- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / Категорирование объектов КИИ / Категорирование КИИ для научных предприятий
Главная / Категорирование объектов КИИ / Категорирование КИИ для научных предприятий
Основной вывод: Процесс категорирования критической информационной инфраструктуры (КИИ) является не просто административным требованием, а стратегической необходимостью для всех научных организаций России – от институтов РАН и федеральных университетов до научных центров федерального значения и отраслевых НИИ. Правильное определение категорий КИИ позволяет организациям соответствовать требованиям Федерального закона № 187-ФЗ, защитить критически важные данные исследований и обеспечить непрерывность научной деятельности при кибератаках.
Описание услуги
Критическая информационная инфраструктура (КИИ) представляет собой совокупность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, от функционирования которых зависит нормальное функционирование государства, общества и экономики. В контексте научных организаций КИИ включает системы, обеспечивающие основные исследовательские процессы, хранение уникальных научных данных, управление экспериментальными установками и организацию доступа к научным ресурсам.
Для научных предприятий (РАН, МГУ, СПбГУ, Курчатовского института, ЦАГИ и отраслевых НИИ) категорирование КИИ критически важно по нескольким причинам. Во-первых, утечка или повреждение научных данных может привести к потере интеллектуальной собственности и многолетних исследований. Во-вторых, сбой в системах управления экспериментами может привести к невозможности использования дорогостоящего оборудования и упущенным возможностям исследований. В-третьих, организация должна соответствовать федеральному законодательству и нормативным требованиям ФСТЭК России.
Кибератаки на объекты КИИ растут по интенсивности. Согласно данным Национального координационного центра по компьютерным инцидентам, число атак на КИИ в 2023 году выросло на 16% по сравнению с 2022 годом, причём более 92% кибератак направлены именно на объекты критической инфраструктуры. Это подчеркивает необходимость проведения профессионального категорирования и внедрения соответствующих мер защиты.
ПОЗВОНИТЕ НАШИМ ЭКСПЕРТАМ ДЛЯ КОНСУЛЬТАЦИИ
Наша команда специалистов поможет вашей научной организации провести категорирование КИИ в соответствии с требованиями ФСТЭК. Оставьте заявку и получите первичную консультацию бесплатно!
Категорирование объектов КИИ регулируется несколькими ключевыми документами. Федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" определяет общие принципы и требования. Постановление Правительства РФ № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры" устанавливает процедуру, критерии и показатели категорирования.
Приказ ФСТЭК России № 239 от 25 декабря 2017 года определяет конкретные требования по обеспечению безопасности значимых объектов КИИ в зависимости от присвоенной категории. Для организаций сферы науки действуют Методические рекомендации по категорированию объектов КИИ, функционирующих в сфере науки, которые разработаны специально с учётом особенностей научной деятельности.
Кроме того, в апреле 2025 года были приняты уточнения в виде Федерального закона № 58-ФЗ, который потребовал использовать при категорировании отраслевые перечни типовых объектов КИИ. Это важное изменение означает, что теперь научные организации должны сверяться с типовыми перечнями, что делает процедуру более объективной и прозрачной.
Описание услуги
| Характеристика | Категория I | Категория II | Категория III |
|---|---|---|---|
| Уровень значимости | Критическая (максимальная) | Высокая | Значимая |
| Социальный ущерб (люди) | Более 500 человек | 50-500 человек | Менее 50 человек |
| Экономический ущерб | Более 300 млн рублей | 50-300 млн рублей | Менее 50 млн рублей |
| Территория воздействия | Более 50% региона | 10-50% региона | Менее 10% региона |
| Время восстановления | Более 24 часов | 12-24 часов | Менее 12 часов |
| Требования к защите | Наиболее строгие | Средние | Базовые |
| Обязательные средства защиты | Не ниже 4-го класса | Не ниже 5-го класса | Не ниже 6-го класса |
Присвоение категории зависит от того, какие последствия может вызвать нарушение функционирования объекта КИИ. Категория I присваивается объектам с максимальной критичностью, прекращение работы которых может привести к социальному кризису, экономическому коллапсу или угрозе национальной безопасности. Категория IIприсваивается объектам высокой важности, нарушение которых вызывает существенные последствия на уровне региона. Категория III присваивается значимым объектам, локальные последствия от которых существенны для конкретной организации.
Для научных организаций типичным случаем является присвоение объектам, хранящим уникальные научные данные и управляющим дорогостоящим оборудованием, категории II или категории III, поскольку их выход из строя наносит серьёзный ущерб исследовательской деятельности.
ПОЛУЧИТЕ БЕСПЛАТНЫЙ АНАЛИЗ ВАШЕЙ ИТ-ИНФРАСТРУКТУРЫ
Специалисты нашей компании определят, какие объекты вашей организации подлежат категорированию и предварительно оценят их категории. Оставьте контактные данные и получите результаты анализа в течение 5 рабочих дней.
Процесс оценки базируется на пяти основных критериях значимости:
Оценивается возможный ущерб жизни и здоровью людей, а также возможность прекращения или нарушения функционирования объектов жизнедеятельности населения. Для научных организаций это может быть связано с потерей доступа к важным исследованиям в области медицины, ядерной энергетики, безопасности пищевых продуктов и других критических направлений. Например, прекращение работы системы хранения данных в медицинском институте РАН может привести к невозможности продолжения жизненно важных исследований.
Оценивается возможный ущерб интересам Российской Федерации во внутренней и внешней политике. Для организаций федерального уровня, таких как ведущие институты РАН и федеральные университеты, это означает, что компрометация международных научных проектов или утечка информации о государственных научных инициативах может иметь политические последствия.
Оценивается возможный прямой и косвенный ущерб субъектам КИИ и государственному бюджету. Потеря данных многолетних исследований, остановка работы вычислительных центров, невозможность использования уникального оборудования – всё это несёт значительный экономический ущерб.
Оценивается уровень воздействия на окружающую среду. Для научных организаций, занимающихся экологическими исследованиями и мониторингом, нарушение систем сбора и анализа данных может привести к невозможности отслеживания экологических проблем.
Оценивается влияние на функционирование государственной системы безопасности. Для оборонных НИИ и конструкторских бюро это критерий часто является определяющим при категорировании.
| Критерий оценки | Категория I | Категория II | Категория III |
|---|---|---|---|
| Кол-во пострадавших: 500+ человек | Да | Нет | Нет |
| Кол-во пострадавших: 100-500 человек | Нет | Да | Нет |
| Кол-во пострадавших: 10-100 человек | Нет | Нет | Да |
| Нарушение жизнедеятельности всего региона | Да | Нет | Нет |
| Нарушение ЖЭД 50% населения региона | Нет | Да | Нет |
| Нарушение ЖЭД 10% населения региона | Нет | Нет | Да |
| Прекращение функционирования ключевых объектов | Да | Да | Да |
Различные типы научных организаций имеют разные наборы объектов КИИ:
| Тип объекта КИИ | РАН/Федеральные вузы | Научные центры (Курчатов, ЦАГИ) | Отраслевые НИИ | Конструкторские бюро |
|---|---|---|---|---|
| Системы хранения научных данных | Обязательно | Обязательно | Часто | Часто |
| Вычислительные кластеры | Часто | Обязательно | По мере необходимости | По мере необходимости |
| Системы управления экспериментами | Обязательно | Обязательно | Часто | Обязательно |
| Библиотечные информационные системы | Часто | По мере необходимости | Редко | Редко |
| Системы управления доступом | Обязательно | Обязательно | Часто | Обязательно |
| Системы мониторинга оборудования | По мере необходимости | Обязательно | Часто | По мере необходимости |
| Коммуникационные сети | Обязательно | Обязательно | Обязательно | Обязательно |
| Системы резервного копирования | Обязательно | Обязательно | Часто | Часто |
Курчатовский национальный исследовательский центр и подобные научные центры федерального значения имеют особенно сложную инфраструктуру с множеством критических систем. Их объекты КИИ включают системы управления ядерными установками, комплексы обработки больших объёмов данных, системы управления экспериментальным оборудованием стоимостью в десятки миллионов долларов.
Центральный аэродинамический институт (ЦАГИ) и подобные организации имеют критические системы управления аэродинамическими трубами и обработки результатов экспериментов, которые требуют категорирования как системы управления экспериментами категории I или II.
Федеральные университеты (МГУ, СПбГУ и другие) содержат системы управления доступом студентов и сотрудников, библиотечные системы со сведениями об учебных и научных ресурсах, системы хранения данных исследований, которые подлежат категорированию.
Отраслевые НИИ и конструкторские бюра обычно сосредоточены на узкой специализации, поэтому их основные объекты КИИ связаны непосредственно с профилем деятельности – это системы моделирования, системы управления проектированием, системы коммуникации с головной организацией.
СКАЧАЙТЕ ЧЕКЛИСТ КАТЕГОРИРОВАНИЯ КИИ ДЛЯ ВАШЕЙ ОРГАНИЗАЦИИ
Помните: неправильное категорирование может привести к штрафам до 100 тысяч рублей для организации и 20 тысяч рублей для должностного лица. Убедитесь, что ваша организация полностью соответствует требованиям ФСТЭК. Заполните форму ниже и получите бесплатный чеклист.
Процедура категорирования состоит из восьми последовательных этапов:
| Этап процесса | Ответственные | Срок выполнения | Обязательность |
|---|---|---|---|
| 1. Создание комиссии | Руководитель организации | 1-2 недели | Обязательно |
| 2. Выявление критических процессов | Комиссия по категорированию | 3-4 недели | Обязательно |
| 3. Формирование перечня объектов | Комиссия + ИТ-отдел | 2-3 недели | Обязательно |
| 4. Анализ угроз безопасности | Комиссия + специалисты ИБ | 2-3 недели | Обязательно |
| 5. Оценка показателей критериев | Комиссия | 1-2 недели | Обязательно |
| 6. Присвоение категории | Комиссия + руководитель | 1 неделя | Обязательно |
| 7. Составление акта | Комиссия | 1 неделя | Обязательно |
| 8. Направление во ФСТЭК | Секретарь комиссии | До 10 дней | Обязательно по закону |
Комиссия по категорированию должна быть создана приказом руководителя организации. В состав комиссии входят:
Руководитель организации или уполномоченное им лицо (председатель);
Специалисты в области деятельности организации (представители научных подразделений);
Специалисты в области ИТ и связи (системные администраторы, инженеры);
Специалисты по технологической и промышленной безопасности (для научных центров с опасным оборудованием);
Специалисты по информационной безопасности;
Работники подразделения защиты государственной тайны (для организаций с классификацией);
Работники подразделения гражданской обороны и защиты от чрезвычайных ситуаций.
Комиссия анализирует все бизнес-процессы организации и выявляет те, чьё прекращение или нарушение может привести к негативным последствиям. Для научных организаций критическими процессами являются:
Проведение исследований и экспериментов;
Хранение и обработка уникальных научных данных;
Управление уникальным научным оборудованием;
Обмен информацией с внешними научными организациями;
Подготовка научных публикаций и отчётов;
Обеспечение доступа исследователей к ресурсам.
На основе выявленных критических процессов комиссия определяет информационные системы, автоматизированные системы управления и сети, которые их поддерживают. Этот перечень должен включать все системы, а не только те, которые будут признаны значимыми после оценки критериев.
Комиссия проводит анализ возможных действий нарушителей в отношении объектов КИИ, определяет уязвимости и вероятность их реализации. Используется Банк данных угроз безопасности ФСТЭК (bdu.fstec.ru).
Комиссия оценивает каждый объект КИИ по пяти критериям значимости с использованием экспертных мнений. Категория присваивается по наивысшему значению одного из критериев.
На основе результатов оценки каждому объекту присваивается одна из трёх категорий значимости либо принимается решение об отсутствии необходимости присвоения категории.
Акт должен содержать:
Сведения о субъекте КИИ;
Перечень объектов КИИ;
Описание критических процессов;
Анализ угроз для каждого объекта;
Результаты оценки по критериям значимости;
Присвоенные категории;
Подписи членов комиссии;
Утверждение руководителя организации.
Сведения о результатах категорирования в форме, установленной Приказом ФСТЭК № 236, должны быть направлены во ФСТЭК в течение 10 календарных дней со дня утверждения акта.
ЗАКАЗИТЕ ПРОФЕССИОНАЛЬНОЕ КАТЕГОРИРОВАНИЕ КИИ
Не уверены в правильности проведённого категорирования? Наша компания имеет опыт категорирования КИИ более чем в 150 научных организациях. Мы проведём полный аудит, выявим пропущенные объекты и обеспечим соответствие всем требованиям ФСТЭК. Оставьте заявку прямо сейчас!
Каждой категории соответствуют определённые требования по защите, изложенные в Приказе ФСТЭК № 239:
| Мера защиты | Кат. I | Кат. II | Кат. III |
|---|---|---|---|
| Идентификация и аутентификация | Обязательно | Обязательно | Обязательно |
| Управление доступом | Обязательно | Обязательно | Рекомендуется |
| Аудит безопасности | Обязательно | Обязательно | Обязательно |
| Антивирусная защита | Обязательно | Обязательно | Рекомендуется |
| Предотвращение вторжений | Обязательно | Рекомендуется | Рекомендуется |
| Защита целостности данных | Обязательно | Обязательно | Рекомендуется |
| Шифрование информации | Обязательно | Рекомендуется | По усмотрению |
| Обучение персонала | Обязательно | Обязательно | Обязательно |
| Резервное копирование | Обязательно | Обязательно | Обязательно |
| План восстановления | Обязательно | Рекомендуется | По усмотрению |
Научные организации должны понимать, что приказ ФСТЭК № 239 устанавливает минимальные требования. Организация может выбрать более строгие меры, если это обоснованно модель угроз. Кроме того, если на объекте КИИ обрабатываются персональные данные, дополнительно применяются требования по защите персональных данных.
Нарушение функционирования КИИ может привести к серьёзным финансовым потерям. Расчёт экономического ущерба проводится экспертным методом на основе анализа:
Потери от прекращения или нарушения критических процессов;
Время восстановления функционирования (от нескольких часов до нескольких недель);
Прибыль организации за последние 5 лет;
Стоимость оборудования и потерянных данных.
Примеры потенциального ущерба:
Потеря многолетних исследований: утечка или шифрование данных многолетних исследований может привести к ущербу в 10-100 млн рублей;
Остановка уникального оборудования: невозможность использования установок, стоящих десятки миллионов долларов, на срок 1 месяца означает потерю 50+ млн рублей;
Нарушение сроков научных проектов: задержка на 6 месяцев может привести к потере грантов и ущербу в 20-50 млн рублей;
Утечка интеллектуальной собственности: разглашение результатов исследований конкурентам может привести к потере возможности получения патентов стоимостью 100+ млн рублей.
Кроме того, за нарушение требований законодательства по КИИ предусмотрена ответственность:
Административная ответственность: штраф для должностных лиц до 20 000 рублей, для организаций до 100 000 рублей;
Уголовная ответственность (ст. 274.1 УК РФ): за создание и распространение вредоноса для КИИ – от 1 до 10 лет лишения свободы в зависимости от тяжести последствий.
Научные организации сталкиваются с специфическими угрозами:
18% атак на КИИ проводятся высокопрофессиональными группировками, которые используют сложные инструменты, в том числе 0-day уязвимости и ранее внедрённые закладки. Целевые атаки часто начинаются с тщательного изучения организации и её подрядчиков.
Распределённые атаки отказа в обслуживании остаются одной из наиболее распространённых угроз для объектов КИИ. Они перегружают серверы и сетевые каналы массивными запросами, делая системы недоступными.
60% атак на ИТ-инфраструктуру начинаются с целевого фишинга. Злоумышленники отправляют поддельные письма, выдавая себя за авторитетные источники, для получения учётных данных сотрудников.
Около трети организаций-владельцев КИИ имеют в инфраструктуре уязвимые ресурсы из-за использования зарубежного ПО без технической поддержки и обновлений.
Недобросовестные сотрудники или контрактные специалисты могут иметь доступ к критическим системам и данным.
ЗАЩИТИТЕ ВАШУ НАУЧНУЮ ОРГАНИЗАЦИЮ ПРЯМО СЕЙЧАС
Проведённое категорирование КИИ – это только первый шаг. Второй шаг – внедрение мер защиты согласно требованиям Приказа ФСТЭК № 239. Наша компания предлагает полный спектр услуг по информационной безопасности для научных организаций. Оставьте заявку и получите бесплатную консультацию о состоянии безопасности вашей инфраструктуры.
Для эффективного выполнения требований по категорированию КИИ научные организации должны:
Руководитель должен назначить ответственного за координацию процесса категорирования – это может быть начальник отдела информационной безопасности или главный инженер.
Разработать и утвердить:
Положение о комиссии по категорированию;
План работы комиссии;
Регламент проведения категорирования.
Составить полный перечень всех информационных систем, сетей и АСУ, используемых организацией.
Совместно с руководителями подразделений выявить процессы, критичные для деятельности организации.
Использовать Банк данных угроз ФСТЭК и учитывать специфику научной деятельности.
Подготовить подробный акт категорирования со всеми необходимыми приложениями.
Не забыть про срок – 10 дней с момента утверждения акта.
Проводить переоценку не реже чем один раз в 5 лет, а также при существенных изменениях в инфраструктуре.
Процесс категорирования критической информационной инфраструктуры для научных организаций – это не просто выполнение административного требования, это стратегический шаг по защите интеллектуального капитала, обеспечению непрерывности исследовательской деятельности и соответствию федеральному законодательству. Правильное категорирование позволяет организации:
Определить приоритеты защиты и распределить ресурсы эффективно;
Избежать штрафов и санкций со стороны надзорных органов;
Защитить уникальные научные данные от кибератак и утечек;
Обеспечить непрерывность научной деятельности даже при возникновении инцидентов;
Повысить доверие партнёров и гранодателей к организации.
Для организаций типа РАН, МГУ, СПбГУ, Курчатовского института, ЦАГИ и отраслевых НИИ категорирование КИИ – это не опциональная активность, а обязательный элемент системы управления информационной безопасностью. Игнорирование этого требования может привести не только к штрафам, но и к потере критически важных научных данных.
ПОЛУЧИТЕ ПРОФЕССИОНАЛЬНУЮ ПОМОЩЬ ПРЯМО СЕЙЧАС
Наша компания специализируется на категорировании КИИ для научных организаций. Мы имеем опыт работы с РАН, федеральными университетами, научными центрами и отраслевыми НИИ. Свяжитесь с нами для получения бесплатной консультации и расчёта стоимости услуг категорирования.
Телефон: 88007070144
Email: info@sertifikat.bz
Заполните форму ниже и получите ответ от специалиста в течение 24 часов:
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000.
© ООО «Астелс» - Консалтинговая группа» 2012 - 2024
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 05.12.2025
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград