Закрыть.
Выбор города
АлфавитРегион

    Консалтинговая группа Astels.

    Федеральный

    8(800) 70-70-144

    Оставить заявку

    Заказать звонок

    Главная  /  База знаний  /  Категорирование объектов критической информационной инфраструктуры (КИИ)  /  Особенности категорирования КИИ в сфере атомной энергии (Постановление № 4)

    Особенности категорирования КИИ в сфере атомной энергии (Постановление № 4)

    Постановление Правительства РФ № 4 от 16.01.2026: отраслевые особенности категорирования КИИ в атомной энергетике. Экспертный разбор критериев, методов оценки и практических шагов.

    Главная  /  База знаний  /  Категорирование объектов критической информационной инфраструктуры (КИИ)  /  Особенности категорирования КИИ в сфере атомной энергии (Постановление № 4)

    Особенности категорирования КИИ в сфере атомной энергии (Постановление № 4)

    16 января 2026 года Правительство РФ утвердило Постановление № 4 — первый отраслевой нормативный акт, устанавливающий особенности категорирования объектов КИИ в сфере атомной энергии. Документ определяет жёсткие критерии оценки инцидентов на объектах ядерной инфраструктуры, конкретизирует методы расчёта последствий и закрепляет участие ГК «Росатом» в комиссиях по категорированию.

    Содержание

    1. Почему атомная отрасль получила собственные правила категорирования КИИ
    2. Постановление Правительства РФ № 4 от 16.01.2026: структура и сфера действия
    3. Какие объекты КИИ функционируют в области атомной энергии
    4. Пять критериев значимости и исключённые показатели
    5. Четыре метода оценки: от экспертного анализа до моделирования атак
    6. Комиссия по категорированию: состав и роль Росатома
    7. Сравнение с отраслевыми особенностями в других секторах
    8. Практический чек-лист: как пройти категорирование на атомном объекте
    9. Типичные ошибки и подводные камни при категорировании в атомной сфере

    Почему атомная отрасль получила собственные правила категорирования КИИ

    Атомная энергетика — единственная из 14 отраслей критической информационной инфраструктуры, где последствия компьютерного инцидента могут выйти за пределы информационной среды и перейти в плоскость радиационной безопасности. Взлом АСУ ТП атомной электростанции, саботаж системы радиационного мониторинга или подмена показаний датчиков на предприятии ядерного топливного цикла — каждый из этих сценариев несёт угрозу не только экономике, но и жизням людей, экологии целых регионов.

    Мировая практика подтверждает: ядерные объекты — реальная цель кибератак. В 2010 году вирус Stuxnet вывел из строя более 1 300 центрифуг на иранском заводе по обогащению урана в Натанзе и сорвал запуск АЭС «Бушер». В 2003 году червь Slammer поразил корпоративную сеть АЭС в штате Огайо (США), после чего проник в системы мониторинга безопасности — на восстановление ушло шесть часов. В 2014 году хакеры получили доступ к внутренней сети оператора южнокорейских АЭС и потребовали остановки реакторов на станциях «Кори» и «Вольсон».

    Именно поэтому законодатель ещё в 2025 году наделил Правительство полномочиями устанавливать отраслевые особенности категорирования (через изменения в 187-ФЗ и ПП № 1762). Атомная энергетика стала первой отраслью, для которой такие особенности были утверждены — уже 16 января 2026 года вышло Постановление Правительства РФ № 4.

    Постановление Правительства РФ № 4 от 16.01.2026: структура и сфера действия

    Полное название документа — «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры, функционирующих в области атомной энергии». Постановление было опубликовано на Официальном интернет-портале правовой информации 17 января 2026 года.

    Документ определяет два ключевых вопроса:

    • Порядок установления соответствия объекта КИИ критериям значимости и показателям их значений для присвоения одной из трёх категорий значимости.
    • Порядок расчёта значений показателей критериев значимости с учётом характеристик функционирования объектов КИИ в атомной сфере.

    На кого распространяется

    ПП № 4 распространяется на субъектов КИИ, которыми являются:

    • Государственные органы и государственные учреждения;
    • Российские юридические лица, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в области атомной энергии;
    • Юридические лица, обеспечивающие взаимодействие указанных систем или сетей.

    На практике это весь контур ГК «Росатом» — более 550 предприятий, в которых работает порядка 420 тысяч человек: от АО «Концерн Росэнергоатом» (эксплуатация АЭС) и ТВЭЛ (ядерное топливо) до «Росатом Автоматизированные Системы Управления» (РАСУ) и научно-исследовательских институтов.

    Какие объекты КИИ функционируют в области атомной энергии

    Согласно Федеральному закону № 170-ФЗ «Об использовании атомной энергии», к объектам использования атомной энергии (ОИАЭ) относятся ядерные установки, радиационные источники, пункты хранения ядерных материалов и хранилища радиоактивных отходов. Каждый из этих объектов эксплуатируется при поддержке ИТ-инфраструктуры, которая и подлежит категорированию по 187-ФЗ.

    Ниже — матрица типовых объектов КИИ, характерных для атомной отрасли.

    Тип объекта КИИ Примеры систем Риск при компьютерном инциденте
    АСУ ТП атомных электростанций Программно-технические комплексы верхнего и нижнего уровня, системы управления реактором, системы безопасности (СУЗ) Критический
    Системы радиационного мониторинга АСКРО (автоматизированные системы контроля радиационной обстановки), дозиметрические системы Критический
    АСУ ТП предприятий ядерного топливного цикла Системы управления процессами обогащения урана, производства топливных сборок (ТВЭЛ) Высокий
    ИС учёта и контроля ядерных материалов Системы государственного учёта ядерных материалов, базы данных о перемещении ядерного топлива Высокий
    Корпоративные ИС Росатома Единая цифровая платформа, системы ERP, документооборот, кадровые системы Средний
    Системы физической защиты ИТ-компоненты систем контроля доступа, видеонаблюдения, охранной сигнализации на объектах ОИАЭ Критический
    ИС управления обращением с РАО Системы учёта, мониторинга и контроля хранилищ радиоактивных отходов Высокий

    По нашему опыту, многие организации атомной отрасли упускают из виду вспомогательные системы — например, информационные системы медико-санитарных частей при АЭС, которые содержат данные о дозиметрическом контроле персонала. Такие системы тоже могут быть отнесены к объектам КИИ.

    Пять критериев значимости и исключённые показатели

    Постановление № 4 опирается на базовую пятёрку критериев значимости, установленных ПП № 127 (в редакции ПП № 1762), но адаптирует их к атомной специфике.

    Критерий значимости Что оценивается в атомной отрасли
    1 Социальная значимость Причинение ущерба жизни и здоровью людей (включая радиационное облучение персонала и населения), нарушение объектов жизнеобеспечения, сбои транспортной инфраструктуры
    2 Политическая значимость Прекращение или нарушение полномочий государственного органа, нарушение условий международных договоров РФ (в т.ч. по нераспространению ядерного оружия)
    3 Экономическая значимость Снижение доходов субъекта КИИ как процент от среднегодового дохода за 5 лет; снижение бюджетных платежей
    4 Экологическая значимость Вредные воздействия на окружающую среду: выбросы радиоактивных веществ, загрязнение водоёмов, ухудшение состояния земель, радиационные инциденты
    5 Оборонная и безопасностная значимость Снижение объёмов выполнения государственного оборонного заказа, нарушение деятельности в области обороны страны и безопасности государства

    Какие показатели НЕ применяются

    Принципиально важная деталь: к объектам КИИ в атомной энергии не применяются позиции 4, 10, 101–107 и 14 из общего перечня показателей критериев значимости, утверждённого ПП № 127. Это означает, что ряд универсальных показателей (связанных, например, с прекращением предоставления государственных услуг и некоторыми экономическими параметрами) заменяется отраслевыми метриками, более точно отражающими риски ядерной инфраструктуры.

    Такой подход — не ослабление требований, а их ужесточение. Вместо общих формулировок атомная отрасль получает конкретизированные сценарии, привязанные к физическим эффектам аварийных процессов: пожарам, выбросам токсичных и радиоактивных веществ, отклонениям от нормативных показателей технологических процессов.

    Для кого эта услуга

    Горнодобывающая промышленность

    Горнодобывающая промышленность

    Транспорт

    Транспорт

    Связь

    Связь

    Топливно-энергетический комплекс

    Топливно-энергетический комплекс

    Химическая промышленность

    Химическая промышленность

    Оборонная промышленность

    Оборонная промышленность

    Энергетика

    Энергетика

    Атомная энергия

    Атомная энергия

    Здравоохранение

    Здравоохранение

    О нашей компании

    Постоянно сотрудничаем с крупными государственными и международными корпорациями

    Четко выполняем требования контролирующих организаций

    Непрерывно работаем над улучшением нашего профессионализма

    Послепродажная поддержка в правовых аспектах

    Беспроцентная рассрочка (до 4 месяцев)

    Бесплатная доставка документации по регионам России лично к заказчику

    Клиенты

    Фуд-торг
    Гринлайт
    ЭНТЦ
    Ловозерский ГОК
    ГеоПромИнжиниринг
    Присоединиться

    Благодарственные письма

    Благодарственное письмо от СМУ № 5
    Благодарственное письмо от Взрывстрой
    Благодарственное письмо от УРГЭУ-СИНХ
    Благодарственное письмо от Казино Оракул
    Благодарственное письмо от Наш Продукт
    Благодарственное письмо от ГАПОУ Уральский политехнический колледж
    Благодарственное письмо от СоюзПромЭкспо
    Благодарственное письмо от УО Сысерть
    Благодарственное письмо от ХАЯТТ

    Четыре метода оценки: от экспертного анализа до моделирования атак

    Одна из главных новаций ПП № 4 — чёткая регламентация методов оценки последствий компьютерных инцидентов. В отличие от общих правил, где методология оставалась на усмотрение комиссии, атомная отрасль получила жёсткий набор из четырёх подходов.

    Метод Суть Когда применяется
    Экспертный метод Качественный анализ возможного ущерба с привлечением специалистов в области ядерной и радиационной безопасности Базовый метод, применяется ко всем объектам
    Метод аналогий и сравнений Сопоставление с последствиями реальных инцидентов на аналогичных объектах (в т.ч. зарубежных) При наличии исторических данных об инцидентах
    Моделирование атак и инцидентов Проработка сценариев возможных и прогнозируемых компьютерных атак с учётом истории инцидентов на конкретных объектах Для объектов с АСУ ТП, критичных для безопасности
    Расчётный метод Количественная оценка рисков аварий: вероятность инцидента × масштаб последствий (с учётом физических эффектов аварийных процессов) Для объектов, где возможно количественное моделирование аварийных сценариев

    На практике комиссия комбинирует несколько методов. Например, для АСУ ТП энергоблока АЭС целесообразно использовать моделирование атак (проработать сценарий компрометации контроллеров системы управления реактором) в сочетании с расчётным методом (определить масштаб потенциального радиационного выброса и площадь поражения).

    Важная деталь: при моделировании инцидентов Постановление требует учитывать историю атак на конкретном объекте. Это значит, что если предприятие ранее фиксировало попытки проникновения (через ГосСОПКА или собственный SOC), эти данные обязаны быть включены в расчёт.

    Комиссия по категорированию: состав и роль Росатома

    Постановление № 4 устанавливает, что для проведения категорирования на каждом объекте КИИ создаётся постоянно действующая комиссия. Её ключевая особенность в атомной отрасли — возможность включения представителей ГК «Росатом», его учреждений, филиалов и подведомственных организаций.

    Рекомендуемый состав комиссии

    • Руководитель субъекта КИИ (или его заместитель) — председатель комиссии;
    • Специалисты по информационной безопасности — штатные сотрудники отдела ИБ;
    • Специалисты по ядерной и радиационной безопасности — инженеры, знающие специфику технологических процессов;
    • ИТ-специалисты — администраторы АСУ ТП, сетевых и информационных систем;
    • Представители Росатома — эксперты из центрального аппарата или отраслевых центров компетенций;
    • Юристы — для оценки правовых последствий и международных обязательств;
    • Бизнес-владельцы процессов — руководители цехов, производственных площадок.

    Присутствие представителей Росатома в комиссии — это не формальность, а механизм вертикального контроля. Госкорпорация обладает компетенциями в области ядерной безопасности, которых может не быть у конкретного подведомственного предприятия, и обеспечивает единообразие подходов к категорированию по всей отрасли.

    Подробнее о формировании комиссии читайте в нашем пошаговом руководстве по категорированию.

    Сравнение с отраслевыми особенностями в других секторах

    Чтобы оценить специфику атомной отрасли, полезно сравнить подход ПП № 4 с отраслевыми документами других секторов.

    Параметр Атомная энергия (ПП № 4) Банковская сфера (ПП № 92) Здравоохранение
    Дата утверждения 16.01.2026 06.02.2026 Приказ Минздрава (июль 2024)
    Регулятор ГК «Росатом» + ФСТЭК ЦБ РФ + ФСТЭК Минздрав + ФСТЭК
    Ключевой риск Радиационная авария Финансовые потери Угроза жизни пациентов
    Участие отраслевого регулятора в комиссии Да (Росатом) Возможно (ЦБ) Рекомендуется
    Исключённые показатели Позиции 4, 10, 101–107, 14 Иной набор исключений Минимальные исключения
    Методы оценки 4 метода (экспертный, аналогии, моделирование, расчётный) Преимущественно расчётный Экспертный + расчётный
    Экологический критерий Приоритетный (радиация) Не применяется Минимальная роль

    Как видно из таблицы, атомная отрасль — единственная, где экологический критерий играет приоритетную роль, а набор методов оценки является наиболее строгим. Для сравнения: в банковской сфере доминирует экономический критерий, а в здравоохранении — социальный.

    Практический чек-лист: как пройти категорирование на атомном объекте

    На основании анализа ПП № 4 и нашего опыта работы с субъектами КИИ из различных отраслей мы подготовили пошаговый алгоритм для предприятий атомной сферы.

    Шаг Действие Ответственный Срок
    1 Издать приказ о создании постоянно действующей комиссии по категорированию. Согласовать включение представителей Росатома Руководитель организации 1–2 недели
    2 Провести инвентаризацию ИТ-активов: выявить все ИС, ИТС, АСУ ТП. Сопоставить с перечнем типовых объектов ИТ-служба + ИБ-служба 2–4 недели
    3 Определить применимые критерии значимости (с учётом исключений позиций 4, 10, 101–107, 14) Комиссия 1–2 недели
    4 Выбрать и применить методы оценки (экспертный, аналогии, моделирование, расчётный). Для АСУ ТП — обязательно моделирование атак Комиссия + внешние эксперты 4–8 недель
    5 Рассчитать значения показателей с учётом физических эффектов аварийных процессов (пожары, выбросы радиоактивных веществ) Инженеры по ядерной безопасности + комиссия 2–4 недели
    6 Присвоить категорию значимости. Оформить акт категорирования Комиссия 1–2 недели
    7 Подготовить и подать сведения во ФСТЭК (включая данные о доменах и IP-адресах по Приказу № 236) ИБ-служба 2–3 недели
    8 Разработать меры защиты для значимых объектов КИИ (Приказ ФСТЭК № 239). Обеспечить импортозамещение ПО ИБ-служба + ИТ-служба Согласно плану-графику

    Общий срок категорирования для одного предприятия атомной отрасли — от 3 до 6 месяцев, в зависимости от количества объектов КИИ и сложности АСУ ТП. Для крупных площадок (АЭС, обогатительные комбинаты) срок может достигать 9–12 месяцев.

    Типичные ошибки и подводные камни при категорировании в атомной сфере

    По опыту нашей работы с субъектами КИИ различных отраслей (более 7 000 выполненных проектов в 60+ городах), мы выделяем ряд ошибок, особенно критичных для атомного сектора.

    Ошибка 1. Игнорирование вспомогательных систем

    Предприятия фокусируются на АСУ ТП энергоблоков, но забывают про системы физической защиты, корпоративные сети, ИС медико-санитарных частей. Между тем, компрометация этих систем может быть использована как «точка входа» для атаки на технологический сегмент. Подробнее о распространённых упущениях — в статье «Ошибки при взаимодействии со ФСТЭК».

    Ошибка 2. Занижение экологических последствий

    Комиссия оценивает сценарий кибератаки как «маловероятный» и присваивает объекту заниженную категорию или вовсе снимает категорию. ФСТЭК проверяет обоснованность расчётов — и при обнаружении несоответствий возвращает документы с требованием пересмотра.

    Ошибка 3. Формальное применение методов оценки

    Использование только экспертного метода без моделирования атак. ПП № 4 прямо предусматривает четыре метода, и для объектов с АСУ ТП применение моделирования и расчётного метода является ожидаемым регулятором.

    Ошибка 4. Непривлечение представителей Росатома

    Формально Постановление формулирует участие Росатома как «возможное», но на практике отсутствие представителей госкорпорации в комиссии вызывает вопросы при проверке и может привести к несогласованности с отраслевой методологией.

    Ошибка 5. Отсутствие учёта истории инцидентов

    Постановление требует учитывать историю компьютерных атак при моделировании сценариев. Если предприятие не ведёт реестр инцидентов или не подключено к ГосСОПКА, это не только нарушение 187-ФЗ, но и пробел в исходных данных для категорирования.

    Дерево решений: нужна ли вашему объекту высшая категория?

    Используйте этот алгоритм для предварительной оценки:

    1. Объект управляет ядерной установкой или реактором? Да → вероятна I категория
    2. Инцидент может привести к выбросу радиоактивных веществ? Да → вероятна I категория
    3. Объект связан с гособоронзаказом? Да → вероятна I или II категория
    4. Инцидент затрагивает учёт ядерных материалов? Да → вероятна II категория
    5. Экономический ущерб превышает 5% среднегодового дохода? Да → вероятна II или III категория
    6. Объект — корпоративная ИС без связи с технологическими процессами? Возможна III категория или без категории

    Обратите внимание: это упрощённая схема для первичной ориентации. Окончательная категория определяется комиссией по результатам полной оценки по всем применимым критериям.

    Итог

    Постановление Правительства РФ № 4 от 16 января 2026 года — это не просто очередной нормативный акт, а фундаментальное изменение подхода к категорированию КИИ в атомной энергетике. Впервые на уровне Правительства закреплены отраслевые методы оценки (включая моделирование кибератак и расчёт физических последствий аварий), исключены неприменимые общие показатели и обеспечено участие Росатома как отраслевого эксперта.

    Для CISO и руководителей подразделений ИБ атомных предприятий это означает необходимость пересмотра ранее выполненных актов категорирования (подробнее — в статье о «второй волне» категорирования), перехода от формального подхода к реальной оценке рисков и выстраивания взаимодействия с представителями госкорпорации.

    Ключевые рекомендации:

    • Не откладывайте пересмотр — штрафы за нарушения КИИ в 2026 году существенно возросли;
    • Используйте все четыре метода оценки, особенно моделирование атак для АСУ ТП;
    • Учитывайте экологический критерий как приоритетный — радиационные риски всегда поднимают категорию;
    • Привлекайте профильных лицензиатов ФСТЭК для объективной оценки.

    Нужна помощь с категорированием объектов КИИ в атомной отрасли? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут определить оптимальную стратегию соответствия требованиям ПП № 4.

    Медиа

    Работы 1
    Работы 2
    Работы 3
    Работы 4
    Работы 5
    Работы 6
    Работы 7

    Была ли полезна вам данная статья?

    Да Нет

    Расчет стоимости

    Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

    Отправить запрос

    Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

    Ваш менеджер
    Кирилл Соколов

    Кирилл Соколов

    8(800) 70-70-144

    info@sertifikat.bz


    Услуги

    ООО «Астелс» - Центр стандартизации и экспертизы

    8(800) 70-70-144

    info@sertifikat.bz

    Мы в соц. сетях:

    Политика конфеденциальности
    Карта сайта

    г. Екатеринбург

    г. Москва

    г. Челябинск

    г. Казань

    г. Пермь

    г. Волгоград

    г. Нижний Новгород

    г. Омск

    г. Новосибирск

    г. Воронеж

    г. Санкт-Петербург

    г. Ростов-на-Дону

    г. Самара

    г. Красноярск

    г. Уфа

    Города

    * Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000. 

    © ООО «Астелс» - Консалтинговая группа» 2012 - 2024

      8(800) 70-70-144 Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград  

    * На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности

    Последнее обновление сайта: 17.03.2026