Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Защита КИИ: требования и меры реализации

Обновлено 12.04.2026 05:02

 

Автор: Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»

Сайт: legascom.ru

E mail: petukhov@legascom.ru

Введение

Критическая информационная инфраструктура (КИИ) — фундамент современной экономики и государственного управления. Её защита — не просто техническая задача, а стратегический приоритет. В этой статье мы разберём требования к защите КИИ, меры их реализации, риски, перспективы, а также ответственность за нарушения. Взгляд на проблему будет многогранным: через призму права, информационной безопасности и управления.

1. Законодательная база и требования

Основу регулирования защиты КИИ в РФ составляет Федеральный закон от 26.07.2017 № 187 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон определяет:

•             Объекты КИИ — информационные системы, сети и автоматизированные системы управления в ключевых отраслях (энергетика, транспорт, связь, финансы и т. д.).

•             Субъектов КИИ — организации, владеющие или эксплуатирующие такие объекты.

•             Обязанности субъектов КИИ:

               проводить категорирование объектов КИИ;

               создавать системы защиты информации;

               обеспечивать взаимодействие с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак);

               реагировать на компьютерные инциденты.

Подзаконные акты детализируют требования:

•             приказы ФСТЭК России по защите информации;

•             методические рекомендации по категорированию;

•             требования к средствам защиты информации.

Изменения в законодательстве (2023–2024):

•             ужесточение требований к импортозамещению ПО и оборудования в КИИ;

•             расширение перечня объектов, подлежащих категорированию;

•             усиление контроля за соблюдением требований безопасности.

2. Риски и перспективы

Риски:

•             кибератаки (включая APT угрозы);

•             утечки данных;

•             сбои в работе систем из за технических неисправностей или человеческого фактора;

•             несоблюдение требований законодательства и последующие санкции.

Перспективы:

•             развитие отечественных решений для защиты КИИ;

•             внедрение искусственного интеллекта для обнаружения и предотвращения атак;

•             повышение квалификации специалистов;

•             совершенствование законодательной базы.

3. Меры реализации защиты КИИ

Взгляд специалиста по информационной безопасности:

Реализация защиты КИИ — это комплексный процесс, включающий:

1.            Категорирование объектов: определение значимости каждого объекта КИИ для отрасли и экономики в целом.

2.            Создание системы защиты:

               внедрение средств защиты (межсетевые экраны, системы обнаружения вторжений, антивирусное ПО);

               настройка политик безопасности;

               разграничение доступа.

3.            Мониторинг и реагирование:

               развёртывание SIEM систем для сбора и анализа событий безопасности;

               организация круглосуточного мониторинга (SOC);

               разработка планов реагирования на инциденты.

4.            Тестирование и аудит:

               регулярные пентесты и аудит безопасности;

               проверка соответствия требованиям законодательства.

5.            Обучение персонала:

               тренинги по кибергигиене;

               симуляции фишинговых атак.

Техническая составляющая и решения:

•             отечественные межсетевые экраны (например, «Континент», «Ideco»);

•             системы обнаружения вторжений (СОВ) российского производства;

•             SIEM системы («MaxPatrol SIEM», «Kaspersky Unified Monitoring and Analysis Platform»);

•             средства защиты от DDoS атак;

•             решения для шифрования данных.

Комментарий Петухова О. А.: «Выбор технических решений должен основываться на результатах категорирования и анализе рисков. Универсального набора средств защиты не существует — каждая организация должна формировать свою систему с учётом специфики деятельности и угроз».

4. Взгляд юриста

С юридической точки зрения, защита КИИ — это соблюдение комплекса нормативных требований. Ключевые аспекты:

•             Документооборот:

               положение о защите КИИ;

               приказы о назначении ответственных лиц;

               акты категорирования;

               регламенты реагирования на инциденты;

               договоры с провайдерами услуг ИБ.

•             Взаимодействие с регуляторами:

               предоставление отчётов в ФСТЭК и ФСБ;

               участие в учениях по кибербезопасности;

               информирование о компьютерных инцидентах.

•             Договорная работа:

               включение требований по ИБ в договоры с подрядчиками;

               контроль за соблюдением этих требований.

Комментарий Петухова О. А.: «Грамотное оформление документов — не бюрократия, а защита от претензий регуляторов и основание для взыскания убытков в случае инцидентов по вине подрядчиков».

5. Взгляд руководителя

Для руководителя защита КИИ — это управление рисками и обеспечение непрерывности бизнеса. Ключевые задачи:

•             Выделение ресурсов: бюджет на ИБ, штат специалистов.

•             Постановка целей: чёткие KPI по ИБ (время реагирования на инциденты, количество выявленных угроз).

•             Контроль исполнения: регулярные отчёты от службы ИБ, аудиты.

•             Культура безопасности: формирование у сотрудников понимания важности ИБ.

•             Стратегическое планирование: учёт требований ИБ при внедрении новых технологий.

Комментарий Петухова О. А.: «Руководитель должен воспринимать ИБ не как затраты, а как инвестиции в стабильность и репутацию компании. Экономия на безопасности может обернуться многомиллионными убытками и потерей доверия клиентов».

6. Ответственность за нарушение законодательства

За нарушение требований к защите КИИ предусмотрена:

•             Административная ответственность (КоАП РФ):

               штрафы для должностных лиц — до 50 000 руб.;

               штрафы для юридических лиц — до 100 000 руб. (ст. 13.12.1 КоАП РФ).

•             Уголовная ответственность (УК РФ):

o             ст. 274.1 УК РФ — неправомерное воздействие на КИИ РФ:

               лишение свободы до 10 лет за действия, повлёкшие тяжкие последствия;

               штрафы, принудительные работы.

•             Гражданско правовая ответственность:

               возмещение убытков, причинённых третьим лицам в результате инцидента;

               взыскание штрафов по договорам.

7. Анализ судебной практики

Реальное дело № 1 (уголовное):

В 2022 году суд вынес приговор сотруднику IT отдела энергетической компании, который из мести внедрил вредоносное ПО в систему управления технологическим процессом. Атака привела к сбою на подстанции. Виновный осуждён по ст. 274.1 УК РФ к 5 годам лишения свободы.

Реальное дело № 2 (административное):

Банк оштрафован на 80 000 руб. за несвоевременное информирование ФСБ о компьютерном инциденте, повлёкшем утечку персональных данных клиентов. Нарушение квалифицировано по ст. 13.12.1 КоАП РФ.

Дело с участием Петухова О. А. (гражданское):

Юридическая компания «ЛЕГАС» представляла интересы банка в споре с подрядчиком, который не обеспечил требуемый уровень защиты платёжной системы. В результате атаки были похищены данные карт. Суд взыскал с подрядчика 15 млн руб. убытков и штраф по договору.

8. Примеры из практики

Положительные примеры:

•             Пример 1: компания внедрила SIEM систему и SOC. В результате время обнаружения атак сократилось с 72 часов до 2 часов, а количество успешных фишинговых атак снизилось на 80 %.

•             Пример из практики Петухова О. А.: юридическая компания «ЛЕГАС» помогла клиенту пройти проверку ФСТЭК без замечаний, грамотно оформив все документы по защите КИИ.

Отрицательные примеры:

•             Пример 1: организация сэкономила на обучении персонала. Сотрудник открыл фишинговое письмо, что привело к шифрованию данных вирусом вымогателем. Убытки составили 20 млн руб., компания получила штраф от регулятора.

•             Пример из практики Петухова О. А.: клиент не провёл категорирование объектов КИИ. В ходе проверки ФСТЭК выявила нарушение, организация была оштрафована на 100 000 руб.

Заключение

Защита КИИ — сложная, но решаемая задача. Успех зависит от:

•             чёткого понимания требований законодательства;

•             грамотного выбора технических решений;

•             выделения достаточных ресурсов;

•             формирования культуры безопасности.

Комплексный подход, объединяющий усилия юристов, специалистов по ИБ и руководителей, позволит минимизировать риски и обеспечить надёжную защиту критической информационной инфраструктуры.

За консультацией по вопросам защиты КИИ обращайтесь в юридическую компанию «ЛЕГАС»:

•             сайт: legascom.ru;

•             e mail: petukhov@legascom.ru .

Петухов Олег Анатольевич готов оказать правовую поддержку на всех этапах: от категорирования объектов до представления интересов в суде