Обновления в законе о безопасности КИИ 2025 (Федеральный закон № 187-ФЗ): Импортозамещение и новые требования
Главная » Аналитика » Анализ технологий
25 Апреля 2025 - 15:33

Аналитическая справка по изменениям в Федеральном законе № 187-ФЗ

Аватар пользователя Диана Жукова
Диана Жукова
Заместитель директора Аналитического центра УЦСБ
Вверх
Вы первый!
...
Аналитическая справка по изменениям в Федеральном законе № 187-ФЗ

Госдума одобрила законопроект об изменениях в федеральном законе № 187-ФЗ о безопасности критической информационной инфраструктуры России. Цель — усилить независимость и повысить безопасность, обеспечить непрерывное взаимодействие с НКЦКИ. Что изменилось и к чему уже сейчас надо готовиться субъектам КИИ?

 

 

 

 

 

  1. Введение
  2. Отраслевые особенности объектов КИИ
  3. Технологическая независимость КИИ РФ
  4. Взаимодействие с НКЦКИ
  5. Что делать субъектам КИИ в связи с нововведениями?
  6. Выводы

Введение

25 марта в третьем чтении Государственной Думой принят законопроект, вносящий изменения в Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Ранее эксперты Аналитического центра УЦСБ в «Обзоре изменений законодательства за март 2024 года» уже анализировали нововведения, предложенные в первоначальной версии законопроекта.

Принятый закон вступает в силу с 01.09.2025. Федеральный закон преследует своей целью усилить технологическую независимость и повысить безопасность критической информационной инфраструктуры (КИИ).

В настоящей статье рассмотрим подробнее наиболее значительные изменения, а также расскажем, что предстоит делать субъектам КИИ в связи с нововведениями.

Отраслевые особенности объектов КИИ

В связи с разработкой перечней типовых отраслевых объектов КИИ, уточнено, что Правительство РФ устанавливает эти перечни. Также нововведения предполагают, что Правительство РФ установит:

  • отраслевые особенности категорирования объектов КИИ, определяющие порядок установления критериев значимости и показателей их значений для объектов КИИ, а также порядок расчета значений с учетом особенностей объектов КИИ — совместно со ФСТЭК России, а для организаций финансовой сферы совместно с Банком России;
  • требования к программно-аппаратным средствам, используемым на значимых объектах КИИ — для организаций финансовой сферы совместно с Банком России.

До утверждения таких перечней и отраслевых особенностей субъекты КИИ должны руководствоваться общим порядком категорирования объектов КИИ, установленным постановлением Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Нововведения также исключили лимит срока возврата представленных сведений об объектах КИИ, ранее ФСТЭК России обязана была рассмотреть сведения в 10-дневный срок. Также исключена возможность возврата сведений по причине необоснованно присвоенной категории значимости, так как предполагается, что планируемые к разработке документы по присвоению категорий значимости с учетом отраслевых особенностей исключат подобные неточности в расчете категорий.

Технологическая независимость КИИ РФ

Текст рассматриваемого федерального закона усиливает требования в части технологической независимости, предполагается, что Правительство РФ должно установить:

  • порядок и сроки перехода на использование требуемых программно-аппаратных средств и отечественного программного обеспечения (ПО);
  • порядок осуществления мониторинга за использованием требуемых программно-аппаратных средств и отечественного ПО.

При этом есть отдельное указание, дающее право Правительству Российской Федерации установить особенный порядок применения вышеприведенных норм на отдельных территориях Российской Федерации.

Напомним, что на сегодняшний день в части импортозамещения в отношении субъектов КИИ Указом Президента от 01.05.2022 №250 установлен запрет использования только в отношении средств защиты информации, произведенных в «недружественных» странах, вне зависимости от категории значимости объекта КИИ.

При этом для субъектов КИИ, являющихся заказчиками по Федеральному закону от 18.07.2011 №223-ФЗ, Указ Президента РФ от 30.03.2022 №166 дополнительно запрещает использовать иностранное ПО на значимых объектах КИИ.

Во исполнение поручения Указа Президента №166 Правительством РФ утверждены следующие документы:

Для иных субъектов КИИ, на которые не распространяется действие Указа Президента №166, на текущий день нет федеральных требований в части импортозамещения ПО и программно-аппаратных средств, не отнесенных к средствам защиты информации.

Как следует из документов, сопровождающих закон, ожидается изменение вышеупомянутых связанных с технологической независимостью КИИ нормативных правовых актов:

  • Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;
  • постановление Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
  • постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

Также ожидается разработка нового документа — постановления Правительства РФ, устанавливающего требования к ПО и регламентирующего порядок его использования на значимых объектах КИИ.

Взаимодействие с НКЦКИ

Дополнительно проект рассматриваемого федерального закона уточняет требования в части информирования НКЦКИ. Теперь помимо обмена информацией о компьютерных инцидентах также предстоит обмениваться информацией о компьютерных атаках.

Регламентом взаимодействия с НКЦКИ (пункт 4.1) ранее уже было предусмотрено требование, что информировать следует не только о компьютерных инцидентах, но и о компьютерных атаках. Фактически введенные изменения просто уточнили на уровне федерального законодательства те действия, которые по факту уже выполнялись.

Также изменения предусматривают полномочия НКЦКИ по установке средств, предназначенных для поиска, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (средства ГосСОПКА), не только на значимых объектах КИИ, но и на иных информационных ресурсах, принадлежащих следующим лицам:

  • государственные органы (за исключением отдельных органов);
  • государственные унитарные предприятия;
  • государственные учреждения;
  • государственные фонды;
  • государственные корпорации (компании);
  • иные российские юридические лица, находящиеся под контролем Российской Федерации (в т.ч. субъектов РФ).

Приведенные выше лица, а также субъекты КИИ, обладающие значимыми объектами КИИ, обязаны осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Напомним, что существует два способа такого взаимодействия:

  1. Через центры ГосСОПКА, имеющие соглашение с НКЦКИ, то есть отраслевые или корпоративные центры мониторинга состояния информационной безопасности. Одним из корпоративных центров мониторинга является USSC-SOC, у которого есть соглашение о взаимодействии с НКЦКИ.
  2. Самостоятельное взаимодействие с НКЦКИ напрямую.

При самостоятельном взаимодействии возможны несколько вариантов: автоматизированный обмен информацией на основе программного интерфейса, личный кабинет субъекта ГосСОПКА (при его наличии), электронная почта.

Что делать субъектам КИИ в связи с нововведениями?

Субъектам КИИ уже сейчас следует предпринять следующие действия (если ранее они не были проведены):

  • запланировать потенциальные работы по пересмотру объектов КИИ и их категорий значимости — после выпуска соответствующих документов от Правительства Российской Федерации и ФСТЭК России;
  • организовать взаимодействие с ГосСОПКА — самостоятельно или через специализированные центры, имеющие соглашение с НКЦКИ;
  • оценить объем используемого импортного ПО и программно-аппаратных средств в составе значимых объектов КИИ;
  • рассчитать примерные бюджеты в части перехода на отечественные решения, запланировать импортозамещение — после утверждения соответствующих документов со стороны Правительства Российской Федерации.

Введенные изменения вступают в силу с 01.09.2025. 

Выводы

Мы рассмотрели введенные Федеральным законом следующие глобальные изменения:

  • в процедуре категорирования объектов КИИ — предполагается разработка документов с учетом отраслевых особенностей объектов КИИ;
  • усиление технологической независимости значимых объектов КИИ;
  • необходимость непрерывного взаимодействия с НКЦКИ.

Ожидается окончательное принятие Федерального закона Советом Федерации, его подписание Президентом РФ и официальное опубликование.

Полезные ссылки: 
> Семь лет 187-ФЗ: как обстоят дела с безопасностью КИИ?
> Процессорные архитектуры для импортозамещения в России. Что выбрать?
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.