Правительство утвердило перечни типовых отраслевых объектов критической информационной инфраструктуры. Новые правила вступят в силу с 1 сентября 2025 года. В статье подробно рассмотрим, какие объекты КИИ вошли в перечень.
Ключевой перечень КИИ
Правительство России утвердило перечни типовых отраслевых объектов критической информационной инфраструктуры (КИИ).
Документ, разработанный во исполнение Федерального закона «О безопасности КИИ РФ», определяет, какие информационные системы, сети и автоматизированные системы управления подлежат особой защите из-за их жизненной важности для страны и граждан.
Новые правила вступают в силу 1 сентября 2025 года.
Объекты КИИ — это информационные системы, автоматизированные системы управления и телекоммуникационные сети, функционирование которых критически важно для государственных и общественных интересов.
Их нарушение или выход из строя может привести к катастрофическим последствиям: сбоям в работе жизненно важных служб, техногенным авариям, угрозе национальной безопасности, значительному экономическому ущербу или социальной дестабилизации. Утвержденные перечни — это четкий ориентир для организаций, чьи системы попали в список. Теперь они обязаны соблюдать повышенные требования по их киберзащите.
Что это значит для организаций
С 1 сентября 2025 года все организации, эксплуатирующие системы, попавшие в эти перечни, обязаны отнести их к категории значимых объектов КИИ. Это влечет за собой:
- установление особых правил эксплуатации;
- внедрение систем безопасности, соответствующих требованиям ФСТЭК и ФСБ России;
- регулярное проведение оценки защищенности.
- включение в ГосСОПКА (государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак).
Какие отрасли и объекты вошли в перечень
Здравоохранение
В сфере здравоохранения это прежде всего централизованные информационные системы: единая государственная информационная система в сфере здравоохранения (ЕГИСЗ), региональные медсистемы, Государственная информационная система ОМС.
Кроме того, перечень охватывает медицинские организации — их локальные медицинские информационные системы (МИС), в том числе в больницах, поликлиниках, стоматологиях и аптечных сетях.
Отдельный акцент сделан на критичное медицинское оборудование и системы управления клинико-лабораторным оборудованием (анализы), аппаратами лучевой диагностики (КТ, МРТ — системы PACS), аппаратами для лучевой терапии (борьба с онкологией), аппаратами ИВЛ и наркозными аппаратами, а также системами мониторинга пациентов в реанимации и послеоперационных палатах.
Наука
В научной отрасли под внимание попадают как системы органов власти, отвечающих за управление научной деятельностью, так и цифровая инфраструктура, обеспечивающая создание, эксплуатацию и развитие объектов критической информационной инфраструктуры (в том числе облачные решения).
Особое внимание уделяется системам, задействованных в научно-исследовательских и опытно-конструкторских работах (НИОКР) не ниже 7-го уровня готовности технологии (по классификации Минобрнауки), если их нарушение может привести к:
- авариям/катастрофам с жертвами;
- экологическим ЧС (выбросы радиации, загрязнения);
- срыву гособоронзаказа или международных договоров;
- значительному ущербу субъекту КИИ (госкорпорации, ОПК, стратегпредприятия) или снижению налоговых отчислений.
В эту категорию также входят системы управления лабораторным оборудованием, уникальными исследовательскими стендами и жизненным циклом изделий на завершающих этапах НИОКР.
Транспорт
В перечень вошли все виды транспорта, включая авиацию, автомобильный, железнодорожный, морской и речной, а также внеуличный транспорт. Учитываются информационные и технологические системы, непосредственно влияющие на безопасность, управление и устойчивое функционирование транспортной инфраструктуры.
В авиационной отрасли в перечень включены системы управления аэропортами: планирование ресурсов и полётов, бронирование билетов, регистрация пассажиров и багажа. Также сюда входят системы управления воздушным движением (УВД), планирования использования воздушного пространства, авиационной связи, метеонаблюдения, топливозаправки, навигации и управления воздушными судами. Учитываются даже бортовые системы жизнеобеспечения — такие как кондиционирование и противообледенение.
Для автомобильного транспорта определены следующие ключевые компоненты: системы управления дорожным движением (в том числе светофоры), системы управления автовокзалами и платными дорогами (включая сбор платы), диспетчеризация грузоперевозок, управление разводными мостами, системы контроля эксплуатации самоходной техники, а также системы управления автопарками, включая таксомоторные.
В железнодорожной отрасли под критическую категорию подпадают системы резервирования билетов и управления пассажирскими перевозками, оформления грузоперевозок, управления движением поездов — включая как бортовые системы, так и диспетчерские комплексы (например, ДЦ и АСУ ТП станций). Особое внимание уделено системам безопасности при перевозке опасных грузов, включая радиоактивные материалы, а также управления стрелками, сигналами, погрузочными станциями и системами весового контроля.
В морском и речном транспорте охвачены системы контроля пассажирских и грузовых перевозок, обеспечения судоходства (в том числе лоцманская проводка), навигационного обеспечения, управления портовыми терминалами и погрузочными операциями. Также в перечень включены аварийно-спасательные системы, системы управления ледоколами и средства комплексной автоматизации судов.
Для внеуличного транспорта — метро, монорельса и аналогичных видов — определены системы диспетчерского управления движением, контроля доступа и оплаты проезда, управления эскалаторами, а также поездной технологической связи.
Связь
В сфере связи в перечень вошли системы, используемые органами власти и подведомственными организациями, реализующими полномочия в области телекоммуникаций.
Кроме того, включена инфраструктура, обеспечивающая создание, развитие и эксплуатацию объектов критической информационной инфраструктуры в телеком-секторе, включая облачные платформы и решения.
Особое внимание уделяется тем компонентам, которые обеспечивают устойчивость и безопасность связи как на уровне государственных структур, так и в рамках критически важных коммуникационных сервисов.
Итог
С 1 сентября 2025 года вступают в силу новые требования к обеспечению киберустойчивости критически важных систем. Утвержденный перечень КИИ охватывает ключевые отрасли — здравоохранение, транспорт, науку, связь — и устанавливает конкретные ориентиры для организаций.
Теперь каждая структура, чьи системы попали в перечень, обязана обеспечить их защиту на должном уровне — технически, организационно и регуляторно.