Перечни типовых отраслевых объектов КИИ: где искать и как применять на практике

С 1 сентября 2025 года перечень типовых объектов КИИ стал обязательной отправной точкой при категорировании критической информационной инфраструктуры. Понятие «критический процесс» исключено из процедуры: теперь субъекты сверяют свои ИС, ИТКС и АСУ с директивными списками отраслевых регуляторов.

В статье — сводная таблица утверждённых перечней по 13 отраслям, пошаговая инструкция по сопоставлению инфраструктуры с требованиями и чек-лист для подготовки к проверкам ФСТЭК.

С 1 сентября 2025 года перечень типовых объектов КИИ стал отправной точкой при категорировании критической информационной инфраструктуры. Понятие «критический процесс» ушло в прошлое: теперь субъекты обязаны сверять собственные информационные системы, сети и АСУ с директивными списками, которые формируют отраслевые регуляторы. В этой статье разберём, какие перечни уже утверждены, где их найти и как на практике провести сопоставление ИТ-инфраструктуры предприятия с требованиями регуляторов.

Что изменилось: от «критических процессов» к типовым перечням

До осени 2025 года категорирование объектов КИИ строилось на самооценке: комиссия предприятия определяла критические процессы и привязывала к ним информационные системы. На практике это приводило к субъективным трактовкам — одни организации занижали значимость объектов, другие включали в перечень заведомо неподходящие активы.

Федеральный закон № 58-ФЗ от 07.04.2025, вступивший в силу 1 сентября 2025 года, кардинально изменил подход. Из процедуры категорирования исключены шаги по выявлению критических процессов. Вместо этого введены перечни типовых отраслевых объектов КИИ — директивные списки типов информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, обладающих признаком значимости для каждой из 13 отраслей.

Логика проста: если ваша ИС, ИТКС или АСУ соответствует типу, указанному в перечне типовых объектов КИИ, — объект подлежит категорированию. Если не соответствует ни одному типу, но по масштабу возможных последствий достигает критериев значимости, — вы обязаны провести категорирование и направить предложение о включении объекта в перечень.

Нормативная база: ключевые документы 2025–2026

Для понимания текущей ситуации важно ориентироваться в актуальной нормативной базе. Ниже — документы, которые непосредственно регулируют работу с типовыми перечнями объектов КИИ:

• Федеральный закон № 58-ФЗ от 07.04.2025 — масштабные поправки к 187-ФЗ, вступившие в силу с 01.09.2025. Ввёл понятие типовых отраслевых объектов КИИ и обязал отраслевых регуляторов формировать перечни.
• Постановление Правительства РФ № 1762 от 07.11.2025 — внесло изменения в Правила категорирования (ПП № 127). Установило, что категорированию подлежат объекты, соответствующие типам ИС, ИТКС и АСУ из перечней. Исключило понятие «критические процессы».
• Постановление Правительства РФ № 4 от 16.01.2026 — отраслевые особенности категорирования объектов КИИ в области атомной энергии.
• Постановление Правительства РФ № 92 от 06.02.2026 — отраслевые особенности категорирования объектов КИИ в банковской сфере и иных сферах финансового рынка.
• Приказ ФСТЭК России № 236 — форма направления сведений о результатах категорирования, включая обязательное указание доменных имён и IP-адресов.
• Указы Президента № 250 и № 166 — требования по импортозамещению ПО и оборудования на объектах КИИ.

К 1 апреля 2026 года Правительство РФ должно утвердить 13 актов об отраслевых особенностях категорирования и агрегированное постановление с перечнями типовых отраслевых объектов КИИ для всех 13 отраслей.

Перечни типовых объектов КИИ по отраслям: сводная таблица

Отраслевые перечни формируются профильными министерствами и ведомствами по согласованию с ФСТЭК России. Большинство документов размещены на официальных сайтах регуляторов в открытом доступе. Ниже приведена сводная таблица по утверждённым перечням с указанием ведомства, даты утверждения и примеров типовых объектов.

Где искать перечни: документы опубликованы на официальных сайтах соответствующих ведомств — Минтранс, Минэнерго, Минздрав, Минпромторг, Минцифры, Минобрнауки, Росатом. Также актуальные версии перечней доступны на портале ФСТЭК России в разделе «Обеспечение безопасности КИИ».

Как определить, является ли ваша организация субъектом КИИ

Прежде чем работать с перечнями типовых объектов, необходимо установить, подпадает ли организация под действие 187-ФЗ. Субъектом КИИ является юридическое лицо или индивидуальный предприниматель, которому принадлежат ИС, ИТКС или АСУ, функционирующие в одной из 13 отраслей:

1. Здравоохранение
2. Наука
3. Транспорт
4. Связь
5. Энергетика
6. Банковская сфера и иные сферы финансового рынка
7. Топливно-энергетический комплекс
8. Атомная энергия
9. Оборонная промышленность
10. Ракетно-космическая промышленность
11. Горнодобывающая промышленность
12. Металлургическая промышленность
13. Химическая промышленность

Важно: субъектом КИИ является не только организация, основная деятельность которой относится к перечисленным отраслям, но и любое юридическое лицо, обеспечивающее взаимодействие ИС, ИТКС или АСУ субъектов КИИ. Например, ИТ-компания, поддерживающая SCADA-систему для энергетического предприятия.

Пошаговая инструкция: сопоставление ИТ-инфраструктуры с перечнями регуляторов

Ниже — практический алгоритм, который позволит CIO и CISO системно сверить инфраструктуру предприятия с директивными перечнями и подготовиться к категорированию по новым правилам.

Шаг 1. Определите отраслевую принадлежность

Проанализируйте коды ОКВЭД вашей организации и лицензии. Определите, к каким из 13 отраслей относится деятельность предприятия. Учтите: одна организация может попадать под несколько отраслей одновременно. Например, крупный холдинг с подразделениями в энергетике и химической промышленности работает сразу с двумя отраслевыми перечнями.

Шаг 2. Найдите актуальный перечень типовых объектов КИИ для вашей отрасли

Перейдите на официальный сайт профильного регулятора (Минэнерго, Минтранс, Минцифры, Минздрав, Минпромторг, Минобрнауки, Росатом) и загрузите утверждённый перечень. Убедитесь, что используете актуальную версию — перечни могут обновляться. Также проверьте раздел «Обеспечение безопасности КИИ» на сайте ФСТЭК России.

Шаг 3. Проведите полную инвентаризацию ИТ-активов

Составьте реестр всех информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления предприятия. Для каждого актива зафиксируйте:

• Наименование и назначение системы
• Тип (ИС, ИТКС, АСУ)
• Функциональную область (бухгалтерия, производство, логистика и т.д.)
• Используемое программное обеспечение (российское / зарубежное)
• Доменные имена и IP-адреса, взаимодействующие с сетями общего пользования (требование Приказа ФСТЭК № 236)
• Владельца / ответственного подразделения

Шаг 4. Выполните сопоставление «актив — типовой объект»

Для каждого актива из реестра проверьте, соответствует ли он одному из типов, указанных в перечне типовых объектов КИИ вашей отрасли. Составьте матрицу соответствия:

Шаг 5. Оцените «пограничные» активы

Для активов, не попавших в перечень, но потенциально значимых, проведите оценку по критериям значимости из ПП № 127 (в редакции ПП № 1762). Если масштаб возможных последствий при компьютерной атаке достигает пороговых значений по любому из 14 показателей, объект подлежит категорированию, а вы обязаны направить предложение о его включении в отраслевой перечень.

Шаг 6. Сформируйте или актуализируйте перечень объектов КИИ предприятия

На основании результатов сопоставления создайте или обновите внутренний перечень объектов КИИ. Утвердите его приказом руководителя организации. Направьте перечень во ФСТЭК России в установленном порядке. Срок — не позднее 10 рабочих дней с момента утверждения.

Шаг 7. Проведите категорирование и направьте сведения во ФСТЭК

Для каждого объекта из перечня комиссия по категорированию присваивает одну из трёх категорий значимости (или принимает решение об отсутствии необходимости присвоения) с учётом отраслевых особенностей. Результаты направляются во ФСТЭК по форме Приказа № 236 с обязательным указанием доменных имён и сетевых адресов.

Типичные ошибки при сверке инфраструктуры с перечнями

Проверки ФСТЭК в 2025–2026 годах выявили свыше 1 200 нарушений на 700 значимых объектах КИИ. Разберём наиболее распространённые ошибки, которые допускают организации при работе с типовыми перечнями.

Ошибка 1. Несоответствие реестра фактическому состоянию инфраструктуры

Самая массовая проблема: данные, направленные во ФСТЭК, расходятся с реальным состоянием объектов. Причина — ИТ-подразделение модернизирует системы, а специалист по информационной безопасности не получает уведомлений об изменениях архитектуры. Решение: внедрите процедуру обязательного согласования любых изменений ИТ-инфраструктуры с ИБ-подразделением.

Ошибка 2. Включение в перечень объектов неподходящего типа

Комиссии по категорированию иногда включают в перечень объектов КИИ помещения, отдельные серверы или рабочие станции. Объект КИИ — это ИС, ИТКС или АСУ целиком, а не отдельный технический компонент или физическое помещение.

Ошибка 3. Работа по устаревшим перечням

Типовые отраслевые перечни обновляются. Если вы провели сверку по перечню 2023 года, а в 2025 году регулятор расширил список типовых объектов — результаты сверки неактуальны. Отслеживайте обновления на сайте профильного ведомства.

Ошибка 4. Игнорирование смежных отраслей

Организация, работающая в нескольких отраслях, обязана проверить инфраструктуру по всем релевантным перечням. Химическое предприятие с собственной электростанцией должно учитывать перечни и для химической промышленности, и для энергетики.

Ошибка 5. Отсутствие оценки «пограничных» активов

Если актив не попал в типовой перечень, это не означает автоматического освобождения от категорирования. ПП № 1762 обязывает субъекта самостоятельно выявлять объекты, которые по масштабу возможных последствий соответствуют критериям значимости.

Отраслевые особенности категорирования: что уже принято

Помимо перечней типовых объектов, Правительство РФ утверждает отраслевые особенности категорирования — документы, определяющие специфику оценки значимости для конкретной отрасли.

Атомная энергия (ПП РФ № 4 от 16.01.2026)

Для атомной отрасли установлены особые правила: в состав комиссии по категорированию могут включаться представители Росатома; ряд показателей значимости из ПП № 127 не применяется (позиции 4, 10, 10¹–10⁷, 14); дополнительными исходными данными являются проектная документация, сценарии компьютерных атак с негативными последствиями для ядерных установок, данные о ранее произошедших инцидентах.

Банковская сфера и финансовый рынок (ПП РФ № 92 от 06.02.2026)

Субъектами КИИ в финансовой сфере признаются кредитные организации, некредитные финансовые организации, субъекты национальной платёжной системы, оператор цифрового рубля, микрофинансовые организации и бюро кредитных историй. Отраслевые особенности утверждены совместно с ФСТЭК и Банком России.

Прочие отрасли

По информации ФСТЭК России, к 1 апреля 2026 года будут утверждены все 13 актов об отраслевых особенностях категорирования. Все документы проходят согласование с ФСТЭК. Субъектам КИИ рекомендуется отслеживать публикацию отраслевых особенностей для своей сферы деятельности.

Реестр ФСТЭК и контроль: что ждёт субъектов КИИ в 2026 году

ФСТЭК России ведёт реестр значимых объектов КИИ в соответствии со статьёй 8 Федерального закона № 187-ФЗ (Приказ ФСТЭК № 227). После вступления в силу поправок контроль усилился по нескольким направлениям:

• Расширение оснований для уведомления ФСТЭК. Отраслевые регуляторы обязаны сообщать не только о нарушении сроков категорирования, но и о несоблюдении отраслевых особенностей, а также о выявлении «некатегорированных, но типовых» объектов — систем, которые соответствуют типовым перечням, но не прошли категорирование.
• Актуализация сведений. При любых изменениях архитектуры или технологий объекта КИИ субъект обязан обновить сведения в реестре ФСТЭК.
• Административная ответственность. Штрафы за непредставление или несвоевременное представление сведений во ФСТЭК — до 500 000 рублей. За нарушение порядка защиты значимых объектов КИИ — до 10 лет лишения свободы для должностных лиц в случаях, повлёкших серьёзные последствия.
• Сроки ответа на запросы. После получения запроса ФСТЭК у организации есть 60 дней на предоставление данных об объектах КИИ.

По результатам проверок 2025–2026 годов ФСТЭК направила более 2 000 требований о выполнении законодательства и составила свыше 600 протоколов об административных правонарушениях. Минимально необходимый уровень защиты достигнут только в 36% проверенных организаций.

Чек-лист для CIO/CISO: подготовка к работе с типовыми перечнями

Используйте этот чек-лист для самопроверки готовности вашей организации к работе по новым правилам:

1. Определена отраслевая принадлежность организации по всем кодам ОКВЭД и лицензиям
2. Загружены актуальные перечни типовых отраслевых объектов КИИ с сайтов профильных регуляторов
3. Проведена полная инвентаризация ИС, ИТКС и АСУ предприятия
4. Составлена матрица соответствия «актив — типовой объект из перечня»
5. Оценены «пограничные» активы, не попавшие в перечень, по критериям значимости ПП № 127
6. Актуализирован внутренний перечень объектов КИИ предприятия
7. Сформирована или обновлена комиссия по категорированию
8. Проведено категорирование с учётом отраслевых особенностей (при наличии утверждённых)
9. Результаты направлены во ФСТЭК по форме Приказа № 236 с указанием доменов и IP-адресов
10. Внедрена процедура постоянного мониторинга изменений ИТ-инфраструктуры и своевременного обновления сведений в реестре ФСТЭК
11. Отслеживается публикация новых отраслевых особенностей категорирования
12. Начата работа по импортозамещению ПО и оборудования на значимых объектах КИИ (Указы Президента № 250 и № 166)

Заключение

Переход к перечням типовых объектов КИИ — фундаментальное изменение в подходе к обеспечению безопасности критической информационной инфраструктуры. Субъективная оценка уступила место директивным спискам, а «критические процессы» заменены конкретными типами информационных систем и АСУ. Для CIO и CISO это означает необходимость системной работы: инвентаризация активов, сверка с отраслевыми перечнями, категорирование по обновлённым правилам и постоянный мониторинг изменений нормативной базы.

Сроки жёсткие: к апрелю 2026 года все 13 отраслевых актов будут утверждены, а ФСТЭК уже активно проверяет субъектов КИИ и привлекает к ответственности за нарушения. Откладывать работу — значит рисковать штрафами и, что важнее, безопасностью инфраструктуры.

Специалисты компании «Астелс» помогают организациям пройти все этапы категорирования объектов КИИ по 187-ФЗ: от инвентаризации и сопоставления с типовыми перечнями до подготовки и подачи сведений во ФСТЭК. Более 7 000 выполненных работ с 2012 года, эксперты в 60+ городах России. Позвоните по номеру 8(800) 70-70-144, чтобы получить консультацию и оценку объёма работ для вашего предприятия.