Правительство Российской Федерации утвердило исчерпывающий перечень типовых отраслевых объектов критической информационной инфраструктуры (КИИ). Документ, подписанный председателем правительства Михаилом Мишустиным 26 февраля и опубликованный на следующий день, содержит около 400 позиций, распределённых по девяти ключевым отраслям, и занимает 175 страниц. Эта работа, начатая в конце 2025 года, стала возможной после вступления в силу 1 сентября 2025 года поправок к закону №187-ФЗ «О безопасности критической информационной инфраструктуры», которые делегировали правительству право формировать такие перечни.
Формирование перечня велось последовательно, по отраслям. Первым, ещё 16 января, был утверждён детальный документ для атомной энергетики - сферы, где последствия киберинцидентов могут быть наиболее катастрофическими. Новое распоряжение №360-р значительно расширяет охват, включая в зону особого регулирования здравоохранение, науку, транспорт, связь, энергетику, государственную регистрацию прав, финансовый рынок, топливно-энергетический комплекс, а также оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую промышленность. По сути, в перечень вошли все информационные системы, автоматизированные системы управления (АСУ) и сети, от сбоя которых напрямую зависит безопасность людей, экономическая стабильность или обороноспособность страны.
Сама по себе публикация перечня - это не формальность, а важный этап практической реализации закона о КИИ. Теперь для тысяч организаций по всей стране процесс категорирования, то есть отнесения их объектов к одной из трёх категорий значимости, становится более конкретным и прозрачным. Под ударом, точнее, под пристальное внимание регулятора, попадают не абстрактные «важные системы», а вполне определённые: от единой государственной информационной системы в сфере здравоохранения и систем управления атомными реакторами до автоматизированных систем диспетчеризации метрополитена, центров обработки данных операторов связи и промышленных АСУ на металлургических комбинатах. Отраслевой подход, заложенный в документе, учитывает специфику: признаки значимости для больничного аппарата искусственной вентиляции лёгких и для системы управления доменной печью - принципиально разные.
Особый интерес представляет утверждённое ранее постановление для атомной отрасли, которое задаёт высокую планку методологии оценки рисков. В нём детально прописаны методы категорирования, включая экспертный анализ, моделирование компьютерных атак и оценку ущерба. Как указано в документе, «определение комиссией значений масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры включает: сбор информации о процессах... анализ негативных последствий и сценариев возникновения компьютерных инцидентов, приводящих к ущербу... оценку ущерба». Этот подход, опробованный на наиболее чувствительной отрасли, вероятно, станет образцом и для других сфер.
Статус объекта КИИ накладывает на его владельца существенные обязательства. Наиболее значимые из них - жёсткие требования к использованию российского оборудования и программного обеспечения, обязанность обеспечивать подключение своих систем к государственным системам обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГОСОПКА), а также оперативно уведомлять регулятора - ФСТЭК России - о всех инцидентах информационной безопасности. Для бизнеса это означает неизбежный рост затрат на ИБ-инфраструктуру, импортозамещение и отчётность. Для государства - создание более управляемого и защищённого цифрового контура стратегически важных отраслей.
Таким образом, утверждение развёрнутого перечня типовых объектов КИИ завершает важный этап нормотворчества и запускает процесс массового практического категорирования. Регулятор получает чёткий инструментарий для контроля, а организации - конкретный список систем, безопасность которых отныне является предметом повышенного внимания и ответственности. Атомная отрасль, для которой правила игры прописаны наиболее детально, становится здесь пилотной площадкой. Дальнейшее движение будет связано с тем, как эти формальные предписания будут реализованы на практике тысячами субъектов КИИ в условиях дефицита кадров и технологий.
