Фармацевтическая отрасль — это не только производство, но и сложная логистика и работа с чувствительными данными пациентов в рознице. Кибератака на любое звено этой цепочки ставит под удар всю систему. Именно поэтому регулятор сейчас смещает фокус на всех участников. И последствия этого смещения уже видны в судебной практике. Она пополняется не только административными, но и уголовными делами. Разбираемся, какие изменения в законе №187-ФЗ произошли в 2025 году, чем реально грозит бездействие и с чего начать, чтобы не повторить чужих ошибок.
Защита критической информационной инфраструктуры — это не вопрос «нужно или нет», а вопрос «когда и с какими последствиями»
Фокус регулятора: не только головное предприятие, но и вся сеть поставок
Уголовная ответственность за бездействие при категорировании — уже не теория. Тезисы «мы маленькая компания» или «кому мы нужны» больше не работают — социальная значимость бизнеса автоматически делает его приоритетной целью для атак и объектом пристального внимания регулятора. А значит, и зоной персональной ответственности руководства. Судебная практика 2025 года зафиксировала резонансный случай, когда срыв сроков категорирования был квалифицирован по статье 274.1 УК РФ как создание условий для кибератаки.
Вывод: защита критической информационной инфраструктуры (КИИ) — это не вопрос «нужно или нет», а вопрос «когда и с какими последствиями».
Этот вывод напрямую касается малого и среднего бизнеса. Внимание злоумышленников смещается с укрепленных «цитаделей» на логистические цепочки. Атаки на дистрибьюторов, объекты логистической инфраструктуры и розничные сети учащаются — это самое уязвимое звено, обеспечивающее конечную доступность препаратов. Крупный бизнес и госзаказчики уже выстроили защиту и находятся под контролем, а малый и средний бизнес в этой экосистеме часто остается тем самым звеном, разрыв которого ставит под угрозу всю систему.
Фокус регулятора смещается по двум направлениям: от головных предприятий к сети поставок, от крупных компаний — к малому и среднему бизнесу. Защита КИИ перестает быть проблемой только «больших игроков» — она становится обязательным условием участия в фармацевтической экосистеме для компаний любого размера.
Крупный бизнес и госзаказчики уже выстроили защиту и находятся под контролем, а малый и средний бизнес в этой экосистеме часто остается тем самым звеном, разрыв которого ставит под угрозу всю систему
Главное изменение 2025 года: типовые отраслевые перечни
Ключевое нововведение — переход к выявлению объектов КИИ по типовым отраслевым перечням, утверждаемым правительством РФ. Важно понимать два момента:
- Типовые перечни не отменяют устоявшуюся процедуру категорирования, а дополняют ее, давая более четкий ориентир для определения объектов КИИ.
- Перечни не являются исчерпывающими. Если информационная система критична, но отсутствует в перечне, компания все равно обязана провести ее категорирование и вправе направить во ФСТЭК предложение о включении такой системы в типовой перечень.
Три сценария использования типовых отраслевых перечней
Появление типовых перечней не отменяет необходимости анализировать все информационные системы компании. На практике это порождает три типовых сценария, с которыми сталкивается любая организация при категорировании.
Сценарий 1. Прямое попадание. Система есть в перечне вашей основной сферы деятельности → подлежит категорированию.
Сценарий 2. Попадание по смежной сфере. Система есть в перечне, но для другой отрасли. Например, собственная электростанция на фармпроизводстве попадает в перечень энергетики. В этом случае система также подлежит категорированию.
Сценарий 3. Системы нет в перечне, но она критична. Если в компании есть система, сбой в которой может привести к значимым последствиям (в соответствии с ПП РФ №127), она подлежит категорированию независимо от наличия в перечне.
Компаниям, которые хотят не просто избежать штрафов, а выстроить работающую систему защиты, сохранив ресурсы, предстоит большая внутренняя работа. И здесь ключевым фактором успеха становится партнерство с подрядчиком, который понимает и техническую сторону («железо»), и регуляторику, и бизнес-процессы заказчика
Что делать прямо сейчас: дорожная карта для руководителя
1. Инвентаризация и сбор данных. Выявите все информационные системы, АСУ ТП и сети. Привлеките не только IT-отдел, но и владельцев бизнес-процессов — главного инженера, начальника производства, руководителя логистики. Это фундамент: без полного понимания того, что у вас есть, вы не сможете определить, какие системы подлежат категорированию.
2. Сверка с типовыми перечнями. Проверьте системы по перечням вашей и смежных сфер. Цель — не просто отчитаться, а сформировать обоснованную позицию: либо подтвердить, что система подлежит категорированию, либо быть готовым аргументированно ответить регулятору, почему она не попадает под требования.
3. Экспертный анализ последствий. Для систем, не попавших в перечни, оцените, к каким значимым последствиям приведет их остановка. Это позволяет выявить объекты КИИ, даже если их нет в перечне.
4. При необходимости провести категорирование. Если система подпадает под критерии (прямое попадание, смежная сфера или критичность последствий), инициируйте процедуру категорирования. Создайте комиссию, определите категорию значимости, подготовьте необходимые обоснования.
5. Грамотное оформление и направление сведений регулятору. Процесс категорирования нужно не только правильно провести, но и корректно сопроводить документально. Подготовьте комплект документов в соответствии с требованиями ФСТЭК и направьте сведения о результатах категорирования в установленном порядке.
«ICL Системные Технологии» — системный интегратор полного цикла в сфере информационной безопасности
Компаниям предстоит большая внутренняя работа
Период неопределенности для фармы в вопросах КИИ закончился. Регулятор перешел от угроз к конкретике, а судебная практика уже выносит приговоры не за сами атаки, а за бездействие и формализм.
Компаниям, которые хотят не просто избежать штрафов, а выстроить работающую систему защиты, сохранив ресурсы, предстоит большая внутренняя работа. И здесь ключевым фактором успеха становится партнерство с подрядчиком, который понимает и техническую сторону («железо»), и регуляторику, и бизнес-процессы заказчика.
ICL SOFT — разработчик цифровых решений и IT-услуг, входит в топ‑10 российских IT-компаний (группа ICL). Компания специализируется на цифровизации предприятий, используя ИИ и решения Data Science, а также оказывает услуги по внедрению 1С и аутсорсингу технической поддержки.
ICL SOFT совместно с «ICL Системные Технологии» провела специальный вебинар «Безопасность КИИ в фарминдустрии: первые шаги по выполнению требований закона №187‑ФЗ», где эксперты компании поделились дорожной картой мероприятий, которые необходимо провести в первую очередь. В сессии «вопрос – ответ» эксперты разобрали множество живых кейсов:
- нужно ли категорировать 1С, если она используется по договору аренды;
- можно ли совмещать ответственных за КИИ по 250‑му указу и 235‑му приказу;
- где искать типовые отраслевые перечни;
- почему производитель лекарств рискует получить уголовное дело не за утечку данных, а за формальный подход к документам.
Запись вебинара и контакты экспертов доступны для всех, кто готов сделать первый шаг к реальной, а не «бумажной» безопасности.
Ссылки на вебинар: vkvideo.ru
ICL Системные Технологии — системный интегратор полного цикла в сфере информационной безопасности. Реализует комплексные работы по IT и ИБ в соответствии с отраслевыми стандартами (ФСТЭК, ФСБ).
«ICL Системные Технологии»: icl-st.ru
Комментарии 0
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.