Сфера связи и телекоммуникаций: типовые объекты КИИ по версии Минцифры РФ

Все операторы связи — субъекты КИИ по 187-ФЗ. Минцифры утвердило перечень из 12 типовых объектов и методические указания, определяющие порядок категорирования. Разбираем, какие системы оператора попадают под требования, как оценивать значимость и с чего начинать проект.

Особенности категорирования для разных типов операторов

Телекоммуникационная отрасль неоднородна. Магистральный провайдер, региональный кабельный оператор и мобильный оператор федерального масштаба сталкиваются с принципиально разными задачами при категорировании. Рассмотрим ключевые отличия.

Магистральные интернет-провайдеры

Операторы магистральных каналов (Ростелеком, ТТК, МегаФон и др.) управляют транспортными сетями, связывающими регионы. Приоритетные объекты КИИ — системы управления маршрутизацией (MPLS-контроллеры), платформы мониторинга магистральных каналов и узлы обмена трафиком (IX-точки). Критерий значимости привязан к территории: если нарушение работы системы может прервать связь для целого субъекта РФ, объект получает 1–2 категорию.

Мобильные операторы

Для мобильных операторов ключевые объекты — ядро сети (EPC/5GC), коммутационные центры (MSC), регистры абонентов (HLR/HSS) и системы управления радиосетью (RAN). Критический порог — количество абонентов: сеть, обслуживающая более 1 млн человек, с высокой вероятностью получит объекты 1–2 категории. Отдельная «болевая точка» — платформы OCS (Online Charging System), через которые проходят все финансовые транзакции абонентов.

Региональные провайдеры фиксированной связи

Небольшие операторы с числом абонентов до 50 000 чаще всего получают объекты 3 категории или без категории. Однако если провайдер обслуживает государственные контракты (связь для органов власти, полиции, пожарных), критерий значимости резко возрастает. По нашей практике, именно контракты с госзаказчиками — самый частый фактор «повышения» категории для малых операторов.

Спутниковые операторы

Операторы спутниковой связи (ГПКС, «Газком», «РТКомм») категорируют наземные станции управления и системы мониторинга орбитальной группировки. Эти объекты, как правило, получают высокие категории, поскольку обеспечивают связь в труднодоступных районах, где альтернативных каналов нет.

Критерии значимости и показатели ущерба в телекоме

Категория значимости объекта КИИ определяется по наибольшему значению одного из показателей, установленных Перечнем показателей критериев значимости (приложение к ПП № 127). Для сферы связи наиболее релевантны следующие критерии:

• Социальная значимость — количество абонентов, которым будет недоступна услуга связи. Пороги: более 50 000 человек — 3 категория; более 1 000 000 — 2 категория; угроза связи для населения субъекта РФ — 1 категория.
• Значимость для обороны — обеспечение связи воинских частей, объектов Минобороны, экстренных служб (112, 01, 02, 03).
• Экономическая значимость — ущерб от простоя биллинга, потери выручки оператора. Для крупных операторов час простоя биллинговой системы оценивается в десятки миллионов рублей.
• Значимость для управления — нарушение деятельности органов государственной власти, использующих каналы оператора.

Сети с менее чем 3 000 абонентов, как правило, остаются без категории, однако это не освобождает оператора от обязанности провести процедуру категорирования и направить результаты во ФСТЭК. Детальный разбор критериев — в материале «Вторая волна категорирования КИИ (2026)».

Биллинг, OSS/BSS, ядро сети: что категорируют первым

На практике категорирование оператора связи начинается с идентификации «ядерных» систем — тех, нарушение работы которых вызовет максимальный ущерб. Ниже — приоритизация, основанная на опыте более 7 000 проектов компании «Астелс».

Приоритет 1: Биллинговые системы (BSS)

Биллинг — финансовое сердце оператора. Современные системы онлайн-тарификации (OCS) обрабатывают до миллиардов транзакций в сутки. Их компрометация ведёт к прямым финансовым потерям, утечке платёжных данных абонентов и нарушению тайны связи. По прогнозам экспертов, контур OCS и BSS в ближайшей перспективе будет отнесён регулятором к значимым объектам КИИ в обязательном порядке.

Приоритет 2: Ядро сети (Core Network)

Элементы ядра — MSC, HLR/HSS, EPC, 5G Core — обеспечивают маршрутизацию и коммутацию всего трафика. Компрометация ядра означает полный отказ сервиса для всей абонентской базы. Системы управления ядром (NMS/EMS) — первые кандидаты на категорирование в группе АСУ.

Приоритет 3: Системы управления сетью (OSS)

OSS-платформы управляют конфигурацией, мониторингом и восстановлением сетевого оборудования. По данным отраслевых исследований, NMS/OSS составляют около 24% от общего числа категорированных объектов у операторов связи. Потеря контроля над OSS — это слепая зона: оператор не видит состояние своей сети и не может реагировать на аварии.

Приоритет 4: Системы клиентского обслуживания

CRM, личные кабинеты, контакт-центры хранят персональные данные миллионов абонентов. Утечка этих данных влечёт не только штрафы по ст. 13.12.1 КоАП, но и ответственность по 152-ФЗ (персональные данные), а с 2026 года — потенциально по новой ст. 13.12.2 за нарушение правил эксплуатации объектов КИИ.

Импортозамещение и ГосСОПКА для операторов связи

Для значимых объектов КИИ (1–3 категории) действуют два дополнительных блока требований, которые особенно болезненны для телеком-отрасли.

Переход на отечественное ПО

Указ Президента № 250 и Постановления Правительства № 1478, № 1912 обязывают субъектов КИИ перейти на доверенные программно-аппаратные комплексы (ПАК). Для телекома это означает замену ключевых систем:

• BSS/OSS: Oracle, Amdocs, Ericsson → Nexign, Bercut, «Петер-Сервис»
• Ядро сети: Huawei, Nokia, Ericsson → отечественные решения (процесс идёт значительно медленнее)
• Средства защиты информации: иностранные NGFW и IDS → Positive Technologies, Kaspersky, InfoWatch

По данным отраслевого исследования, 23% операторов оценили уровень импортозамещения в сетевых функциях всего на 1 балл из 10. Это означает, что отрасль находится в самом начале пути, а крайний срок перехода — 2030 год — приближается.

Подключение к ГосСОПКА

Субъекты КИИ, владеющие значимыми объектами, обязаны информировать ФСБ России (через НКЦКИ) о компьютерных инцидентах. Для крупных операторов рекомендуется создание собственного корпоративного центра мониторинга (SOC) класса А или подключение к коммерческому SOC. Подробнее о комплексном подходе — в материале «Комплексная киберзащита КИИ под ключ».

Пошаговый чек-лист категорирования для CIO телеком-компании

Ниже — алгоритм, адаптированный для специфики оператора связи. Он дополняет общее пошаговое руководство по категорированию практическими рекомендациями для телекома.

1. Сформировать комиссию по категорированию. В состав обязательно включить: CTO (технический директор), CISO (руководитель ИБ), руководителя эксплуатации сети, представителя юридической службы. По возможности — привлечь внешнего консультанта с опытом категорирования в связи.
2. Провести инвентаризацию ИТ-систем. Составить реестр всех ИС, АСУ и сетей электросвязи. Для операторов с десятками тысяч единиц оборудования рекомендуется использовать SGRC-платформы или хотя бы NetBox для автоматизации учёта.
3. Сопоставить с перечнем Минцифры. Каждую систему из реестра проверить на соответствие 12 типовым объектам. Системы, не вошедшие в перечень, категорируются по механизму «снизу вверх».
4. Оценить показатели значимости. Для каждого объекта рассчитать последствия компьютерной атаки по всем критериям (социальный, экономический, оборонный, управленческий).
5. Присвоить категории. Категория определяется по максимальному значению любого из показателей.
6. Подготовить акты категорирования. Использовать шаблоны из методических указаний № АШ-7089вн.
7. Заполнить форму сведений. Особое внимание — требованиям Приказа ФСТЭК № 236 к указанию доменных имён и IP-адресов. Для оператора с тысячами IP-адресов это нетривиальная задача.
8. Направить сведения во ФСТЭК. Срок — 10 рабочих дней после подписания акта. ФСТЭК проверяет документы и может вернуть их на доработку.
9. Обеспечить безопасность значимых объектов. Для объектов 1–3 категории — реализовать меры по Приказам ФСТЭК № 235 и № 239.
10. Запланировать повторное категорирование. Не реже 1 раза в 5 лет или при изменении инфраструктуры.

Типичные ошибки операторов связи при категорировании

За годы работы с телеком-отраслью мы выявили устойчивые паттерны ошибок, которые приводят к возврату документов из ФСТЭК или, что хуже, к штрафным санкциям при проверках.

• Ошибка 1: отождествление физической сети с объектом КИИ. Оператор включает в перечень «сеть электросвязи» как единый объект, хотя категорировать нужно конкретные ИС и АСУ, функционирующие на этой сети.
• Ошибка 2: пропуск биллинга и CRM. Некоторые операторы не включают BSS-контур в перечень, считая его «коммерческой», а не «технической» системой. Между тем биллинг обрабатывает персональные данные и финансовые транзакции — это полноценный объект КИИ.
• Ошибка 3: заниженная оценка числа абонентов. Комиссия учитывает только активных абонентов, игнорируя резервных, корпоративных и M2M/IoT-подключения. ФСТЭК при проверке считает по лицензии.
• Ошибка 4: игнорирование межоператорского взаимодействия. Шлюзы SBC и пиринговые узлы (IX) обеспечивают связность между операторами. Их компрометация затрагивает абонентов нескольких компаний, что повышает категорию.
• Ошибка 5: некорректное указание IP-адресов. Крупные операторы владеют блоками на тысячи адресов. Неполное или неструктурированное указание IP-адресов и доменных имён — самая частая причина возврата сведений из ФСТЭК.

О том, как избежать этих и других ошибок — в нашем подробном разборе «Ошибки при взаимодействии со ФСТЭК: почему регулятор возвращает сведения о КИИ». А для тех, кто хочет оценить бюджет проекта заранее, рекомендуем ознакомиться со статьёй «Сколько стоит категорирование КИИ».

Итог

Сфера связи и телекоммуникаций — одна из наиболее регулируемых отраслей КИИ. Перечень Минцифры чётко определяет 12 типовых объектов, которые каждый оператор обязан идентифицировать в своей инфраструктуре. Методические указания № АШ-7089вн снимают значительную часть неопределённости, предоставляя шаблоны актов и формы для ФСТЭК. Однако специфика телекома — огромное количество сетевых элементов, сложные BSS/OSS-стеки, межоператорское взаимодействие — делает категорирование нетривиальной задачей даже для опытных служб ИБ.

Ключевые рекомендации: начинайте с биллинга и ядра сети, используйте автоматизацию для инвентаризации, привлекайте экспертов с отраслевым опытом для корректной оценки критериев значимости. И помните — категорирование не заканчивается подачей документов во ФСТЭК. За ним следует реализация мер защиты, подключение к ГосСОПКА и непрерывный мониторинг. Выбрать надёжного партнёра для этого пути поможет наш гид «Как выбрать лицензиата ФСТЭК и ФСБ для КИИ».

Нужна помощь с категорированием объектов КИИ в сфере связи? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей инфраструктуры и определят перечень объектов, подлежащих категорированию.