Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
26.07.2017госорганы и юрлица в 14 сферахред. от 07.04.2025 (58-ФЗ)
Это главный закон по теме. Все приказы ФСТЭК и ФСБ, постановления Правительства и статьи об ответственности построены вокруг него. Действует в новой редакции с 01.09.2025.
1 Что это и зачем
187-ФЗ — это базовый, «головной» закон обо всём, что касается защиты критической информационной инфраструктуры (КИИ). Простыми словами, КИИ — это компьютерные системы, сети и автоматика, без которых не смогут нормально работать важные для страны отрасли: больницы, банки, транспорт, связь, энергетика и так далее. Если такие системы взломают или выведут из строя, пострадают люди и экономика.
Закон отвечает на вопросы: кто отвечает за такие системы, как понять, насколько они важны, что нужно делать для их защиты и кто это проверяет. Сам закон задаёт общие правила, а конкретику (требования, сроки, формы документов) расписывают подзаконные акты.
2 Кого касается
Закон распространяется на субъектов КИИ — это организации, которым принадлежат важные системы. К ним относятся государственные органы и учреждения, а также российские юридические лица, работающие в одной из 14 сфер:
здравоохранение и наука
транспорт и связь
энергетика, топливно-энергетический комплекс (ТЭК) и атомная энергия
банковская сфера и финансовый рынок
оборонная и ракетно-космическая промышленность
горнодобывающая, металлургическая и химическая промышленность
государственная регистрация прав на недвижимость (добавлена с 01.09.2025)
С 1 сентября 2025 года индивидуальные предприниматели (ИП) из числа субъектов КИИ исключены — теперь субъектами могут быть только организации и госорганы.
3 Что вводит / что требует
Понятия «субъект КИИ» и «объект КИИ». Субъект — это организация-владелец, объект — конкретная информационная система, сеть или автоматизированная система управления.
Категорирование. Каждый объект нужно проверить и при необходимости отнести к одной из трёх категорий значимости (1-я — самая высокая, 3-я — самая низкая).
Реестр значимых объектов КИИ, который ведёт ФСТЭК России. Туда попадают объекты, получившие категорию.
Взаимодействие с ГосСОПКА — государственной системой обнаружения и предотвращения компьютерных атак: о серьёзных инцидентах нужно сообщать.
Права и обязанности субъектов — что они должны делать для защиты своих систем.
Государственный контроль ФСТЭК — проверки того, как соблюдаются требования.
≡Простыми словами187-ФЗ говорит: «Если у вашей организации есть важные для страны компьютерные системы — определите, насколько они важны, защитите их и сообщайте государству об атаках. А мы (ФСТЭК и ФСБ) проверим, что вы всё сделали правильно».
4 Статус и редакции
Закон действует и регулярно обновляется. Последнее крупное изменение внёс Федеральный закон № 58-ФЗ от 07.04.2025, который вступил в силу 1 сентября 2025 года: из субъектов исключили ИП и добавили сферу государственной регистрации прав на недвижимость. Работать нужно по действующей редакции — её удобно сверять по официальным источникам.