Главная / Глоссарий / Критическая информационная инфраструктура (КИИ)

КИИ — что это? Критическая информационная инфраструктура России

Критическая информационная инфраструктура (КИИ) — это объекты, системы и сети в сферах здравоохранения, промышленности, связи, энергетики, транспорта, финансов, которые имеют критическое значение для безопасности государства и общества. Нарушение их работы может привести к тяжёлым последствиям.

Простыми словами: КИИ — это всё, без чего страна не может нормально работать: электростанции, аэропорты, больницы, банки, заводы.

Содержание

Что такое критическая информационная инфраструктура?

Понятие КИИ введено Федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации».

К объектам КИИ относятся информационные системы и сети в 14 сферах:

  • ⚡ Энергетика (АЭС, ТЭС, ГЭС)
  • 🏭 Промышленность (ОПК, химия)
  • 🏥 Здравоохранение (больницы, клиники)
  • 📡 Связь и телекоммуникации
  • 💳 Финансы (банки, биржи)
  • 🚗 Транспорт (аэропорты, ЖД, порты)
  • 💧 Водоснабжение
  • 🌡️ Теплоснабжение
  • 💡 Электроснабжение
  • 🏛️ Государственное управление
  • 🚀 Космическая деятельность
  • 🔬 Наука и образование (критическое)
  • 💪 Оборона и безопасность
  • 🚨 Предупреждение ЧС

📌 Важно: Объекты КИИ обязаны регистрироваться в ФСТЭК России и выполнять требования по защите информации.

Категории и типы объектов КИИ

Типы объектов КИИ:

  • Информационные системы (ИС КИИ) — АСУ ТП, ERP, CRM
  • Автоматизированные системы управления технологическими процессами (АСУ ТП)
  • Сети связи (СС КИИ) — выделенные сети для управления КИИ

Категории значимости объектов КИИ:

КатегорияОписаниеПримеры
1 категория} Особо важные объекты (наивысший приоритет защиты) АЭС, системы управления войсками, центры управления
2 категория} Важные объекты (высокий приоритет) ТЭС, ГЭС, магистральные ЛЭП, аэропорты
3 категория} Объекты среднего приоритета Крупные заводы, больницы, порты
4 категория} Объекты, не прошедшие категорирование (информация для учёта) Малые предприятия связи, локальные сети

⚠️ Важно: Категорирование объектов КИИ — обязанность собственника. Срок — до 1 января 2022 года (часть объектов до сих пор не категорированы).

Требования к защите объектов КИИ

Основные требования к защите КИИ установлены Приказом ФСТЭК № 239 и 187-ФЗ.

Обязательные меры для всех категорий:

  • Регистрация объекта КИИ в ФСТЭК
  • Назначение структурного подразделения по защите КИИ
  • Разработка модели угроз КИИ
  • Внедрение сертифицированных СЗИ (не ниже класса защиты)
  • Обеспечение непрерывности работы (резервирование, бэкапы)
  • Уведомление ФСТЭК о компьютерных инцидентах (24 часа)

Требования к СЗИ для КИИ по категориям:

КатегорияТребуемый класс СЗИОбязательные меры
1 категория} Класс 1 (наивысший) Контроль доступа, регистрация, антивирус, СОА, СКЗИ, защита от ПЭМИН
2 категория} Класс 2 Контроль доступа, регистрация, антивирус, СОА (частично)
3 категория} Класс 3 Контроль доступа, регистрация, антивирус
4 категория} Класс 4 Только учёт (без обязательного внедрения СЗИ)

📌 Важно: Для объектов КИИ 1-2 категории обязательна аттестация и использование сертифицированных ФСТЭК/ФСБ средств защиты.

Ответственность за нарушение защиты КИИ

Вид ответственностиНормаНаказание
Административная} Ст. 13.12, 13.13 КоАП РФ Штраф на юрлиц до 500 000 руб., на должностных до 50 000 руб.
Уголовная} Ст. 274.1 УК РФ Лишение свободы до 10 лет
Уголовная (за инцидент)} Ст. 274.1 УК РФ (создание угрозы КИИ) Штраф до 1 млн. руб., лишение свободы до 8 лет

⚠️ Внимание: Ответственность по ст. 274.1 УК РФ наступает даже за подготовку к атаке на КИИ (например, сбор информации).

Как защитить объект КИИ?

Этапы защиты объекта КИИ:

1

Категорирование

Определение категории значимости объекта КИИ. Уведомление ФСТЭК.

2

Разработка модели угроз

Анализ угроз КИИ, оценка рисков.

3

Выбор и внедрение СЗИ

Сертифицированные ФСТЭК средства защиты (СОА, СКЗИ, антивирус, DLP).

4

Аттестация объекта КИИ

Подтверждение соответствия требованиям.

5

Организация мониторинга

Круглосуточный контроль событий ИБ, реагирование на инциденты.

Продукты АО «РНТ» для защиты КИИ:

Часто задаваемые вопросы

Как понять, что моя организация — объект КИИ?
Если ваша организация работает в одной из 14 критических сфер (энергетика, транспорт, связь, финансы и т.д.) и использует автоматизированные системы управления — скорее всего, да. Лучше обратиться к специалисту для анализа.
Кто регистрирует объекты КИИ?
ФСТЭК России. Подаётся уведомление о присвоении категории и данные о системе защиты.
Нужно ли получать лицензию ФСТЭК для защиты собственного объекта КИИ?
Нет, организация может защищать собственные объекты КИИ без лицензии ФСТЭК. Но если вы оказываете услуги по защите другим организациям — лицензия обязательна.
Какая ответственность, если не зарегистрировать объект КИИ?
Штраф по ст. 13.12 КоАП РФ: на юрлиц до 300 000 руб., на должностных до 20 000 руб. При повторном нарушении — до 500 000 руб.
Какие сроки защиты КИИ?
Категорирование закончено (есть перенос для некоторых объектов). Внедрение СЗИ — постоянно. Отчётность в ФСТЭК — ежегодно.

Связанные термины

ФСТЭК России Аттестация объектов информатизации СОА «Форпост» ПЭВМ «Обруч»

Услуги АО «РНТ» по защите КИИ

Аттестация объектов КИИ

Поможем подготовить, категорировать и аттестовать объекты КИИ.

СОА «Форпост»

Для защиты АСУ ТП и информационных систем КИИ.

Нужна помощь с объектами КИИ?

Проведём категорирование, разработаем модель угроз, подберём СЗИ, аттестуем

Заказать консультацию Рассчитать стоимость