С сентября 2025 года вступили в силу масштабные законодательные изменения в сфере критической информационной инфраструктуры (КИИ). Поправки затронули Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности КИИ», правила категорирования (постановление Правительства Российской Федерации от 8 ноября 2025 года № 127 «Об утверждении Правил категорирования объектов КИИ»), перечень показателей значимости объектов КИИ, а также порядок взаимодействия с Национальным координационным центром по компьютерным инцидентам (НКЦКИ). Новые требования существенно меняют подходы к категорированию, обязанности субъектов КИИ и регулярный контроль защищенности объектов.
Что изменилось в категорировании объектов КИИ
Из перечня субъектов КИИ были исключены индивидуальные предприниматели. Таким образом, теперь субъектами КИИ в соответствии с Федеральным законом № 187-ФЗ являются только российские юридические лица и государственные органы, которые осуществляют деятельность в установленных сферах и владеют на законном основании либо используют информационные системы, автоматизированные системы управления или информационно-телекоммуникационные сети.
Кроме того, введены перечни типовых отраслевых объектов КИИ, которые были утверждены распоряжением Правительства Российской Федерации от 26 февраля 2025 года. В перечень типовых отраслевых объектов КИИ включаются только те типы информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, которые обладают признаками значимости по конкретной отрасли. Для каждого типового объекта теперь определены признаки значимости, типовые функции и вид деятельности субъекта КИИ.
Изменилась и сама логика отнесения систем к объектам КИИ. Ранее решение принимал сам субъект на основе анализа критических процессов, теперь же система сначала сопоставляется с перечнем типовых объектов, и только после этого проводится оценка последствий по критериям значимости.
Отраслевые особенности категорирования необходимо учитывать на следующих этапах:
при определении состава комиссии по категорированию,
при установлении исходных данных для проведения категорирования,
при выявлении соответствия объекта КИИ критериям значимости,
а также при пересмотре результатов категорирования.
Если система не входит в типовой перечень, но по масштабу возможных последствий соответствует критериям значимости, субъект КИИ обязан провести ее категорирование, присвоить категорию, направить сведения в ФСТЭК России и предложить дополнить перечень типовых объектов. При этом действующие перечни не являются исчерпывающими — решающим по-прежнему остается соответствие критериям значимости.
С 1 сентября 2025 года стала обязательной новая форма направления сведений о результатах категорирования (обновлена приказом ФСТЭК России от 21 августа 2025 года). В нее добавлены два новых пункта: наименование типового отраслевого объекта КИИ, которому соответствует объект субъекта КИИ, а также доменное имя и внешний сетевой адрес информационного ресурса.
Особый случай: создаваемые объекты
Для создаваемых или проектируемых объектов КИИ предусмотрен особый порядок. На этапе проектирования объект КИИ категорируется, и в ФСТЭК России направляются сведения. После того как объект введен в эксплуатацию, сведения пересматриваются, дополняются полностью по каждому пункту формы, заново оцениваются применимость показателей критериев значимости и рассчитанные по ним значения, после чего сведения направляются повторно.
Правила взаимодействия с НКЦКИ и ГосСОПКА ужесточились
В конце декабря 2025 года вступили в силу приказы ФСБ России (декабрь 2025 года), которые существенно изменили порядок информирования о компьютерных атаках и инцидентах.
Три основных варианта получения информации от НКЦКИ о средствах и способах проведения компьютерных атак и методах их предупреждения:
через официальный сайт НКЦКИ;
через запрос в НКЦКИ с использованием технической инфраструктуры (либо по почтовой или электронной почте при отсутствии подключения к ней);
непосредственно по инициативе НКЦКИ.
Ключевые изменения:
информировать нужно не только об инцидентах, но и о компьютерных атаках;
срок направления сведений об обнаружении — 24 часа;
срок направления результатов реагирования — 24 часа;
если атака или инцидент касается объекта КИИ другого субъекта, информацию нужно передать в НКЦКИ в течение 12 часов.
Появились и дополнительные обязанности. В течение 24 часов с момента получения от НКЦКИ информации о готовящихся атаках субъект КИИ должен направить данные о проводимых мероприятиях по их предупреждению. Аналогичный срок установлен для ответа на запрос НКЦКИ о дополнительных сведениях об угрозах и вредоносной активности (либо для мотивированного отказа в предоставлении информации).
Изменения в работе с ГосСОПКА
Обмен информацией теперь осуществляется только через личный кабинет субъекта ГосСОПКА в технической инфраструктуре НКЦКИ. Подключение к кабинету становится возможным только после заключения регламента взаимодействия. Электронная и обычная почта остаются только как резервные каналы — на случай недоступности кабинета.
Кроме того, изменились правила привлечения организаций для установки и настройки средств ГосСОПКА. Ранее разрешалось привлекать любые организации с лицензией на деятельность в области защиты информации. Теперь — только аккредитованные центры ГосСОПКА, либо субъект КИИ самостоятельно.
Сами средства обнаружения компьютерных атак в обязательном порядке должны иметь сертификат соответствия требованиям ФСБ России.
Что нужно сделать субъектам КИИ для выполнения новых требований
Для выполнения требований приказов ФСБ России субъектам КИИ необходимо реализовать следующие мероприятия:
разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак;
заключить регламент взаимодействия с НКЦКИ и направить техническую информацию;
заключить договор с аккредитованным центром ГосСОПКА и направить в НКЦКИ письмо о принятом решении по информированию через данный центр;
актуализировать сопутствующие положения, регламенты, порядки и инструкции;
проводить тренировки по отработке мероприятий из плана реагирования;
использовать средства криптографической защиты информации.
Что делать с программным обеспечением
Законодатель установил четкие требования к программно-аппаратным средствам и программному обеспечению на значимых объектах КИИ. Программное обеспечение должно быть либо включено в реестр отечественного ПО, либо использоваться в соответствии с требованиями к защите информации государственных информационных систем. В отношении программно-аппаратных комплексов (ПАК) действуют требования по переходу на доверенные отечественные комплексы. Также установлен порядок осуществления мониторинга перехода на российское ПО.
Использование зарубежного ПО на значимых объектах в общем случае не допускается. Временное применение иностранных решений возможно только в двух случаях:
отсутствие отечественных аналогов с обязательным обоснованием технологической необходимости;
наличие утвержденного и поэтапно реализуемого плана перехода на российское ПО.
Когда нужно пересматривать категорию значимости?
Порядок категорирования объектов КИИ изменился, но фундаментальная логика защиты остается прежней. Значимый объект КИИ по-прежнему требует системной работы по документированию, проектированию, внедрению и оценке мер защиты. Из всех мероприятий, проводимых в рамках процедуры обеспечения безопасности объектов КИИ, меняется только один этап — категорирование.
Пересмотреть присвоенную категорию необходимо в следующих случаях:
планово — не реже одного раза в пять лет (согласно правилам категорирования, утвержденным постановлением Правительства № 127);
при изменении показателей критериев значимости или их значений;
при изменении отраслевых особенностей категорирования;
при изменении характеристик самого объекта КИИ.
С учетом недавних изменений (введение типовых перечней, уточнение критериев, обновление форм) большинству субъектов КИИ требуется актуализировать данные уже сейчас. Откладывать этот процесс до планового пятилетнего срока нецелесообразно — тем более что ФСТЭК России реализует государственный контроль, и при плановой или внеплановой проверке могут быть выданы предписания по устранению замечаний.
Поддержание актуальности системы защиты
Когда базовый контур мер защиты уже выстроен, ключевой задачей становится регулярное поддержание его актуальности. Для обеспечения безопасности значимых объектов КИИ при эксплуатации необходимо:
поддерживать результаты категорирования в актуальном состоянии;
определять актуальные угрозы и разрабатывать модель угроз безопасности информации;
соблюдать требования по реагированию на компьютерные атаки и инциденты;
соблюдать требования по импортозамещению и безопасной разработке программного обеспечения.
Кроме того, необходимо формировать требования к системе защиты и оформлять техническое задание, готовить проектные решения, выпускать организационно-распорядительную документацию, а также поддерживать систему защиты в целом в актуальном состоянии.
Данный процесс не является линейным, он имеет цикличный характер и требует системного проведения мероприятий по поддержанию актуальности защитных мер, что выступает ключевым фактором обеспечения информационной безопасности.
Почему ручного аудита больше недостаточно?
В процессе эксплуатации объект постоянно меняется — появляются новые подсистемы, обновляется ПО, изменяется организационная структура и нормативная база. Даже идеально выстроенная защита со временем неизбежно теряет актуальность, если ее не пересматривать.
Аудит — это не отдельная факультативная процедура, а закономерное продолжение построения системы защиты. Это механизм проверки того, насколько реальное состояние системы соответствует документам и решениям, принятым ранее.
Проведение аудита вручную сопряжено с рядом проблем:
разрозненность данных и документов;
высокая нагрузка на специалистов по ИБ;
сложность отслеживания изменений в нормативно-правовых актах;
отсутствие четкого статуса по устранению выявленных замечаний.
В большинстве организаций процессная зрелость остается низкой. Нет выстроенной системы управления активами, не формализованы процессы выявления объектов и категорирования, не распределена ответственность между отделами ИТ и ИБ, а специалисты зачастую перегружены.
Именно поэтому наиболее логичным решением становится переход от разовых проверок к постоянно действующей системе контроля.
Как автоматизация меняет подход к контролю
Уйти от проблемы ручного аудита можно с помощью CheckU — решения для контроля соответствия требованиям ИБ: законодательным нормам, отраслевым стандартам или внутренним политикам компании. Оно позволяет самостоятельно настраивать, автоматизировать и контролировать процессы организационных и технических проверок.
Методики и списки проверочных требований настраиваются индивидуально и соответствуют специфике компании, а учет изменений в нормативно-правовых актах обновляется автоматически.
CheckU помогает снизить долю ручного труда, централизовать результаты, упростить контроль филиалов и поддерживать актуальность нормативных требований.
После перехода на инструменты автоматизации организация получает следующие преимущества:
единый стандарт внутреннего аудита;
снижение трудозатрат на проведение проверок;
ускорение подготовки отчетности;
прозрачная и сопоставимая картина состояния всех объектов (включая филиалы);
улучшение контроля за устранением несоответствий;
снижение зависимости от ручной работы отдельных специалистов;
основа для регулярного пересмотра применяемых защитных мер.
Для службы информационной безопасности это означает сокращение рутинной нагрузки и высвобождение времени для аналитической работы. Процесс контроля становится более управляемым, нормативная база — актуальной, а доказательная база для руководства — понятной и структурированной.
Таким образом, речь идет не просто об удобстве проведения аудита, а о переходе от разовых проверок к постоянно действующей системе контроля.
Проверить работу автоматизации на практике можно в рамках бесплатного пилотного проекта CheckU на 30 дней. Как это сделать — рассказываем тут.