Новые правила категорирования КИИ: что изменилось и как действовать сейчас

Новости отрасли

С конца 2025 года в порядок категорирования объектов критической информационной инфраструктуры внесены серьёзные изменения. Принятый нормативный акт меняет принципиальные подходы к определению объектов КИИ, их значимости и обязанностям владельцев и операторов таких систем. По сути, государство перезапускает процедуру: от обнаружения объектов до контроля соответствия требованиям.

Ключевые изменения в логике категорирования

Ранее оценка значимости часто строилась вокруг понятия «критических процессов»: выявлялись бизнес‑процессы, их влияние оценивалось, и на этой основе формировалась значимость ИТ‑компонентов. Новая редакция документа меняет фокус — акцент смещается с процессов на типовые отраслевые объекты. Это означает, что значимость теперь определяется в большей степени через сопоставление инфраструктуры с утверждёнными типовыми перечнями и отраслевыми особенностями категорирования, а не только через внутренние потребности конкретной организации.

На практике это превращает процедуру в более формализованный процесс: субъекты обязаны проверить соответствие своих систем типовым категориям по отрасли. При этом многие отраслевые перечни ещё находятся в стадии утверждения или требуют уточнений, что создаёт переходный период с неопределённостью для организаций.

Отраслевые перечни и их роль

Ранее отраслевые списки типовых объектов публиковались регуляторами и зачастую имели рекомендательный статус. Сейчас их роль усиливается: включение типа системы в перечень повышает вероятность того, что она будет рассматриваться как объект КИИ и подлежать обязательной процедуре категорирования. Это формирует двухуровневую структуру учета: государственные типовые перечни по отраслям и внутренние реестры конкретных информационных систем, сетей и АСУ, сопоставляемых с этими типами.

На практике это означает, что организациям придётся сопоставлять свои внутренние реестры с появляющимися отраслевыми перечнями и оперативно вносить изменения в документы и процессы, как только перечни утверждены.

Изменения в методике выявления объектов

Новая логика предполагает, что субъект КИИ теперь ищет не только процессы, но прежде всего системы, подпадающие под отраслевые типы. Это требует широкого охвата при ревизии инфраструктуры: до утверждения всех перечней рекомендуется включать в анализ все потенциально значимые ИС, чтобы минимизировать риск пропуска.

В переходный период организации вынуждены сочетать положения нового порядка, имеющиеся исторические методики и профессиональные суждения. Регуляторные требования прямо указывают на ответственность за невыявление объектов, подпадающих под перечни, поэтому стратегия «ждать разъяснений» может оказаться рискованной.

Оценка значимости — отраслевой подход и последствия

Одна из основных новаций — обязанность учитывать отраслевые особенности при определении значимости. Это приведёт к более таргетированной оценке последствий компьютерных инцидентов, но одновременно усложнит работу субъектов: появятся новые критерии, пороговые значения и требования к доказательной базе. Для некоторых сегментов отраслевые критерии могут включать новые показатели, например для организаций финансового сектора и специализированных операторов данных.

После выхода отраслевых документов организациям потребуется пересмотреть категории уже учтённых объектов, обновить акты категорирования и модели угроз, скорректировать процессы мониторинга и отчётности и устранить выявленные несоответствия. Для крупных компаний такая работа без автоматизации будет крайне трудоёмкой.

Механизм для вновь создаваемых объектов

Новая редакция предусматривает и иной подход к системам, создаваемым с нуля: если создаваемая ИС по потенциальным последствиям подпадает под критерии значимости, но пока отсутствует в отраслевом перечне, владелец обязан провести её категорирование и направить предложение о включении типа объекта в соответствующий перечень. Это формализует двусторонний канал: субъекты инициируют уточнение перечней «снизу вверх», что требует детальной документации архитектуры, рисков и показателей значимости.

Ужесточение контроля и новые нарушения

Контроль усиливается: в перечень нарушений вводятся положения, связанные с несоблюдением отраслевых особенностей категорирования, невыявлением объектов из перечней и предоставлением некорректных сведений об объектах (включая отсутствие доменных имён и сетевых адресов для подключённых к сети систем). Также обновлены требования к форме подачи сведений, включая обязательные поля, указанные соответствующим приказом регулятора. Для многих организаций это означает срочную корректировку реестров и оперативную подачу актуальной информации.

Практические шаги для подготовки

Чтобы снизить риски в переходный период, рекомендуется предпринять следующие меры уже сейчас:

  • Полная ревизия информационных систем и активов с фокусом на максимально возможный охват; лучше включить в анализ больше систем, чем меньше.
  • Обновление внутреннего регламента категорирования с удалением ссылок на прежние подходы, основанные исключительно на «критических процессах».
  • Проверка и актуализация реестров ИС, с особым вниманием к доменным именам, IP‑адресам и прочим техническим идентификаторам.
  • Налаживание тесного взаимодействия между отделами безопасности, ИТ и эксплуатацией — процесс категорирования требует межфункциональной координации.
  • Планирование ресурсов на повторное категорирование и корректировки после официального выхода отраслевых особенностей.

Роль автоматизации

Автоматизация выявления объектов, ведения реестров и подготовки отчётности станет ключевым фактором успешного прохождения перехода. Инструменты для управления активами и реестрами существенно сокращают трудоёмкость повторных процедур и помогают поддерживать прозрачность инфраструктуры.

Чего ожидать дальше

После публикации отраслевых особенностей начнётся вторая волна работы: массовое повторное категорирование, обновление документов и адаптация процессов мониторинга. Для организаций с разветвлённой инфраструктурой нагрузка будет высокой — соответственно, те, кто заранее подготовит процессы, механизмы учёта и автоматизацию, окажутся в более выгодной позиции.

Итог

Внесённые изменения меняют логику подхода к КИИ: акцент с анализа бизнес‑процессов переносится на сопоставление систем с типовыми отраслевыми объектами, а оценка значимости становится более отраслеспецифичной и формализованной. Это требует от бизнеса обновления процедур, ревизии реестров и усиления взаимодействия между подразделениями, а также готовности к повторному категорированию по новым критериям.

Если хотите, я подготовлю финальную версию текста со ссылками на официальные документы и отмечу конкретные места, где нужно сверить номера постановлений и приказов — пришлите, пожалуйста, ссылки на исходные нормативные акты или подтвердите номера/даты.

У вас есть вопросы?
Оставьте свой номер телефона
и мы вам перезвоним, чтобы
проконсультироваит по всем вопросам КИИ

    Успешно отправлено