Защита критической информационной инфраструктуры в 2025 году: что нужно знать бизнесу

В 2025 году тема защиты критической информационной инфраструктуры (КИИ) снова оказалась в центре внимания. Причина не только в росте числа кибератак, но и в том, что с 1 сентября вступили в силу поправки в закон от 26.07.2017 № 187-ФЗ. Они дополняют порядок категорирования, расширяют полномочия ФСБ и ФСТЭК, вводят обязательный переход на российское программное обеспечение на значимых объектах КИИ и усиливают контроль со стороны государства.

После 2022 года стало очевидно, насколько сильно зависели ключевые отрасли — энергетика, транспорт, связь, финансы, медицина — от зарубежных технологий. Санкции ограничили доступ к обновлениям, лицензиям и сервисам, поставив под угрозу устойчивость ИТ-систем, от которых зависит работа страны. Импортозамещение из временной меры превратилось в стратегическую задачу: обеспечить технологическую независимость и устойчивость КИИ.

Для бизнеса это не абстрактная инициатива государства, а конкретные обязательства и риски. Несоблюдение правил теперь грозит не только штрафами, но и приостановкой деятельности, а в отдельных случаях — уголовной ответственностью.

Критическая информационная инфраструктура (КИИ) — это совокупность информационных систем (ИС), автоматизированных систем управления (АСУ), информационно-телекоммуникационных сетей (ИТКС) и других цифровых компонентов, которые обеспечивают работу жизненно важных отраслей. Термин закреплен в законе № 187-ФЗ.

Регулировать безопасность КИИ важно, потому что атака или сбой в одной системе может повлечь остановку энергоснабжения, нарушение банковских расчетов, сбой транспортных узлов или медицинских сервисов. Закон 187-ФЗ вводит единые правила, чтобы такие риски минимизировать и обеспечить контроль за устойчивостью технологических процессов.

Субъект КИИ — это организация, которая владеет или эксплуатирует объекты критической инфраструктуры и зарегистрирована на территории России. 

С 1 сентября 2025 года вступила в силу новая редакция закона 187-ФЗ, которая уточнила круг субъектов. Теперь к ним относятся:

• федеральные и региональные органы власти;

• государственные и муниципальные учреждения (больницы, МФЦ, вузы);

• государственные и муниципальные унитарные предприятия (ГУПы, МУПы);

• хозяйственные общества с государственным участием, если государство владеет контрольным пакетом акций или имеет решающее влияние;

• любые юридические лица, работающие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.

Из перечня субъектов исключены индивидуальные предприниматели. Но если они работают с государственными системами или в смежных секторах, на них могут распространяться отдельные требования регуляторов (ФСТЭК, ФСБ).

Топ ошибок в работе с персональными данными, которые могут привести к многомиллионным штрафам

Проверьте, правильно ли ваша компания обрабатывает персональные данные

Заполните форму ниже, вышлем мануал вам на e-mail:

Имя^*

E-mail^*

Телефон^*

Отправить

Нажимая кнопку, я соглашаюсь с пользовательским соглашением, обработкой персональных данных и получением информационных и рекламных рассылок

Каждая организация, признанная субъектом КИИ, обязана соблюдать комплекс требований по информационной безопасности:

Категорирование — основная процедура, с которой начинается защита критической информационной инфраструктуры. Она позволяет определить, какие системы важны для устойчивости компании и государства, и установить для них соответствующий уровень мер безопасности.

Категория значимости показывает, насколько серьезными могут быть последствия при остановке или нарушении работы объекта КИИ. Она влияет на выбор средств защиты, объем организационных мер и требования регуляторов.

Закон выделяет три категории:

• Первая — наивысшая, если сбой способен крупномасштабно повлиять на жизнь и здоровье людей, а также на экономику, безопасность и обороноспособность государства.

• Вторая — средняя, если нарушение затронет региональный уровень, приведет к перебоям в обеспечении населения, работе транспорта, связи, медицины.

• Третья — самая низкая, если возможные последствия ограничены рамками одного предприятия или муниципального образования.

Для каждой сферы экономики формируются собственные перечни типовых объектов КИИ и методические указания по их категорированию. Это позволяет учитывать специфику работы каждой отрасли и устранить дублирование требований.

Перечни разрабатывают профильные министерства и утверждают совместно с ФСТЭК. В них перечислены типовые информационные системы, АСУ и сети, которые в рамках отрасли признаются объектами КИИ. На основании этих документов субъекты определяют, какие системы подлежат категорированию.

С 2025 года система управления безопасностью критической информационной инфраструктуры стала централизованной. 

Компании, которые относятся к субъектам КИИ, должны учитывать, что контроль теперь стал не только жестче, но и системнее. Нарушения фиксируют быстрее, а последствия за несоблюдение требований — серьезнее.

Новые поправки к 187-ФЗ окончательно закрепляют: вопрос безопасности КИИ больше нельзя откладывать. Даже если компания не уверена, относится ли она к субъектам, лучше проверить это заранее — иначе при первой проверке регуляторы сделают это сами. Ниже — практические шаги, которые помогут адаптироваться к новым требованиям и снизить риски.

Создайте полный список всех используемых информационных систем, АСУ, серверов и ПО. Зафиксируйте, какие из них критичны для работы компании и обеспечивают производственные, финансовые или управленческие процессы. Отдельно отметьте зарубежные продукты, чтобы заранее спланировать переход на отечественные аналоги.

Если ранее категорирование уже выполнялось, проверьте, не изменились ли категория значимости, состав объектов или их назначение. Проинформируйте ФСТЭК о проведенной категоризации и добейтесь внесения сведений в единый реестр объектов критической инфраструктуры.

Определите приоритетные направления импортозамещения, например СУБД или серверы. Запланируйте сроки и бюджет перехода, подготовьте сотрудников к работе с новыми продуктами.

Создайте систему мониторинга и реагирования на кибератаки. Настройте сбор и хранение событий, уведомления ФСБ и ФСТЭК об инцидентах, ведите журнал реагирования.

Назначьте сотрудников, ответственных уведомление контролирующих органов. Определите порядок уведомления о категориях объектов, угрозах и инцидентах. 

Разработайте регламенты по обеспечению безопасности КИИ, порядок реагирования на инциденты, инструкции по резервированию и восстановлению систем. Проведите обучение для ИТ-специалистов, инженеров и руководителей.

Обеспечение безопасности КИИ

Оформите заявку на услугу, мы свяжемся с вами в ближайшее время и ответим на все интересующие вас вопросы

Заказать услугу

• Проведена инвентаризация ИТ-систем и программного обеспечения.

• Определено, какие объекты относятся к КИИ.

• Проведено или обновлено категорирование.

• Данные о значимых объектах направлены в ФСТЭК.

• Составлен план перехода на российское программное обеспечение.

• Назначены ответственные за реагирование на инциденты и взаимодействие с ФСБ/ФСТЭК.

• Организован постоянный мониторинг и журналирование инцидентов.

• Обновлены внутренние регламенты и проведено обучение сотрудников.

Читайте также:

• Как оформить согласие на обработку персональных данных с 1 сентября 2025: пошаговая инструкция для бизнеса.

• Обезличивание персональных данных: новые правила с 1 сентября 2025 года.

• Топ вопросов и ответов про работу с персональными данными в 2025 году.

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFFzkTQU