Метаданные:
- Время чтения: 15 минут
- Для кого: CEO, CTO, Legal IT, фаундеры стартапов
- Риск: Уголовная ответственность, принудительное категорирование
- Ключ: КИИ для IT-компаний
- Актуально на: январь 2026
Executive Summary (Сжатая суть для CEO)
Прежде чем мы погрузимся в юридические дебри, давайте зафиксируем реальность. Если вы думаете, что КИИ (Критическая Информационная Инфраструктура) — это только про АЭС, Газпром и РЖД, вы рискуете свободой (буквально, ст. 274.1 УК РФ).
Вот 5 тезисов, которые должен знать каждый фаундер IT-компании в 2026 году:
- Код не спасает от статуса. Вы можете быть «просто SaaS-стартапом», но если ваш софт управляет процессами в здравоохранении, финансах или науке, и вы арендуете серверные мощности под это — вы потенциальный субъект КИИ.
- Аренда = Владение. Для 187-ФЗ не обязательно иметь дата-центр в собственности. Аренда мощностей (IaaS) или владение информационной системой на правах лицензии/иного законного основания делает вас субъектом, если вы работаете в критической сфере.
- Вендор vs Эксплуатант. Это главная линия обороны. Если вы продаете коробку (On-premise), субъектом становится клиент. Если вы предоставляете сервис (SaaS/Cloud) и обрабатываете данные на своих (или арендованных) мощностях — субъектом становитесь вы.
- Игнорирование дороже внедрения. Штрафы — это мелочь. Уголовная ответственность для руководителя за нарушение правил эксплуатации КИИ — это реальный риск, который нельзя «захеджировать».
- Законодательство обновляется. С сентября 2025 по январь 2026 года в регулирование КИИ внесены масштабные изменения: исключены ИП из числа субъектов, введены типовые отраслевые перечни, сокращены сроки уведомления об инцидентах до 3 часов. Игнорирование обновлений — прямой путь к санкциям.
⚠️ ВАЖНО: Обновления законодательства 2025-2026
С сентября 2025 по январь 2026 года в законодательство о КИИ внесены критические изменения:
1 сентября 2025 года (ФЗ № 58 от 07.04.2025)
- Индивидуальные предприниматели ИСКЛЮЧЕНЫ из числа субъектов КИИ
- Теперь субъектами являются только: государственные органы, государственные учреждения, российские юридические лица
18 ноября 2025 года (ПП РФ № 1762)
- Новая процедура категорирования через типовые отраслевые перечни объектов КИИ (утверждаются Правительством)
- Отменено требование предварительного согласования перечня объектов с отраслевым регулятором и ФСТЭК
- Обновлены показатели значимости и форма № 236
- Теперь обязательно указывать IP-адреса и доменные имена ресурсов с прямым подключением к Интернету
30 января 2026 года (Приказы ФСБ России)
- Сокращены сроки уведомления об инцидентах: до 3 часов для ЗОКИИ, до 24 часов для информационных ресурсов органов власти
- Субъекты КИИ обязаны отвечать на запросы ФСБ в течение 24 часов
- Введена обязанность разработки плана реагирования на киберинциденты (90 дней на утверждение в НКЦКИ)
Введение: Иллюзия «Нас это не касается»
«Мы пишем код, у нас коворкинг, смузи и Agile. Какая еще критическая инфраструктура? Мы же не трубу с нефтью обслуживаем».
Я слышу это от клиентов постоянно. Как адвокат и основатель Института Системного Синтеза, я вижу здесь классическую ошибку восприятия. Вы смотрите на форму (мы IT-компания), а закон 187-ФЗ смотрит на суть (на какие процессы вы влияете).
В 2026 году IT-сектор стал кровеносной системой для реального сектора. Если ваш софт «упадет» и из-за этого встанет отгрузка лекарств или транзакции банка — для регулятора вы не просто «стартап», вы звено цепи безопасности страны. И это звено должно быть защищено.
Сегодня мы разберем КИИ для IT-компаний с точки зрения системного подхода: как определить свой статус, отсечь лишнее и превратить регуляторный хаос в управляемый бизнес-процесс.
Кто является субъектом КИИ в IT-секторе?
Давайте обратимся к первоисточнику — Федеральному закону № 187-ФЗ. Чтобы стать субъектом КИИ, должно совпасть два фактора.
Фактор 1. Сфера деятельности
Вы (российское юридическое лицо, государственный орган или учреждение) должны функционировать в одной из 14 сфер (или обеспечивать их взаимодействие):
- Здравоохранение
- Наука
- Транспорт
- Связь (Важно для Telecom/ISP)
- Энергетика
- Государственная регистрация прав на недвижимое имущество и сделок с ним (Росреестр)
- Банковская сфера и иные сферы финансового рынка (FinTech)
- Топливно-энергетический комплекс (ТЭК)
- Атомная энергия
- Оборонная промышленность
- Ракетно-космическая промышленность
- Горнодобывающая промышленность
- Металлургическая промышленность
- Химическая промышленность
Ловушка для IT: Многие считают: «У нас в ОКВЭД стоит разработка ПО (62.01), значит, мы не относимся к медицине». Это ошибка. Закон смотрит на фактическую деятельность. Если вы разрабатываете и поддерживаете МИС (Медицинскую Информационную Систему) — вы функционируете в сфере здравоохранения.
Внимание! С 1 сентября 2025 года индивидуальные предприниматели НЕ ЯВЛЯЮТСЯ субъектами КИИ (исключены Федеральным законом от 07.04.2025 № 58-ФЗ).
Фактор 2. Наличие объектов
Вам должны принадлежать (на праве собственности, аренды или ином законном основании):
- ИС (Информационные системы);
- ИТС (Информационно-телекоммуникационные сети);
- АСУ (Автоматизированные системы управления).
Важно: Фраза «на ином законном основании» — это ящик Пандоры. Договор аренды сервера, договор colocation или даже облачный контракт (при определенных условиях доступа к инфраструктуре) могут трактоваться как законное основание владения объектом.
Критерии для SaaS, облачных провайдеров и дата-центров
Самый сложный вопрос: как КИИ для IT-компаний работает в облачной эре?
1. SaaS (Software as a Service)
Здесь проходит водораздел.
- Сценарий А (Вендор): Вы продаете лицензию на CRM для атомной станции. Станция ставит софт на свои сервера.
- Вердикт: Субъект КИИ — Атомная станция. Вы — просто разработчик.
- Сценарий Б (Оператор сервиса): Вы предоставляете облачную бухгалтерию для оборонного завода. Данные лежат на ваших (или арендованных вами) серверах, вы администрируете доступ, бэкапы и каналы связи.
- Вердикт: Вы — потенциальный субъект КИИ. Ваша ИС обрабатывает данные в критической сфере.
2. Облачные провайдеры и ЦОД
Для дата-центров и хостеров ситуация более прозрачная, но жесткая. Они часто попадают под сферу «Связь». Если в вашем ЦОДе размещаются государственные системы или системы банков, вы автоматически становитесь держателем значимых объектов КИИ.
Важно: С ноября 2025 года миграция значимых объектов КИИ в облако стала более регламентированной, но возможной при соблюдении требований безопасности.
3. Аутсорсеры и Интеграторы
Если вы осуществляете поддержку и администрирование систем клиента (MSP — Managed Service Provider) и имеете удаленный доступ к управлению их критической инфраструктурой, вы попадаете под пристальное внимание регулятора, хотя формально субъектом остается заказчик. Но ФСТЭК все чаще требует, чтобы подрядчики соответствовали требованиям безопасности субъекта.
Как определить, попадаете ли вы под 187-ФЗ (Чек-лист)
Системный подход требует алгоритма. Не гадайте, а проведите внутренний аудит.
✓ Шаг 1. Анализ организационно-правовой формы
- Вы российское юридическое лицо, государственный орган или учреждение?
- Если вы ИП — вы НЕ субъект КИИ (с 01.09.2025)
✓ Шаг 2. Анализ клиентов
- Есть ли среди ваших клиентов компании из 14 критических сфер?
- Работаете ли вы с государственными органами или учреждениями?
✓ Шаг 3. Анализ процессов
- Обеспечивает ли ваш IT-продукт управленческие, технологические, производственные или финансовые процессы этих клиентов?
- Если ваш софт просто считает отпуска сотрудников завода — риск низкий
- Если он управляет конвейером или обрабатывает платежи — риск критический
✓ Шаг 4. Анализ прав на инфраструктуру
- Кому принадлежит «железо» и софт в момент эксплуатации?
- Если вам (или вы арендуете) — вы в зоне риска
✓ Шаг 5. Проверка типовых отраслевых перечней (с ноября 2025)
- Попадает ли ваш объект в типовой отраслевой перечень, утвержденный Правительством РФ для вашей сферы?
Алгоритм действий при попадании под КИИ
Если вы поняли, что КИИ для IT-компаний — это про вас, без паники. Хаос превращаем в структуру.
Шаг 1. Создание комиссии по категорированию
Приказом по организации создается комиссия по категорированию. В нее входят:
- Руководитель организации (или заместитель)
- Главный бухгалтер
- IT-директор/Технический директор
- Юрист
- Ответственный за информационную безопасность (обязательно!)
Шаг 2. Работа с типовыми отраслевыми перечнями (с ноября 2025)
Изменение процедуры: Теперь вы не самостоятельно выявляете критические процессы, а работаете от типовых отраслевых перечней объектов КИИ, утверждаемых Правительством РФ для каждой из 14 сфер.
Действия:
- Получите актуальный типовой перечень для вашей отрасли
- Сопоставьте свои объекты с перечнем
- Если ваш объект есть в перечне — переходите к категорированию
Шаг 3. Категорирование объектов
Это сердце процесса. Вы должны оценить свои объекты (ИС, ИТС, АСУ) по показателям значимости согласно обновленному Постановлению Правительства РФ от 08.02.2018 № 127 (в редакции от 07.11.2025 № 1762).
Категории значимости:
- 1 категория — самая высокая (критический ущерб)
- 2 категория — средняя (значительный ущерб)
- 3 категория — низкая (ущерб)
- Незначимый объект — ущерб ниже пороговых значений
Что оценивается:
- Социальная значимость (вред жизни и здоровью людей)
- Политическая значимость (угроза конституционному строю, обороноспособности)
- Экономическая значимость (финансовые потери)
- Экологическая значимость (вред окружающей среде)
- Обеспечение функций государственного управления
Важно: Даже если объект признан незначимым, он все равно остается объектом КИИ и подлежит учету (но к нему не применяются требования по защите ЗОКИИ).
Шаг 4. Подготовка и подача сведений во ФСТЭК
Новые сроки (с ноября 2025):
| Ситуация | Срок подачи сведений |
|---|---|
| Для существующих объектов | 10 рабочих дней после утверждения акта категорирования |
| Для новых объектов (базовые сведения) | 10 рабочих дней после утверждения требований к объекту |
| Для новых объектов (характеристики и меры защиты) | 10 рабочих дней после ввода в эксплуатацию |
| При изменениях в объекте | 20 рабочих дней |
Форма подачи: Форма № 236 (обновленная редакция с ноября 2025).
Обязательные сведения:
- Наименование и характеристики объекта
- Категория значимости
- Применяемые меры защиты
- IP-адреса и доменные имена ресурсов с прямым подключением к Интернету (новое требование!)
Проверка ФСТЭК: В течение 30 календарных дней после получения сведений ФСТЭК проводит проверку и:
- Либо вносит объект в реестр значимых объектов КИИ
- Либо направляет мотивированный отказ
Важное изменение: С ноября 2025 года отменено требование предварительного согласования перечня объектов с отраслевым регулятором и ФСТЭК. Вы сразу проводите категорирование и направляете результаты.
Шаг 5. Построение системы защиты значимых объектов КИИ (ЗОКИИ)
Срок: 90 календарных дней с момента направления сведений о категорировании во ФСТЭК (Приказ ФСТЭК России от 25.12.2017 № 239).
Что нужно внедрить:
5.1. Организационные меры
- Назначить ответственного за обеспечение безопасности ЗОКИИ
- Разработать и утвердить политику информационной безопасности
- Провести аттестацию персонала
- Организовать обучение сотрудников
5.2. Технические меры
- Внедрить сертифицированные средства защиты информации (СЗИ) в соответствии с категорией значимости
- Установить системы обнаружения вторжений (СОВ)
- Настроить системы анализа защищенности (САЗ)
- Внедрить средства контроля и управления доступом
Требования к СЗИ:
- Только сертифицированные ФСТЭК средства
- Соответствие требованиям приказа ФСТЭК России от 25.12.2017 № 239
- Регулярное обновление сигнатур и правил
5.3. Подключение к ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак)
Срок подключения: В течение 3 месяцев после внесения объекта в реестр ЗОКИИ.
Порядок подключения:
- Подать заявку в территориальный орган ФСБ России
- Согласовать техническую схему подключения
- Установить сертифицированные средства обнаружения компьютерных атак (СОА)
- Обеспечить передачу информации об инцидентах в НКЦКИ (Национальный координационный центр по компьютерным инцидентам)
5.4. Разработка плана реагирования на киберинциденты (НОВОЕ с 30.01.2026)
Срок разработки: 90 дней с момента внесения объекта в реестр значимых.
Содержание плана:
- Классификация типов инцидентов
- Алгоритмы реагирования на каждый тип инцидента
- Распределение ролей и ответственности
- Порядок взаимодействия с НКЦКИ и правоохранительными органами
- Процедуры восстановления после инцидента
Утверждение: План должен быть согласован и утвержден в НКЦКИ.
Шаг 6. Организация мониторинга и реагирования на инциденты
Критически важные сроки (с 30 января 2026):
| Тип объекта | Срок уведомления об инциденте |
|---|---|
| Значимые объекты КИИ (ЗОКИИ) | До 3 часов с момента обнаружения |
| Информационные ресурсы органов государственной власти | До 24 часов |
| Информационные системы банков | До 24 часов (с правом дублирования в Банк России) |
Канал уведомления: Через систему взаимодействия с НКЦКИ (ГосСОПКА).
Обязанность ответа на запросы ФСБ: 24 часа на предоставление ответов на запросы ФСБ России о киберинцидентах.
Практический совет: Настройте автоматизированные системы мониторинга безопасности (SIEM) с интеграцией в ГосСОПКА, чтобы не нарушить 3-часовой срок уведомления.
Шаг 7. Регулярный аудит и актуализация
Периодичность:
- Ежегодно: Проверка актуальности категорирования
- Раз в 3 года: Обязательная переоценка категорий значимости
- При изменениях: Внеплановое категорирование при существенных изменениях в объекте или процессах
Внешний аудит:
- Проверки ФСТЭК (плановые и внеплановые)
- Проверки отраслевых регуляторов
- Независимый аудит безопасности (рекомендуется)
Таблица: Типы IT-компаний и вероятность попадания под КИИ
Чтобы упростить понимание, я составил матрицу рисков.
| Тип IT-бизнеса | Пример продукта | Вероятность стать субъектом КИИ | Почему? |
|---|---|---|---|
| Gamedev / EdTech (развлекательный) | Мобильная игра, курсы английского | Низкая | Сферы деятельности не входят в перечень 187-ФЗ (если не связаны с наукой) |
| E-commerce (B2C) | Маркетплейс одежды, электроники | Низкая | Торговля не является критической сферой (пока) |
| FinTech / PayTech | Платежный шлюз, процессинг, онлайн-банкинг | Критическая | Сфера «Банки и финансы». Обработка транзакций критична для экономики |
| HealthTech (SaaS) | Телемедицина, облачная МИС, анализ медицинских данных | Критическая | Сфера «Здравоохранение». Ущерб здоровью людей — критерий категорирования |
| PropTech / LegalTech (регистрация прав) | Системы для Росреестра, электронная регистрация сделок | Высокая | Сфера «Государственная регистрация прав на недвижимое имущество» |
| Integrator / Dev Shop | Разработка на заказ с передачей прав (On-premise) | Средняя | Вы разрабатываете, но не эксплуатируете. Риск переходит на заказчика |
| Integrator (SaaS/Managed Services) | Облачные решения для критических отраслей | Высокая | Вы эксплуатируете систему на своих мощностях |
| Telecom / ISP / ЦОД | Провайдер интернета, хостинг, дата-центр | Критическая | Сфера «Связь». Прямое попадание под действие закона |
| SciTech / R&D Platforms | Платформы для научных исследований, облачные вычисления для науки | Высокая | Сфера «Наука». Обеспечение научной деятельности |
Последствия игнорирования: модельный пример для иллюстрации рисков
Важное уточнение: Представленный ниже кейс является гипотетическим модельным примером, созданным для иллюстрации возможных последствий игнорирования требований 187-ФЗ. Это не описание реального судебного дела.
Модельная ситуация: Компания «CloudMed Analytics»
Бизнес-модель: Облачная платформа для анализа медицинских изображений (рентген, МРТ, КТ) с использованием искусственного интеллекта. Предоставление услуг частным клиникам и двум государственным больницам на условиях ежемесячной подписки (SaaS).
Техническая архитектура:
- Арендованные серверные мощности в коммерческом ЦОД (IaaS)
- Облачное хранилище медицинских данных
- Собственное ПО для AI-анализа
- Круглосуточная техподдержка и администрирование
Критическая ошибка руководства:
CEO и CTO считали: «Мы просто IT-сервис, мы не лечим людей. Ответственность за медицинскую деятельность лежит на врачах. У нас в ОКВЭД — разработка ПО, а не здравоохранение. КИИ нас не касается».
Что сделано НЕ было:
- ❌ Не проведено категорирование объектов КИИ
- ❌ Не направлены сведения во ФСТЭК
- ❌ Не внедрены сертифицированные средства защиты информации
- ❌ Не обеспечено подключение к ГосСОПКА
- ❌ Не разработан план реагирования на киберинциденты
Моделируемый инцидент:
Хакерская атака типа ransomware (шифровальщик) парализовала облачную платформу на 12 часов. В это время:
- В подключенных больницах встала система диагностики
- Несколько экстренных операций были отложены из-за невозможности получить результаты анализа снимков
- Врачи вынуждены были использовать устаревшие методы анализа
- Один случай: задержка диагностики привела к ухудшению состояния пациента (предположительно)
Возможные юридические последствия в модельном сценарии:
1. Административная ответственность (ст. 19.7.15 КоАП РФ)
Часть 1 — непредставление сведений о категорировании во ФСТЭК:
- Штраф на юридическое лицо: 50 000 – 100 000 руб.
- Штраф на должностное лицо (CEO): 10 000 – 50 000 руб.
Часть 2 — непредставление информации об инциденте в ГосСОПКА:
- Штраф на юридическое лицо: 100 000 – 500 000 руб.
- Штраф на должностное лицо (CISO/CEO): 20 000 – 50 000 руб.
2. Уголовная ответственность (ст. 274.1 УК РФ)
Возможная квалификация: Часть 1 ст. 274.1 УК РФ — «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, если это повлекло причинение вреда правам и законным интересам граждан».
Под ударом: Генеральный директор и CISO (как лица, ответственные за обеспечение безопасности и соблюдение требований законодательства).
Санкция ч. 1 ст. 274.1 УК РФ:
- Штраф до 500 000 руб. (или в размере заработной платы за период до 18 месяцев)
- Либо принудительные работы до 5 лет
- Либо лишение свободы до 4 лет
Возможное обоснование обвинения:
- Компания являлась субъектом КИИ (функционировала в сфере здравоохранения, владела ИС на праве аренды)
- Не выполнила обязанность по категорированию и защите объектов КИИ
- Халатное отношение к безопасности создало условия для успешной кибератаки
- Кибератака причинила вред здоровью граждан (задержка медицинской помощи)
3. Гражданско-правовая ответственность
- Иски от больниц о возмещении убытков
- Иски от пациентов о компенсации морального вреда и вреда здоровью
- Расторжение контрактов с государственными медучреждениями
- Репутационные потери
Альтернативный сценарий (если бы требования были выполнены):
Если бы компания:
- Провела категорирование и зарегистрировала объект во ФСТЭК
- Внедрила сертифицированные СЗИ
- Подключилась к ГосСОПКА
- Разработала план реагирования на инциденты
То в случае аналогичной атаки:
- ✅ Ответственность легла бы на хакеров (преступники)
- ✅ Компания могла бы доказать добросовестность и принятие всех требуемых мер
- ✅ Быстрее восстановили бы работу системы благодаря плану реагирования
- ✅ Избежали бы уголовной ответственности руководства
Реальная судебная практика по ст. 274.1 УК РФ
Для справки: реальные дела по ст. 274.1 УК РФ в 2020-2025 гг. касались:
- Сотрудников салонов сотовой связи, незаконно продававших детализацию звонков
- Попыток взлома муниципальных сайтов
- Незаконного доступа к ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения)
- DDoS-атак на государственные информационные системы
Количество приговоров по ст. 274.1 УК РФ растет ежегодно, что свидетельствует о повышенном внимании правоохранительных органов к данной категории преступлений.
Ответственность за нарушения требований КИИ: полная таблица
| Нарушение | Статья | Санкции для юрлиц | Санкции для должностных лиц |
|---|---|---|---|
| Непредставление сведений о категорировании во ФСТЭК или нарушение сроков | Ч. 1 ст. 19.7.15 КоАП РФ | 50 000 – 100 000 руб. | 10 000 – 50 000 руб. |
| Повторное нарушение части 1 | Ч. 3 ст. 19.7.15 КоАП РФ | 100 000 – 200 000 руб. | 50 000 – 100 000 руб. |
| Непредставление информации об инцидентах в ГосСОПКА | Ч. 2 ст. 19.7.15 КоАП РФ | 100 000 – 500 000 руб. | 20 000 – 50 000 руб. |
| Неправомерное воздействие на КИИ, повлекшее вред правам граждан | Ч. 1 ст. 274.1 УК РФ | — | Штраф до 500 000 руб., принудительные работы до 5 лет или лишение свободы до 4 лет |
| То же, причинившее по неосторожности тяжкий вред здоровью или смерть | Ч. 2 ст. 274.1 УК РФ | — | Принудительные работы до 5 лет или лишение свободы до 6 лет |
| То же, повлекшее по неосторожности смерть двух и более лиц | Ч. 3 ст. 274.1 УК РФ | — | Лишение свободы до 10 лет |
Конкурентные преимущества соответствия требованиям КИИ
КИИ для IT-компаний — это не только обязанность, но и стратегическое конкурентное преимущество.
Позитивные эффекты compliance с 187-ФЗ:
- Доступ к госзакупкам и Enterprise-сектору
- Крупные заказчики (B2G, B2E) все чаще требуют подтверждения соответствия требованиям КИИ
- «Наш софт соответствует требованиям ФСТЭК и защищен как объект КИИ» — мощный аргумент в тендерах
- Повышение доверия клиентов
- Сертифицированные средства защиты
- Подключение к ГосСОПКА
- Регулярный аудит безопасности
- Снижение киберрисков
- Системный подход к безопасности
- Мониторинг 24/7
- План реагирования на инциденты
- Защита от репутационных потерь
- В случае кибератаки вы можете доказать добросовестность
- Быстрое восстановление благодаря планам непрерывности бизнеса
- Инвестиционная привлекательность
- Due diligence для венчурных фондов и стратегических инвесторов
- Compliance с регуляторными требованиями снижает юридические риски
Заключение: Хаос как ресурс
КИИ для IT-компаний — это не приговор и не «дубинка». Это новый стандарт гигиены в цифровой экономике. Рынок движется к тому, что крупные заказчики просто перестанут покупать софт у тех, кто не соответствует требованиям 187-ФЗ.
Вместо того чтобы прятать голову в песок, используйте этот статус как конкурентное преимущество.
Рынок делится на две категории:
- Те, кто воспринимает КИИ как бюрократическую обузу
- Те, кто превращает compliance в маркетинговый актив и барьер для входа конкурентов
Выбирайте вторую категорию.
Что сделать прямо сейчас? (План первых шагов)
Неделя 1: Диагностика
- Проведите самоаудит по чек-листу выше
- Определите, являетесь ли вы субъектом КИИ
- Проверьте, работаете ли вы в одной из 14 критических сфер
- Оцените права на инфраструктуру (собственность/аренда)
- Изучите типовой отраслевой перечень для вашей сферы деятельности (если применимо)
- Запросите консультацию у специалистов по информационной безопасности или юристов, специализирующихся на КИИ
Неделя 2-3: Подготовка
- Создайте комиссию по категорированию (приказ по организации)
- Проведите инвентаризацию всех информационных систем, сетей и АСУ
- Соберите техническую документацию на объекты (схемы, топологии, описания процессов)
Неделя 4-6: Категорирование
- Проведите категорирование объектов по обновленным правилам (ПП № 127 в редакции 2025)
- Оформите акт категорирования и утвердите его у руководителя
- Подайте сведения во ФСТЭК в течение 10 рабочих дней (форма № 236)
Следующие 90 дней: Построение системы защиты
- Разработайте проект системы защиты для значимых объектов КИИ
- Закупите и внедрите сертифицированные СЗИ
- Организуйте подключение к ГосСОПКА
- Разработайте план реагирования на киберинциденты и согласуйте его в НКЦКИ
- Проведите обучение персонала и назначьте ответственных
Постоянная работа:
- Настройте процессы мониторинга и реагирования (3 часа на уведомление об инцидентах!)
- Организуйте регулярный аудит (не реже 1 раза в год)
- Отслеживайте изменения законодательства (подпишитесь на рассылки ФСТЭК, ФСБ)
Полезные ресурсыОфициальные источники:
- ФСТЭК России: fstec.ru
- ФСБ России (НКЦКИ): cert.gov.ru
- Текст Федерального закона № 187-ФЗ: kremlin.ru
- Постановление Правительства № 127 (в редакции от 07.11.2025 № 1762)
Практические инструменты:
- Форма № 236 для подачи сведений во ФСТЭК (обновленная редакция 2025)
- Методические рекомендации ФСТЭК по категорированию
- Приказ ФСТЭК № 239 от 25.12.2017 (требования по обеспечению безопасности ЗОКИИ)
Система побеждает хаос. Будьте системными.
Нужна помощь с определением статуса или стратегией защиты активов?
Здесь:
Telegram: @fishchuk_pravo
P.S. Незнание закона не освобождает от ответственности, а знание — часто освобождает от лишних расходов и уголовных дел.
Дисклеймер: Данный материал носит информационный характер и не является юридической консультацией. Для решения конкретных вопросов, связанных с применением законодательства о КИИ к вашему бизнесу, рекомендуется обратиться к квалифицированным юристам и специалистам по информационной безопасности.
Актуальность: Январь 2026 года. Законодательство в области КИИ активно развивается. Следите за обновлениями нормативных актов.
МАТЕРИАЛЫ ПО ТЕМЕ:
Приказ ФСТЭК №117: Архитектура регуляторного переворота и инженерия выживания
ГОСТ Р 71657-2024 и новая эра ответственности CISO: Полный гид по нормативной трансформации 2025–2026 годов
Штрафы за нарушение 187-ФЗ: судебная практика 2024–2025
Война моделей: LLaMA vs Qwen vs Mistral. Стратегический обзор Open Source решений для бизнеса в РФ
