8 800 775-99-90
Status Page

Обеспечение безопасности критической информационной инфраструктуры российской федерации: последние изменения

Последние изменения, обеспечения безопасности, категорирование критической информационной инфраструктуры и чек-лист конкретных действий
Время чтения: 11 мин
7 месяцев назад
Обновлено: 2 месяца назад

Если вы занялись вопросом недавно, вот памятка для ответственных и заинтересованных по теме КИИ, с ответами на основные вопросы.

Про актуальные изменения за первое полугодие 2025 года тут.

Подробно о том, как проводить категорирование критической информационной инфраструктуры тут.

Итак, что у нас нового и интересного на ноябрь 2025:

1) Сроки миграции перенесли до 1 января 2028 и 1 декабря 2030.
Переход значимых объектов КИИ на российское ПО официально сдвинут.
Минцифры 19 сентября 2025 представило проект ПП о сроках и правилах перехода на отечественное ПО для ЗО КИИ: предельная дата — 1 января 2028; при объективной невозможности срок может быть продлён, но не далее 1 декабря 2030 по решению Президиума Правительственной комиссии по цифровому развитию. Допускается, если в реестре нет российского ПО с сопоставимыми функциональными, техническими или эксплуатационными характеристиками. При этом субъект КИИ обязан вести особо значимый проект по доработке и внедрению отечественных решений взамен иностранного.

2) Появился стандарт по ПАК для КИИ (ПНСТ 1007-2025).
В конце июня 2025 утверждён предварительный национальный стандарт, который классифицирует программно-аппаратные комплексы по назначению и задаёт основу для их признания «доверенными» для применения на объектах КИИ. Полный текст опубликован на портале Росстандарта; доступны также своды с примерами классов (виртуализация, хранение данных, средства защиты и др.). Это база для типизации решений при проектировании контуров КИИ и подготовки номенклатуры «доверенных» ПАК. 

3) Сформированы «Типовые отраслевые объекты КИИ»
4 июня 2025 ФСТЭК опубликовала проект Постановления с перечнями типовых отраслевых объектов КИИ. Эти перечни используются, в частности, для исключения иностранного ПО в составе КИИ и унификации категорирования по сферам:

  • Здравоохранение;
  • Наука;
  • Транспорт (воздушный, автомобильный, городской наземный электрический, железнодорожный, морской и речной, внеуличный, метрополитен);
  • Связь;
  • Энергетика;
  • Государственная регистрация прав на недвижимое имущество и сделок с ним;
  • Банковская сфера и иные сферы финансового рынка;
  • Топливно-энергетический комплекс;
  • Атомная энергия;
  • Оборонная промышленность;
  • Ракетно-космическая промышленность;
  • Горнодобывающая промышленность;
  • Металлургическая промышленность;
  • Химическая промышленность.

Что делать ответственным в ближайшее время:

— сопоставить используемые/закупаемые комплексы с классами ПНСТ 1007-2025;
— учесть классификацию в ТЗ, реестрах средств и в планах импортозамещения.

— актуализировать дорожную карту импортозамещения под 2026–2027 гг.;
— готовить обоснования для продления: отсутствие функциональных аналогов в реестре + программа доработки российского ПО под внедрение.

— «привязать» свои объекты к типовым по отрасли, сверить границы и последствия;
— пересмотреть категорию, если типизация меняет оценку значимости;
— синхронизировать планы импортозамещения, учитывая отраслевые особенности.

Чтобы вы учли все тонкости, мы подготовили чек-лист и собрали в нём основные работы по обеспечению безопасности критической информационной инфраструктуры:

1) Ответственность и границы

  • Назначены владельцы критических процессов, создана комиссия по КИИ, матрица ролей и ответственности актуальна.
    Ответственный: ____  Срок: ____  Доказательства: приказ, протокол.
  • Границы объектов пересобраны «от процессов»: разделены производственный и корпоративный контуры, зоны и каналы, демилитаризованные зоны, точки удалённого доступа.
    Ответственный: ____  Срок: ____  Доказательства: схемы, перечень точек входа.
  • Проверены условия для перекатегорирования; при необходимости категория изменена.
    Ответственный: ____  Срок: ____  Доказательства: протокол комиссии, расчёты.

2) Программно-аппаратные комплексы по ПНСТ 1007-2025

  • Проведена инвентаризация всех комплексов в контурах КИИ.
    Ответственный: ____  Срок: ____  Доказательства: реестр комплексов.
  • Каждому комплексу присвоен класс по назначению по ПНСТ 1007-2025.
    Ответственный: ____  Срок: ____  Доказательства: карточки комплексов с классом.
  • В технических заданиях и договорах закреплены требования к классу и признаку «доверенности».
    Ответственный: ____  Срок: ____  Доказательства: обновлённые ТЗ и договоры.

3) Замена программного обеспечения (срок — 2028; вариант продления до 2030)

  • Составлена карта зависимостей от иностранного программного обеспечения и компонентов поддержки.
    Ответственный: ____  Срок: ____  Доказательства: матрица зависимостей.
  • Утверждена дорожная карта перехода на российское программное обеспечение до 01.01.2028.
    Ответственный: ____  Срок: ____  Доказательства: план с этапами и бюджетом.
  • По позициям без отечественных аналогов подготовлен пакет на продление до 01.12.2030: обоснование отсутствия аналога и программа доработки российского решения с внедрением.
    Ответственный: ____  Срок: ____  Доказательства: письмо-обоснование, дорожная карта проекта.
  • Реестр используемого программного обеспечения сопоставлен с реестром российского ПО: статусы, версии, планы замены.
    Ответственный: ____  Срок: ____  Доказательства: сводная таблица.

4) Типовые отраслевые объекты (проект ФСТЭК от 04.06.2025)

  • Объекты соотнесены с типовыми отраслевыми перечнями (здравоохранение, связь, транспорт, энергетика и др.).
    Ответственный: ____  Срок: ____  Доказательства: сопоставление «наш объект → типовой объект».
  • Уточнены границы и последствия с учётом отраслевой типизации.
    Ответственный: ____  Срок: ____  Доказательства: обновлённые модели последствий.
  • При необходимости пересмотрена категория значимости и направлено уведомление.
    Ответственный: ____  Срок: ____  Доказательства: протокол, уведомление.

5) Минимальный профиль безопасности

  • Включена многофакторная аутентификация для администраторов, введено управление привилегированным доступом, учёт и проверка действий.
    Ответственный: ____  Срок: ____  Доказательства: политики, отчёты.
  • Внедрено разделение сетей и фильтрация на ключевых узлах (межконтурные шлюзы, демилитаризованные зоны), правила на уровне третьего и седьмого уровней модели ОСИ.
    Ответственный: ____  Срок: ____  Доказательства: списки управления доступом, правила межсетевых экранов.
  • Выполнено укрепление серверов, баз данных и систем управления технологическими процессами; проведена инвентаризация средств защиты и статусов их сертификации.
    Ответственный: ____  Срок: ____  Доказательства: контрольные листы, отчёты по средствам защиты.

6) Мониторинг и реагирование на инциденты КИИ

  • Источники событий подключены к системе корреляции: рабочие станции, межсетевые экраны, каталог домена, датчики технологической сети.
    Ответственный: ____  Срок: ____  Доказательства: схема потоков, панели мониторинга.
  • Актуализированы правила корреляции и сценарии реагирования «первые сутки».
    Ответственный: ____  Срок: ____  Доказательства: хранилище правил и сценариев.
  • Отлажены линии эскалации и шаблоны уведомлений регулятору.
    Ответственный: ____  Срок: ____  Доказательства: регламент, протоколы тренировок.

7) Непрерывность деятельности и восстановление

  • Для критических процессов утверждены целевые сроки восстановления и потерь данных; проведено учебное восстановление.
    Ответственный: ____  Срок: ____  Доказательства: отчёт учений, план корректирующих и предупреждающих действий.
  • Проверены резервы площадок, каналов связи и данных, включая независимые копии по схеме «три-два-один плюс одна офлайн-копия».
    Ответственный: ____  Срок: ____  Доказательства: акты, протоколы восстановлений.

8) Доказательная база и готовность к проверке

  • Сформирован единый реестр доказательств: перечни, протоколы, схемы, журналы, акты, договоры, планы и отчёты об учениях.
    Ответственный: ____  Срок: ____  Доказательства: индекс артефактов.
  • Ведётся учёт изменений; каждое изменение рассматривается на предмет влияния на контур КИИ.
    Ответственный: ____  Срок: ____  Доказательства: журнал изменений.
  • Проведена внутренняя проверка по контрольному листу по каждому объекту.
    Ответственный: ____  Срок: ____  Доказательства: отчёт внутренней проверки.

Быстрые результаты:

  • Закрыты «красные зоны» удалённого доступа подрядчиков: промежуточный узел доступа, запись действий, ограничение по времени.
  • Система корреляции получает ключевые журналы (каталог домена, удалённый доступ, межконтурные шлюзы) и формирует оповещения.
  • Подготовлены карточки комплексов с классом по ПНСТ 1007-2025.
  • Обновлён план замены программного обеспечения с реальными сроками до 2028 и критериями продления до 2030.

Метрики контроля

  • Доля объектов с актуальным категорированием: ____% (цель — не ниже 100).
  • Полнота журналирования по ключевым узлам: ____% (цель — не ниже 95).
  • Время на классификацию, обнаружение и устранение инцидентов: ____ / ____ / ____ (цель — снижение).
  • Доля систем с актуальными обновлениями в корпоративном и производственном контурах: ____% / ____% (цели — не ниже 90 / 80).
  • Учения по непрерывности и восстановлению за квартал: ____ / ____ (цель — 100%).

Апрель 2026: ключевые обновления по КИИ

Главная логика последних изменений: государство стандартизирует то, что раньше расходилось по трактовкам — какие объекты считать КИИ, как их выявлять и как присваивать категории значимости. 

С конца 2025-начала 2026 это стало рабочей механикой:

  • обновили базовые правила категорирования (в связке с отраслевыми перечнями и особенностями),
  • утвердили единый перечень типовых отраслевых объектов КИИ (14 разделов по сферам),
  • начали «раскладывать» категорирование через отраслевые особенности (в 2026 уже есть несколько утверждённых постановлений по отдельным сферам).
  • усилили ответственность: в апреле 2026 опубликованы изменения в УК и КоАП, напрямую связанные с доступом и эксплуатацией объектов КИИ.

Новая архитектура категорирования: типовые объекты и отраслевые особенности

Федеральные изменения в 2025 году закрепили у Правительство РФ несколько опорных полномочий: утверждать перечни типовых объектов КИИ, отраслевые особенности категорирования, требования к применяемым на значимых объектах программно‑аппаратным средствам, порядок и сроки перехода на определённое ПО или ПАК и порядок мониторинга исполнения.

Одновременно усилили верификацию государства: уполномоченный орган проверяет корректность категорирования с учётом типовых перечней и отраслевых особенностей и вправе вернуть материалы с мотивированным обоснованием.

Новая редакция ПП‑127

В базе категорирования (ПП‑127) сказано: категорированию подлежат объекты КИИ, которые соответствуют типам ИС/ИТКС/АСУ, включённым в перечни типовых отраслевых объектов.

Раньше многие процессы шли по схеме «сначала определим критические процессы, потом под них подберём объекты». В обновлённой логике часть шагов, завязанная на критические процессы, выведена из процедуры.

Итого: если ваша система по типу и функции попадает в отраслевой перечень — вы обязаны пройти категорирование уже в стандартизированном контуре. 

Как выглядит «типовой объект» в 2026

26 февраля 2026 опубликован перечень типовых отраслевых объектов КИИ. Он описывает, какие ИС/АСУ/ИТКС обычно относятся к КИИ в разных отраслях, и для каждого типового объекта задаёт признаки значимости:

  • типовые процессы и функции, которые выполняет объект;
  • виды деятельности субъекта (в т.ч. через коды ОКВЭД).
  • Перечень включает 14 разделов по сферам — от медицины до химической промышленности.

По состоянию на середину апреля 2026 Правительство уже выпустило ряд постановлений об отраслевых особенностях категорирования (“как считать” показатели значимости в конкретной сфере). Среди утверждённых в 2026 — для:

  • атомной отрасли/области атомной энергии (январь 2026),
  • банковской сферы и иных сфер финансового рынка (февраль 2026),
  • науки (март 2026),
  • сферы госрегистрации прав на недвижимость (март 2026),
  • ракетно‑космической промышленности (март 2026). 

На примере финансового сектора: отраслевые особенности определяют, кто считается субъектом КИИ в этой сфере и задают отраслевую логику расчёта показателей. Также закреплена ежегодная обязанность направлять информацию об актуальном перечне значимых объектов и о пересмотре или непересмотре категорий с 2027 года с привязкой: в Банк России — для кредитных и многих некредитных организаций; в Минфин — для остальных участников финсектора.

ФСТЭК: что стало обязательным

Изменения это и про то, “как государство будет вас находить и проверять”.

Доменное имя и сетевой адрес теперь часть реестровой реальности
В 2025 обновили состав сведений реестра значимых объектов КИИ: теперь туда включаются наименование, доменное имя и сетевой адрес значимого объекта.

Форма направления сведений о результатах присвоения категории или решения об отсутствии категории была обновлена так, чтобы субъект указывал:

  • наименование типового отраслевого объекта КИИ, которому соответствует ваш объект (после утверждения перечней);
  • доменное имя и внешний (публичный) IP‑адрес объекта (если объект подключён к Интернет). 

До утверждения перечней типовых объектов можно было ставить прочерк в соответствующем поле, а после утверждения — актуализировать и направить обновлённые сведения.

То есть, сеть и домен становятся юридически значимыми атрибутами для идентификации объекта КИИ и трассировки ответственности (в том числе в контуре инцидентов и проверок).

Технологическая независимость

В 2025 в закон добавили обязанность для субъектов КИИ использовать на значимых объектах ПО:

  • сведения о котором включены в единый реестр российского ПО,
  • и которое применяется в государственных/окологосударственных информационных системах, работающих по установленным требованиям к защите информации. 

Параллельно законом закреплено, что Правительство устанавливает требования к применяемым программно‑аппаратным средствам, порядок и сроки перехода и мониторинга.

Перечень доверенного ПО

Постановление №1931 утвердило правила формирования и ведения перечня доверенных российских программ. Оно вступило в силу 1 марта 2026 и действует до 1 марта 2032.

Ключевые элементы механизма:

  • перечень ведёт Минцифры РФ в электронном виде;
  • подтверждение попадания в «доверенное» — это специальный признак в записи реестра российского ПО или в перечне ПО, разработанного/используемого для собственных нужд;
  • экспертиза проводится через аттестованные центры тестирования; решение о включении проходит через правительственную комиссию по цифровому развитию; срок “жизни” записи в перечне доверенного ПО — 3 года. 

То есть, рынок начинает делиться на «просто в реестре» и «доверенное».

Доверенные ПАК

Постановление №1912 сформировало режим перехода на доверенные программно‑аппаратные комплексы для значимых объектов:

  • с 1 сентября 2024 нельзя использовать на ЗО КИИ недоверенные ПАК, приобретённые после этой даты;
  • общий целевой переход — до 1 января 2030;
  • ключевое исключение — отсутствие российских доверенных аналогов, что подтверждается заключением Минпромторга (по установленной процедуре). 

Что важно: даже при «дальнем» 2030‑дедлайне закупочный и проектный цикл стал жёстче уже с 2024: замена инфраструктуры теперь обязана быть в планах компании.

ГосСОПКА, НКЦКИ и новые приказы ФСБ конца 2025 года

В 2025 законом закрепили прямую обязанность субъектов КИИ осуществлять непрерывное взаимодействие с ГосСОПКА.

В конце 2025 — начале 2026 пошла «нормативная сборка» того, как именно это взаимодействие выглядит. Практически важные элементы:

  • Непрерывное взаимодействие со стороны субъектов, у которых есть значимые объекты, выстроено через НКЦКИ и его техническую инфраструктуру (включая процессы отправки и получения уведомлений и запросов.
  • Появилась формализованная обязанность субъектов получать информацию о средствах и способах кибератак и методах предупреждения и обнаружения через обращение к ресурсу CERT и/или через запросы в НКЦКИ.
  • Установлены требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на инциденты (включая средства поиска признаков атак); и отдельно — регламент установки и эксплуатации таких средств.
  • Обновлён порядок обмена информацией о компьютерных атаках и инцидентах между субъектами КИИ и (в определённой рамке) с зарубежными и международными структурами реагирования. 

Ответственность и контроль

Здесь появляются прямые финансовые и уголовно‑правовые риски в логике эксплуатации.

КоАП: новая статья 13.12.2 и штрафы до 500 000 рублей

Федеральный закон от 9 апреля 2026 №77‑ФЗ дополнил КоАП статьёй 13.12.2: ответственность наступает за нарушение правил эксплуатации средств хранения/обработки/передачи охраняемой компьютерной информации, содержащейся в КИИ, а также за нарушение правил эксплуатации или доступа к ИС/ИТКС/АСУ/сетям электросвязи, относящимся к КИИ — если нет состава уголовного деяния.

Штрафы:

  • граждане: 5 000–10 000 ₽
  • должностные лица: 10 000–50 000 ₽
  • юрлица: 100 000–500 000 ₽ 

Отдельно отмечают, что новые штрафы начинают грозить с 20 апреля 2026 года.

То есть, если раньше нарушение правил эксплуатации чаще оставалось на уровне внутренних разборов и предписаний, то с конца апреля 2026 появляется самостоятельная административная санкция, причём вилка для юрлиц — до 500 тыс. руб.

УК РФ: корректировка ст. 274.1

Федеральный закон от 9 апреля 2026 №76‑ФЗ уточнил формулировки в статье 274.1 УК РФ. В частности:

  • в неправомерный доступ включена ситуация использования программ/иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ, либо иных вредоносных программ, если это повлекло уничтожение/блокирование/модификацию/копирование информации КИИ;
  • уточнён состав про нарушение правил эксплуатации (или правил доступа) к компонентам КИИ, если это повлекло уничтожение/блокирование/модификацию/копирование информации КИИ;
  • добавлено примечание про возможность освобождения от ответственности по части 3 при активном содействии расследованию, включая меры по сохранению следов неправомерного воздействия, если нет иного состава. 

Документ ещё не вступил в силу, нужно смотреть дату вступления отдельно.

Также важно помнить, что государственный контроль по значимым объектам включает проверку правильности отнесения объектов к значимым. 

Что делать субъекту КИИ

Пересобрать контур КИИ через типовые объекты

Начать нужно не с мер защиты, а с корректной идентификации:

  • сопоставьте ваши ИС/АСУ/ИТКС с перечнем типовых отраслевых объектов (по функциям и ОКВЭД‑признакам);
  • выделите кандидатов на категорирование (включая те, которые раньше “не дотягивали” по внутренним критическим процессам — эта логика больше не является единственной опорой);
  • заложите процедуру регулярного пересмотра (как минимум потому, что отраслевые особенности по вашей сфере могут выйти позже, и тогда расчёты придётся адаптировать). 

Проверить: есть ли по вашей сфере отраслевые особенности уже сейчас

Некоторые отраслевые особенности уже утверждены, и считать значимость «по старому шаблону» рискованно.

Если вы в иных сферах, то ориентируйтесь на типовые объекты (по 360‑р) и общую базу ПП‑127, закладывая, что отраслевые особенности могут догнать отрасль отдельным постановлением.

Навести порядок в сведениях

  • актуализируйте сведения о категорировании с учётом появившихся перечней типовых объектов;
  • проверьте, что у вас управляемо учтены домены/внешние адреса там, где они есть, и что заполнение формы соответствует рекомендациям (включая сценарий динамического IP);
  • обеспечьте внутриведомственную согласованность: ИБ ↔ сеть ↔ эксплуатация ↔ юристы (потому что с 20 апреля 2026 эксплуатационные нарушения выходят на КоАП‑уровень). 

Пересобрать дорожную карту импортонезависимости

В реальных проектах критически важно разделить две очереди:

1. Трек ПО (закон 2025 + доверенное ПО с 01.03.2026):

  • определить, какое ПО на значимых объектах должно быть заменено/легализовано через реестры;
  • выделить «критичные» классы, где потребуется доверенное ПО (и учитывать, что доверенность подтверждается через тестирование/комиссию и имеет срок). 

2. Трек ПАК (режим 1912):

  • пересмотреть закупочную политику и техпланы с учётом запрета на недоверенные ПАК, приобретённые после 01.09.2024;
  • если есть безальтернативные компоненты — заранее готовить доказательную базу под исключение (заключение об отсутствии аналогов). 

Инциденты и ГосСОПКА: привести эксплуатацию к доказуемой

С учётом обновлений УК/КоАП в 2026 особенно важно, чтобы эксплуатационный контур был не только настроен, но и документируем:

  • закрепите каналы и порядок взаимодействия через НКЦКИ;
  • проверьте, что вы получаете актуальную информацию о методах атак и методах защиты по установленным механизмам (CERT/НКЦКИ);
  • отдельно проверьте эксплуатационные регламенты доступа/изменений/обслуживания (юридическая ответственность теперь наступает не только за атаки извне, но и нарушения правил эксплуатации). 

Что отслеживать с апреля 2026:

  1. Вступление в силу штрафной нормы по КИИ (с 20 апреля 2026) и первые подходы к квалификации нарушений эксплуатации на практике.
  2. Дальнейший выпуск отраслевых особенностей категорирования для остальных сфер из перечня.
  3. Смежный надзорный контур в сфере связи. 

Эти три направления в ближайшие месяцы сильнее всего повлияют на то, как субъекты КИИ будут проходить проверки и разбирать инциденты. 

Если у вас остались вопросы или нужна дополнительная консультация, просто оставьте заявку, мы поможем разобраться.

Мы в телеграмм тут

Поделиться:
Трансграничная передача персональных данных в 2025: вопрос-ответ по ПДн
Предыдущая статья
Как изменятся правила хранения пользовательских данных в 2026 году
Следующая статья