Процесс обеспечения безопасности критической информационной инфраструктуры (КИИ) в Российской Федерации вступил в фазу фундаментальной трансформации, инициированной принятием Постановления Правительства РФ № 1762 от 7 ноября 2025 года. Данный нормативный акт не просто корректирует существующие процедуры, а фактически перезапускает весь механизм категорирования, изменяя его логику от субъективного анализа внутренних бизнес-процессов организации к жестко формализованной отраслевой модели.1 Вступление изменений в силу в ноябре 2025 года ознаменовало переход государства к стратегии прямого управления рисками в цифровой сфере, где критерии значимости объектов КИИ теперь определяются не потребностями отдельного предприятия, а национальными интересами и технологическим суверенитетом.1
Данный отчет представляет собой глубокий анализ регуляторных изменений, их влияния на операционную деятельность субъектов КИИ и практическое руководство по адаптации корпоративных систем защиты к новым требованиям законодательства.
Генезис реформы: отход от анализа критических процессов как ответ на вызовы времени
Исторически категорирование объектов КИИ в России, начавшееся с принятия Федерального закона № 187-ФЗ, строилось на выявлении и описании «критических процессов» — деятельности субъекта в одной из тринадцати (позже четырнадцати) сфер, нарушение которой могло привести к негативным последствиям. Однако практика применения этого подхода в период с 2018 по начало 2025 года выявила ряд системных проблем. Субъекты КИИ, стремясь минимизировать административную нагрузку и затраты на внедрение средств защиты информации (СЗИ), зачастую использовали гибкость «процессного» подхода для занижения категории значимости или полного вывода объектов из-под регулирования. Путем дробления бизнес-процессов на мелкие составляющие или интерпретации их как «вспомогательных», компании искусственно снижали масштаб потенциальных последствий инцидентов.1
Постановление № 1762 радикально решает эту проблему, полностью исключая понятие «критических процессов» из формальной процедуры категорирования.3 В новой редакции правил значимость объекта более не является производной от того, как конкретная компания структурирует свои внутренние сервисы или оценивает собственные потребности в автоматизации. Государство переходит к объектно-ориентированной модели: точкой входа теперь выступает сам факт наличия в распоряжении субъекта информационной системы (ИС), автоматизированной системы управления (АСУ) или информационно-телекоммуникационной сети (ИТКС), тип которой включен в государственные перечни типовых отраслевых объектов КИИ.3
Этот сдвиг означает переход от модели «снизу вверх», где субъект обладал значительной свободой в определении критичности своей инфраструктуры, к модели «сверху вниз», где государство через отраслевые регуляторы заранее определило перечень систем, критичных для функционирования отрасли в целом.1 Для бизнеса это влечет за собой необходимость тотальной инвентаризации активов и их сверки с государственными реестрами, так как теперь значимость диктуется внешним регуляторным шаблоном, а не внутренним аудитом.
Отраслевая модель категорирования: типовые перечни и их юридический статус
Центральным механизмом новой системы становятся перечни типовых отраслевых объектов КИИ. С 1 сентября 2025 года, в соответствии с поправками в 187-ФЗ (внесенными законом № 58-ФЗ), Правительство РФ получило расширенные полномочия по утверждению таких перечней для каждой из регулируемых сфер.6 Если ранее подобные списки, публиковавшиеся министерствами, носили скорее рекомендательный характер, то теперь они стали официальной юридической опорой и обязательным фильтром первого уровня.1
Процедура выявления объектов теперь строго алгоритмизирована и включает три последовательных этапа:
- Выявление в инфраструктуре компании систем, сетей и АСУ, соответствующих типам из утвержденных отраслевых перечней.
- Оценка масштаба возможных последствий компьютерных инцидентов на этих объектах на основе новых показателей значимости.
- Присвоение категории значимости (или подтверждение ее отсутствия, если ни один показатель не превышен).4
Важно отметить, что законодатель предусмотрел механизмы для предотвращения появления «некатегорированных лакун». Если компания создает новую систему, которая формально отсутствует в текущей редакции отраслевого перечня, но ее нарушение может привести к последствиям, сопоставимым с критериями значимости, субъект обязан самостоятельно присвоить ей категорию и направить в уполномоченный орган предложение по дополнению отраслевого перечня.2 Таким образом, создается динамическая система, которая будет автоматически захватывать новые цифровые платформы и технологические решения по мере их внедрения.
Для понимания масштаба изменений ниже приведена таблица, структурирующая примеры типовых объектов по ключевым секторам экономики, исходя из обновленных требований 2025-2026 годов.
| Сфера деятельности | Отраслевой регулятор | Примеры типовых объектов КИИ | Ключевые системы в контуре |
|---|---|---|---|
| Здравоохранение | Минздрав России | Информационные системы медучреждений, платформы телемедицины | МИС, региональные шины обмена данными, базы данных пациентов 7 |
| Транспорт | Минтранс России | Системы управления движением, диспетчерские комплексы, логистические хабы | АСУ аэропортов, системы бронирования билетов, управление ЖД-трафиком 2 |
| Энергетика | Минэнерго России | Системы управления генерацией, распределением и учетом ресурсов | АСУ ТП электростанций (ГЭС, ТЭЦ), системы диспетчеризации 4 |
| Металлургия и химия | Минпромторг России | АСУ ТП опасных производственных объектов I и II класса | Управление доменными печами, системы контроля химреакций 9 |
| Финансы | Банк России | Платежные системы, платформы кредитования, учетные системы | АБС, системы МФО, оператор цифрового рубля 2 |
| ОПК | Минпромторг России | Информационные системы планирования и управления производством | Системы управления ГОЗ, испытательные стенды, АСУ станков с ЧПУ 9 |
Детальный разбор показателей значимости: расширение критериев оценки
Постановление № 1762 внесло существенные коррективы в сами показатели критериев значимости и их значения, сделав методику оценки более чувствительной к нюансам функционирования инфраструктуры.4 Одной из наиболее значимых новаций стал переход от оценки только сценариев полной остановки работы объекта к учету нарушений штатного или проектного режима функционирования.4 Теперь комиссии обязаны рассматривать инциденты, приводящие к снижению производительности, изменению технологических циклов или нарушению заданных параметров работы систем, даже если объект формально продолжает функционировать.4
Специфика по секторам: новые акценты
В транспортном секторе показатели значимости теперь учитывают нарушение функционирования как пассажирского, так и грузового транспорта, при этом оценка должна производиться с учетом типа перевозок и категорий грузов.2 Это подчеркивает важность не только безопасности людей, но и устойчивости логистических цепочек, критичных для экономики в условиях санкционного давления.
В сфере связи критерии дополнены показателями, касающимися сбоев в работе сетей, которые влияют на доступность услуг для государственных органов и организаций, выполняющих социально значимые функции.2 Это изменение направлено на защиту «связности» государственного управления и предотвращение коллапса государственных цифровых сервисов.
В финансовом секторе произошла существенная экспансия регулирования. Теперь под действие КИИ попадают сбои в сфере кредитования, включая сегменты потребительских кредитов и микрозаймов.4 Включение в контур регулирования микрофинансовых организаций (МФО) и бюро кредитных историй свидетельствует о стремлении государства минимизировать социальные риски, связанные с возможными манипуляциями данными заемщиков или массовыми отказами в обслуживании.2
Для предприятий, выполняющих государственный оборонный заказ (ГОЗ), введен прямой показатель значимости — снижение показателей выполнения ГОЗ в результате кибератак.2 Это окончательно переводит информационную безопасность ОПК в разряд задач национальной обороны.
Ниже приведена таблица сравнения старого и нового подходов к оценке показателей значимости.
| Параметр сравнения | Прежний подход (до ПП № 1762) | Новый подход (согласно ПП № 1762) |
|---|---|---|
| Объект анализа | Критические процессы субъекта | Соответствие типовым объектам из перечней |
| Сценарии сбоя | Полное прекращение функционирования | Нарушение штатного режима, снижение производительности |
| Транспортный сектор | Общая оценка задержек | Дифференциация по типам грузов и видам перевозок |
| Финансовый сектор | Банки и платежные системы | Расширение на МФО, бюро кредитных историй, цифровой рубль |
| Связь | Технические параметры устойчивости | Доступность услуг для госорганов и организаций |
| Государственный оборонный заказ | Оценка ущерба имуществу | Прямая связь со снижением показателей ГОЗ |
Технические требования и прозрачность сетевой инфраструктуры
Реформа 2025 года привнесла требования, которые делают ИТ-ландшафт субъектов КИИ прозрачным для регуляторов на техническом уровне. Согласно новым правилам, в сведения о результатах категорирования, направляемые во ФСТЭК России, теперь в обязательном порядке должны включаться доменные имена и внешние сетевые адреса (IP) объектов КИИ, если они взаимодействуют с сетями общего пользования (Интернетом).2
Это требование преследует несколько целей:
- Формирование карты поверхности атаки: Регулятор получает возможность видеть все публично доступные точки входа в критическую инфраструктуру, что необходимо для автоматизированного мониторинга угроз.1
- Идентификация «теневых» ИТ: Субъектам становится значительно сложнее скрывать наличие внешних интерфейсов у систем, которые они пытаются представить как «изолированные» или «незначимые».1
- Оперативное реагирование: В случае обнаружения критической уязвимости в программном обеспечении, ФСТЭК или НКЦКИ могут мгновенно идентифицировать все потенциально уязвимые объекты КИИ по их IP-адресам и направить адресные предупреждения.1
Предоставление некорректных или неполных сведений о сетевых реквизитах теперь официально квалифицируется как нарушение порядка категорирования, что расширяет основания для наложения административных штрафов.1
Национальный контроль и технологическая независимость: горизонт 2026
Реформа категорирования неразрывно связана с более широким контекстом обеспечения технологического суверенитета. С 1 марта 2026 года вступают в силу положения Федерального закона № 325-ФЗ, которые устанавливают требования национального контроля над субъектами КИИ.8 Это означает, что владеть и управлять значимыми объектами КИИ смогут исключительно российские юридические лица, находящиеся под контролем граждан РФ или государства.8
Определение «контроля» в данном случае включает владение более чем 50% голосующих акций или долей, а также любую иную возможность определять стратегические решения организации.8 Это требование ставит перед многими крупными компаниями с иностранным участием задачу по реструктуризации владения до весны 2026 года, в противном случае они могут лишиться права эксплуатировать критически важные системы.8
Параллельно с этим ужесточаются требования к используемому программному обеспечению и оборудованию. На значимых объектах КИИ (ЗОКИИ) становится обязательным переход на отечественное ПО из реестра Минцифры, а использование иностранных программно-аппаратных комплексов (ПАК) должно быть полностью прекращено к 1 января 2030 года.8 Субъекты КИИ обязаны формировать и ежегодно обновлять планы перехода, фиксируя конкретные KPI по доле доверенных решений в своей инфраструктуре.10
Экономические аспекты комплаенса: затраты и инвестиции в 2026 году
Переход на новую модель категорирования — это не только юридическая и инженерная задача, но и серьезный вызов для корпоративных бюджетов. В 2026 году затраты компаний будут распределяться по четырем основным направлениям: аудит и консалтинг, модернизация систем защиты, импортозамещение и обучение персонала.2
Рыночная стоимость услуг по обеспечению соответствия
Анализ текущих расценок ведущих ИБ-интеграторов и консалтинговых групп позволяет оценить уровень необходимых вложений для субъектов КИИ.
- Экспресс-категорирование и аудит текущего состояния: услуги по быстрой оценке контура объектов начинаются от 90 000 руб..12
- Полный цикл работ по категорированию: для организации среднего масштаба (до 10-15 объектов) стоимость комплекса работ составляет от 250 000 руб..12
- Независимая экспертиза результатов: процедура подтверждения корректности категорирования перед отправкой во ФСТЭК (рекомендуется для минимизации рисков проверок) стоит от 90 000 руб..12
- Проектирование системы безопасности (СБ ЗОКИИ): стоимость этих работ сильно варьируется в зависимости от категории объекта и требований по технологической независимости, часто предоставляется по запросу после предпроектного обследования.12
Инвестиции в человеческий капитал
Нехватка квалифицированных кадров, способных работать с новыми требованиями ФСТЭК и отраслевыми особенностями, делает обучение сотрудников приоритетным направлением расходов. В 2026 году на рынке представлены следующие образовательные продукты:
- Краткосрочные программы повышения квалификации (16-32 часа) для членов комиссий по категорированию стоят около 32 000 руб..14
- Глубокая профессиональная переподготовка специалистов по ИБ в сфере КИИ (согласованная со ФСТЭК) обходится в сумму от 104 900 до 149 000 руб..15
- Специализированные курсы по технической защите информации (ТЗКИ) стоят около 65 900 руб..15
Некоторые регионы, например Москва, предлагают программы субсидирования обучения, позволяющие вернуть до 95% затрат, что является важным инструментом оптимизации бюджета для компаний.15
Риски несоблюдения: административная и уголовная ответственность
В 2026 году государство переходит от политики разъяснений к политике жесткого надзора. Статистика проверок ФСТЭК за предыдущие периоды показывает, что 98% выявленных нарушений связаны с расхождением между фактическим составом инфраструктуры и данными, поданными в реестр.10
Административные санкции
Законодательные инициативы 2025-2026 годов предусматривают значительный рост штрафов за нарушение правил категорирования и эксплуатации объектов КИИ.
| Тип нарушения | Штраф для должностных лиц (руб.) | Штраф для юридических лиц (руб.) |
|---|---|---|
| Нарушение порядка категорирования (ст. 19.7.15 КоАП) | 10 000 – 50 000 | 100 000 – 500 000 7 |
| Несоблюдение требований по безопасности ЗОКИИ | 10 000 – 50 000 | 50 000 – 100 000 7 |
| Непредоставление информации об инцидентах | до 50 000 | до 500 000 7 |
| Нарушение правил эксплуатации объекта КИИ (новый проект) | 10 000 – 50 000 | 100 000 – 500 000 17 |
Уголовная ответственность и внутренние угрозы
Статья 274.1 УК РФ («Преступления против КИИ РФ») является наиболее серьезным инструментом ответственности. Она предусматривает наказание вплоть до 10 лет лишения свободы, если нарушение правил эксплуатации или доступа к КИИ повлекло за собой тяжкие последствия.7
Исследования угроз показывают, что 50% всех инцидентов в КИИ инициированы внутренними нарушителями — сотрудниками компаний.19 Типичные кейсы 2024-2025 годов включают:
- Системные администраторы, устанавливающие скрытые майнеры на серверы медучреждений.19
- ИТ-специалисты, продающие данные из государственных реестров (например, сведения об умерших похоронным агентам).19
- Бывшие сотрудники, сохраняющие доступ к системам из-за отсутствия налаженных процессов отзыва прав доступа.
Суды начали признавать «цифровую аннигиляцию» данных или даже сам факт создания угрозы безопасности достаточным основанием для вынесения обвинительных приговоров, не дожидаясь наступления прямого материального ущерба.19
Практическое руководство для компаний: дорожная карта перехода на новую модель
Для успешной адаптации к требованиям Постановления № 1762 и сопутствующих актов, компаниям рекомендуется следовать пошаговому плану действий, который позволит минимизировать риски и оптимизировать затраты.
Шаг 1: Ревизия состава субъекта и правового статуса
Первым делом необходимо проверить, остается ли организация субъектом КИИ. С 1 сентября 2025 года из перечня субъектов исключены индивидуальные предприниматели (ИП).10 Если организация является юридическим лицом и владеет ИС в одной из 14 сфер, необходимо проверить структуру владения на соответствие требованиям закона № 325-ФЗ (национальный контроль).8
Шаг 2: Тотальная инвентаризация по «отраслевому принципу»
Комиссии по категорированию должны отказаться от логики поиска «критических процессов» и провести сверку всего ИТ-ландшафта с утвержденными перечнями типовых отраслевых объектов КИИ.2 Каждая система, сеть или АСУ должна быть либо соотнесена с типом из перечня, либо документирована как «нетиповая», но оцененная на предмет значимости по масштабу последствий.2
Шаг 3: Перерасчет показателей и обновление сценариев
Необходимо заново оценить значимость объектов, исходя из сценариев нарушения штатного режима (снижение производительности, сбои циклов), а не только полной остановки.4 Следует применить обновленные пороговые значения показателей для транспорта, связи, ГОЗ и финансов.4
Шаг 4: Сбор и актуализация технических данных
Для всех систем, взаимодействующих с внешними сетями, необходимо собрать и зафиксировать в актах категорирования доменные имена и внешние IP-адреса.2 Важно детализировать данные об используемом ПО, СЗИ (модели, версии, номера сертификатов) и аппаратных средствах.8
Шаг 5: Повторное категорирование и направление сведений
По результатам инвентаризации и перерасчета необходимо составить новые Акты категорирования. Сведения должны быть направлены во ФСТЭК России по новой форме (согласно Приказу № 247).8 Ориентировочный дедлайн для первой волны обновлений после вступления в силу ПП № 1762 — декабрь 2025 года.2
Шаг 6: Планирование «второй волны» в 2026 году
Поскольку многие отраслевые особенности и конкретные перечни находятся в стадии утверждения, компаниям следует закладывать в бюджет 2026 года ресурсы на повторный пересмотр документов в течение 90 дней после выхода соответствующих ведомственных актов.1 В актах 2025 года рекомендуется фиксировать, что категорирование проведено без учета отраслевых особенностей в связи с их отсутствием на дату подписания.10
Заключение
Постановление Правительства РФ № 1762 знаменует собой окончание эпохи «бумажной безопасности» и переход к модели жесткого государственного контроля над критической цифровой инфраструктурой. Отмена анализа критических процессов в пользу типовых перечней делает систему категорирования прозрачной, предсказуемой для регулятора и практически неизбежной для бизнеса.1
Для компаний этот переход означает необходимость интеграции требований ИБ в основную ИТ-стратегию и стратегию корпоративного управления. Те субъекты КИИ, которые смогут оперативно перестроить свои процессы категорирования, обеспечить прозрачность сетевых параметров и своевременно перейти на доверенные отечественные решения, получат не только юридическую защищенность, но и реальную технологическую устойчивость перед лицом глобальных кибервызовов.1 КИИ из точечной задачи комплаенса превращается в непрерывный процесс управления рисками национального масштаба.
МАТЕРИАЛЫ ПО ТЕМЕ:
Приказ ФСТЭК №117: Архитектура регуляторного переворота и инженерия выживания
ГосСОПКА: как подключиться и не получить штраф
Исключение из реестра КИИ 2025–2026: Стратегия категорирования, и минимизации регуляторных рисков
Реестр лицензиатов ФСТЭК: СЗКИ и ТЗКИ — Архитектура входа и протокол суверенного выхода
