- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Нетиповые объекты КИИ и механизм «Снизу вверх»: как категорировать инновационные системы
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Нетиповые объекты КИИ и механизм «Снизу вверх»: как категорировать инновационные системы
С переходом на типовые отраслевые перечни объектов КИИ компании сталкиваются с новой задачей: что делать, если внедряемая информационная система не описана ни в одном перечне? Механизм «снизу вверх» позволяет субъектам самостоятельно инициировать дополнение перечней — но требует грамотного обоснования и чёткого алгоритма действий.
С вступлением в силу Постановления Правительства РФ № 1762 от 07.11.2025 категорирование объектов критической информационной инфраструктуры перешло на модель типовых отраслевых перечней. Государство формирует списки систем, которые субъекты обязаны идентифицировать и оценить. Однако цифровая трансформация опережает нормотворчество: компании внедряют информационные системы, которые ещё не описаны ни в одном перечне.
Нетиповой объект КИИ — это информационная система, автоматизированная система управления или информационно-телекоммуникационная сеть, которая:
Классический пример: компания из сферы здравоохранения запускает платформу диагностики на основе нейросетей. Перечень типовых объектов для здравоохранения содержит МИС, ЛИС, PACS — но не описывает ИИ-систему, которая самостоятельно анализирует медицинские изображения и выдаёт предварительное заключение. Если сбой этой платформы может повлиять на здоровье пациентов — перед вами нетиповой объект КИИ.
Нетиповые объекты КИИ встречаются в 3 из 5 организаций, активно проводящих цифровизацию. Перечни не успевают за темпами внедрения инновационных систем.
По нашему опыту сопровождения более 7000 проектов, ситуация с нетиповыми объектами встречается в трёх из пяти организаций, активно проводящих цифровизацию. Причина проста: поправки в 187-ФЗ расширили охват, а перечни ещё не успели зафиксировать все виды современных цифровых платформ.
Чтобы понять место нетиповых объектов в правовом поле, нужно проследить эволюцию подхода государства к категорированию.
Субъект самостоятельно определял критические процессы, привязывал к ним информационные системы, оценивал последствия. Перечень объектов формировался «изнутри» — от бизнес-процессов к системам. Проблема: разные организации одной отрасли получали несопоставимые результаты.
Государство задаёт рамку через типовые отраслевые перечни и отраслевые особенности категорирования. Понятие «критические процессы» исключено. Субъект сверяет свою инфраструктуру с перечнем и проводит оценку по обновлённым показателям.
| Параметр | Старая модель (до ноября 2025) | Новая модель (ПП-1762) |
|---|---|---|
| Основа выявления объектов | Критические процессы субъекта | Типовые отраслевые перечни |
| Роль субъекта | Полная автономия в определении | Сверка с перечнем + самостоятельный поиск нетиповых |
| Нетиповые объекты | Не выделялись отдельно | Отдельный механизм: категорирование + предложение о дополнении перечня |
| Контроль ФСТЭК | Проверка сведений (30 дней) | Проверка + контроль соответствия отраслевым особенностям |
| Основание для пересмотра | Изменение показателей критериев | Изменение показателей + обновление отраслевых перечней |
Ключевое нововведение для CIO: если ваша система не попала в перечень, это не освобождает от категорирования. Напротив — вы обязаны провести оценку самостоятельно и инициировать дополнение перечня. Подробнее о самом постановлении читайте в нашем разборе «Постановление 1762: категорирование объектов КИИ».
Механизм «снизу вверх» — это закреплённая в ПП-127 (в редакции ПП-1762) процедура, при которой субъект КИИ самостоятельно инициирует дополнение типовых отраслевых перечней. Суть: государство признаёт, что перечни не могут быть исчерпывающими, и создаёт канал обратной связи от бизнеса к регулятору.
Процедура активируется при одновременном соблюдении двух условий:
На практике ФСТЭК обращает внимание именно на второе условие: недостаточно заявить, что система «важна для бизнеса». Необходимо количественно обосновать, что инцидент приведёт к последствиям, пороговые значения которых установлены в критериях значимости.
Типичная ошибка — направлять предложение о дополнении перечня только во ФСТЭК. ФСТЭК контролирует безопасность, но перечни утверждает Правительство по представлению отраслевых ведомств. Поэтому обращаться нужно в профильное министерство: Минздрав, Минтранс, Минэнерго, Минцифры и т.д.
Ниже — практическая дорожная карта для CIO и CISO, которая систематизирует все действия компании при обнаружении нетипового объекта КИИ.
Весь цикл от выявления до подачи инициативы занимает от 4 до 8 недель в зависимости от сложности объекта и зрелости процессов ИБ в компании.
Для кого эта услуга
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Главная сложность при категорировании нетипового объекта — отсутствие готовых отраслевых методик для расчёта последствий. Для типовых объектов регулятор задаёт ориентиры через отраслевые особенности категорирования. Для нетиповых — субъект разрабатывает метрики самостоятельно.
Ниже представлена матрица оценки последствий, адаптированная для нетиповых объектов. Она помогает систематизировать расчёт и подготовить обоснование, которое ФСТЭК примет.
| Группа критериев | Показатель | Метод оценки для нетипового объекта | Пример (ИИ-платформа диагностики) |
|---|---|---|---|
| Социальные | Количество людей, которым может быть причинён ущерб | Определить максимальное число пользователей/пациентов/клиентов, обслуживаемых системой за период отказа | 5000 пациентов/месяц, обследуемых через платформу → при отказе на 30 дней — до 5000 человек без диагностики |
| Социальные | Нарушение функционирования объектов жизнеобеспечения | Оценить, замещает ли нетиповая система функции традиционной, входящей в типовой перечень | Платформа частично заменяет работу врача-рентгенолога → при отказе — задержка диагностики |
| Экономические | Прямой и косвенный ущерб субъекту | Рассчитать стоимость простоя, штрафов, компенсаций, репутационных потерь | Простой: 2 млн руб./день. Компенсации пациентам: до 10 млн руб. Штрафы — по новым ставкам 2026 года |
| Экологические | Вред окружающей среде | Определить, управляет ли система процессами с экологическими рисками (выбросы, сбросы) | Неприменимо для ИИ-диагностики; применимо для IoT-контура промышленного мониторинга |
| Оборонные | Влияние на обороноспособность и безопасность | Оценить связь с объектами оборонного комплекса, ГосСОПКА, гос. информационными системами | Неприменимо для коммерческой медицинской платформы |
| Политические | Нарушение функционирования органов власти | Определить, зависят ли государственные функции от работы нетипового объекта | Если платформа используется в государственных клиниках → возможно нарушение оказания государственных услуг |
Обоснования с конкретными метриками (число пользователей, стоимость простоя, объём данных) принимаются ФСТЭК в 2–3 раза быстрее, чем описательные.
Экспертный совет: при подготовке обоснования для ФСТЭК не ограничивайтесь абстрактными рисками. Приводите конкретные цифры: количество обслуживаемых людей, стоимость часа простоя, объём данных. По нашей практике, обоснования с конкретными метриками принимаются в 2–3 раза быстрее, чем описательные.
Рассмотрим три категории инновационных систем, которые чаще всего оказываются «за пределами» типовых перечней, и разберём подход к их категорированию.
Ситуация: медицинский центр внедрил ИИ-платформу для предварительной расшифровки рентгенограмм и КТ-снимков. Система принимает решения о маршрутизации пациентов.
Почему нетиповой: МИС и PACS есть в перечне, но автономная ИИ-система принятия решений — нет.
ИИ-система с охватом более 500 пациентов в месяц потенциально относится к третьей категории значимости КИИ.
Подход: категорировать как ИС, обеспечивающую процесс оказания медицинской помощи. Ключевой показатель — число пациентов, чья диагностика зависит от системы. При охвате более 500 человек в месяц — потенциально третья категория значимости.
Ситуация: генерирующая компания развернула сеть IoT-датчиков для предиктивного обслуживания турбин. Данные обрабатываются в реальном времени, управляющие сигналы передаются в АСУ ТП.
Почему нетиповой: АСУ ТП есть в перечне для энергетики, но IoT-контур — это отдельная информационно-телекоммуникационная сеть, не описанная явно.
Подход: оценить IoT-контур как ИТКС, взаимодействующую с АСУ ТП. Если компрометация IoT-сети может привести к подаче ложных управляющих сигналов — последствия затрагивают социальные и экологические критерии. Потенциально вторая категория значимости.
Ситуация: банк перенёс часть аналитических систем в гибридное облако. Обработка транзакционных данных происходит частично на собственной площадке, частично — у облачного провайдера.
Почему нетиповой: АБС (автоматизированная банковская система) есть в перечне, но гибридная облачная инфраструктура, распределённая между субъектом и провайдером, создаёт новый тип объекта.
Подход: категорировать как ИС, обеспечивающую банковские операции. Особенность — необходимость учитывать периметр ответственности: какую часть инфраструктуры контролирует субъект, а какую — провайдер. При обслуживании более 2 млн клиентов — потенциально первая категория значимости.
За годы сопровождения процедур категорирования мы в «Астелс» фиксируем повторяющиеся ошибки. Они характерны именно для нетиповых объектов, где нет готовых шаблонов.
Самое распространённое заблуждение. Отсутствие в типовом перечне не освобождает от обязанности провести оценку. Более того, с 2026 года ФСТЭК включила в перечень нарушений невыявление объектов, подпадающих под критерии значимости. Штрафы по КИИ в 2026 году существенно выросли.
Некоторые организации «подгоняют» инновационную систему под ближайший тип из перечня. Например, описывают ИИ-платформу как «МИС». Проблема: при проверке ФСТЭК обнаружит несоответствие между описанием и реальной архитектурой, что приведёт к возврату сведений и требованию повторного категорирования.
Описательное обоснование («система важна для работы организации») не принимается. Необходимы конкретные значения показателей: число пользователей, стоимость простоя в рублях, время восстановления. Используйте матрицу из раздела 5 этой статьи.
Предложение о включении нового типа в перечень направляется в профильное министерство, а не во ФСТЭК. Для здравоохранения — Минздрав, для транспорта — Минтранс, для связи — Минцифры, для энергетики — Минэнерго.
При гибридных и облачных архитектурах необходимо чётко определить, какие компоненты входят в объект КИИ, а какие — нет. Если часть инфраструктуры находится у провайдера, это нужно отразить в акте категорирования.
Используйте этот чек-лист при внедрении новой информационной системы, которая не описана в типовых отраслевых перечнях.
| № | Действие | Ответственный | Срок | Результат |
|---|---|---|---|---|
| 1 | Сверить новую ИС с отраслевым перечнем типовых объектов | CISO / Служба ИБ | 1–3 дня | Заключение: типовой / нетиповой объект |
| 2 | Смоделировать сценарии инцидентов и оценить последствия по 5 группам критериев | Комиссия по категорированию | 1–2 недели | Матрица оценки последствий с конкретными метриками |
| 3 | Сопоставить метрики с пороговыми значениями показателей критериев значимости | Комиссия по категорированию | 2–3 дня | Решение: подлежит / не подлежит категорированию |
| 4 | Оформить акт категорирования нетипового объекта | Секретарь комиссии | 3–5 дней | Утверждённый акт с категорией значимости |
| 5 | Подготовить сведения по форме приказа ФСТЭК № 247 | Служба ИБ | 3–5 дней | Заполненная форма с доменными именами и IP-адресами |
| 6 | Направить сведения во ФСТЭК (бумажный + электронный носитель) | CIO / Делопроизводство | 10 рабочих дней после утверждения акта | Подтверждение отправки |
| 7 | Подготовить обоснование для включения в отраслевой перечень | CIO + Служба ИБ | 1–2 недели | Документ с описанием типа объекта и обоснованием |
| 8 | Направить предложение о дополнении перечня в профильное министерство | CIO / Юридический отдел | Параллельно п.6 | Исходящее письмо с отметкой о вручении |
| 9 | Обеспечить меры защиты в соответствии с присвоенной категорией | CISO / ИТ-служба | По плану мероприятий | Внедрённые СЗИ, акт ввода в эксплуатацию |
| 10 | Мониторить ответ ФСТЭК (30 дней) и ответ министерства | Служба ИБ | 30–90 дней | Уведомление о принятии / замечания |
Практический совет: Представьте ситуацию — ваша компания готовится к второй волне категорирования и одновременно запускает новую ИИ-систему. Не ждите завершения общего пересмотра: запускайте параллельный процесс для нетипового объекта. Задержка может быть расценена как нарушение сроков категорирования вновь создаваемых объектов.
Механизм «снизу вверх» — это не формальность, а рабочий инструмент, который позволяет бизнесу влиять на отраслевое регулирование КИИ. Для CIO и CISO это означает новую зону ответственности: при внедрении любой инновационной системы необходимо сверять её с типовыми перечнями, и если соответствия нет — не игнорировать, а действовать по алгоритму.
Ключевые выводы:
Нужна помощь с категорированием нетиповых объектов КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут подготовить обоснование для ФСТЭК.
Нетиповой объект КИИ — это информационная система или автоматизированная система управления, которая не вписывается в стандартные категории Постановления Правительства №127. Например, ИИ-платформа принятия решений, распределённый IoT-контур или гибридное облако с элементами АСУ ТП. Главное отличие — для такого объекта отсутствуют готовые показатели критериев значимости, и субъекту приходится обосновывать их самостоятельно.
Да, обязан. Согласно 187-ФЗ, субъект КИИ несёт ответственность за выявление и категорирование всех объектов, функционирующих в его сфере деятельности. Отсутствие объекта в типовых перечнях не освобождает от обязанности — напротив, это повод инициировать процедуру «снизу вверх» и обратиться во ФСТЭК с обоснованием.
Механизм «снизу вверх» позволяет самому субъекту КИИ выйти с инициативой о включении нетипового объекта в реестр значимых объектов. Субъект готовит обоснование с описанием объекта, оценкой последствий нарушения его работы и предлагаемой категорией значимости. Документы направляются во ФСТЭК, который рассматривает инициативу и принимает решение о включении или отказе.
Весь цикл обычно занимает от 4 до 8 месяцев. Подготовка внутренней документации и матрицы оценки последствий — 1–2 месяца, согласование с отраслевым регулятором — до 1 месяца, рассмотрение ФСТЭК — до 3 месяцев. Сроки увеличиваются, если регулятор запрашивает дополнительные материалы или возвращает обоснование на доработку.
За нарушение порядка категорирования объектов КИИ предусмотрена административная ответственность по ст. 13.12.1 КоАП РФ — штрафы для должностных лиц до 50 000 рублей, для юридических лиц до 100 000 рублей. При наступлении инцидента на некатегорированном объекте возможна уголовная ответственность по ст. 274.1 УК РФ с наказанием до 10 лет лишения свободы.
Субъект вправе предложить дополнительные метрики, но они должны базироваться на показателях критериев значимости из ПП-127. Фактически вы адаптируете существующие показатели под специфику объекта — например, для ИИ-платформы это может быть масштаб автоматизированных решений, влияющих на безопасность. Все предложенные метрики необходимо обосновать количественно и согласовать с комиссией по категорированию.
Законодательство не обязывает привлекать лицензиата именно для подготовки инициативы — субъект может сделать это силами внутренней комиссии по категорированию. Однако на практике для сложных нетиповых объектов рекомендуется привлечь организацию с лицензией ФСТЭК на техническую защиту информации. Это снижает риск возврата документов и ускоряет согласование.
Медиа
Была ли полезна вам данная статья?
Так же читайте другие статьи на эту тему
Отраслевые особенности категорирования КИИ: разбор изменений в Постановление № 127
Как отраслевые особенности категорирования меняют подход к оценке значимости объектов КИИ. Матрица критериев для 13 отраслей, дерево решений и пошаговый чек-лист адаптации к новым требованиям ПП-127.
Ошибки при взаимодействии со ФСТЭК: почему регулятор возвращает сведения о КИИ
Разбор типичных ошибок при подаче сведений о категорировании КИИ во ФСТЭК: занижение категории, невыявление объектов, формальные нарушения. Матрица ошибок и чек-лист самопроверки.
Новая методика ФСТЭК 2025: расчёт коэффициента защищённости информации (КЗИ)
Разбор методики ФСТЭК от 11.11.2025: единый показатель КЗИ, четыре группы с весовыми коэффициентами, механизм обнуления при пентесте и пошаговый алгоритм расчёта.
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Добровольная сертификация, Сетификация ИСО, Сертификация услуг, Категорирование КИИ, Классификация гостиниц, Разработка СМК, ХАССП
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 06.04.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград