⚖️ MAX и 187 ФЗ: когда мессенджер становится КИИ и чем это оборачивается для пользователей Серия публикаций про Макс (MAX) не про «борьбу с удобством», а про очерчивание контура ответственности вокруг ООО «Коммуникационная платформа» — оператора средства обмена сообщениями MAX. Технологическая лаборатория дополнительно верифицирует фактическую часть (архитектура, шифрование, SDK), а запросы в уполномоченные органы должны дать формальный статус и позицию регуляторов. Сейчас MAX де факто используется в критических сценариях (массовая аудитория, интеграция с госресурсами, обязательность для органов власти), при этом формально ни оператор, ни сам сервис не отнесены к субъектам/объектам критической информационной инфраструктуры (КИИ) по 187 ФЗ. Это создаёт зону правовой неопределенности: высокие фактические риски при отсутствии жёсткого публичного режима контроля и отчётности. 📌 Что даёт признание КИИ по 187 ФЗ Если MAX будет признан объектом КИИ в установленном законом порядке, на оператора лягут требования 187 ФЗ и подзаконных актов ФСТЭК и ФСБ. В конспективном виде это означает: • Внедрение и подтверждение мер защиты по профильным приказам ФСТЭК (в том числе №239) с учётом категории значимости, обязательное применение сертифицированных средств защиты и криптографии, а также ограничение на использование непрозрачных сторонних SDK там, где они создают угрозы для КИИ. • Включение в контур мониторинга инцидентов (ГосСОПКА), регламент информирования компетентных органов при инцидентах и невозможность «решить всё кулуарно» при массовых утечках или нарушении устойчивости сервиса. ⚡️ Ответственность оператора Признание MAX объектом КИИ меняет качество ответственности менеджмента и владельца инфраструктуры. Нарушение требований по категорированию, защите и реагированию влечёт административную ответственность по профильным нормам КоАП, а причинение вреда КИИ может подпадать под действие ст. 274.1 УК РФ. При тяжких последствиях инцидента (массовая утечка данных, нарушающая устойчивость функций, охраняемых 187 ФЗ) руководители и ответственные лица субъекта КИИ оказываются в зоне реального уголовно-правового риска. Фактический исход всегда зависит от доказанности причинно-следственной связи, уровня вины, качества внедрённых мер защиты и поведения оператора до и после инцидента. Нынешнее позиционирование MAX как массового, фактически инфраструктурного сервиса без формального статуса КИИ позволяет оператору избегать более жёсткого режима, в то время как пользователи и госорганы исходят из допущения «квази гарантированной» защищённости. 🎯 Граждане vs оператор 187 ФЗ сконструирован прежде всего для защиты устойчивости критической инфраструктуры и интересов государства; защита данных граждан — производный результат ужесточения требований к субъектам КИИ. Чем выше регуляторное давление (контроль ФСТЭК/ФСБ, ответственность, аудит), тем меньше пространство для произвольных архитектурных решений. Отсюда простая развилка: • Если MAX признают объектом КИИ — оператор получает жёсткий регуляторный режим, финансовую нагрузку и риски контроля, а пользователи — формализованный контур безопасности и отчётности по инцидентам. • Если MAX останется вне КИИ — оператор сохраняет большую свободу манёвра, а граждане фактически пользуются коммерческим продуктом без внешней системы гарантий, основанной на публичном праве. 📍 Текущий статус Запросы в ФАС, Роспотребнадзор, Минцифры, ФСТЭК в пределах их компетенций. Параллельно технический аудит (маршрутизация трафика, фактическое шифрование, зависимости от сторонних SDK и облаков) позволит сопоставить декларируемую и реальную архитектуру безопасности. 01.03.2026 вступает в силу Приказ ФСТЭК 117, который сделает регулирование Max еще более жестким. Юридическая инженерия здесь — не про абстрактную критику мессенджера, а про построение баланса: перевод де факто критической платформы из «серой зоны» в режим, где риск оператора становится осознанным и измеримым, а защита данных — следствием формализованно