Главная / О Центре / Новости /Изменения в 187-ФЗ: новые меры по безопасности КИИ России

Изменения в 187-ФЗ: новые меры по безопасности КИИ России

4 апреля 2025

25 марта в третьем чтении Государственной Думой принят законопроект, вносящий изменения в Федеральный закон от 26.07.2017 №187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации». Ранее в «Обзоре изменений законодательства за март 2024 года» эксперты Аналитического центра УЦСБ рассматривали нововведения, предлагаемые первоначальной версией законопроекта.

Принятый закон вступает в силу с 01.09.2025. Федеральный закон направлен на усиление технологической независимости и повышение безопасности критической информационной инфраструктуры (КИИ).

В статье подробнее рассмотрим наиболее значительные изменения, а также расскажем, что предстоит делать субъектам КИИ в связи с нововведениями.

Отраслевые особенности объектов КИИ

В связи с разработкой перечней типовых отраслевых объектов КИИ, уточнено, что эти перечни устанавливает Правительство РФ. Также нововведения предполагают, что Правительство РФ установит:

отраслевые особенности категорирования объектов КИИ, определяющие порядок установления критериев значимости и показателей их значений для объектов КИИ, а также порядок расчета значений с учетом особенностей объектов КИИ — совместно со ФСТЭК России, а для организаций финансовой сферы совместно с ЦБ РФ;
требования к программно-аппаратным средствам, используемым на значимых объектах КИИ — для организаций финансовой сферы совместно с ЦБ РФ.

До утверждения таких перечней и отраслевых особенностей субъекты КИИ должны руководствоваться общим порядком категорирования объектов КИИ, установленным постановлением Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Нововведения также исключили лимит срока возврата представленных сведений об объектах КИИ, ранее ФСТЭК России обязан был рассмотреть сведения в 10-дневный срок. Также исключена возможность возврата сведений по причине необоснованно присвоенной категории значимости, так как предполагается, что планируемые к разработке документы по присвоению категорий значимости с учетом отраслевых особенностей исключат подобные неточности в расчете категорий.

Технологическая независимость КИИ РФ

Текст рассматриваемого федерального закона усиливает требования в части технологической независимости, предполагается, что Правительство РФ должно установить:

порядок и сроки перехода на использование требуемых программно-аппаратных средств и отечественного программного обеспечения (ПО);
порядок осуществления мониторинга за использованием требуемых программно-аппаратных средств и отечественного ПО.

При этом есть отдельное указание, дающее право Правительству Российской Федерации установить особенный порядок применения вышеприведенных норм на отдельных территориях Российской Федерации.

Напомним, что на сегодняшний день в части импортозамещения в отношении субъектов КИИ Указом Президента от 01.05.2022 №250 установлен запрет использования только в отношении средств защиты информации, произведенных в «недружественных» странах, вне зависимости от категории значимости объекта КИИ.

При этом для субъектов КИИ, являющихся заказчиками по Федеральному закону от 18.07.2011 №223-ФЗ, Указ Президента РФ от 30.03.2022 №166 дополнительно запрещает использовать иностранное ПО на значимых объектах КИИ.

Во исполнение поручения Указа Президента №166 Правительством РФ утверждены следующие документы:

постановление Правительства РФ от 22.08.2022 № 1478, устанавливающее требования к импортозамещению ПО на значимых объектах КИИ;
постановление Правительства РФ от 14.11.2023 № 1912, устанавливающее требования к доверенным программно-аппаратным комплексам в составе значимых объектов КИИ.

Для иных субъектов КИИ, на которые не распространяется действие Указа Президента №166, на текущий день нет федеральных требований в части импортозамещения ПО и программно-аппаратных средств, не отнесенных к средствам защиты информации.

Как следует из документов, сопровождающих закон, ожидается изменение вышеупомянутых связанных с технологической независимостью КИИ нормативных правовых актов:

Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;
постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

Также ожидается разработка нового документа — постановления Правительства РФ, устанавливающего требования к ПО и регламентирующего порядок его использования на значимых объектах КИИ.

Взаимодействие с НКЦКИ

Дополнительно проект рассматриваемого федерального закона уточняет требования в части информирования НКЦКИ о компьютерных инцидентах. Теперь помимо обмена информацией о компьютерных инцидентах также предстоит обмениваться информацией о компьютерных атаках.

Компьютерная атака — целенаправленное воздействие программных
и (или) программно-аппаратных средств на объекты КИИ, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.

Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Следует отметить, что в соответствии с Регламентом взаимодействия с НКЦКИ (пункт 4.1) ранее уже существовало требование информировать не только о компьютерных инцидентах, но и о компьютерных атаках. Фактически введенные изменения просто уточнили на уровне федерального законодательства те действия, которые уже выполнялись на практике.
Также изменения предусматривают полномочия НКЦКИ по установке средств, предназначенных для поиска, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (средства ГосСОПКА), не только на значимых объектах КИИ, но и на иных информационных ресурсах, принадлежащих следующим лицам:

государственные органы (за исключением отдельных органов);
государственные унитарные предприятия;
государственные учреждения;
государственные фонды;
государственные корпорации (компании);
иные российские юридические лица, находящиеся под контролем Российской Федерации (в т.ч. субъектов РФ).

Приведенные выше лица, а также субъекты КИИ, обладающие значимыми объектами КИИ, обязаны осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Напомним, что существует два способа такого взаимодействия:

через центры ГосСОПКА, имеющие соглашение с НКЦКИ, то есть отраслевые или корпоративные центры мониторинга состояния информационной безопасности. Одним из корпоративных центров мониторинга является USSC-SOC, у которого есть соглашение о взаимодействии с НКЦКИ;
самостоятельное взаимодействие с НКЦКИ напрямую.

При самостоятельном взаимодействии возможны несколько вариантов:

автоматизированный обмен информацией на основе программного интерфейса;
личный кабинет субъекта ГосСОПКА (при его наличии);
электронная почта.

Что делать субъектам КИИ в связи с нововведениями?

Введенные изменения вступают в силу с 01.09.2025. В связи с чем субъектам КИИ уже сейчас следует предпринять следующие действия (если ранее они не были проведены):

запланировать потенциальные работы по пересмотру объектов КИИ и их категорий значимости — после выпуска соответствующих документов от Правительства Российской Федерации и ФСТЭК России;
организовать взаимодействие с ГосСОПКА — самостоятельно или через специализированные центры, имеющие соглашение с НКЦКИ. Например, подключиться к центру мониторинга информационной безопасности от УЦСБ USSC-SOC;
оценить объем используемого импортного ПО и программно-аппаратных средств в составе значимых объектов КИИ;
рассчитать примерные бюджеты в части перехода на отечественные решения, запланировать импортозамещение — после утверждения соответствующих документов со стороны Правительства Российской Федерации.

Ожидается окончательное принятие Федерального закона Советом Федерации, его подписание Президентом РФ и официальное опубликование.

Автор: Диана Жукова, заместитель директора Аналитического центра УЦСБ

Свяжитесь с экспертами Центра кибербезопасности УЦСБ, чтобы реализовать тестирование на проникновени е (пентест) и избежать возможных киберугроз

Подпишитесь на нашу рассылку

Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы

Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных