Укрепление безопасности КИИ: детальный анализ изменений 187-ФЗ и проекта Постановления Правительства РФ № 127
1 июля 2025
С 01.09.2025 вступят в силу изменения в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ). Параллельно на стадии общественного обсуждения находится проект изменений Постановления Правительства Российской Федерации от 08.02.2018 № 127
(далее – 127-ПП), а также отраслевые особенности категорирования и перечень типовых отраслевых объектов критической информационной инфраструктуры (далее – КИИ), реализующие механизмы исполнения изменений, внесенных в 187-ФЗ.
С 01.09.2025 вступят в силу изменения в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ). Параллельно на стадии общественного обсуждения находится проект изменений Постановления Правительства Российской Федерации от 08.02.2018 № 127
(далее – 127-ПП), а также отраслевые особенности категорирования и перечень типовых отраслевых объектов критической информационной инфраструктуры (далее – КИИ), реализующие механизмы исполнения изменений, внесенных в 187-ФЗ.
Изменения в 187-ФЗ: технологический суверенитет и отраслевой контроль
Изменения в 187-ФЗ стали почвой для изменений в других подзаконных нормативных правовых актах. В совокупности изменения усиливают акценты на импортозамещении и отраслевом управлении, а также формируют новую модель категорирования объектов КИИ.
Напомним, что изменения внесены Федеральным законом от 07.04.2025 № 58
«О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» и вступают в силу с 01.09.2025.
Ключевые направления изменений:
1.Расширение полномочий Правительства Российской Федерации (далее – РФ). Правительство получает право:
a. утверждать перечни типовых отраслевых объектов КИИ;
b. формировать отраслевые особенности категорирования объектов КИИ;
c. устанавливать требования к программному обеспечению (далее – ПО) и программно-аппаратным комплексам (далее – ПАК), включая порядок и сроки перехода, организовывать мониторинг и контроль за соблюдением требований.
2.Фокус на импортозамещении. На текущий момент установлен запрет использования средств защиты информации из «недружественных» стран, а также введены требования по переходу на отечественное ПО и доверенные ПАК для субъектов КИИ, подпадающих под действие Федерального закона от 18.07.2011 № 223-ФЗ. После 1 сентября, возможно, аналогичные меры затронут и иные объекты КИИ.
3.Новые обязанности субъектов КИИ. Теперь субъекты КИИ обязаны:
a. учитывать отраслевые особенности и методики при категорировании объектов;
b. мигрировать на отечественные решения;
c. взаимодействовать с НКЦКИ и центрами ГосСОПКА в случае инцидентов и компьютерных атак;
d. предоставлять сведения о применяемом ПО по требованию надзорных органов.
Таким образом, изменения в 187-ФЗ – это еще один шаг к обеспечению технологической независимости и безопасности КИИ, а также совершенствование механизмов категорирования объектов КИИ: процедура будет учитывать отраслевые требования, но категорирование придется проходить снова с учетом принимаемых изменений.
Напомним, что изменения внесены Федеральным законом от 07.04.2025 № 58
«О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» и вступают в силу с 01.09.2025.
Ключевые направления изменений:
1.Расширение полномочий Правительства Российской Федерации (далее – РФ). Правительство получает право:
a. утверждать перечни типовых отраслевых объектов КИИ;
b. формировать отраслевые особенности категорирования объектов КИИ;
c. устанавливать требования к программному обеспечению (далее – ПО) и программно-аппаратным комплексам (далее – ПАК), включая порядок и сроки перехода, организовывать мониторинг и контроль за соблюдением требований.
2.Фокус на импортозамещении. На текущий момент установлен запрет использования средств защиты информации из «недружественных» стран, а также введены требования по переходу на отечественное ПО и доверенные ПАК для субъектов КИИ, подпадающих под действие Федерального закона от 18.07.2011 № 223-ФЗ. После 1 сентября, возможно, аналогичные меры затронут и иные объекты КИИ.
3.Новые обязанности субъектов КИИ. Теперь субъекты КИИ обязаны:
a. учитывать отраслевые особенности и методики при категорировании объектов;
b. мигрировать на отечественные решения;
c. взаимодействовать с НКЦКИ и центрами ГосСОПКА в случае инцидентов и компьютерных атак;
d. предоставлять сведения о применяемом ПО по требованию надзорных органов.
Таким образом, изменения в 187-ФЗ – это еще один шаг к обеспечению технологической независимости и безопасности КИИ, а также совершенствование механизмов категорирования объектов КИИ: процедура будет учитывать отраслевые требования, но категорирование придется проходить снова с учетом принимаемых изменений.
Проект изменений 127-ПП: пошаговое укрепление
Проект изменений в 127-ПП разработан в соответствии с новыми положениями 187-ФЗ и вносит изменения, направленные на совершенствование механизмов категорирования объектов КИИ и учет отраслевых требований. Среди основных изменений:
1. Исключен термин «критический процесс».
2. Изменены основания для категорирования:
a. объект КИИ подлежит категорированию, если он включен в утвержденные отраслевые перечни;
b. возможно категорирование «нестандартных» объектов, если последствия инцидентов соответствуют установленным критериям значимости.
3. Уточнен состав и порядок работы комиссии по категорированию:
a. субъект КИИ может включать в состав комиссии дополнительных специалистов в соответствии с отраслевыми особенностями;
b. случаи расформирования комиссии теперь также могут быть определены отраслевыми особенностями.
4. Дополнен состав и порядок пересмотра сведений о результатах категорирования:
a. включаются доменные имена и сетевые адреса, если объект КИИ взаимодействует с сетью Интернет – ожидаем корректировки Приказа ФСТЭК России от 22.12.2017 № 236;
b. предусмотрены дополнительные основания для пересмотра категории значимости: теперь категория значимости пересматривается при изменении отраслевых особенностей;
c. введен механизм уведомления Федеральной службы по техническому и экспортному контролю о «нетиповых» объектах и направления предложений о дополнении перечней.
5. Уточнены и дополнены показатели критериев значимости:
a. детализированы последствия сбоев в транспортной инфраструктуре (по типам нарушенных перевозок и по категориям объектов транспортной инфраструктуры), связи, органах власти, банковской сфере;
b. добавлены показатели для микрофинансовых организаций и бюро кредитных историй;
c. учтена степень участия субъекта КИИ в гособоронзаказе (теперь под 3 (третью) категорию подпадают соисполнители, субподрядчики и поставщики части продукции, работ и услуг в рамках контрактов по гособоронзаказу);
d. понятия «прекращение» и «нарушение» функционирования теперь соотносятся с проектным или штатным режимом функционирования, а конкретные значения могут устанавливаться в отраслевых особенностях.
Эти изменения повышают технологическую обоснованность категорирования, позволяют учитывать специфику отрасли и минимизировать риски ошибок при отнесении объектов к значимым.
1. Исключен термин «критический процесс».
2. Изменены основания для категорирования:
a. объект КИИ подлежит категорированию, если он включен в утвержденные отраслевые перечни;
b. возможно категорирование «нестандартных» объектов, если последствия инцидентов соответствуют установленным критериям значимости.
3. Уточнен состав и порядок работы комиссии по категорированию:
a. субъект КИИ может включать в состав комиссии дополнительных специалистов в соответствии с отраслевыми особенностями;
b. случаи расформирования комиссии теперь также могут быть определены отраслевыми особенностями.
4. Дополнен состав и порядок пересмотра сведений о результатах категорирования:
a. включаются доменные имена и сетевые адреса, если объект КИИ взаимодействует с сетью Интернет – ожидаем корректировки Приказа ФСТЭК России от 22.12.2017 № 236;
b. предусмотрены дополнительные основания для пересмотра категории значимости: теперь категория значимости пересматривается при изменении отраслевых особенностей;
c. введен механизм уведомления Федеральной службы по техническому и экспортному контролю о «нетиповых» объектах и направления предложений о дополнении перечней.
5. Уточнены и дополнены показатели критериев значимости:
a. детализированы последствия сбоев в транспортной инфраструктуре (по типам нарушенных перевозок и по категориям объектов транспортной инфраструктуры), связи, органах власти, банковской сфере;
b. добавлены показатели для микрофинансовых организаций и бюро кредитных историй;
c. учтена степень участия субъекта КИИ в гособоронзаказе (теперь под 3 (третью) категорию подпадают соисполнители, субподрядчики и поставщики части продукции, работ и услуг в рамках контрактов по гособоронзаказу);
d. понятия «прекращение» и «нарушение» функционирования теперь соотносятся с проектным или штатным режимом функционирования, а конкретные значения могут устанавливаться в отраслевых особенностях.
Эти изменения повышают технологическую обоснованность категорирования, позволяют учитывать специфику отрасли и минимизировать риски ошибок при отнесении объектов к значимым.
Отраслевые особенности категорирования
Существенным изменением становится внедрение отраслевых указаний и перечня типовых отраслевых объектов КИИ. Такие документы уже разработаны и применяются, но в соответствии с изменениями 187-ФЗ и проектом изменений в 127-ПП ожидается их пересмотр и издание на уровне Правительства РФ.
Перечни типовых отраслевых объектов КИИ сейчас проходят стадию общественного обсуждения и представляют собой общий свод ранее утвержденных перечней объектов КИИ по отраслям.
Отраслевые особенности также проходят стадию общественного обсуждения, например:
Перечни типовых отраслевых объектов КИИ сейчас проходят стадию общественного обсуждения и представляют собой общий свод ранее утвержденных перечней объектов КИИ по отраслям.
Отраслевые особенности также проходят стадию общественного обсуждения, например:
- для сферы связи – разработаны Министерством цифрового развития, связи и массовых коммуникаций РФ;
- для топливно-энергетического комплекса и энергетики – разработчиком является Министерство энергетики РФ;
- в области атомной энергии – предложены Госкорпорацией «Росатом».
Что делать уже сейчас?
1.Проведите диагностику:
a. проведите оценку соответствия требованиям 187-ФЗ, в том числе в части соответствия отраслевым особенностям и актуальным Правилам категорирования;
b. проверьте наличие ваших объектов в отраслевых перечнях
2. Подготовьте данные
a. зафиксируйте штатный или проектный режим функционирования всех объектов;
b. соберите информацию по доменам и IP-адресам, если объекты имеют доступ к сети «Интернет».
3. Планируйте импортозамещение:
a. разработайте реалистичный план перехода на отечественные ПО и ПАК с учетом сроков, рисков и приоритетов.
a. проведите оценку соответствия требованиям 187-ФЗ, в том числе в части соответствия отраслевым особенностям и актуальным Правилам категорирования;
b. проверьте наличие ваших объектов в отраслевых перечнях
2. Подготовьте данные
a. зафиксируйте штатный или проектный режим функционирования всех объектов;
b. соберите информацию по доменам и IP-адресам, если объекты имеют доступ к сети «Интернет».
3. Планируйте импортозамещение:
a. разработайте реалистичный план перехода на отечественные ПО и ПАК с учетом сроков, рисков и приоритетов.
УЦСБ – ваш партнер на каждом этапе
Уральский центр систем безопасности (УЦСБ) предлагает практические решения для субъектов КИИ в условиях обновленного регулирования:
1. Аудит соответствия 187-ФЗ – выявим риски и подготовим рекомендации.
2. Услуги по категорированию – выявим объекты и проведем категорирование с учетом отраслевых особенностей.
3. УЦСБ SOC – мониторинг 24/7, первые уведомления уже через 14 дней.
4. Записи наших вебинаров по безопасности КИИ, ответы на частые вопросы или другие полезные материалы на нашем сайте.
Изменения в 187-ФЗ и 127-ПП – это не просто корректировка формулировок. Это фундаментальные изменения, которые требуют системного подхода и проактивной позиции со стороны компаний. Начать подготовку лучше уже сейчас – чтобы 1 сентября не застало врасплох.
Если хотите получить план действий по импортозамещению или поддержку в категорировании – обратитесь в УЦСБ. Мы готовы быть рядом на каждом этапе!
1. Аудит соответствия 187-ФЗ – выявим риски и подготовим рекомендации.
2. Услуги по категорированию – выявим объекты и проведем категорирование с учетом отраслевых особенностей.
3. УЦСБ SOC – мониторинг 24/7, первые уведомления уже через 14 дней.
4. Записи наших вебинаров по безопасности КИИ, ответы на частые вопросы или другие полезные материалы на нашем сайте.
Изменения в 187-ФЗ и 127-ПП – это не просто корректировка формулировок. Это фундаментальные изменения, которые требуют системного подхода и проактивной позиции со стороны компаний. Начать подготовку лучше уже сейчас – чтобы 1 сентября не застало врасплох.
Если хотите получить план действий по импортозамещению или поддержку в категорировании – обратитесь в УЦСБ. Мы готовы быть рядом на каждом этапе!
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных