Теперь логика работает совершенно иначе. Государство разработало типовые отраслевые перечни объектов КИИ — своего рода каталоги систем, которые автоматически подлежат категорированию в каждой отрасли. Если ваша информационная система, сеть или автоматизированная система управления указана в этом перечне, вопрос о её категорировании уже закрыт. Самостоятельный анализ критичности процессов теперь отходит в прошлое, уступая место формальному соответствию нормативам.
Это означает, что организациям нужно провести полную инвентаризацию своих ИТ-активов и сопоставить их с типовыми отраслевыми перечнями. Если вы пропустите объект, который попадает под определение, это не просто непредусмотрительность — это уже нарушение. Новая редакция Правил категорирования ввела жёсткий механизм: если субъект КИИ выявляет объект, который не отнесён к формальным перечням, но по масштабу последствий инцидента тянет на категорию значимого, организация обязана самостоятельно присвоить ему категорию и направить это предложение во ФСТЭК России, чтобы закрыть лазейку в нормативе.
Расширение критериев значимости: новые показатели требуют системного подхода
Категорирование объектов — это не просто название процедуры; это процесс присвоения каждой системе категории значимости от 1 до 3. И здесь новые правила 2026 года внесли существенные коррективы. Показатели критериев значимости, утверждённые в Постановлении Правительства от 08.02.2018 № 127, были обновлены с учётом отраслевых особенностей.
Возьмём, к примеру, транспортную сферу. Здесь теперь усилен акцент на организациях, осуществляющих грузовые и пассажирские перевозки — логично, ведь сбой в такой системе может парализовать целый регион. В сфере связи повышены требования к устойчивости инфраструктуры в целом, что отражает критичность этого сектора для функционирования всего государства. Финансовый сектор поехал дальше и теперь охватывает не только традиционные банки, но и операторов цифрового рубля, микрофинансовые организации и бюро кредитных историй — практически вся экосистема денежного оборота попадает под регулирование.
Для государственного управления расширен круг охватываемых организаций, а в оборонно-промышленном комплексе появились новые критерии, учитывающие участие в государственном оборонном заказе. Это означает, что комиссиям по категорированию нужно переработать свои решения с нуля, пересчитав показатели в соответствии с отраслевыми особенностями. На практике компании, которые уже провели категорирование, должны провести его повторно, используя обновленные критерии.
Жёсткие сроки и ускоренная адаптация: практическая реальность
С 15 ноября 2025 года новые правила уже действуют в полную силу, и переходного периода не предусмотрено. Это означает, что у организаций остаётся ограниченное время на адаптацию — примерно 20 рабочих дней до условного срока актуализации сведений во ФСТЭК России, ориентировочно до 12 декабря 2025 года включительно.
Практически это означает необходимость немедленных действий: инвентаризация объектов, сопоставление со слегка обновляемыми типовыми перечнями (которые ФСТЭК обещает утвердить до конца года), пересчёт показателей значимости и подготовка актуализированного пакета документов для передачи в регулирующий орган. Если по какой-то причине информация во ФСТЭК устаревает или содержит ошибки, организация сама отвечает за своевременное внесение корректировок. Это не просто бюрократическое требование — это инструмент государственного контроля, помогающий отследить реальное состояние критической инфраструктуры в стране.
Методика оценки защищённости: от красоты отчётов к реальным практикам
Параллельно с переменами в категорировании произошло значительное обновление в методиках оценки защищённости. ФСТЭК России 11 ноября 2025 года выпустила новую методику оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов КИИ.
Ключевое слово в названии — "показателя". Методика фиксирует конкретный коэффициент защищённости (КЗИ), на основе которого определяется уровень защиты организации. Градация проста: КЗИ = 1 соответствует зелёному сигналу светофора (минимальный базовый уровень, соответствие всем требованиям), значение 0,75 < КЗИ < 1 указывает на оранжевый уровень (низкий уровень с предпосылками реализации угроз), а всё ниже 0,75 — красный флаг, свидетельствующий о критическом состоянии защиты.
Это не просто изменение в нумерации; методика стала куда более требовательной к документальному обоснованию. Теперь недостаточно того, чтобы установить межсетевой экран и запустить антивирус. Организация должна предоставить полную доказательную базу: политики информационной безопасности, регламенты и процедуры, результаты пентестов, отчёты об учениях по реагированию на инциденты и многое другое. Сама слабая система в контуре критической инфраструктуры становится узким местом для всей оценки — классический эффект цепи, которая рвётся в самом слабом звене.
Кроме того, методика предусматривает оценку раз в полугодие. Это не одноразовая процедура, а постоянный мониторинг состояния защиты. При выявлении недостатков организация обязана разработать план мероприятий по повышению уровня защищённости и выполнить его до следующей оценки. Если этого не сделать, штрафные санкции становятся вопросом времени, а не предположения.
Интеграция с ГосСОПКА: подключение к государственной системе раннего предупреждения
Когда говорят об охране в древние времена, представляют одиночного воина у ворот крепости. Но что если объединить наблюдение тысячи постов, создав единую информационную сеть? Примерно на этом принципе работает государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — ГосСОПКА.
Все организации с значимыми объектами КИИ обязаны интегрироваться с этой системой через Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Это не просто добавление в реестр; это активное подключение средств защиты информации к государственной системе, через которую поступает информация об актуальных киберугрозах, а организация, в свою очередь, сообщает об инцидентах, которые произошли в её системах.
Эта интеграция даёт двойной эффект. С одной стороны, организация получает ценнейшую информацию в реальном времени о новых способах атак, их источниках и способах защиты. С другой стороны, государство получает полную картину кибертак на критическую инфраструктуру и может координировать действия по их нейтрализации. На практике это означает, что отдел информационной безопасности компании становится элементом государственной защиты, и это требует высокого уровня дисциплины и оперативности в сообщении о проблемах.
Импортозамещение программного обеспечения: от деклараций к реальному переходу
Возможно, самый болезненный для многих организаций момент: требования к переходу на российское программное обеспечение и отечественные программно-аппаратные комплексы становятся не просто рекомендацией, а жёсткой необходимостью. С 1 января 2026 года использование иностранного ПО в критической инфраструктуре в принципе становится невозможным в ряде случаев, хотя точные сроки полного перехода будут определены в отдельных документах Правительства РФ.
На сегодняшний момент регуляторы рассматривают введение новых сроков перехода до 1 января 2028 года, что даёт некоторое облегчение, но не решает проблему кардинально. Для значимых объектов КИИ разрешено использовать исключительно программное обеспечение, включённое в реестр Минцифры, либо отечественное ПО из надёжных источников.
Что делать, если нужное вам иностранное решение не имеет российского аналога? Теория предусматривает исключения, но практика показывает, что получить разрешение сложно. Требуется подробное обоснование невозможности замены, план разработки или адаптации российского аналога, а главное — согласование с уполномоченным органом. Весь процесс может занять от двух до трёх месяцев, и вероятность одобрения зависит от множества факторов, включая стратегическую важность вашего объекта и общеполитическую обстановку.
На текущий момент отечественные разработчики активно пополняют арсенал решений в реестре, но проблемы совместимости и полнота функционала всё ещё остаются острыми. Это означает, что процесс миграции требует не просто финансовых вложений, но и технического переосмысления существующих систем. В энергетическом комплексе, например, уже начались пилотные проекты по внедрению отечественных решений с целью полного перехода к 2030 году.
Практические шаги подготовки: дорожная карта на 2026 год
Все эти изменения можно свести к конкретной последовательности действий, которую должна выполнить любая организация, обладающая значимыми объектами КИИ.
Первый этап — аудит и актуализация категорирования следует начать немедленно. Организация должна провести полную инвентаризацию всех информационных систем и сопоставить их с типовыми отраслевыми перечнями, как только последние будут утверждены ФСТЭК России. Затем необходимо пересчитать показатели критериев значимости с учётом отраслевых особенностей и актуализировать сведения для передачи в регулирующий орган. Это не разовая работа — это фундамент всех последующих действий.
Второй этап — разработка модели угроз и системы защиты требует участия специалистов высокого уровня. Для каждого значимого объекта необходимо разработать модель угроз безопасности информации и модель нарушителя, провести оценку соответствия текущих мер защиты требованиям Приказа ФСТЭК России № 239 и определить необходимые доработки. На этом этапе организация должна чётко понимать, какие именно киберугрозы ей грозят и как их нейтрализовать в рамках текущей инфраструктуры.
Третий этап — планирование импортозамещения является параллельной дорожкой, но жизненно важной. Требуется провести полный аудит используемого программного и аппаратного обеспечения, изучить доступные российские альтернативы, оценить их функциональность и совместимость с существующей инфраструктурой. Затем необходимо составить детальный план поэтапного перехода с указанием сроков, бюджета и потенциальных рисков.
Четвёртый этап — внедрение и тестирование проводится уже с использованием отечественных решений. Рекомендуется начать с пилотной зоны на некритичном сегменте системы, провести тестирование на проникновение с использованием методик ФСТЭК, убедиться в стабильности работы и совместимости всех компонентов. Только после успешного пилота следует тиражировать решение на все значимые объекты.
Пятый этап — обучение и подготовка персонала часто недооценивается, но это критически важно. Персонал должен понимать не только как работать с новыми решениями, но и почему эти решения внедряются, какие угрозы они предотвращают и как правильно реагировать на инциденты безопасности. Специалисты, отвечающие за эксплуатацию критических систем, должны пройти сертификацию и регулярные тренинги по переагированию на киберинциденты.
Технические требования методики оценки защищённости: от теории к практике
Новая методика ФСТЭК определяет конкретные технические показатели, на которых нельзя срезать углы. Рассмотрим их на практических примерах, потому что именно в деталях заключается успех.
Межсетевое экранирование должно быть реализовано на уровнях L3 и L4 (сетевой и транспортный уровни модели OSI) для всех интерфейсов, имеющих доступ в интернет. Недостаточно просто установить firewall на периметр — нужна схема сети, отражающая размещение экранов, и документированные правила фильтрации трафика. Проверка может быть столь же суровой: инспектор ФСТЭК запросит логи, конфигурацию и доказательства того, что правила работают в соответствии с утверждённой политикой.
Отсутствие критических уязвимостей на устройствах, имеющих доступ в интернет, и на всех серверах и рабочих станциях в целом — это не просто требование, а стандарт. Организация должна утвердить положение по управлению уязвимостями, регулярно проводить сканирование уязвимостей (минимум раз в полгода), составлять и реализовывать планы их устранения. Требуется устранять критические уязвимости в течение 24 часов с момента их выявления — это не шутка, а именно то требование, которое вводится в 2026 году.
Централизованное управление средствами антивирусной защиты означает, что антивирусное ПО установлено на всех рабочих станциях и серверах объекта КИИ с обеспечением центрального администрирования. Организация должна иметь лицензии на используемое ПО, скриншоты панели управления, где видно количество подключённых агентов, расписание проверок и периодичность обновления баз данных угроз.
Сбор событий безопасности и оповещение о попытках несанкционированного доступа требует внедрения SIEM-систем или, по крайней мере, централизованных журналов логирования. Система должна автоматически отправлять оповещения при выявлении неудачных попыток входа для учётных записей с повышенными привилегиями. Казалось бы, это стандарт, но многие организации всё ещё используют ручной мониторинг или не ведут логи в централизованном хранилище.
Очистка входящего трафика из интернета от аномалий включает защиту от DDoS-атак. Эта функция реализуется через услугу провайдера интернета, но требует явного регламентирования в договоре. Недостаточно предположить, что провайдер это обеспечивает — нужна письменная гарантия и технические параметры защиты.
Ответственность руководителей: личная позиция имеет значение
С 2026 года ответственность за состояние защиты КИИ не только на уровне организации в целом, но и на уровне конкретных должностных лиц. Генеральный директор, главный технолог, начальник отдела информационной безопасности — все они несут персональную ответственность за соблюдение требований и достоверность информации, предоставляемой во ФСТЭК России.
Это означает, что упоминания о наличии средств защиты в отчёте должны быть подкреплены реальными техническими решениями и документами. Любая попытка скрыть недостатки или представить ложную информацию о уровне защиты рассматривается как серьёзное нарушение, влекущее не только штрафы для организации, но и личную ответственность должностного лица.
Ожидаемые изменения в нормативной базе в течение 2026 года
В течение 2026 года ФСТЭК России планирует выпустить ряд новых приказов и методических документов. Планируется пересмотр требований безопасности для значимых объектов КИИ в Приказах № 235 и № 239. Это означает, что технические требования, которые действуют сейчас, могут быть дополнены или изменены.
Также ожидается выход окончательных версий типовых отраслевых перечней КИИ и отраслевых особенностей категорирования для всех 13 сфер деятельности, попадающих под действие 187-ФЗ. Организациям следует планировать внесение изменений в свои системы защиты с учётом того, что требования могут становиться всё более жёсткими.
Заключение: время действовать сейчас
2026 год — это не год, когда можно сказать: "Авось пронесёт" или "Соседи тоже ещё не готовы". Государство зафиксировало, что 208 000 кибератак произошло на объектах КИИ только за 2024 год, и 40% из них несли реальную угрозу операционной целостности систем. Это числа, которые не поддаются спорам.
Организациям, обладающим значимыми объектами КИИ, нужно немедленно начать работу по актуализации категорирования, оценке соответствия текущих систем защиты новым требованиям методики и планированию импортозамещения. Эти процессы требуют времени, финансирования и привлечения специалистов высокого уровня, но их невыполнение грозит куда более серьёзными последствиями: от штрафов до прямого запрета на использование критических систем.
Те, кто начнёт подготовку сейчас, выполнит переход плавно и планомерно, минимизируя операционные риски. Те, кто отложит решение, столкнутся со спешкой, возможными отказами в согласовании критических решений с регулятором и авральными работами в условиях дефицита времени и ресурсов. Выбор, как всегда, в ваших руках, но окно возможности закрывается с каждым днём.
