Как известно многим специалистам по безопасности объектов критической информационной инфраструктуры (далее по тексту — КИИ), в конце февраля текущего года вышло Распоряжение Правительства РФ (Распоряжение Правительства РФ от 26.02.2026 № 360-р «Об утверждении перечня типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации»), утвердившее Перечень типовых отраслевых объектов КИИ (далее по тексту — Перечень).
В соответствии с информационным сообщением ФСТЭК России от 22.10.2025 № 240/84/3451 после издания Перечня необходимо направить во ФСТЭК России актуализированные сведения об объектах КИИ, где в разделе 1 типовой формы (Типовая форма утверждена Приказом ФСТЭК России от 22.12.2017 № 236, сведения об объекте КИИ) необходимо указать к какому типовому объекту относится конкретный имеющийся у субъекта КИИ объект КИИ.
Так как документ, а по сути, подход к категорированию изменился, то у многих специалистов на практике возникают сложности с правильным применением Перечня в своей деятельности. Так, исходя из опыта автора, многие специалисты делают простое сопоставление по ключевым словам: название имеющегося объекта КИИ сопоставляют с наименованием типового объекта КИИ.
Такой подход, по мнению автора, является не очень удачным. В этой связи, хотелось бы предложить следующий алгоритм работы с Перечнем:
Шаг 1. Составить перечень имеющихся у субъекта КИИ объектов КИИ с описанием назначения этих объектов. То есть, взять, например, информацию из пунктов 1.1. и 1.4 Сведений об объекте КИИ и на их основе сделать таблицу по всем имеющимся объектам КИИ.
Шаг 2. Проанализировать виды деятельности субъекта КИИ и сравнить с Перечнем. Перечень состоит из двух колонок (см. рисунок 1) — «Наименование типового объекта КИИ» и «Признаки значимости типового объекта КИИ», вторая колонка подразделяется еще на две: «Типовые процессы (функции) выполняемые типовым объектом КИИ» и «Виды деятельности субъекта КИИ».
Рисунок 1. Перечень типовых отраслевых объектов КИИ
Итак, первое, что нужно сделать, взять выписку из ЕГРЮЛ (Единый государственный реестр юридических лиц) и сверить виды деятельности организации (субъекта КИИ) с указанными в Перечне видами деятельности. Исключить из дальнейшего рассмотрения лишние: те виды деятельности, которых нет в ЕГРЮЛ.
Например, если рассматривать сферу здравоохранения, то у медицинского учреждения в ЕГРЮЛ такого вида деятельности как «84.30 Деятельность в области обязательного социального обеспечения» скорее всего не будет. Также как у фонда (территориального фонда) обязательного медицинского страхования, не будет медицинских видов деятельности (коды ОКВЭД (Общероссийский классификатор видов экономической деятельности) 86.1, 86.2, 86.90), потому что фонды — это финансовые, а не медицинские организации.
При этом, данный шаг можно пропустить для указанных ниже сфер КИИ, т.к. у в этих областях для всех типовых объектов одни и те же виды деятельности:
- область ракетно-космической промышленности;
- область горнодобывающей промышленности;
- область металлургической промышленности;
- область химической промышленности.
Шаг 3. Сверить описание назначения имеющегося у субъекта объекта КИИ с типовыми процессами (функциями), указанными в Перечне. Проще говоря сверить описание имеющегося объекта КИИ с средней колонкой в перечне. Это основной шаг. В рамках данного процесса как раз и можно определить к какому типовому объекту КИИ относится имеющийся у субъекта объект КИИ.
Таким образом, ключ к правильному применению Перечня, заключается в том, чтобы идти именно от сравнения реальных деловых процессов, автоматизируемых объектом или выполняемых объектом КИИ функций, а не от сравнения названий.
Что делать при неоднозначностях после шага 3?
На практике после выполнения основной сверки описания деловых процессов с типовыми процессами и функциями в средней колонке Перечня, нередко возникают неоднозначности: описание имеющегося объекта КИИ подходит одновременно под два-три типовых объекта или, напротив, не соответствует ни одному явно.
В этом случае специалисту по информационной безопасности, по мнению автора, следует:
- Привлечь владельцев процессов (объектов) и зафиксировать обоснование. Соберите совещание с профильными специалистами (комиссией по категорированию), например, техническим директором, главным металлургом (в металлургии) или директором по эксплуатации сети (в сфере связи) и документально подтвердите (зафиксируйте в протоколе), какой именно типовой объект наиболее точно отражает реальные функции системы. Это позволит сохранить цепочку хранения доказательств и защитить позицию при проверке.
- Применить правило «наиболее критичного (точного) соответствия». Если объект подходит под несколько позиций — выбирайте тот, где признаки значимости выражены сильнее. В сфере связи, например, система обеспечения доступа к услугам связи (п. 85 Перечня) может пересекаться (включать в себя) систему мониторинга оборудования сети (п. 86 Перечня). В этом случае, на взгляд автора, логичнее относить такую систему к пункту 85 Перечня.
- При полной неопределённости обратиться за консультацией к регулятору (ФСТЭК России).
