ГрамотаИБ ГрамотаИБ

Субъект КИИ: касается ли вас 187-ФЗ — чек-лист

Кто такой субъект критической информационной инфраструктуры по 187-ФЗ, по каким сферам деятельности определяется этот статус и чем он отличается от наличия значимого объекта. Простой чек-лист, чтобы понять, относятся ли к вашей организации требования по КИИ, и что делать, если да.

Тема КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. пугает, но первый вопрос простой: касается ли 187-ФЗ вообще вашу организацию. Многие либо зря игнорируют требования, либо наоборот пытаются выполнять то, что к ним не относится. Разберёмся, кто такой субъект КИИ и как это понять.

Кто такой субъект КИИ

Субъект критической информационной инфраструктуры (187-ФЗ) — это государственный орган, государственное учреждение или российское юридическое лицо, которому принадлежат на праве собственности, аренды или ином законном основании информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления, функционирующие в одной из значимых сфер. То есть статус определяется сферой деятельности, а не размером бизнеса.

В каких сферах

Сферы перечислены в 187-ФЗ — в частности: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность, а также сфера государственной регистрации прав на недвижимое имущество и сделок с ним. Если ваши ИС/сети/АСУ обеспечивают деятельность в такой сфере — вы, как правило, субъект КИИ.

Чек-лист: касается ли вас

  • Относится ли деятельность организации к одной из сфер 187-ФЗ?
  • Есть ли у вас ИС, сети или АСУ, обеспечивающие эту деятельность?
  • Принадлежат ли они вам на законном основании?

Если на всё «да» — вы субъект КИИ и обязаны провести категорирование своих объектов.

Субъект КИИ и значимый объект — не одно и то же

Статус субъекта КИИ возникает не от одной только сферы, а при наличии у организации ИС, сетей или АСУ, функционирующих в перечисленных сферах. А вот значимые объекты (категории К1–К3) есть не у каждого субъекта: это определяется в ходе категорирования по показателям значимости. У субъекта без значимых объектов обязанностей меньше, но провести категорирование и направить сведения во ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. всё равно нужно. Как это сделать — в статье «Категорирование КИИ пошагово».

Что делать, если вы субъект КИИ

  • Провести категорирование объектов и направить результаты во ФСТЭК.
  • Для значимых объектов — обеспечить систему безопасности (приказы ФСТЭК) и взаимодействие с ГосСОПКА.
  • Оформить организационно-распорядительные документы по безопасности КИИ.

Главное

Субъект КИИ определяется по сфере деятельности (187-ФЗ), а не по размеру: если ваши ИС, сети или АСУ обеспечивают работу в одной из значимых сфер — вы субъект и обязаны провести категорирование. Значимые объекты есть не у всех, но категорирование и уведомление ФСТЭК нужны в любом случае. ГрамотаИБ помогает определить статус и пройти категорирование — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «ФСТЭК: ИСПДн, ГИС, КИИ» →

ГосСОПКА и НКЦКИ: кому и как подключаться (КИИ)

Что такое ГосСОПКА и НКЦКИ, кто обязан взаимодействовать с системой, как подключиться (напрямую к НКЦКИ или через ведомственный/корпоративный центр) и в какие сроки уведомлять о компьютерных инцидентах. Для субъектов критической информационной инфраструктуры по 187-ФЗ.

Приказ ФСТЭК № 117: что меняется в защите государственных информационных систем

Что такое приказ ФСТЭК России № 117, который с 1 марта 2026 года пришёл на смену приказу № 17: к кому применяется, как определяется класс защищённости ГИС (К1–К3), роль модели угроз и аттестации, и что учесть операторам государственных информационных систем при переходе.

Приказ ФСТЭК № 21: разбор мер защиты персональных данных в ИСПДн

Понятный разбор приказа ФСТЭК России №21 от 18.02.2013 — главного документа о том, как технически и организационно защищать персональные данные в информационных системах (ИСПДн). К кому он применяется и чем отличается от требований к ГИС, как выбираются меры (базовый набор по уровню защищённости, уточнение по модели угроз, компенсирующие меры, оценка эффективности), какие есть группы мер, что на практике достаточно для УЗ-4, какие нужны документы и какие заблуждения мешают операторам.

Как правильно хранить персональные данные в приложении: чек-лист для разработчика

Практические правила для разработчиков, чтобы хранение ПДн в приложении соответствовало 152-ФЗ и приказу ФСТЭК №21: минимизация данных, разграничение доступа, шифрование, хеширование паролей, обезличивание для тестовых сред, ПДн в логах, удаление по запросу субъекта, локализация базы в РФ и журналирование доступа.