Новые правила для КИИ – что изменилось с 1 сентября 2025 года?

Чтобы разобраться, как меняется жизнь субъектов критической информационной инфраструктуры (КИИ), мы пообщались со старшим консультантом Центра промышленной безопасности «Информзащиты» Елизаветой Австрийской.

Поправки к Федеральному закону №187-ФЗ от 07.04.2025 вносят существенные изменения в регулирование КИИ. Какие ключевые моменты можно выделить?

Изменения значительные. Я бы выделила несколько ключевых моментов. Во-первых, это поправки, касающиеся категорирования объектов КИИ. Теперь обязательно будет ориентироваться на перечни типовых отраслевых объектов КИИ, а также отраслевые особенности категорирования, то есть для каждой отрасли Правительство, при поддержке отраслевых министерств, установит свою методику. Это очень важно, поскольку проверка соблюдения порядка категорирования будет осуществляться с учетом этих новых перечней и методик.

Во-вторых, требования к используемым на значимых объектах КИИ (ЗОКИИ) программно-аппаратным средствам (ПАК) стали обязательными, а также уточнен порядок и сроки перехода на соответствующее ПО и ПАК, в соответствии с Постановлением Правительства № 1912. Это означает, что субъектам КИИ с ЗОКИИ придется использовать ПО из единого реестра российских программ. Дополнительно, находится на рассмотрении отдельный документ, разработанный Минцифры РФ, регламентирующий Правила перехода субъектов КИИ на использование отечественного ПО на ЗОКИИ, в котором более детально прописаны правила и сроки перехода. Документ планируется к вступлению в силу с 01.04.2026 г.

В-третьих, стоит отметить изменения в форме Сведений о результатах категорирования: теперь можно указывать несколько сфер деятельности субъекта КИИ, которому принадлежит категорируемый объект, обязательно указывать наименование типового отраслевого ОКИИ, которому соответствует объект, и наименование, доменное имя и внешний сетевой адрес для тех информационных ресурсов субъектов КИИ, которые имеют непосредственное подключение к сети Интернет. Данные изменения вносит новая версия Приказа ФСТЭК № 236, вступившая в силу также 01.09.2025 г.

Как именно изменилось категорирование после 1 сентября 2025 года?

Изменения в 187-ФЗ напрямую связаны с проектом общего Перечня типовых отраслевых ОКИИ и Проектом изменений в 127-ПП, которые сейчас находятся на этапе внесения корректировок после подведения итогов общественного обсуждения. После принятия последнего, всем субъектам КИИ будет необходимо осуществить процедуру пересмотра категории значимости в соответствии с пунктом 21 ПП-127. Это связано с тем, что категорирование теперь будет проводиться в соответствии с измененными типовыми перечнями ОКИИ и отраслевыми особенностями, то есть отраслевыми методиками. Также стоит отметить исключение рассмотрения критических процессов из процедуры категорирования: акцент смещается на соответствие перечням типовых ОКИИ и отраслевым особенностям. Сами процессы, выполняемые типовыми объектами, как и ОКВЭД, указаны как признаки значимости в Перечне типовых отраслевых ОКИИ для упрощения выявления соответствующих объектов в субъекте КИИ.

Что насчет ответственности и взаимодействия с ФСТЭК?

Здесь тоже есть новшества. В случае непредставления субъектом КИИ сведений, ФСТЭК теперь будет направлять письмо о необходимости соблюдения 187-ФЗ с указанием конкретного срока выполнения требования. Это дает субъектам определенную ясность и ставит четкие временные рамки для устранения нарушений. Кроме того, Проект изменений в 127-ПП предусматривает появление срока устранения нарушений, выявленных ФСТЭК в ходе мониторинга, – 30 дней со дня выявления. Также хочется напомнить об административной ответственности за непредставление или нарушение сроков предоставления сведений в ФСТЭК и повторные нарушения (КоАП 19.7.15). Позиция ФСТЭК по этому вопросу однозначна: предписания регулярно направляются, о чем представители ФСТЭК неоднократно сообщали и продолжают сообщать.

Какие примеры будущих изменений в показателях категорирования можно привести?

Внесены изменения в пять показателей, отмечу некоторые из них. Например, внесены изменения в 3-й показатель, связанный с транспортом: добавлены уточнения про организации, осуществляющие деятельность в области грузовых и пассажирских перевозок, а также будет учитываться категория объекта транспортной инфраструктуры. Также добавлено расширение 13-го показателя, связанного со снижением показателей государственного оборонного заказа (ГОЗ), предусматривающее присвоение соответствующей категории значимости в зависимости от статуса исполнителя.

Что насчет изменений, которые повлияют на модели угроз безопасности информации?

Это очень важный момент. Внесены изменения в БДУ ФСТЭК, добавлены угрозы, связанные с контейнеризацией. Согласно методике моделирования от 05.02.2021, изменение модели угроз безопасности информации осуществляется, в том числе, в случаях включения в банк данных угроз безопасности информации ФСТЭК России сведений о новых угрозах. Это прямо указывает на необходимость пересмотра существующих Моделей угроз всеми субъектами КИИ уже сегодня.

Что вы бы посоветовали субъектам КИИ в связи с изменениями?

Я бы настоятельно рекомендовала внимательно изучать документы – проект общего Перечня типовых отраслевых ОКИИ, Проекты отраслевых особенностей категорирования, а также Проект изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127. Несмотря на то, что они пока на рассмотрении, а принятые изменения в 187-ФЗ дают право до принятия данных документов осуществлять процесс категорирования по-старому, они дают четкое представление о грядущих требованиях и их игнорирование крайне не рекомендуется на текущем этапе, так как внесет дополнительные объемные трудозатраты на перекатегорирование при их вступлении в силу. Необходимо также заранее запланировать бюджет и загрузку вашего персонала на работы по пересмотру результатов категорирования, обновлению моделей угроз и, при необходимости, планированию перехода на соответствующее ПО и ПАК.