024 года. В нём же был установлен срок перехода на преимущественное (пока ещё на тот момент!) применение доверенных ПАК до 1 января 2030 года.

В связи с требованиями времени, СВО, санкциями и связанными с этими факторами угрозами для Российской Федерации появился Указ Президента РФ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ». Этот указ кардинально изменил подход к обеспечению кибербезопасности в российских компаниях. По оценкам экспертов, этот документ затронул около 500 тысяч организаций, составляющих до 95% российской экономики. 

На момент появления указа № 250 бытовало мнение людей о том, что никто в компаниях не хочет заниматься информационной безопасностью и тратить на это деньги, что практически все проигнорировали требования закона № 187-ФЗ РФ, за исключением специализированных структур. Среди причин и проблем назывались постоянные изменения и противоречия нормативной базы и руководящих документов, хаос, дефицит реальных специалистов, отсутствие средств у не столичных компаний и пассивное ожидание проверок. Делились мнением, например, и о том, что ранее, на бумаге, также заместитель руководителя организации отвечал за техническую защиту информации (как это установлено законом № 187-ФЗ теперь), но на практике, не имея соответствующих компетенций, не интересовался вопросом, делегируя его профильному отделу с соответствующим специалистом по защите информации.

Очевидно, что в стране были необходимы не только разработка специального отечественного софта, но и создание мотивации и профильной системы обучения, а не пассивный режим должностных лиц, пока не придут проверяющие органы. Также государство могло обязать компании соблюдать стандарт ISO/IEC 27001 как обязательный, чтобы ситуация улучшилась. Например, в области развития компетенций должностных лиц. Кстати, как положительный пример, можно упомянуть открытие магистратуры в университете «Сириус», выпускники которой изучают предметы, проходя полноценную инженерную практику на реальных предприятиях, таких как «Росатом». Возможно, что и ваше предприятие могло бы стать базой для такой практики и внедрения отечественных разработок.

25 марта 2025 года Госдумой принят законопроект, вносящий изменения в ФЗ № 187-ФЗ.

7 апреля 2025 года Президент РФ Владимир Путин подписал Федеральный закон № 58-ФЗ (изменения в № 187-ФЗ) о переводе критически важных объектов информационной структуры на отечественное программное обеспечение для укрепления цифровой безопасности страны.

Отвертеться не получится, как и найти лазейку, как это практиковали компании в прошлые годы. Также по закону возможны повторные штрафы и даже уголовная ответственность в случае нарушений.

Обновленный Федеральный закон направлен на усиление технологической независимости и повышение безопасности КИИ и вступает в силу 1 сентября 2025 года.

Теперь, по новому закону, перевести значимые объекты КИИ на российское программное обеспечение обязаны не только Государственные органы и компании, но и коммерческие. А для каждой отрасли Правительство утвердит типовые значимые объекты КИИ, которые собственники (субъекты КИИ) обязаны будут классифицировать.

Соответствующие российские ведомства до конца 2025 года определят типовые значимые объекты КИИ для каждой отрасли и установят сроки их перевода на российское программное обеспечение.

Кстати, уже в 2023 году российские аналоги могли заместить около 80% иностранного ПО, а по части позиций были уже не менее двух альтернативных вариантов. Была создана государственная программа “Отечественное ПО”. К слову, на покупку лицензий, внедрение и поддержку импортного ПО ежегодно только частный сектор выделял около 200 млрд рублей. Теперь эти средства можно направить на импортозамещение, поддерживая и экономику страны.

Также в конце июня 2025 года в России принят стандарт ПНСТ 1007-2025 «Критическая информационная инфраструктура (КИИ). Программно-аппаратные комплексы (ПАК). Классификация по назначению». Документ устанавливает классификацию ПАК, которые можно будет применять на объектах КИИ после их признания доверенными.

Что делать тем, кого касается № 187-ФЗ?

Для начала нужно определить с помощью указанных в статье закона органов власти, является ли ваша организация субъектом КИИ, если это не было сделано ранее, и получить либо не получить категорию значимости.

После утверждения и выпуска соответствующих новых документов Правительства РФ и ФСТЭК России, организациям, уже отнесённым к субъектам КИИ, необходимо:

• запланировать пересмотр объектов КИИ и их категорий значимости;

• подсчитать, сколько используется импортного ПО и программно-аппаратных средств в составе значимых объектов КИИ;

• просчитать бюджеты перехода на отечественные решения, хотя бы примерно;

• внести в план работы импортозамещение — переход на отечественные ПО и ПАК, который возможно осуществить, учитывая сроки, риски и приоритеты;

• самостоятельно или с помощью специализированных центров (см. НКЦКИ) наладить взаимодействие с ГосСОПКА. Можно подключиться к центру мониторинга информационной безопасности от УЦСБ USSC-SOC.

• проанализировать соответствие требованиям закона № 187-ФЗ, особенно соответствие отраслевым особенностям и присутствие объектов в отраслевых перечнях, и актуальным Правилам категорирования;

• зафиксировать все данные для последующей подачи в соответствующие инстанции, а именно: зафиксировать проектный или штатный режим функционирования всех объектов и составить список доменов и IP-адресов, если объекты имеют доступ к сети «Интернет».

(до подписания закона № 58-ФЗ)

Статья 1 определяет сферу действия этого Федерального закона (далее — ФЗ).Так № 187-ФЗ регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры РФ (далее — КИИ) в целях её устойчивого функционирования при проведении в отношении ее компьютерных атак.

Закон издан для того, чтобы предупредить и избежать негативных последствий и ущерба для функционирования каждой конкретной российской организации, подпадающей под некоторые категории, и Российской Федерации в целом при проведении в отношении их компьютерных атак.

Статья 2 определяет основные понятия, а именно, что такое

• автоматизированная система управления (АСУ),

• безопасность КИИ,

• значимый объект КИИ,

• компьютерная атака, 

• компьютерный инцидент,

• КИИ, 

• объекты КИИ, 

• субъекты КИИ.

Статья 3 уточняет правовое регулирование отношений в области обеспечения безопасности КИИ в соответствии с Конституцией РФ, общепризнанными принципами и нормами международного права, настоящим Федеральным законом, другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами.

Также в статье уточняется, что особенности применения настоящего Федерального закона к сетям связи общего пользования определяются Федеральным законом от 7 июля 2003 года № 126-ФЗ «О связи» и принимаемыми в соответствии с ним нормативными правовыми актами РФ.

Статья 4 обозначает принципы обеспечения безопасности КИИ, такие как

1. законность;

2. непрерывность и комплексность обеспечения безопасности КИИ, достигаемые в том числе за счет взаимодействия уполномоченных федеральных органов исполнительной власти (далее — ФОИВ) и субъектов КИИ;

3. приоритет предотвращения компьютерных атак.

Статья 5 разъясняет, что такое Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), какими силами и средствами обладает и как осуществляет свою деятельность.

Статья 6 описывает полномочия Президента РФ, Правительства РФ и федеральных органов исполнительной власти РФ в области обеспечения безопасности КИИ — кто и что определяет, устанавливает, утверждает, предлагает, контролирует, координирует, организует.

Статья 7 посвящена категорированию объектов КИИ с присвоением либо неприсвоением одной из трёх возможных категорий значимости, исходя из социальной, политической, экономической, экологической значимости, значимости объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка. Описаны процесс информирования органов и сроки, процессы внесения в реестр либо исключения из него (далее редактировались новыми документами).

Статья 8 о составлении и ведении реестра значимых объектов КИИ.

Статья 9 описывает права субъектов КИИ, в том числе на получение важной информации, приобретение оборудования, организацию мероприятий для защиты информации, а также их обязанности.

Так, субъекты КИИ обязаны своевременно информировать о компьютерных инцидентах ФОИВ (и Центральный банк РФ для финансовой сферы), соблюдать требования по обеспечению безопасности значимых объектов КИИ, выполнять предписания должностных лиц ФОИВ, реагировать на компьютерные инциденты в порядке, утвержденном ФОИВ, принимать меры по ликвидации последствий компьютерных атак, обеспечивать беспрепятственный доступ должностным лицам ФОИВ.

Статья 10 описывает 4 основные задачи системы безопасности значимого объекта КИИ, которые обязан выполнять субъект КИИ:

1. предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом КИИ, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

2. недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта КИИ;

3. восстановление функционирования значимого объекта КИИ, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;

4. непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Статья 11 говорит о требованиях по обеспечению безопасности значимых объектов КИИ, устанавливаемых уполномоченным ФОИВ, а также о дополнительных требованиях от иных Государственных органов и российских юридических лиц.

Статья 12 посвящена оценке безопасности КИИ в целях прогнозирования возникновения возможных угроз безопасности КИИ и выработки мер по повышению устойчивости ее функционирования при проведении в отношении ее компьютерных атак.

Уполномоченный ФОИВ проводит анализ получаемых 

• данных о признаках компьютерных атак и о процессе использования средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты,

• информации, представляемой субъектами КИИ и ФОИВ, а также не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными,

• сведений по итогам проведения государственного контроля,

• иной информации.

Для реализации вышеизложенного ФОИВ организует установку в сетях электросвязи, используемых для организации взаимодействия объектов КИИ, средств, предназначенных для поиска признаков компьютерных атак в таких сетях.

Также в статье сказано о взаимодействии ФОИВ, обеспечивающего функционирование, с ФОИВ, обеспечивающим безопасность.

Статья 13 предупреждает о государственном контроле в области обеспечения безопасности значимых объектов КИИ в виде плановых или внеплановых проверок. Основанием для осуществления плановой проверки является истечение трех лет со дня внесения сведений об объекте КИИ в реестр значимых или со дня окончания осуществления последней плановой проверки. Также расписано о том, что является основанием для осуществления внеплановой проверки, об акте проверки и последствиях при нарушениях.

Статья 14 об ответственности за нарушение этого закона и сопутствующих нормативных правовых актов в соответствии с законодательством РФ.

Статья 15 оглашает дату вступления закона в силу с 1 января 2018 года.