187-ФЗ: чек-лист для бизнеса, который не хочет нарваться на штраф

Каждый третий запрос ФСТЭК на проверку КИИ в 2024 году заканчивался штрафом. Готовы ли вы к проверке?

Введение

➤ В последние два года требования закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» перешли из категории «теории» в зону активных проверок. Однако многие ИБ-директора и ИТ-руководители до сих пор откладывают исполнение, полагая, что пока «грозы не видно». На деле — этот подход делает бизнес уязвимым перед внезапным запросом от ФСТЭК, прокуратуры или Минцифры.

➤ Проблема не в том, что закон сложный. Проблема в том, что большинство компаний не понимает, с чего начать: как определить, какие системы попадают под регулирование, в какой момент возникает обязанность по уведомлению, кто отвечает за категорирование.

➤ Между тем, даже одна неподготовленная система может привести к серьёзным последствиям: от штрафа в 500 тыс. рублей до срыва контрактов и блокировки процессов на один-два бизнес-дня. А это — прямые потери от миллиона рублей и выше.

➤ В этой статье — практический чек-лист из четырех обязательных шагов для приведения информационных систем в соответствие с 187-ФЗ. Мы покажем, какие ошибки чаще всего допускают ИТ-директора, и почему подключение внешней экспертизы помогает сократить затраты и избежать критических просчетов.

Почему 187-ФЗ — важный сигнал для ИТ и ИБ-директора уже сейчас

90% организаций не выполнили все требования — вы среди них?

Доброй новостью можно считать тот факт, что ваши конкуренты, скорее всего, тоже откладывают исполнение 187-ФЗ. Согласно отраслевым аналитикам, на конец 2023 года более 90% организаций, подпадающих под закон, не завершили категорирование своих КИИ-объектов. Многие даже не приступили к первичной идентификации.

Такое массовое промедление порождает иллюзию безопасности — «раз всех не проверили, значит, и нас не тронут». Однако практика показывает: регуляторы берут организации выборочно — и сразу по полной.

С 2022 года количество проверок ФСТЭК выросло на 40%, все чаще инициатива приходит не от самой ФСТЭК, а с линии прокуратуры и Минцифры. Особенно быстро проверки приходят в компании из сфер ИТ, логистики, энергетики и телекоммуникаций.

Если ваша организация связана с инфраструктурой или обрабатывает значимые потоки персональных / платёжных данных — считайте, что вы в списке на прицеле.

Прецеденты — внезапная проверка HR-платформы в 2025 году привела к 12-дневному простою

В 2025 году один из российских ИТ-аутсорсеров, работающий с HR-платформами, попал под прицельную проверку ФСТЭК. Компанию заподозрили в управлении объектом КИИ — собственной CRM, служащей опорной системой для процессов найма и ведения заказчиков. Подобные компьютерные инциденты в сфере ИБ требуют немедленного реагирования и понимания процедур расследования.

Руководство предприятия решило, что CRM не подпадает под закон, и откладывало категорирование. В результате на проверке организация не смогла юридически доказать обратное. Итог:

• штраф 400 000 рублей
• вынужденное снятие системы с эксплуатации до завершения анализа
• простои в обслуживании ключевых клиентов
• досрочное расторжение контракта с федеральным ритейлером

Вывод очевиден: лучше рассчитать риски заранее, чем доказывать свою непричастность в экстренном режиме.

Что грозит бизнесу за нарушение 187-ФЗ

Штрафы, блокировки, остановка бизнеса

187-ФЗ подразумевает не просто «рекомендации», а чёткие юридические обязанности по отношению к объектам критической информационной инфраструктуры.

🔻 Штрафы за нарушение — от 300 000 до 500 000 рублей для юридических лиц (по КоАП РФ, ст. 13.11.1 и 13.12). Но административное взыскание — не самое болезненное последствие.

🔻 При формальной фиксации нарушения организация может быть внесена в реестр нарушителей КИИ — это автоматически привлекает внимание не одной, а сразу нескольких структур: ФСТЭК, Роскомнадзор, Минцифры, прокуратура.

🔻 На практике это означает многослойные проверки, запрос персонала, блокировку информационных систем, временную остановку части процессов и вовлечение юристов для сопровождения.

По оценкам codeby.one, даже один день простоя в случае госпроверки обходится бизнесу от 1 млн рублей. А приведённый ранее кейс полностью подтверждает: при неготовности системы дезактивируются «до выяснения». Подчёркиваем — даже если вы не виноваты.

Репутационный удар — особенно при работе с госсектором и банками

187-ФЗ — одна из немногих статей, прямое невыполнение которой может лишить бизнес доступа к государственным подрядам, участию в тендерах или работе с банками как поставщик.

➤ Крупные заказчики — особенно государственные структуры и критические отрасли (транспорт, энергетика, финансы) — всё чаще запрашивают подтверждение выполнения требований ФСТЭК при подписании договоров.

Если вы не можете документально доказать:

• прохождение процедуры категорирования;
• наличие утверждённого перечня КИИ;
• факт уведомления регулятора;
• реализацию комплексных мер ИБ;

— для большинства рискоориентированных заказчиков это сигнал «не работайте с этой компанией».

Даже если вы вложились в техническую безопасность, но формально не оформили категорию КИИ — вы нарушитель закона. А значит, рискуете потерять рынок просто потому, что «не заполнили бумажки».

Как подготовиться — 4 шага, с которыми можно стартовать уже сегодня

Шаг 1: Идентификация объектов КИИ

Первый шаг — зафиксировать, какие ваши информационные системы попадают под определение «объект КИИ».

Это не всегда очевидно: в зону КИИ могут попасть…

• внутренние CRM и ERP-системы;
• сервисы дистанционного обслуживания клиентов;
• транспортные/логистические трекеры;
• платёжные шлюзы и агрегаторы;
• внутренние платформы обработки ПДн.

Для обеспечения комплексной безопасности корпоративных сетей важно правильно идентифицировать все критически важные компоненты инфраструктуры.

Крупнейшая ошибка компаний — считать, что, если система не имеет внешнего API или находится «на закрытой сети» — это автоматически исключает её из зоны контроля. Это не так. Значение имеет не канал взаимодействия, а критичность функции.

Если сбой в системе влечёт угрозу для стабильно функционирующей инфраструктуры — вы, скорее всего, попадаете под закон.

Шаг 2: Категорирование (и типичная ошибка №1 — откладывание без юридического обоснования)

Процесс категорирования позволяет определить значимость системы, выбранную категорию угроз и объёмы мер, которые необходимо внедрить. Это не формальность.

В реальности многие компании сознательно откладывают категорирование — опасаясь привлечь внимание. Результат: при внеплановой проверке — штраф + ретроактивное требование о внедрении всех мер по высшей категории в кратчайшие сроки.

Типовая ошибка: финдиректор откладывает работы до появления «ясной позиции от регулятора». Но ФСТЭК свою позицию уже сформулировал — и ждать больше нечего.

Лучшее решение — поручить категорирование внешним экспертам, которые знают, как грамотно разграничить системы и минимизировать присвоенные уровни, соблюдая при этом законодательство.

Шаг 3: Уведомление ФСТЭК

Если у вас выявлены объекты КИИ первой/второй/третьей категории — вы обязаны в течение 10 рабочих дней направить в ФСТЭК уведомление.

В структуру уведомления входят:

• перечень систем;
• уровень критичности;
• ответственные лица;
• документальная база.

Важно! Ошибка в формулировках, отсутствие юридически корректного основания или несогласование с приказами руководства региона — формальный повод для ФСТЭК отклонить документ и инициировать проверку.

codeby.one предлагает услугу подготовки всех уведомлений «под ключ» — с подбором аргументов, ссылок на нормативную базу и корректной схемой передачи.

Шаг 4: Внедрение организационных и технических мер защиты

После категорирования система должна быть защищена в соответствии с Методикой ФСТЭК и приказами в рамках 187-ФЗ.

В отличие от стандартных требований ИБ, меры здесь шире:

• требуется организованный уровень управленческого контроля;
• обязательна аттестация/внутренний аудит систем;
• эффективным подходом является пентест методом черного ящика, которое позволяет оценить защищенность с позиции внешнего злоумышленника;
• проверяется реализация мер специфичных именно для защищённых объектов КИИ.

Типовая ошибка — внедрение стандартного ИБ-фреймворка (ISO, SOC, PCI DSS) без привязки к 187-ФЗ. Это не засчитывается как защита. Более того — вызывает подозрения.

Команда codeby.one не просто внедряет меры — мы сопровождаем весь цикл: от проектирования в рамках минимального набора, до инструктажей, внутренней проверки и корректного досье для ФСТЭК.

Преимущества профессионального аудита — сокращение сроков на 60%, избегание типичных ошибок

✓ Привлечение команды codeby.one позволяет:

• за 7 дней выявить все объекты КИИ;
• провести анализ угроз в соответствии с актуальной Методикой;
• корректно подготовить уведомления;
• минимизировать ПЗ для регулятора;
• сохранить ресурсы ИБ-команды.

ROI-аргумент: аудит по 187-ФЗ от внешнего подрядчика обходится дешевле, чем простой бизнес-процессов на одни сутки. Экономия — до 70% бюджета по сравнению с самостоятельным (и часто ошибочным) внедрением.

Заключение

Вопрос не в том, придёт ли к вам регулятор — а в том, когда. 187-ФЗ уже давно не «отраслевой спецзакон», а универсальное требование по отношению ко всем, кто управляет критическими процессами. Детальный анализ всех аспектов закона о КИИ поможет лучше понять все нюансы регулирования.

Откладывать категорирование и внедрение мер — значит не только рисковать штрафами, но и сознательно подвергать бизнес:

• внеплановым проверкам;
• репутационным атакам;
• риску потери клиентов и контрактов.

Гораздо разумнее — провести экспресс-аудит, разобраться в перечне систем, получить юридически обоснованную категорию и снять регуляторный риск.

Команда codeby.one — это практики из ИТ, энергетики и финансов, с десятками успешных проверок за плечами. Мы знаем, как действовать быстро и результативно.

Если вы — руководитель ИБ или ИТ в компании с критичными процессами — закажите аудит-сопровождение уже сегодня. Это дешевле, быстрее и надёжнее, чем «ждать сигнала сверху».

Часто задаваемые вопросы

1. Сколько стоят услуги по 187-ФЗ?
Стоимость зависит от количества объектов КИИ и стадии подготовки. В большинстве случаев аудит окупается в течение трёх месяцев за счёт экономии на штрафах и предотвращения простоев.

2. Сколько времени занимает аудит и категорирование?
В среднем 3–5 недель. Первые результаты — уже на первой неделе: определяем список систем, попадающих под закон, и составляем регламент действий.

3. Кто будет это делать?
Специалисты codeby.one — это команда с опытом прохождения проверок ФСТЭК в энергетике, ИТ и госсекторе. В штате — сертифицированные консультанты с допусками безопасности.

Закажите экспресс-аудит по 187-ФЗ с гарантией корректной классификации объектов КИИ и подготовкой регуляторных уведомлений — с минимальной вовлечённостью вашей команды.