Защита КИИ в России: полное руководство по требованиям и мерам безопасности (187 ФЗ)

6 мая 2026

Критическая информационная инфраструктура (КИИ) — основа безопасности государства и стабильности ключевых отраслей экономики. Разберём, как обеспечить защиту КИИ по закону № 187‑ФЗ, какие требования предъявляет ФСТЭК и какие меры защиты обязательны для значимых объектов.

Что такое КИИ и какие объекты подлежат защите?

Критическая информационная инфраструктура — это информационные системы, сети и автоматизированные системы управления, критически важные для:

энергетики;
транспорта;
банковской сферы;
связи;
здравоохранения;
госорганов;
оборонно‑промышленного комплекса и др.

Объекты защиты КИИ:

информационные системы (ИС);
информационно‑телекоммуникационные сети (ИТС);
автоматизированные системы управления (АСУ).

Значимый объект КИИ (ЗОКИИ) — объект с присвоенной категорией значимости (1–3), включённый в реестр ФСТЭК [3].

Нормативная база защиты КИИ

Основные документы:

187‑ФЗ "О безопасности КИИ" (2017 г., с изменениями 2025 г.) — главный закон, регулирующий защиту КИИ. В 2025 году закреплено обязательное использование отечественных решений на значимых объектах [1].
Постановление Правительства № 127 (08.02.2018) — правила категорирования объектов, показатели значимости [5].
Постановление № 1912 (14.11.2023) — переход на отечественные ПАК [1].
Приказ ФСТЭК № 239 (25.12.2017) — требования по обеспечению безопасности значимых объектов [2].
ГосСОПКА — государственная система обнаружения и ликвидации последствий кибератак.

Категорирование объектов КИИ: 3 шага

Процесс определения уровня значимости объекта (категории 1–3):

Идентификация объекта — анализ роли в жизнеобеспечении страны.
Оценка последствий атак — возможный ущерб безопасности, экономике, здоровью граждан.
Присвоение категории — 1 (наивысшая), 2 или 3. Результаты утверждаются ФСТЭК.

Требования к защите КИИ по ФСТЭК (Приказ № 239)

В техническое задание на защиту ЗОКИИ должны входить:

цель и задачи безопасности;
категория значимости объекта;
перечень нормативных актов и стандартов;
типы объектов защиты;
организационные и технические меры;
требования к СЗИ;
защита средств и систем функционирования [2].

Система защиты КИИ: ключевые компоненты

Многоуровневая защита включает:

IDS/IPS — обнаружение и предотвращение вторжений;
шифрование данных — конфиденциальность и целостность;
контроль доступа — ограничение прав пользователей;
резервное копирование — быстрое восстановление после атак;
аудит безопасности — мониторинг событий и инцидентов.

Меры защиты КИИ: обязательный перечень

Согласно требованиям ФСТЭК:

идентификация и аутентификация;
управление доступом;
ограничение программной среды;
защита носителей информации;
антивирусная защита;
предотвращение вторжений;
обеспечение целостности и доступности;
реагирование на инциденты;
обучение персонала.

Сертифицированные средства защиты информации (СЗИ)

Для ЗОКИИ обязательны СЗИ с сертификатами ФСТЭК или ФСБ. Выбор зависит от типа объекта:

для АСУ — промышленные СЗИ;
для ИС — межсетевые экраны, SIEM‑системы;
для ИТС — криптошлюзы, IDS.

Взаимодействие с ГосСОПКА

Субъекты КИИ обязаны:

информировать ГосСОПКА о компьютерных инцидентах;
обеспечивать совместимость систем мониторинга;
передавать данные о защищённости в режиме реального времени;
поддерживать протоколы обмена информацией (STIX/TAXII).

Ответственность за нарушения

Несоблюдение требований влечёт:

административную ответственность — штраф до 500 000 руб. (ст. 13.12.1 КоАП РФ);
уголовную ответственность — до 10 лет лишения свободы (ст. 274.1 УК РФ).

Современные тенденции защиты КИИ (2025–2026)

Актуальные направления:

внедрение ИИ для мониторинга угроз;
переход на отечественное ПО и ПАК;
централизация управления безопасностью (Правительство → ФСТЭК → ФСБ).

Заключение

Защита КИИ — стратегическая задача для обеспечения национальной безопасности. Соблюдение требований 187‑ФЗ, приказов ФСТЭК и взаимодействие с ГосСОПКА позволяют минимизировать риски кибератак и обеспечить стабильность ключевых отраслей.