КИИ в сфере оборонной промышленности: высший уровень ответственности и секретности

Предприятия оборонно-промышленного комплекса работают в условиях двойного регулирования: требования 187-ФЗ по безопасности КИИ накладываются на режим защиты государственной тайны. Разбираем, как синхронизировать эти режимы, выстроить взаимодействие с ФСБ и ФСТЭК и избежать уголовной ответственности.

Категорирование объектов КИИ на предприятиях ОПК

Процедура категорирования для оборонной промышленности принципиально не отличается от общей (пошаговое руководство по категорированию), но имеет ряд существенных особенностей.

Особенность 1: Критерий «значимость для обороны»

В Постановлении Правительства № 127 пять групп критериев значимости. Для предприятий ОПК ключевым является пятый — «значимость для обеспечения обороны страны, безопасности государства и правопорядка». Даже если по остальным критериям объект не дотягивает до первой категории, по оборонному критерию он может получить её автоматически.

Особенность 2: Высокая вероятность первой категории

По нашей практике, значительная часть объектов КИИ на предприятиях ОПК получает первую (высшую) категорию значимости. Это влечёт максимальный набор обязательных мер защиты по приказу ФСТЭК № 239 и пристальное внимание регуляторов.

Особенность 3: Секретность результатов категорирования

Сведения о категорировании объектов КИИ предприятий ОПК сами по себе могут являться информацией ограниченного доступа. Перечень объектов, присвоенные категории, описание мер защиты — всё это может попадать под режим гостайны или «ДСП». Работа комиссии по категорированию в таком случае ведётся с соблюдением режимных требований.

Особенность 4: Состав комиссии

В комиссию по категорированию на оборонном предприятии, помимо стандартных участников (ИТ-директор, специалист ИБ, юрист), обязательно включаются:

• Представитель режимно-секретного подразделения (первого отдела)
• Специалист по защите гостайны
• Представитель службы безопасности
• При необходимости — представитель заказчика (Минобороны)

Подробнее об отраслевых особенностях категорирования читайте в отдельном материале.

Матрица лицензий и допусков для предприятий ВПК

Одна из самых сложных задач для CISO оборонного предприятия — обеспечить наличие всех необходимых лицензий и допусков. Ниже приведена матрица, которую мы составили на основе практики работы с предприятиями ОПК.

Практический совет: начинайте оформление лицензий параллельно с категорированием, а не после него. Суммарный срок получения полного пакета может достигать 6–12 месяцев, и задержка на этом этапе — одна из самых частых проблем, с которыми сталкиваются предприятия ОПК. Подробнее о стоимости этих процедур — в статье «Сколько стоит категорирование КИИ в 2026 году».

Импортозамещение и ГосСОПКА: практические вызовы для ОПК

Импортозамещение ПО

Указ Президента № 166 от 30.03.2022 установил жёсткие сроки: с 1 января 2025 года использование иностранного программного обеспечения на значимых объектах КИИ полностью запрещено. Для систем управления базами данных срок продлён до 1 января 2026 года.

Для предприятий ОПК это особенно болезненная тема. Исторически на оборонных заводах использовались западные САПР (Siemens NX, SolidWorks), ERP-системы (SAP), СУБД (Oracle, MS SQL Server). Замена этих систем на отечественные аналоги — не просто установка нового ПО, а перестройка технологических процессов.

На практике ситуация выглядит так:

• САПР: переход на Компас-3D, T-FLEX CAD, nanoCAD — реален, но требует переобучения конструкторов и конвертации архива документации
• ERP: замена SAP на 1С:ERP Управление предприятием или Галактика ERP — проекты на 12–24 месяца
• СУБД: миграция на PostgreSQL (российские сборки: Postgres Pro, Astra DB) — относительно гладкий процесс
• ОС: переход на Astra Linux, РЕД ОС, Альт — для секретных сегментов обязателен Astra Linux Special Edition с сертификатом ФСТЭК/ФСБ

Подключение к ГосСОПКА

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) управляется ФСБ через Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Для предприятий ОПК подключение к ГосСОПКА имеет специфику:

1. Канал передачи данных — информация об инцидентах на секретных объектах передаётся только по защищённым каналам связи
2. Объём сведений — при уведомлении НКЦКИ об инциденте необходимо избегать раскрытия сведений, составляющих гостайну
3. Собственный центр мониторинга — крупные предприятия ОПК обязаны создать ведомственный сегмент ГосСОПКА (корпоративный центр мониторинга)
4. Срок уведомления — об инцидентах на значимых объектах КИИ первой категории необходимо сообщить в НКЦКИ не позднее 3 часов с момента обнаружения

Уголовная и административная ответственность: повышенные ставки

Для предприятий ОПК спектр ответственности за нарушения в сфере КИИ значительно шире, чем для гражданских отраслей. Подробный разбор штрафов и проверок по КИИ читайте в отдельной статье, здесь сосредоточимся на специфике ОПК.

Уголовная ответственность (УК РФ)

• Ст. 274.1 УК РФ — неправомерное воздействие на КИИ. Нарушение правил эксплуатации, повлёкшее вред, — до 6 лет лишения свободы. Если последствия тяжкие — до 10 лет
• Ст. 283 УК РФ — разглашение гостайны. До 7 лет лишения свободы, а при тяжких последствиях — до 10 лет
• Ст. 284 УК РФ — утрата документов, содержащих гостайну. До 3 лет лишения свободы

Обратите внимание: если компьютерный инцидент на объекте КИИ оборонного предприятия приведёт к утечке гостайны, возможна квалификация сразу по нескольким статьям.

Административная ответственность (КоАП РФ)

• Нарушение требований к защите КИИ — штрафы до 500 000 рублей на юрлицо
• Нарушение порядка категорирования — предписание ФСТЭК с обязательным устранением в срок
• Непредставление сведений в НКЦКИ об инциденте — отдельный состав правонарушения

Для руководителя предприятия ОПК невыполнение требований по КИИ — это не просто штраф. Это репутационный риск перед Минобороны, угроза потери гособоронзаказа и персональная уголовная ответственность.

Пошаговый алгоритм для CISO оборонного предприятия

На основе опыта «Астелс» и анализа требований регуляторов мы составили алгоритм действий для руководителя службы ИБ предприятия ОПК, который должен привести КИИ-процессы в соответствие.

1. Аудит текущего состояния. Инвентаризация всех ИС, АСУ и сетей предприятия. Составление карты: какие системы обрабатывают гостайну, какие попадают под определение объектов КИИ, где зоны пересечения
2. Сверка с типовым перечнем. Сопоставление инвентаризированных систем с перечнем типовых объектов КИИ ОПК (Минпромторг + ФСТЭК, 2024). Включение в перечень объектов КИИ тех систем, которые ранее могли быть пропущены
3. Формирование комиссии. Создание комиссии по категорированию с обязательным участием представителей первого отдела, службы безопасности и ИТ-подразделения
4. Категорирование. Проведение оценки по всем пяти критериям ПП № 127 с особым вниманием к критерию «значимость для обороны». Подготовка актов категорирования
5. Подача сведений. Направление актов категорирования во ФСТЭК в установленные сроки (10 рабочих дней после утверждения)
6. Параллельно: лицензии. Оформление недостающих лицензий ФСБ и ФСТЭК, обновление допусков персонала
7. Проектирование системы защиты. Разработка единой системы безопасности, удовлетворяющей и требованиям 187-ФЗ (приказы ФСТЭК), и режиму гостайны. Выбор сертифицированных СЗИ
8. Импортозамещение. Составление плана миграции на отечественное ПО с учётом специфики производственных процессов ОПК
9. Подключение к ГосСОПКА. Организация взаимодействия с НКЦКИ, настройка каналов передачи данных об инцидентах
10. Непрерывный мониторинг. Внедрение процесса мониторинга безопасности ЗОКИИ, регулярный пересмотр категорий (не реже 1 раза в 5 лет или при существенных изменениях)

Подробнее о каждом шаге процедуры — в нашем «Пошаговом руководстве по категорированию КИИ» и материале о комплексной киберзащите КИИ под ключ.

Итог

Предприятия оборонно-промышленного комплекса находятся под двойным давлением регуляторов: ФСТЭК контролирует выполнение требований по безопасности КИИ, ФСБ — режим гостайны и криптографическую защиту. Игнорирование любого из этих направлений создаёт риски от административных штрафов до уголовного преследования должностных лиц.

Ключ к успеху — построение единой системы защиты, которая одновременно удовлетворяет требованиям 187-ФЗ и законодательства о гостайне. Начинать нужно с аудита, сверки с типовыми перечнями и формирования комиссии с участием всех заинтересованных подразделений.

С учётом изменений 187-ФЗ и второй волны категорирования 2026 года, предприятиям ОПК, которые ещё не завершили категорирование, необходимо действовать безотлагательно.

Нужна помощь с категорированием КИИ на предприятии ОПК? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и подберут оптимальный формат сопровождения с учётом режима секретности.