- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Категорирование КИИ в сфере науки и образования: подпадают ли ВУЗы под 187-ФЗ
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Категорирование КИИ в сфере науки и образования: подпадают ли ВУЗы под 187-ФЗ
Сфера науки прямо указана в 187-ФЗ как одна из 14 отраслей критической информационной инфраструктуры. Университеты, НИИ и исследовательские центры обязаны проводить категорирование объектов КИИ — и в 2025 году Минобрнауки выпустило специализированные методические рекомендации для этого. Разбираем, кто именно подпадает под требования, какие объекты характерны для ВУЗов и как провести категорирование без ошибок.
Федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» прямо указывает «науку» в перечне 14 отраслей, субъекты которых обязаны проводить категорирование объектов КИИ. Формулировка закона не ограничивается академическими НИИ — она охватывает любую организацию, осуществляющую научную деятельность. Университеты, исследовательские центры, научные лаборатории, подведомственные институты Минобрнауки — все они потенциально входят в периметр регулирования.
Логика законодателя понятна. Современный университет — это не только аудитории и библиотеки. Это десятки информационных систем, суперкомпьютерные кластеры, базы данных НИОКР с результатами интеллектуальной деятельности, медицинские исследовательские комплексы, системы дистанционного обучения, охватывающие сотни тысяч студентов. Компрометация таких систем способна нанести ущерб научному потенциалу страны, привести к утечке результатов стратегических исследований и парализовать образовательный процесс.
С 1 октября 2024 года действует перечень типовых отраслевых объектов КИИ для сферы науки, а 21 февраля 2025 года Минобрнауки утвердило специализированные методические рекомендации по категорированию. Для CIO университетов это означает одно: вопрос «подпадает ли наш ВУЗ под 187-ФЗ» уже не стоит. Стоит вопрос «как правильно и в срок провести категорирование».
Субъект КИИ — это юридическое лицо или индивидуальный предприниматель, которому на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети или АСУ, функционирующие в одной из 14 отраслей. Для сферы науки определяющим критерием является наличие соответствующих кодов ОКВЭД.
Методические рекомендации Минобрнауки содержат исчерпывающий перечень кодов ОКВЭД, позволяющих отнести организацию к субъектам КИИ в сфере науки (Приложение №1). Ключевые группы:
Принципиальный момент: университет может быть субъектом КИИ одновременно по нескольким отраслям. Медицинский ВУЗ с клинической базой подпадает и под «науку», и под «здравоохранение». Технический университет с собственной энергетической инфраструктурой может затрагивать и «энергетику». Это влияет на состав комиссии по категорированию и перечень применимых критериев значимости.
| Тип организации | Основной ОКВЭД | Субъект КИИ? | Возможные смежные отрасли КИИ |
|---|---|---|---|
| Классический университет | 85.22, 72.1, 72.2 | Да | Наука |
| Медицинский ВУЗ с клиникой | 85.22, 72.1, 86.10 | Да | Наука + Здравоохранение |
| НИИ (подведомственный) | 72.1, 72.19 | Да | Наука (+ отрасль по специализации) |
| Технический университет | 85.22, 72.1 | Да | Наука + Энергетика / Промышленность |
| Ядерный исследовательский центр | 72.1, 72.19 | Да | Наука + Атомная энергия |
| Частный учебный центр (без научной деятельности) | 85.41 | Нет* | — |
* Организация может стать субъектом КИИ, если фактически выполняет научно-исследовательскую деятельность, даже если основной ОКВЭД формально не относится к науке. Определяющим является реальная деятельность, а не только код в ЕГРЮЛ.
Типовой перечень отраслевых объектов КИИ для сферы науки, утверждённый 1 октября 2024 года, конкретизирует, какие именно информационные системы и сети подлежат категорированию. На практике в крупном университете может насчитываться от 10 до 50 и более объектов КИИ. Рассмотрим основные категории.
По нашему опыту, наибольшую сложность вызывает инвентаризация «невидимых» объектов — систем, которые создавались лабораториями самостоятельно, без участия ИТ-службы. Это могут быть базы данных экспериментальных результатов на локальных серверах, самописные системы сбора телеметрии, веб-приложения для совместной работы исследовательских групп. Все они потенциально являются объектами КИИ.
21 февраля 2025 года Минобрнауки России утвердило «Методические рекомендации по категорированию объектов критической информационной инфраструктуры, функционирующих в сфере науки». Это первый отраслевой документ, адресованный непосредственно научным организациям и ВУЗам. Ранее они вынуждены были ориентироваться на общие правила ПП РФ №127 (в редакции ПП №1762) без отраслевой специфики.
Документ содержит ряд ключевых приложений:
Для CIO университетов принципиально важно: методические рекомендации — не обязательный нормативный акт, но фактически стандарт, на который будет опираться ФСТЭК при проверках. Отклонение от рекомендаций потребует убедительного обоснования. По нашему опыту, следовать методическим рекомендациям — значит минимизировать риск возврата документов на доработку.
Процедура категорирования для научных организаций следует общей логике ПП РФ №127, но с учётом отраслевой специфики. Рассмотрим алгоритм, адаптированный для типичного университета.
Проверьте коды ОКВЭД организации в ЕГРЮЛ. Если хотя бы один код входит в перечень Приложения №1 методических рекомендаций Минобрнауки — организация является субъектом КИИ. Дополнительно проанализируйте фактическую деятельность: выполнение НИР/НИОКР, наличие диссертационных советов, участие в федеральных научных программах.
Приказом ректора формируется комиссия. В её состав рекомендуется включить: проректора по науке (или по цифровизации), руководителя ИТ-службы, начальника отдела информационной безопасности, руководителей научных подразделений, юриста. Если ВУЗ подпадает под несколько отраслей — привлекаются профильные специалисты.
Комиссия определяет управленческие, научно-исследовательские, образовательные и обеспечивающие процессы. Критическими являются те, нарушение которых может привести к негативным социальным, экономическим или экологическим последствиям. Пример: процесс проведения фундаментальных исследований на ядерной установке — критический. Процесс формирования расписания занятий — как правило, нет.
Для каждого критического процесса определяются ИС, ИТКС и АСУ, которые его обеспечивают. Сверяйтесь с типовым перечнем отраслевых объектов КИИ для науки. С 27 сентября 2024 года отдельный перечень объектов не нужно согласовывать с ФСТЭК — организация переходит сразу к оценке значимости.
Каждый объект оценивается по показателям из Приложения к ПП РФ №127 с учётом Приложения №6 методических рекомендаций Минобрнауки. Присваивается категория (1, 2, 3) или принимается решение об отсутствии необходимости присвоения категории.
Составляются акты категорирования, протоколы заседания комиссии. Сведения направляются во ФСТЭК в течение 10 рабочих дней после подписания актов. Максимальный срок категорирования — 1 год с момента утверждения перечня объектов.
Для кого эта услуга
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Методические рекомендации Минобрнауки выделяют показатели критериев значимости, наиболее применимые к сфере науки. Ниже — матрица, которая поможет CIO университета предварительно оценить категорию значимости объекта до начала формального категорирования.
| Критерий значимости | Применимость к науке | Пример для университета | Вероятная категория |
|---|---|---|---|
| Социальная значимость (количество пострадавших) | Высокая | Утечка ПДн 50 000+ студентов | 3–2 |
| Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности | Средняя | Сбой теплоснабжения кампуса (АСУ ТП) | 3–2 |
| Прекращение или нарушение проведения научных исследований | Высокая | Остановка суперкомпьютерного кластера, потеря данных НИОКР | 3–1 |
| Экономическая значимость (размер ущерба) | Средняя | Срыв грантовых обязательств на сумму свыше 100 млн руб. | 3–2 |
| Значимость для обороны и безопасности государства | Высокая (для отдельных НИИ) | Исследования двойного назначения, работа по гособоронзаказу | 2–1 |
| Экологическая значимость | Ограниченная | Сбой АСУ ТП ядерного исследовательского реактора | 2–1 |
Обратите внимание: для большинства «обычных» ВУЗов объекты КИИ, скорее всего, получат 3-ю категорию значимости или останутся без категории. Однако крупные исследовательские университеты (МИФИ, МГУ, СПбГУ, МФТИ, Курчатовский институт) с высокой вероятностью имеют объекты 2-й и даже 1-й категории — особенно связанные с исследованиями двойного назначения и стратегическими НИОКР.
Статистика показывает, что сфера науки и образования — одна из наиболее атакуемых. По данным BI.ZONE, с начала 2025 года 70% кибератак на российские научные и образовательные организации совершены с финансовой мотивацией: злоумышленники шифруют данные и требуют выкуп либо продают похищенную информацию. Ещё 24% атак направлены на шпионаж (годом ранее этот показатель составлял 62%).
Почему именно университеты?
Особую тревогу вызывает целенаправленный шпионаж в сфере НИОКР. Исследователи отмечают, что сфера научных исследований и разработок «традиционно входит для шпионских кластеров в число приоритетных целей». Утечка результатов стратегических исследований наносит ущерб, который невозможно оценить в денежном эквиваленте.
Для научных организаций защита интеллектуальной собственности — вопрос не менее важный, чем защита персональных данных. Базы данных НИОКР содержат результаты многолетних исследований, которые могут представлять стратегическую ценность. Рассмотрим, как категорирование КИИ связано с защитой интеллектуальной собственности.
Информационная система, содержащая базу данных НИОКР стратегического значения, при категорировании получит более высокую категорию именно потому, что последствия компрометации затрагивают критерий «значимость для обороны и безопасности государства». Это автоматически влечёт повышенные требования к защите: соответствие приказам ФСТЭК №235 и №239, подключение к ГосСОПКА, регулярная оценка защищённости.
На практике многие ВУЗы хранят критические исследовательские данные на серверах лабораторий без централизованного контроля ИТ-службы. Это «теневая» инфраструктура, которая должна быть выявлена в ходе инвентаризации объектов КИИ. Представьте ситуацию: лаборатория квантовых вычислений использует собственный сервер для хранения экспериментальных данных. Сервер не обновляется, не резервируется, доступ по общему паролю. При этом данные на нём могут представлять интерес для иностранных спецслужб. Именно категорирование КИИ заставляет выявить и защитить такие объекты.
По опыту работы с научными и образовательными организациями, мы выделяем характерные ошибки, которые приводят к возврату документов из ФСТЭК или проблемам при проверках. Детальный разбор типичных ошибок при взаимодействии с ФСТЭК по вопросам КИИ мы рассматривали в отдельной статье, здесь сосредоточимся на специфике науки и образования.
Используйте этот чек-лист для самопроверки перед началом процедуры категорирования. Он составлен с учётом методических рекомендаций Минобрнауки и практики проверок ФСТЭК.
| № | Действие | Результат / документ | Статус |
|---|---|---|---|
| 1 | Проверить ОКВЭД организации на соответствие Приложению №1 методических рекомендаций Минобрнауки | Заключение о статусе субъекта КИИ | |
| 2 | Определить все отрасли КИИ, к которым относится организация (наука, здравоохранение, энергетика и др.) | Перечень применимых отраслей | |
| 3 | Издать приказ о создании комиссии по категорированию (с включением научных руководителей) | Приказ ректора | |
| 4 | Провести полную инвентаризацию ИС, ИТКС и АСУ (включая «теневую» лабораторную инфраструктуру) | Реестр информационных ресурсов | |
| 5 | Выявить и описать критические процессы (научные, образовательные, управленческие) | Перечень критических процессов | |
| 6 | Сопоставить объекты с типовым перечнем отраслевых объектов КИИ для науки (от 01.10.2024) | Перечень объектов КИИ | |
| 7 | Оценить каждый объект по критериям значимости (Приложение №6 методических рекомендаций) | Протоколы оценки | |
| 8 | Присвоить категории значимости (1, 2, 3 или без категории) с документальным обоснованием | Акты категорирования | |
| 9 | Направить сведения во ФСТЭК (в течение 10 рабочих дней после подписания актов) | Уведомление + акты | |
| 10 | Для значимых объектов — разработать план мероприятий по обеспечению безопасности (приказы ФСТЭК №235, №239) | План защиты ЗОКИИ |
Стоит учитывать, что с 2026 года ФСТЭК проводит оценку показателя защищённости значимых объектов КИИ не реже раза в полугодие. Для ВУЗов, у которых есть объекты с присвоенной категорией, это означает постоянный контроль. Подробнее о стоимости услуг по категорированию читайте в нашем материале «Сколько стоит категорирование КИИ в 2026 году».
Сфера науки и образования — полноценная отрасль КИИ, и университеты обязаны проходить процедуру категорирования наравне с энергетическими компаниями, банками и медицинскими учреждениями. Методические рекомендации Минобрнауки от 21.02.2025 дали ВУЗам чёткие ориентиры, а вторая волна категорирования КИИ в 2026 году делает процедуру безотлагательной. Ключевые акценты для CIO университета: не ограничиваться формальным подходом, выявить «теневую» инфраструктуру лабораторий, учесть смежные отрасли и вовлечь научных руководителей в работу комиссии.
Ответственность за нарушение требований 187-ФЗ не зависит от того, коммерческая организация перед регулятором или государственный ВУЗ. Административные штрафы до 500 000 рублей, а в случае инцидента — уголовная ответственность по ст. 274.1 УК РФ с наказанием до 10 лет лишения свободы.
Нужна помощь с категорированием объектов КИИ в университете или научной организации? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут определить перечень объектов, подлежащих категорированию.
Медиа
Была ли полезна вам данная статья?
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000.
© ООО «Астелс» - Консалтинговая группа» 2012 - 2024
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 17.03.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград