Что изменилось с выходом Распоряжения Правительства № 360-р и кому теперь готовиться к проверкам
В конце февраля 2026 года произошло событие, которое меняет ландшафт информационной безопасности в России: Правительство РФ утвердило Распоряжение № 360-р, которым введён единый перечень типовых отраслевых объектов критической информационной инфраструктуры.
Если раньше отнесение систем к объектам КИИ было процессом с долей неопределённости. Теперь всё чётко: если ваша система есть в перечне — вы субъект КИИ со всеми вытекающими.
Мы в DATA POOL внимательно изучили документ и подготовили для вас разбор самого важного: что конкретно изменилось, какие системы попадают под новые правила и что теперь делать руководителям и ИТ-специалистам.
Кого коснулось новое регулирование
Документ охватывает 14 ключевых отраслей. Вот они:
• Здравоохранение
• Наука
• Транспорт (все виды)
• Связь
• Энергетика
• Государственная регистрация недвижимости
• Банковская сфера и финансы
• Топливно-энергетический комплекс
• Атомная энергия
• Оборонная промышленность
• Ракетно-космическая промышленность
• Горнодобывающая промышленность
• Металлургическая промышленность
• Химическая промышленность
Для каждой сферы перечень содержит конкретные информационные системы, АСУ ТП и сети, которые признаются объектами КИИ.
Какие системы теперь под особым контролем
Документ интересен своей детализацией. Вот лишь несколько примеров.
Транспорт: системы управления светофорами, автопарками такси и каршеринга, интроскопами в аэропортах, учёта проезда в метро.
Связь: биллинг, системы управления сетями, тарификация абонентов — всё, без чего оператор не может работать.
Энергетика и ТЭК: АСУ ТП электростанций, управление трубопроводами, интеллектуальный учёт электроэнергии.
Промышленность: станки с ЧПУ, ERP и PLM-системы, управление испытательными стендами, системы безопасности опасных объектов.
Финансы: дистанционное банковское обслуживание, процессинг, учёт страховых договоров и пенсионных накоплений.
Если ваша компания работает в одной из отраслей и использует подобные системы — вы уже в периметре КИИ.
Что теперь обязана сделать организация
Попадание в перечень запускает обязательную процедуру.
1. Категорирование. Нужно определить категорию значимости объекта (первая, вторая или третья) и направить акт во ФСТЭК.
2. Внедрение средств защиты. В зависимости от категории устанавливаются сертифицированные СЗИ: межсетевые экраны, системы обнаружения вторжений, антивирусы, а для некоторых объектов — средства криптографической защиты.
3. Импортозамещение. Для объектов первой и второй категорий обязательно использование ПО и оборудования из отечественного реестра.
4. Подключение к ГосСОПКА. Системы должны быть интегрированы с государственной системой обнаружения компьютерных атак.
Главные вопросы, которые возникают при погружении в вопросы КИИ
Нужно ли категорировать всё сразу?
Зависит от того, какие системы уже работают и как они связаны между собой. В некоторых случаях можно выделить приоритетные объекты, но общую стратегию лучше строить сразу.
Как не остановить работу при внедрении защиты?
Это самый частый страх: установили средства защиты — встал завод или перестал работать биллинг. Чтобы этого избежать, нужна грамотная настройка и тестирование на стендах до запуска в промышленную эксплуатацию.
Какие именно средства защиты потребуются для нашей отрасли?
Требования различаются. То, что подходит для защиты банковской системы, может не подойти для АСУ ТП на заводе. Нужен индивидуальный подход с учётом отраслевой специфики.
Кто должен этим заниматься?
Штатные специалисты часто загружены поддержкой текущих процессов. К тому же требования к объектам КИИ специфичны и требуют опыта работы с регуляторами и сертифицированными СЗИ. Часто разумнее привлекать подрядчика с соответствующей экспертизой и лицензиями.
Что делать прямо сейчас
Новые требования уже вступили в силу. Штрафы за нарушения в области КИИ существенные, но главное — речь идёт о непрерывности работы организации и безопасности критических процессов.
Самый разумный первый шаг — провести диагностику и понять, в какой зоне риска находится ваша компания. Это займёт немного времени, но даст ясную картину и план действий.
Мы в DATA POOL помогаем с этим уже много лет. У нас есть все необходимые лицензии ФСТЭК и ФСБ, собственные аттестованные дата-центры и опыт в самых разных отраслях.
Если хотите начать с этого — просто напишите нам. Проведём быструю оценку бесплатно и подскажем, что делать дальше.
☏ 8 800 505 21 30
✉ info@data-pool.ru
Сайт data-pool.ru