Укрепление безопасности КИИ: детальный анализ изменений 187-ФЗ и проекта Постановления Правительства РФ № 127
1 июля 2025
С 01.09.2025 вступят в силу изменения в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ). Параллельно на стадии общественного обсуждения находится проект измененийПостановления Правительства Российской Федерации от 08.02.2018 № 127 (далее – 127-ПП), а также отраслевые особенности категорирования и перечень типовых отраслевых объектов критической информационной инфраструктуры (далее – КИИ), реализующие механизмы исполнения изменений, внесенных в 187-ФЗ.
Изменения в 187-ФЗ: технологический суверенитет и отраслевой контроль
Изменения в 187-ФЗ стали почвой для изменений в других подзаконных нормативных правовых актах. В совокупности изменения усиливают акценты на импортозамещении и отраслевом управлении, а также формируют новую модель категорирования объектов КИИ.
Напомним, что изменения внесены Федеральным законом от 07.04.2025 № 58 «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» и вступают в силу с 01.09.2025. Ключевые направления изменений:
1.Расширение полномочий Правительства Российской Федерации (далее – РФ). Правительство получает право:
a. утверждать перечни типовых отраслевых объектов КИИ; b. формировать отраслевые особенности категорирования объектов КИИ; c. устанавливать требования к программному обеспечению (далее – ПО) и программно-аппаратным комплексам (далее – ПАК), включая порядок и сроки перехода, организовывать мониторинг и контроль за соблюдением требований.
2.Фокус на импортозамещении. На текущий момент установлен запрет использования средств защиты информации из «недружественных» стран, а также введены требования по переходу на отечественное ПО и доверенные ПАК для субъектов КИИ, подпадающих под действие Федерального закона от 18.07.2011 № 223-ФЗ. После 1 сентября, возможно, аналогичные меры затронут и иные объекты КИИ.
3.Новые обязанности субъектов КИИ. Теперь субъекты КИИ обязаны:
a. учитывать отраслевые особенности и методики при категорировании объектов; b. мигрировать на отечественные решения; c. взаимодействовать с НКЦКИ и центрами ГосСОПКА в случае инцидентов и компьютерных атак; d. предоставлять сведения о применяемом ПО по требованию надзорных органов.
Таким образом, изменения в 187-ФЗ – это еще один шаг к обеспечению технологической независимости и безопасности КИИ, а также совершенствование механизмов категорирования объектов КИИ: процедура будет учитывать отраслевые требования, но категорирование придется проходить снова с учетом принимаемых изменений.
Проект изменений 127-ПП: пошаговое укрепление
Проект изменений в 127-ПП разработан в соответствии с новыми положениями 187-ФЗ и вносит изменения, направленные на совершенствование механизмов категорирования объектов КИИ и учет отраслевых требований. Среди основных изменений:
1. Исключен термин «критический процесс».
2. Изменены основания для категорирования:
a. объект КИИ подлежит категорированию, если он включен в утвержденные отраслевые перечни; b. возможно категорирование «нестандартных» объектов, если последствия инцидентов соответствуют установленным критериям значимости.
3. Уточнен состав и порядок работы комиссии по категорированию:
a. субъект КИИ может включать в состав комиссии дополнительных специалистов в соответствии с отраслевыми особенностями; b. случаи расформирования комиссии теперь также могут быть определены отраслевыми особенностями.
4. Дополнен состав и порядок пересмотра сведений о результатах категорирования:
a. включаются доменные имена и сетевые адреса, если объект КИИ взаимодействует с сетью Интернет – ожидаем корректировки Приказа ФСТЭК России от 22.12.2017 № 236; b. предусмотрены дополнительные основания для пересмотра категории значимости: теперь категория значимости пересматривается при изменении отраслевых особенностей; c. введен механизм уведомления Федеральной службы по техническому и экспортному контролю о «нетиповых» объектах и направления предложений о дополнении перечней.
5. Уточнены и дополнены показатели критериев значимости:
a. детализированы последствия сбоев в транспортной инфраструктуре (по типам нарушенных перевозок и по категориям объектов транспортной инфраструктуры), связи, органах власти, банковской сфере; b. добавлены показатели для микрофинансовых организаций и бюро кредитных историй; c. учтена степень участия субъекта КИИ в гособоронзаказе (теперь под 3 (третью) категорию подпадают соисполнители, субподрядчики и поставщики части продукции, работ и услуг в рамках контрактов по гособоронзаказу); d. понятия «прекращение» и «нарушение» функционирования теперь соотносятся с проектным или штатным режимом функционирования, а конкретные значения могут устанавливаться в отраслевых особенностях.
Эти изменения повышают технологическую обоснованность категорирования, позволяют учитывать специфику отрасли и минимизировать риски ошибок при отнесении объектов к значимым.
Отраслевые особенности категорирования
Существенным изменением становится внедрение отраслевых указаний и перечня типовых отраслевых объектов КИИ. Такие документы уже разработаны и применяются, но в соответствии с изменениями 187-ФЗ и проектом изменений в 127-ПП ожидается их пересмотр и издание на уровне Правительства РФ.
Перечни типовых отраслевых объектов КИИ сейчас проходят стадию общественного обсуждения и представляют собой общий свод ранее утвержденных перечней объектов КИИ по отраслям.
Отраслевые особенности также проходят стадию общественного обсуждения, например:
для сферы связи – разработаны Министерством цифрового развития, связи и массовых коммуникаций РФ;
Методические рекомендации и перечни типовых объектов обеспечивают единообразие подходов и позволяют учитывать отраслевую специфику при категорировании.
Что делать уже сейчас?
1.Проведите диагностику:
a. проведите оценку соответствия требованиям 187-ФЗ, в том числе в части соответствия отраслевым особенностям и актуальным Правилам категорирования; b. проверьте наличие ваших объектов в отраслевых перечнях
2. Подготовьте данные
a. зафиксируйте штатный или проектный режим функционирования всех объектов; b. соберите информацию по доменам и IP-адресам, если объекты имеют доступ к сети «Интернет».
3. Планируйте импортозамещение:
a. разработайте реалистичный план перехода на отечественные ПО и ПАК с учетом сроков, рисков и приоритетов.
УЦСБ – ваш партнер на каждом этапе
Уральский центр систем безопасности (УЦСБ) предлагает практические решения для субъектов КИИ в условиях обновленного регулирования:
Изменения в 187-ФЗ и 127-ПП – это не просто корректировка формулировок. Это фундаментальные изменения, которые требуют системного подхода и проактивной позиции со стороны компаний. Начать подготовку лучше уже сейчас – чтобы 1 сентября не застало врасплох.
Если хотите получить план действий по импортозамещению или поддержку в категорировании – обратитесь в УЦСБ. Мы готовы быть рядом на каждом этапе!
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных