КИИ в промышленности: металлургия, химия и горнодобывающий сектор (Приказ № 1981)

Металлургия, химическая и горнодобывающая промышленность находятся под двойным контролем — ФСТЭК и Минпромторга. В статье разбираем типовые перечни объектов КИИ, механизм выездного мониторинга по Приказу № 1981 и практику изоляции технологических (OT) сегментов сетей от корпоративных (IT).

Изоляция промышленных сегментов сетей от корпоративных: требования и практика

Ключевая техническая проблема промышленных предприятий — обеспечение надёжного разделения технологического (OT) и корпоративного (IT) сегментов сети. Для металлургических, химических и горнодобывающих предприятий эта задача приобретает критическое значение: компрометация АСУ ТП доменной печи или реактора синтеза — это не утечка данных, а потенциальная техногенная катастрофа.

Нормативная база сегментации

Требования к изоляции промышленных сегментов закреплены в нескольких документах:

• Приказ ФСТЭК № 239 (требования к ЗОКИИ) — предусматривает меры ЗИС (Защита информационной системы и её компонентов), включая сегментирование информационной системы, организацию демилитаризованной зоны (DMZ) и управление сетевыми потоками;
• Приказ ФСТЭК № 31 (требования к АСУ ТП) — регламентирует разделение сети и разграничение доступа к её сегментам с учётом режимов работы сетей АСУ ТП;
• IEC 62443 (международный стандарт) — определяет зоны и кондуиты для промышленных систем автоматизации;
• Модель Purdue (PERA) — эталонная архитектура разделения промышленных сетей на уровни.

Многоуровневая архитектура защиты: от датчика до ERP

На практике сегментация промышленной сети строится по модели Purdue, адаптированной под требования российского законодательства:

Практический инсайт: на металлургических комбинатах мы регулярно сталкиваемся с ситуацией, когда АСУ ТП доменной печи и корпоративная сеть ERP физически разделены, но между ними существует «серый» канал — инженер подключил ноутбук для удалённого мониторинга. Именно такие точки являются основным вектором атаки, и именно их выявляет рабочая группа Минпромторга при выездной проверке.

Глубокая фильтрация промышленных протоколов (DPI для OT) — обязательное условие для ЗОКИИ. Межсетевые экраны должны понимать и фильтровать специализированные протоколы: IEC 104, IEC 61850, OPC UA, OPC DA, Modbus TCP, S7comm и другие, специфичные для металлургии и химии.

Матрица типовых объектов КИИ по отраслям промышленности

Для удобства CIO и CISO промышленных предприятий мы составили сводную матрицу, которая показывает, какие системы входят в типовые перечни каждой отрасли и на какую категорию значимости они обычно претендуют.

Категории значимости: 1 — высшая (наибольший потенциальный ущерб), 3 — минимальная, «Без кат.» — объект КИИ без категории значимости. Подробнее о критериях — в статье «Отраслевые особенности категорирования КИИ».

Дерево решений: определяем статус предприятия и категорию значимости

Один из самых частых вопросов от руководителей промышленных предприятий: «Подпадаем ли мы под 187-ФЗ и что делать дальше?». Ниже — алгоритм определения, адаптированный для трёх промышленных отраслей.

Шаг 1. Относится ли предприятие к субъектам КИИ?

• Вид деятельности соответствует ОКВЭД раздел B (добыча полезных ископаемых), раздел C, классы 20–25 (химия, металлургия, металлообработка) → Да, предприятие является субъектом КИИ.
• Предприятие не ведёт деятельности в указанных областях → проверьте остальные 10 отраслей 187-ФЗ.

Шаг 2. Есть ли у предприятия объекты КИИ?

• Эксплуатируются АСУ ТП, ИС или сети электросвязи → Да, необходимо формировать перечень ОКИИ.
• Нет автоматизированных систем (например, ручная добыча) → подготовьте обоснование отсутствия ОКИИ и направьте во ФСТЭК.

Шаг 3. Попадают ли системы в типовой перечень Минпромторга?

• Да → включите их в перечень ОКИИ, проведите оценку критериев значимости по ПП РФ № 1762.
• Нет, но система может повлиять на безопасность → используйте механизм «снизу вверх» для инициативного включения.
• Нет, и негативных последствий не предвидится → документально зафиксируйте обоснование в акте категорирования.

Шаг 4. Какую категорию значимости присвоить?

• Сбой системы может вызвать гибель людей, экологическую катастрофу, ущерб свыше 1 млрд руб. → 1-я категория.
• Возможен значительный экономический или экологический ущерб → 2-я категория.
• Последствия ограниченного масштаба → 3-я категория.
• Негативные последствия незначительны → Без категории (но объект остаётся в реестре).

Шаг 5. Подайте сведения во ФСТЭК в соответствии с Приказом ФСТЭК № 236, включая данные о доменах и IP-адресах промышленных сегментов. Подробный алгоритм — в пошаговом руководстве по категорированию.

Чек-лист подготовки промышленного предприятия к мониторингу Минпромторга

Если ваше предприятие уже категорировало объекты КИИ и ожидает визита рабочей группы по Приказу № 1981, используйте этот чек-лист для подготовки.

Документация

1. Приказ о создании комиссии по категорированию — актуален, подписан, все члены комиссии ознакомлены.
2. Протоколы заседаний комиссии — отражают ход работы, содержат обоснования принятых решений.
3. Перечень объектов КИИ — направлен во ФСТЭК в течение 10 рабочих дней с момента утверждения.
4. Акты категорирования — утверждены не позднее 1 года с момента начала категорирования.
5. Сведения о результатах категорирования — направлены во ФСТЭК в течение 10 рабочих дней по форме Приказа № 236.
6. Модель угроз безопасности информации — разработана для ЗОКИИ, учитывает специфику промышленных протоколов.

Техническая готовность

1. Инвентаризация ПО — перечень установленного ПО на каждом объекте КИИ совпадает с заявленным в документах.
2. Сегментация сетей — промышленный сегмент (OT) отделён от корпоративного (IT) с документально подтверждённой архитектурой.
3. Средства защиты информации — установлены, настроены, журналы событий ведутся.
4. Планы импортозамещения — подготовлены для ЗОКИИ в соответствии с Указом Президента № 250.

Организационная готовность

1. Назначен ответственный за сопровождение проверки — сотрудник, владеющий полной картиной по КИИ.
2. Подготовлен пропускной режим для рабочей группы — доступ к производственным площадкам, серверным помещениям.
3. Обеспечена возможность демонстрации работающих систем — без остановки технологического процесса.

Рекомендация из практики: относитесь к мониторингу Минпромторга не как к карательной мере, а как к возможности выявить и устранить недочёты до того, как их обнаружит ФСТЭК при плановой проверке. По нашему опыту, предприятия, прошедшие отраслевой мониторинг, значительно реже получают предписания от ФСТЭК.

Типичные ошибки и подводные камни при категорировании в промышленности

За время работы с промышленными предприятиями мы выявили ряд характерных ошибок, которые приводят к возврату документов от ФСТЭК или негативным выводам рабочей группы Минпромторга.

Представьте ситуацию: на горно-обогатительном комбинате комиссия по категорированию включила в перечень ОКИИ только АСУ ТП обогатительной фабрики, но упустила диспетчерскую систему управления карьерным транспортом. При мониторинге по Приказу № 1981 рабочая группа выявляет эту систему, фиксирует «невыявление» объекта и рекомендует пересмотреть результаты категорирования. Предприятие вынуждено повторять процедуру, а это — дополнительные 6–12 месяцев работы и существенные затраты.

Подробнее о типичных ошибках читайте в статье «Ошибки при взаимодействии со ФСТЭК».

Итог

Промышленные предприятия — металлургические комбинаты, химические заводы и горно-обогатительные комбинаты — находятся под двойным контролем: со стороны ФСТЭК (как общего регулятора КИИ) и Минпромторга (как отраслевого куратора). Приказ Минпромторга № 1981 создаёт дополнительный уровень верификации — выездные проверки рабочих групп, которые сверяют заявленные данные с реальным состоянием объектов. Это требует от промышленных предприятий:

• тщательной инвентаризации всех АСУ ТП и информационных систем;
• корректного категорирования с учётом типовых перечней Минпромторга;
• надёжной изоляции промышленных сегментов сетей от корпоративных;
• постоянной актуализации сведений при любых изменениях в инфраструктуре;
• готовности к прохождению отраслевого мониторинга.

Срок подачи сведений во ФСТЭК — до 1 сентября 2026 года. С учётом необходимости пройти все этапы — от формирования комиссии до утверждения актов — начинать подготовку следует уже сейчас. Узнать стоимость категорирования для вашего предприятия можно в нашем обзоре цен на 2026 год.

Нужна помощь с категорированием объектов КИИ на промышленном предприятии? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и подберут оптимальную стратегию выполнения требований 187-ФЗ. Мы работаем с предприятиями металлургии, химии и горнодобычи по всей России — как выбрать надёжного подрядчика.