Добавить в корзинуПозвонить
Найти в Дзене
О чем говорит Кибер КИТ
10 подписчиков

Категорирование объектов КИИ в вузах 2026: методика и практические сложности работы по новым правилам

9
39 мин
Обеспечение безопасности критической информационной инфраструктуры (КИИ) Российской Федерации (РФ) – одна из приоритетных задач государственной политики в области информационной безопасности (ИБ) и цифрового суверенитета. Образовательные организации высшего образования, высшие учебные заведения занимают особое место в структуре субъектов КИИ, поскольку совмещают в своей деятельности несколько функциональных направлений: фундаментальные и прикладные научные исследования, выполнение работ в рамках государственного оборонного заказа (ГОЗ), управление объектами кампусной инфраструктуры,
а в случае медицинских вузов – ещё и оказание медицинской помощи на базе собственных клиник. До 2026 года процесс категорирования объектов КИИ, в частности в ВУЗах, во многом носил субъективный характер. Несмотря на наличие общих критериев значимости, установленных Постановлением Правительства РФ от 08.02.2018 № 127 (ПП-127), отсутствие отраслевой специфики приводило к тому, что одни и те же типы систем в
Оглавление

Обеспечение безопасности критической информационной инфраструктуры (КИИ) Российской Федерации (РФ) – одна из приоритетных задач государственной политики в области информационной безопасности (ИБ) и цифрового суверенитета. Образовательные организации высшего образования, высшие учебные заведения занимают особое место в структуре субъектов КИИ, поскольку совмещают в своей деятельности несколько функциональных направлений: фундаментальные и прикладные научные исследования, выполнение работ в рамках государственного оборонного заказа (ГОЗ), управление объектами кампусной инфраструктуры,
а в случае медицинских вузов – ещё и оказание медицинской помощи на базе собственных клиник.

До 2026 года процесс категорирования объектов КИИ, в частности в ВУЗах, во многом носил субъективный характер. Несмотря на наличие общих критериев значимости, установленных Постановлением Правительства РФ от 08.02.2018 № 127 (ПП-127), отсутствие отраслевой специфики приводило к тому, что одни и те же типы систем в разных вузах получали различные категории значимости либо вовсе не признавались объектами КИИ. Отсутствие формализованных перечней типовых объектов порождало правовую неопределённость и создавало риски как для самих высших учебных заведений, так и для регулятора.

Ситуация кардинально изменилась с принятием в конце 2025 – начале 2026 года пакета нормативных правовых актов (НПА), конкретизирующих требования Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ) для отдельных отраслей экономики и социальной сферы. Для сферы науки ключевыми документами стали Распоряжение Правительства РФ от 26.02.2026 № 360-р (РП-360-р), утвердившее перечень типовых отраслевых объектов КИИ, и Постановление Правительства РФ от 07.03.2026 № 246 (ПП-246), установившее отраслевые особенности категорирования. Были также внесены правки в ПП-127 в части показателей критериев значимости. Параллельно вступили в силу изменения в подзаконные акты Федеральной службы по техническому и экспортному контролю РФ (ФСТЭК России), в частности новая редакция Приказа ФСТЭК России от 22.12.2017 № 236 (Приказ № 236), определяющая форму представления сведений о результатах категорирования.

Ключевая проблема, созданная новым регулированием, заключается в следующем: в сфере науки отнесение системы к объектам КИИ поставлено в прямую зависимость от уровня готовности технологий (УГТ) выполняемых на ней научно-исследовательских и опытно-конструкторских работ (НИОКР). Системы, задействованные исключительно в фундаментальных исследованиях
или учебном процессе (УГТ ниже 7), формально не подлежат категорированию как объекты КИИ в сфере науки. Однако они могут подпадать под регулирование смежных отраслей, где критерий УГТ отсутствует или имеет иное пороговое значение.

Стоит дать пояснение относительно УГТ. Данный термин заимствован из международной практики управления научно-техническими проектами и официально закреплён в российском правовом поле Приказом Министерства науки и высшего образования РФ от 06.02.2023 № 107. Шкала УГТ охватывает весь жизненный цикл технологии: УГТ 1–3 соответствуют стадии фундаментальных и поисковых исследований (формулирование концепции, лабораторное макетирование), УГТ 4-6 — стадии прикладных НИОКР (испытания компонентов и прототипов в условиях, приближённых к реальным), УГТ 7-9 — стадии опытно-промышленной эксплуатации и серийного выпуска. Ключевое для целей категорирования КИИ значение имеет седьмой уровень (УГТ 7), который определяется как «проведены испытания опытно-промышленного образца в реальных условиях эксплуатации» - прототип системы прошёл демонстрацию в эксплуатационных условиях и отражает планируемую штатную систему или близок к ней . Именно с этого уровня технология переходит из лабораторной плоскости в плоскость практического применения, что и обусловливает возникновение значимых рисков для безопасности. Таким образом, УГТ 7 выступает своеобразным «водоразделом»: работы с более низким уровнем готовности (фундаментальные исследования, лабораторные макеты) признаются законодателем недостаточно зрелыми, чтобы их нарушение могло повлечь значимый ущерб для экономики или безопасности страны. Для вузов, не занимающихся прикладными НИОКР с высоким УГТ, это означает, что их инфраструктура, скорее всего, не будет подпадать под категорирование в сфере науки, однако сохраняются риски, связанные со смежной отраслевой принадлежностью (о чём пойдёт речь
в разделе 3).

В статье мы систематизируем новые требования НПА, обозначим специфические для высших учебных заведений проблемы их практической реализации, проанализируем правовую коллизию, связанную с УГТ как пороговым критерием отнесения к объектам КИИ, и предложим алгоритм организации процесса категорирования в условиях изменившегося правового поля.

Общие требования к категорированию и обеспечению безопасности КИИ: нормативный фундамент

Для корректного понимания нововведений 2026 года напомним о базовой нормативной рамке, регулирующей деятельность субъектов КИИ.

187-ФЗ является системообразующим актом. Статья 2 Закона определяет субъекты КИИ как государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в критически важных сферах.

Ключевых обязанностей у субъекта КИИ три:

1) Идентифицировать принадлежащие ему объекты КИИ, провести их категорированиеи и уведомить об этом ФСТЭК России.

2) Обеспечивать безопасность принадлежащих ему объектов КИИ согласно НПА.

3) Своевременно уведомлять о компьютерных инцидентах и компьютерных атаках Национальный координационный центр по компьютерным инцидентам (НКЦКИ), в том числе с применением технической инфраструктуры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Для корректного понимания нововведений 2026 года напомним о базовой нормативной рамке, регулирующей деятельность субъектов КИИ.

187-ФЗ является системообразующим актом. Статья 2 Закона определяет субъекты КИИ как государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в критически важных сферах.

Ключевых обязанностей у субъекта КИИ три:

  1. Идентифицировать принадлежащие ему объекты КИИ, провести их категорирование и уведомить об этом ФСТЭК России.
  2. Обеспечивать безопасность принадлежащих ему объектов КИИ согласно НПА.
  3. Своевременно уведомлять о компьютерных инцидентах и компьютерных атаках Национальный координационный центр по компьютерным инцидентам (НКЦКИ), в том числе с применением технической инфраструктуры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

ПП-127 устанавливает универсальную методику категорирования. Документ определяет три категории значимости объектов (первая - наивысшая, вторая, третья), а также перечень показателей критериев значимости по пяти основным группам: социальные, политические, экономические, экологические и показатели значимости для обеспечения обороны страны, безопасности государства и правопорядка. Каждый показатель имеет количественные пороговые значения, на основании которых и присваивается категория.

Приказ ФСБ России от 25.12.2025 № 547 регулирует порядок информирования
ФСБ России о компьютерных атаках и инцидентах, реагирования на них и взаимодействия с ГосСОПКА. Субъект КИИ обязан в кратчайшие сроки уведомлять регулятора об инцидентах, затрагивающих объекты КИИ. Помимо Приказа № 547, ФСБ России разработан ряд приказов, уточняющих и конкретизирующих порядок взаимодействия с ГосСОПКА, получения информации о компьютерных инцидентах и обмена информацией с иными организациями:

  1. Приказ ФСБ России от 23.12.2025 № 539 (порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак).
  2. Приказ ФСБ России от 25.12.2025 № 546 (порядок взаимодействия субъектов КИИ
    с иными субъектами КИИ и иностранными организациями в части обмена информацией о компьютерных атаках и компьютерных инцидентах).
  3. Приказ ФСБ России от 25.12.2025 № 548 (порядок непрерывного взаимодействия субъектов КИИ с ГосСОПКА).
  4. Приказ ФСБ России от 26.12.2025 № 553 (порядок и технические условия установки технических средств ГосСОПКА).

Приказ ФСТЭК России от 21.12.2017 № 235 устанавливает требования по созданию систем безопасности значимых объектов КИИ, а также обеспечению безопасности значимых объектов КИИ на всех этапах их жизненного цикла в зависимости от установленных категорий значимости.

Приказ ФСТЭК России от 25.12.2017 № 239 определяет состав и содержание организационных и технических мер защиты информации. Выбор конкретных мер и их усиление напрямую зависят от присвоенной категории значимости: чем выше категория, тем более жёсткие требования предъявляются к системе защиты.

В контексте обеспечения технологической независимости и безопасности КИИ особое значение имеют требования по импортозамещению, закрепленные в части 3 статьи 9 187-ФЗ. Логически продолжают и детализируют требования Федерального закона Указ Президента РФ от 01.05.2022 № 250 и Постановление Правительства РФ от 22.08.2022 № 1912 (ПП-1912). Данными актами установлен запрет на использование иностранных средств защиты информации (СрЗИ), программного обеспечения (ПО) и программно-аппаратных комплексов (ПАК) на значимых объектах КИИ, а также утверждены планы-графики перехода на отечественные аналоги. Для вузов, оснащённых уникальным зарубежным научным оборудованием, данное требование создаёт существенные практические трудности, о которых пойдёт речь в разделе 3 статьи.

Описанная нормативная база определяет общие контуры системы обеспечения ИБ КИИ в РФ и хорошо известна профильным специалистам. Однако до 2026 года оставался открытым вопрос: как именно применять эти общие нормы к специфической деятельности того или иного субъекта КИИ, в частности – научных и образовательных организаций? Ответ на него дали новые акты, принятые в конце 2025 - начале 2026 года.

Новая регуляторная реальность 2026 года

Принципиальное изменение правового ландшафта 2026 года заключается в переходе от абстрактной идентификации объектов КИИ к их формализованному определению через систему отраслевых перечней и отраслевых методик категорирования. Данными актами установлен запрет на использование иностранных средств защиты информации (СрЗИ), программного обеспечения (ПО) и программно-аппаратных комплексов (ПАК) на значимых объектах КИИ, а также утверждены планы-графики перехода на отечественные аналоги. Для , оснащённых уникальным зарубежным научным оборудованием, данное требование создаёт существенные практические трудности, о которых пойдёт речь в разделе 3 статьи.

Федеральным законом от 07.04.2025 № 58-ФЗ была дополнена статья 7 187-ФЗ. Согласно изменениям, категорирование объектов КИИ должно осуществляться с учетом перечней типовых отраслевых объектов КИИ и отраслевых особенностей категорирования. Тем самым была исключена возможность субъективной идентификации систем в качестве объектов КИИ: если система соответствует описанию типового объекта из утверждённого перечня, она априори подлежит категорированию. По сути, субъекты КИИ лишены возможности самостоятельно решать, включать ту или иную систему в контур КИИ или нет.

РП-360-р утвердило перечни типовых отраслевых объектов КИИ по четырнадцати отраслям, включая сферу науки. Важно, что типовые объекты сферы науки сформулированы с указанием на их использование при выполнении НИОКР не ниже УГТ 7. Данная формулировка имеет фундаментальное правовое значение: если система используется исключительно для учебного процесса либо для выполнения НИОКР с УГТ 1–6, она формально не соответствует типовому объекту КИИ в сфере науки и не подлежит категорированию по данному основанию.

Для образовательных и научных организаций в перечень входят следующие системы, задействованные в НИОКР с УГТ ≥ 7:

  • ИС и АСУ, предназначенные для управления оборудованием с числовым программным управлением (ЧПУ);
  • системы управления жизненным циклом изделия (PLM-системы);
  • АСУ испытательными стендами и лабораторным оборудованием;
  • ИС управления НИОКР;
  • системы, обеспечивающие выполнение работ по ГОЗ.

Важно подчеркнуть: наличие объекта в перечне для систем с УГТ ≥ 7 не означает автоматического присвоения ему категории значимости – это означает лишь то, что он является объектом КИИ и обязательно должен быть рассмотрен в соответствии с показателями категорий значимости.

ПП-246 детализирует применение общих критериев значимости, установленных ПП-127, применительно к научной деятельности. Документ вводит ряд принципиально важных уточнений:

  • показатель 9 (экономический ущерб) для государственных научных
    и образовательных учреждений рассчитывается через потенциальное снижение налоговых и неналоговых поступлений в бюджетную систему РФ.
  • показатели 1 и 11 (социальный и экологический ущерб) применяются
    в случае, если деятельность организации связана с использованием опасных химических, биологических или радиоактивных веществ. Количественная оценка осуществляется исходя из численности персонала и населения, которые могут быть затронуты в результате инцидента.
  • показатель 13(1) (срыв ГОЗ) актуален для ВУЗов, имеющих военные учебные центры, выполняющих НИОКР по заказам Министерства обороны РФ или предприятий оборонно-промышленного комплекса (ОПК).
  • пункт 11 ПП-246 устанавливает, что категорирование объектов КИИ осуществляется исходя из возможности возникновения компьютерных инцидентов при выполнении НИОКР не ниже УГТ 7. Достижение проектом УГТ 7 автоматически означает, что задействованные в нём системы подлежат категорированию.

Также имеют методическое значение изменения в форме направления сведений о результатах присвоения объекту КИИ категории значимости либо об отсутствии необходимости присвоения таковой (Приказ № 236). Новая редакция формы предусматривает:

  • указание нескольких сфер деятельности субъекта КИИ (для ВУЗа это может быть одновременно несколько сфер из пункта 8 статьи 2 187-ФЗ);
  • обязательное указание наименования типового отраслевого объекта КИИ
    в соответствии с утверждёнными перечнями;
  • указание внешних сетевых адресов (IP-адресов, доменных имён) для объектов, имеющих подключение к ИТС «Интернет» и публичный IP-адрес.

Данные изменения требуют от ВУЗов существенной переработки ранее поданных сведений и актуализации внутренней документации по категорированию.

Практические сложности категорирования в вузах и пути их решения

Реализация новых нормативных требований в условиях вуза сопряжена с рядом специфических проблем, не характерных для типичных отраслевых субъектов КИИ. Ниже рассмотрим ключевые сложности и приведем рекомендации по их преодолению.

Сложность 1. Проблема множественной отраслевой идентификации ВУЗа

Университет является многофункциональной структурой. Медицинский университет может иметь в своём составе клиники и диагностические центры, которые с точки зрения 187-ФЗ относятся к сфере здравоохранения. Горный университет эксплуатирует полигоны, обогатительные установки и тренажёры, данная деятельность подпадает под регулирование горнодобывающей промышленности. Технический университет может располагать опытно-промышленными производствами, относящимися к металлургии, химической промышленности или энергетике.

Для каждой из перечисленных отраслей РП-360-р утверждены собственные отраслевые перечни типовых объектов КИИ, а профильными органами исполнительной власти разработаны (или находятся в стадии утверждения) отраслевые методические рекомендации по категорированию. Комиссия ВУЗа по категорированию не вправе ограничиваться анализом только сферы науки, если часть инфраструктуры функционально относится к другой отрасли.

Неполная идентификация отраслевой принадлежности объектов влечёт риск невключения объекта в перечень КИИ при том, что он подпадает под типовой объект смежной отрасли, как следствие – нарушение процесса категорирования, что влечет за собой административную ответственность, а при наступлении тяжких последствий в результате инцидента – привлечение
к уголовной ответственности должностных лиц.

Пути решения:

  • На этапе инвентаризации для каждого объекта, помимо отнесения к сфере науки, должен быть проведен дополнительный анализ на иную отраслевую принадлежность в соответствии с его функциональным назначением и кодами Общероссийского классификатора видов экономической деятельности (ОКВЭД), указанными ВУЗом в Едином государственном реестре юридических лиц (ЕГРЮЛ).
  • Если система признаётся объектом КИИ по основанию смежной отрасли,
    она категорируется в общем порядке независимо от УГТ научных проектов.
  • В сведениях, направляемых во ФСТЭК России по форме Приказа № 236,
    для такого объекта указываются все применимые сферы деятельности
    и все соответствующие типовые объекты из отраслевых перечней.

Сложность 2. ВУЗы без прикладных НИОКР с высоким УГТ: правовая неопределённость и пути её преодоления

Значительная часть российских ВУЗов, – гуманитарные, педагогические, юридические, экономические, а также узкоспециализированные институты (например, физической культуры или искусств), – не ведут НИОКР, достигающих УГТ 7. Их научная деятельность ограничивается фундаментальными и поисковыми исследованиями (УГТ 1–3) либо подготовкой научно-педагогических кадров.

Здесь возникает правовая коллизия, порождающая заблуждение. С одной стороны, любой ВУЗ, являясь по определению образовательной организацией (Федеральный закон от 29.12.2012 № 273-ФЗ), осуществляет в том числе научную деятельность в соответствии с положениями Федерального закона от 23.08.1996 № 127-ФЗ. Это и служит основанием для пристального внимания ФСТЭК России и органов прокуратуры к ВУЗам как к субъектам КИИ: потенциально у ВУЗа могут быть объекты КИИ, функционирующие в сфере науки.

С другой же стороны, формулировки ПП-246 и перечня типовых отраслевых объектов КИИ для сферы науки привязаны исключительно к ИС, АСУ и ИТС с УГТ ≥ 7. Следовательно, у ВУЗов, не ведущих НИОКР такого уровня, формально объектов КИИ в сфере науки нет. Из этого формального отсутствия рождается ложный вывод: «Раз у нас отсутствуют объекты КИИ в сфере науки, значит, 187-ФЗ нас не касается».

Это ошибка с высокими рисками, поскольку ВУЗ – организация многофункциональная, осуществляющая смежные виды деятельности. Помимо научной, ВУЗом может осуществляться деятельность в сфере здравоохранения, транспорта, энергетики, металлургической и (или) химической промышленности (при наличии опытных производств) и иных сферах, перечисленных в статье 2 187-ФЗ.

Ошибочное отстранение от КИИ по признаку научного профиля влечёт серьёзные риски. В случае, если в ходе проверки со стороны ФСТЭК России и/или органов прокуратуры будут выявлены системы, соответствующие типовым объектам смежных отраслей, ВУЗ может быть привлечён к административной ответственности. Кроме того, необеспечение безопасности фактически существующих объектов КИИ создаёт прямые риски для инфраструктуры ВУЗа и, в свою очередь, влечет ответственность вплоть до уголовной для соответствующих должностных лиц.

Пути решения:

  1. Инициировать аудит. Руководству ВУЗа (проректору по информационным технологиям (ИТ) или безопасности) необходимо инициировать внутреннюю проверку не с тезиса «у нас нет КИИ», а с вопроса: «Какие критически важные сферы, кроме науки, могут к нам относиться?».
  2. Провести инвентаризацию по всем применимым отраслевым перечням. Комиссии по категорированию (либо рабочей группе в лице проректора по ИТ и назначенных им лиц) необходимо последовательно проверить инфраструктуру ВУЗа на соответствие типовым объектам из других разделов РП-360-р. Применительно к «ненаучным» вузам особое внимание следует обратить на следующие отрасли:
  • здравоохранение: наличие на балансе поликлиники, санатория-профилактория, медпункта, стоматологического кабинета или диагностического центра автоматически требует проверки используемых там медицинские ИС (МИС), системы архивирования и передачи медицинских изображений (PACS), систем телемедицины;
  • связь: если вуз имеет лицензию оператора связи, предоставляет услуги хостинга, дата-центра, является точкой обмена трафиком или обслуживает крупный узел связи студенческого городка – проверке подлежат биллинговые системы, системы управления сетью и оборудование магистральных узлов;
  • транспорт: наличие собственного автопарка, гаражей, систем управления движением по территории кампуса, а также подготовка специалистов
    для транспортной отрасли (в отраслевых вузах) могут потребовать проверки АСУ транспортными средствами и инфраструктурой;
  • энергетика: если вуз эксплуатирует собственную трансформаторную подстанцию, котельную или иные объекты генерации, необходимо проверить АСУ энергообъектов;
  • металлургическая промышленность, химическая промышленность: в случае, если вуз обладает собственными опытными производствами в указанных сферах;
  • государственное управление и оборона: вузы, выполняющие ГОЗ
    или работающие со сведениями, составляющими государственную тайну, должны проверить инфраструктуру, задействованную в выполнении ГОЗ,
    на соответствие типовым отраслевым объектам ОПК из перечня.

3. Документально зафиксировать результаты:

  • если потенциальные объекты выявлены: провести категорирование
    в соответствии с методикой соответствующей отрасли, заполнить форму
    по     Приказу № 236 и направить во ФСТЭК России;
  • если объекты не выявлены: оформить Протокол заседания комиссии
    по категорированию объектов КИИ. В документе должно быть зафиксировано: «По результатам инвентаризации установлено, что ИС, соответствующие типовым отраслевым объектам КИИ в сферах науки, здравоохранения, связи и иных применимых сферах, в ВУЗе отсутствуют». Этот документ – юридическое обоснование проведенной работы при потенциальной проверке со стороны ФСТЭК России и иных надзорных органов.

Сложность 3. Размытые границы научного и учебного контуров

В ВУЗе одно и то же оборудование (например, обрабатывающий центр с ЧПУ, аналитический комплекс, испытательный стенд) может использоваться как в учебном процессе (подготовка студентов, проведение лабораторных работ), так и для выполнения НИОКР, в том числе в рамках ГОЗ. Формальное распространение на всю сеть лаборатории мер защиты, предусмотренных Приказом № 239, экономически нецелесообразно и технически избыточно.
С другой стороны, отказ от применения таких мер в периоды выполнения критически значимых НИОКР создаёт неприемлемые риски.

Пути решения:

Данная сложность разрешима организационно-техническими методами, причём сама логика Приказа № 239 допускает дифференцированный подход к защите. Пункт 25 Требований прямо указывает: если принятые меры промышленной и (или) физической безопасности достаточны для нейтрализации отдельных угроз, дополнительные меры защиты информации могут не применяться. Пункт 26 разрешает разрабатывать компенсирующие меры в случаях, когда реализация базовых мер технически невозможна либо негативно влияет на штатный режим функционирования системы. Иными словами, регулятор не требует защищать всё одинаково и независимо от влияния на процессы, а допускает соразмерный и ситуативный подход. На практике в качестве компенсирующих мер можно принять следующие шаги:

1. Микросегментация сети. На уровне сетевого оборудования реализуется выделение управляющих контроллеров критичного оборудования в отдельные виртуальные локальные сети (VLAN) с настройкой списков контроля доступа (ACL), исключающих взаимодействие с корпоративной сетью Wi-Fi и студенческими компьютерными классами.

2. Организационное разграничение. В периоды выполнения НИОКР
с высоким УГТ доступ к оборудованию предоставляется исключительно персоналу, включённому в утверждённый список и прошедшему соответствующий инструктаж
в области ИБ. Для иных работ оборудование в период НИОКР не используется.

Сложность 4. Кадровый голод и компетенции комиссии по категорированию

В состав комиссии по категорированию объектов КИИ в ВУЗе традиционно включаются руководители и специалисты подразделений ИТ и ИБ. Однако для корректного исполнения ПП-246 и ПП-127 требуются компетенции в областях, далёких от ИТ: оценка УГТ, понимание специфики ГОЗ, знание технологических процессов работы с опасными веществами. Учёные-предметники, обладающие этими знаниями, как правило, не знакомы с требованиями 187-ФЗ и не мотивированы тратить время на участие в работе комиссии.

Пути решения:

1. Создание роли ИБ-консультанта научных проектов. Целесообразно ввести в штат управления цифровизации или научно-исследовательской части специалиста, обладающего компетенциями на стыке ИБ и организации научной деятельности. В его функционал входит «перевод» требований 187-ФЗ на язык, понятный руководителям научных проектов, и, наоборот, интерпретация научной специфики для членов комиссии
по категорированию. В его функционал также входит контроль своевременного уведомления о достижении проектами УГТ 7.

2. Разработка внутреннего регламента оценки УГТ для целей категорирования. Регламент должен содержать формализованный чек-лист, позволяющий сотруднику,
не являющемуся экспертом в конкретной научной области, на основании документов проекта определить, достигнут ли УГТ 7.

3. Административное закрепление ответственности. Приказом ректора руководители научных подразделений назначаются ответственными за своевременное информирование комиссии по категорированию о достижении проектами УГТ 7 и о начале работ, подпадающих под показатели значимости (ГОЗ, работа с опасными веществами).

Сложность 5. Импортозамещение на уникальном научном оборудовании

Значительная часть высокотехнологичного научного оборудования, эксплуатируемого в российских вузах (спектрометры, климатические камеры, высокоточные измерительные комплексы, обрабатывающие центры), имеет зарубежное происхождение. Прямое исполнение установленного 187-ФЗ и подзаконными актами запрета на использование иностранного ПО
и оборудования, без учета специфики научного оборудования, привело бы к остановке критически важных исследований. Регулятор в вопросе импортозамещения разделяет требования в зависимости от того, с чем мы имеем дело – с ПАК либо с самостоятельным ПО, установленным на компонентах объекта КИИ. Это два параллельных контура импортозамещения.

Контур 1. Импортозамещение ПАК

Научное оборудование часто представляет собой ПАК – устройство, чьё целевое назначение реализуется только совместной работой аппаратной части и неразрывно связанного
с ней специализированного ПО.

ПП-1912 требует от субъектов КИИ перехода на доверенные ПАК – комплексы, сведения о которых содержатся в реестре российской радиоэлектронной продукции, а сведения о входящем в состав ПАКа ПО – в реестре российского ПО или ПО государств Евразийского экономического союза (ЕАЭС).

Закупать и использовать на значимых объектах КИИ после 01.09.2024 можно только доверенные ПАК. Из запрета есть исключение: ПАК может эксплуатироваться, если его отечественный аналог отсутствует, что подтверждено заключением Министерства промышленности и торговли РФ (Минпромторга России).

ПАК, купленные до 01.09.2024, также необходимо импортозаместить на доверенные ПАК до 2030 года (исключение – отсутствие аналога).

При этом проект Постановления Правительства «О порядке и сроках перехода субъектов КИИ на использование российского ПО» предусматривает возможность продления срока использования такого оборудования: в соответствии с пунктами 29–30 Правил (проекта),
если срок полезного использования (амортизации) такого ПАК по данным бухгалтерского учёта истекает после 1 января 2028 года, то ВУЗ вправе эксплуатировать ПАК вплоть до 1 января 2035 года.

Алгоритм действий для оборудования, являющегося ПАК:

1. Инвентаризация и План перехода. Все иностранные ПАК, а также установленное на них ПО включаются в План перехода на преимущественное применение доверенных ПАК.

2. Обоснование отсрочки через амортизацию. Для ПАК со встроенным ПО,
чей срок полезного использования истекает после 01.01.2028, в Плане перехода фиксируется предельный срок замены не далее 01.01.2035.

3. Фиксация отсутствия аналогов. В разделе 3 Плана перехода для каждого встроенного иностранного ПО, не имеющего российского аналога, в графах «Номера реестровых записей аналогичной продукции» и «Номера реестровых записей аналогичного ПО» указывается «нет».

4. Согласование с уполномоченным органом. Утверждённый План перехода согласовывается с Минобрнауки России как с отраслевым уполномоченным органом.

5. Получение заключения. Если ВУЗ планирует закупить либо продолжить использование уникального ПАК, не имеющего отечественных аналогов, он обязан документально подтвердить уникальность ПАКа и получить заключение Минпромторга России об отсутствии на территории РФ производства промышленной продукции, аналогичной планируемой к закупке. Заключение выдаётся в соответствии с постановлением Правительства РФ от 20.09.2017 № 1135. Заключение может получить либо российский производитель (если он пытается доказать, что его продукция не имеет аналогов для целей включения в реестры), либо сам ВУЗ (как заказчик/потребитель, обосновывающий невозможность закупки российского оборудования). На практике ВУЗу целесообразно либо запросить такое заключение у поставщика, либо получить его самостоятельно до объявления закупочной процедуры. Заявление подаётся в Государственной информационной системе промышленности (ГИСП). Для подачи требуется усиленная квалифицированная электронная подпись (УКЭП) руководителя или уполномоченного лица. В комплект документов входят:

  • заявление о выдаче заключения по форме, утверждённой приказом Минпромторга;
  • технические характеристики оборудования (паспорт, спецификация, руководство по эксплуатации);
  • сравнительный анализ: если в реестрах Минпромторга присутствуют похожие позиции, необходимо письменно обосновать, почему они не являются аналогами (разные диапазоны измерений, точность, отсутствие критических узлов или специализированного ПО, несовместимость с существующей научной инфраструктурой);
  • проект контракта или иные документы, обосновывающие потребность в закупке. Согласно регламенту, срок предоставления государственной услуги составляет до 10 рабочих дней с даты регистрации заявления в ГИСП. По итогам в личный кабинет ГИСП направляется Заключение в форме электронного документа, подписанного УКЭП уполномоченного лица Минпромторга. Этот документ является юридическим основанием для закупки и последующей эксплуатации иностранного оборудования на объекте КИИ до 2030 года (или до появления российского аналога).

на объекте КИИ до 2030 года (или до появления российского аналога).

Контур 2. Импортозамещение ПО на компонентах КИИ (серверы, рабочие станции, измерительные компьютеры).

Если на значимом объекте КИИ используется отдельный компьютер, сервер или виртуальная среда, на которых установлены иностранные ОС либо прикладное ПО, обеспечивающее выполнение критических функций, - такая ситуация регулируется требованиями к импортозамещению программного обеспечения. Базовый ориентир — проект Постановления Правительства «О порядке и сроках перехода субъектов КИИ на использование российского ПО». Ключевой принцип - любое ПО, относящееся к классам ОС, систем управления базами данных (СУБД), средств виртуализации, офисных пакетов, антивирусов, систем управления сетями, а также специализированное ПО, на котором реализованы целевые функции значимого объекта, подлежит замене.

Алгоритм действий для контура ПО:

1. Формирование Плана перехода. В плане для каждого значимого объекта КИИ перечисляется используемое иностранное ПО.

2. Указание аналогов из Реестра. В разделе 3 Плана перехода для каждого класса иностранного ПО определяется наличие российского аналога. Если аналога объективно нет - в графе указывается «нет».

3. Согласование. Утверждённый План перехода направляется на согласование в Минобрнауки как отраслевой уполномоченный орган.

Независимо от контура регулирования и основания эксплуатации зарубежного решения, ВУЗ обязан обеспечить безопасность эксплуатируемого объекта КИИ. На период до полного импортозамещения рекомендуется реализовать следующие технические и организационные меры:

1. Применение компенсирующих мер защиты. Выстраивание многоуровневой контролируемой зоны вокруг уникального оборудования на период перехода позволяет контролировать риски. Ключевой элемент такой архитектуры – шлюз с однонаправленной передачей данных (диод) или прокси-сервер с глубоким инспектированием трафика, который пропускает команды управления от оператора к оборудованию, но физически блокирует любые попытки обратной передачи телеметрии и установления соединений с серверами производителя за пределами РФ.

2. Установка доверенного контура. Управляющая станция (компьютер оператора) выносится в отдельный сегмент сети, защищённый российским СрЗИ от несанкционированного доступа. Данное СрЗИ контролирует целостность запуска «недоверенного» зарубежного ПО и блокирует его попытки несанкционированного сетевого взаимодействия.

3. Аудит договоров технической поддержки. В соответствии с актуальными требованиями ФСТЭК России необходимо исключить пункты договоров на сервисное обслуживание, предусматривающие бесконтрольный удалённый доступ иностранных специалистов к объектам КИИ. Удалённый доступ, если он технологически необходим, должен осуществляться только через контролируемые каналы с обязательной записью сессий и по временным разрешениям, выдаваемым администратором безопасности ВУЗа.

Сложность 6. Учёт каскадных эффектов при оценке ущерба

Пункт 10(б) ПП-246 предписывает при оценке возможных последствий компьютерных инцидентов учитывать зависимость технологических процессов, реализуемых значимым объектом КИИ, от иных процессов субъекта КИИ. Это требование прямо вытекает из базового принципа категорирования, заложенного в ПП-127: согласно общему подходу, комиссия обязана исходить из предположения о прекращении или нарушении функционирования не только самого объекта КИИ, но и всех объектов, которые оказывают на него влияние и, наоборот, от него зависят.

На практике это означает, что нарушение функционирования систем, формально не отнесённых к КИИ (например, системы бухгалтерского учёта, системы электронного документооборота, системы управления закупками), может привести к каскадному сбою и остановке критического научного эксперимента. Классический пример: атака на бухгалтерию блокирует проведение платежей за реагенты и расходные материалы, что влечёт остановку исследования, выполняемого на значимом объекте КИИ. В таком случае система учета должна и сама рассматриваться как объект КИИ.

При этом важно учитывать: если в ходе анализа зависимостей комиссия выявляет ИС, АСУ или ИТС, которая не соответствует ни одному типовому отраслевому объекту, но при этом её нарушение или прекращение функционирования способно привести к значимым последствиям в соответствии с ПП-127 – такая система подлежит категорированию на общих основаниях. Субъект КИИ в этом случае выступает инициатором по дополнению отраслевых перечней: сведения о таком объекте направляются во ФСТЭК России, и фактически формируется прецедент для расширения перечня типовых отраслевых объектов КИИ в соответствующей сфере.

Пути решения:

1. Внедрение методологии анализа влияния на деятельность. Комиссии по категорированию рекомендуется провести анализ зависимостей между обеспечивающими системами ВУЗа и технологическими процессами значимых объектов КИИ. Анализ должен охватывать:

· все системы, от которых напрямую зависит функционирование значимых объектов КИИ (электроснабжение, сеть передачи данных, серверная инфраструктура);

· системы, опосредованно влияющие на критический процесс (бухгалтерский и кадровый учёт, закупки, документооборот);

· внешние зависимости (облачные сервисы, сторонние ИС).

Результатом должен стать реестр критических зависимостей, а также дополненный перечень объектов КИИ. При оценке показателей критериев значимости такой анализ позволяет обосновать необходимость повышения категории значимости основного объекта КИИ либо отнесения обеспечивающей системы к объектам КИИ.

2. Повышение категории значимости смежных систем. В случае, если зависимость является неустранимой и критической, обеспечивающая система должна быть признана объектом КИИ и категорирована в соответствии с потенциальными масштабами последствий при нарушении ее функционирования. Комиссия по категорированию вправе принять решение об отнесении такой обеспечивающей системы к объектам КИИ
с соответствующей категорией значимости, даже если формально она не указана в типовом отраслевом перечне.

3. Административное резервирование критических процессов. Для научных проектов с УГТ 7 и выше должен быть предусмотрен обходной путь снабжения на случай недоступности электронных систем закупок. Это может быть обеспечение неснижаемого запаса критических реагентов и расходных материалов на складе ВУЗа либо наличие утверждённого порядка экстренной закупки с использованием классического документооборота.

Методика категорирования с учётом выявленных практических сложностей

С учётом изложенных выше нормативных требований и практических проблем, мы рекомендуем организовать процесс категорирования в вузе следующим образом.

Шаг 1. Инвентаризация с учётом множественной отраслевой идентификации.

На данном этапе комиссия по категорированию проводит полную инвентаризацию ИС, ИТС и АСУ, функционирующих в ВУЗе. Для каждого объекта необходимо определить:

  • его функциональное назначение;
  • отраслевую принадлежность (наука, здравоохранение, промышленность и т.д.)
    в соответствии с фактической деятельностью и кодами ОКВЭД;
  • соответствие типовым объектам из РП-360-р.

Шаг 2. Верификация УГТ для систем сферы науки и определение необходимости категорирования.

Для объектов, функционально относимых к сфере науки, ключевым является этап верификации УГТ выполняемых НИОКР. Комиссии по категорированию необходимо запросить у научных подразделений сведения о максимальном УГТ по всем проектам, выполняемым на идентифицированном оборудовании. Если по всем проектам УГТ ниже 7, система не соответствует типовому объекту КИИ в сфере науки и не подлежит категорированию по данному основанию. Однако она подлежит проверке на соответствие типовым объектам смежных отраслей. Если хотя бы один проект имеет УГТ ≥ 7, система признаётся объектом КИИ в сфере науки. В этом случае осуществляется переход к расчёту показателей критериев значимости.

Шаг 2.1. Выявление «нетиповых» объектов КИИ (дополнительный фильтр).

Если в ходе инвентаризации выявлена система, которая не подпадает ни под один пункт отраслевых перечней, но при этом её нарушение или прекращение функционирования потенциально способно привести к значимому социальному, политическому, экономическому, экологическому ущербу либо ущербу для обороны страны - такая система подлежит категорированию в качестве объекта КИИ на общих основаниях.

Для каждой системы, не нашедшей соответствия в отраслевых перечнях, комиссии необходимо провести экспресс-оценку возможных последствий её нарушения по показателям, установленным ПП-127. Если хотя бы по одному показателю предполагаемый ущерб превышает пороговые значения для третьей категории значимости, система признаётся объектом КИИ и подлежит дальнейшей оценке.

Шаг 3. Оценка последствий по отраслевым показателям для систем, признанных объектами КИИ.

Для ИС, АСУ и ИТС, признанных объектами КИИ (по науке с УГТ ≥ 7, по смежным отраслям, в качестве «нетиповых»), производится расчёт показателей критериев значимости. Для сферы науки применяются следующие показатели ПП-127: ущерб бюджету (показатель 9), срыв ГОЗ (13.1), ущерб жизни и здоровью при работе с вредными веществами (1, 11). Для смежных отраслей применяются соответствующие отраслевые методики. Итоговая категория значимости присваивается по наихудшему сценарию.

Если расчёт показывает, что значения всех показателей ниже пороговых для третьей категории, в Акте категорирования фиксируется решение об отсутствии необходимости присвоения категории значимости. При этом система остаётся объектом КИИ.

Шаг 4. Присвоение категории и документирование.

По результатам оценки оформляется Акт категорирования объекта КИИ. В соответствии
с пунктом 16 ПП-127, Акт должен содержать сведения об объекте КИИ, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии присвоения ему одной из таких категорий, иные требования к содержанию Акта не установлены. Советуем дополнительно включать в Акт следующую информацию:

· обоснование отнесения к типовому отраслевому объекту (со ссылкой на соответствующий пункт РП-360-р);

· УГТ, установленный для НИОКР, реализуемый с использованием объекта КИИ;

· применимые показатели критериев значимости с расчётами.

Шаг 5. Заполнение и направление сведений по форме Приказа ФСТЭК № 236.

При заполнении формы необходимо учесть следующие нюансы:

  • поле «Сфера деятельности субъекта КИИ» может содержать несколько значений (например, «наука», «транспорт», «здравоохранение»);
  • поле «Наименование типового отраслевого объекта КИИ» должно содержать точное наименование из типового отраслевого перечня (одно или несколько, если объект соответствует типовым объектам в нескольких отраслях). Недопустимо использование произвольных
    или внутренних наименований;
  • в поле «Сведения о внешних сетевых адресах» для каждого объекта, имеющего подключение к сети «Интернет», необходимо указать используемые IP-адреса и доменные имена. Важное уточнение: в соответствии с информационным сообщением ФСТЭК России от 22.10.2025 № 240/84/3451, указывается внешний (публичный) IP-адрес, назначаемый объекту при подключении к сети связи и доступный из сети «Интернет», а также доменное имя, предназначенное для адресации в сети «Интернет» в целях доступа к информационному ресурсу . При использовании динамического IP-адреса рекомендуется указывать адрес DNS-сервера провайдера. Если объект КИИ не имеет подключения к сети «Интернет», заполнение данного поля не требуется.

Сформированные сведения направляются во ФСТЭК России в установленном порядке. Срок направления первичных сведений 10 рабочих дней с даты завершения категорирования, сведений об изменении – 20 дней с момента наступления изменений.

Дорожная карта для проректоров и специалистов по ИТ

Для системного приведения деятельности ВУЗа в соответствие с новыми требованиями мы рекомендуем в ближайшее время реализовать предложенный план мероприятий.

Мероприятие 1. Пересмотр состава комиссии по категорированию

В ближайшее время рекомендуется пересмотреть состав комиссии по категорированию объектов КИИ в новом составе. Необходимо, чтобы в составе комиссии были как минимум следующие должностные лица:

  • проректор по ИТ (председатель);
  • проректор по научной работе (заместитель председателя);
  • руководитель службы ИБ;
  • руководители научных подразделений (институтов, факультетов, лабораторий);
  • главный инженер опытного производства (при наличии);
  • руководитель клиники (при наличии);
  • представитель юридической службы;
  • представитель отдела по ГО и ЧС;
  • представитель финансового департамента.

Цель пересмотра состава комиссии – обеспечить междисциплинарный подход и вовлечь в процесс категорирования носителей отраслевой и научной экспертизы.

Мероприятие 2. Формирование реестра НИОКР с указанием УГТ

Проректору по научной работе поручается сформировать перечень всех НИОКР, выполняемых в ВУЗе, с обязательным указанием УГТ по каждому проекту. Реестр подлежит ежеквартальной актуализации. Для гуманитарных и педагогических ВУЗов, не ведущих прикладных НИОКР, данное мероприятие может быть заменено документальной фиксацией отсутствия проектов с УГТ ≥ 7.

Мероприятие 3. Проведение аудита на соответствие отраслевым перечням

Комиссия по категорированию проводит инвентаризацию объектов. Результатом аудита является сводная таблица объектов с указанием:

  • идентификатора объекта;
  • функционального назначения;
  • отраслевой принадлежности (одной или нескольких);
  • соответствия конкретному пункту отраслевого перечня;
  • для объектов сферы науки - максимального УГТ выполняемых НИОКР.

Мероприятие 3.1. Проведение аудита на соответствие смежным отраслевым перечням (для гуманитарных, педагогических и иных ВУЗов без прикладных НИОКР)

Комиссия по категорированию проводит инвентаризацию всех ИС, ИТС и АСУ вуза на предмет соответствия типовым объектам КИИ, утверждённым РП-360-р, для отраслей здравоохранение, связь, транспорт, энергетика и иных, применимых к деятельности ВУЗа.

По итогам оформляется протокол, фиксирующий либо выявленные объекты КИИ (с последующим категорированием), либо отсутствие таковых (с обоснованием).

Мероприятие 3.2. Выявление «нетиповых» объектов КИИ (для систем,
не соответствующих отраслевым перечням, но способных привести к значимым последствиям)

Комиссия по категорированию проводит экспресс-оценку возможных последствий нарушения функционирования для всех ИС, АСУ и ИТКС, которые по итогам Мероприятий 3 и 3.1 не были отнесены ни к одному типовому отраслевому объекту.

Если хотя бы по одному показателю предполагаемый ущерб превышает пороговые значения для третьей категории, система признаётся объектом КИИ и подлежит категорированию на общих основаниях. В этом случае субъект КИИ фактически выступает инициатором дополнения отраслевых перечней. Если по всем показателям ущерб ниже пороговых значений, система не признаётся объектом КИИ, что фиксируется в протоколе заседания комиссии.

Мероприятие 4. Разработка процедуры уведомления о достижении УГТ 7

Приказом ректора утверждается регламент, обязывающий руководителей научных подразделений уведомлять службу ИБ о достижении проектом УГТ 7 не позднее чем за 10 рабочих дней до начала использования оборудования в соответствующем режиме.

Мероприятие 5. Верификация УГТ по проектам НИОКР и категорирование выявленных объектов

Проректор по научной работе обеспечивает сбор от руководителей научных проект сведений о достигнутом УГТ. На основе этих данных комиссия по категорированию:

  • проводит категорирование систем, признанных объектами КИИ;
  • оформляет акты категорирования;
  • заполняет форму сведений по Приказу № 236;
  • направляет сведения во ФСТЭК России в установленный срок.

Мероприятие 6. Внедрение постоянного мониторинга изменений

ВУЗом разрабатывается и утверждается регламент, обязывающий ответственных лиц информировать комиссию по категорированию о:

  • достижении проектами УГТ 7;
  • начале выполнения работ в рамках ГОЗ;
  • вводе в эксплуатацию нового оборудования;
  • изменении сетевой архитектуры или внешних сетевых адресов.

Принятие в 2026 году пакета НПА, конкретизирующих требования 187-ФЗ, знаменует переход к принципиально новому этапу регулирования в области безопасности КИИ. Для вузов этот переход означает, с одной стороны, существенное повышение определённости, благодаря появлению формализованных перечней типовых объектов и отраслевых методик.
С другой стороны, вузы, в связи со своей мультидисциплинарной природой, сталкиваются с необходимостью решения комплекса практических проблем. Предлагаемая методика и дорожная карта помогут руководству высших учебных заведений выстроить системный процесс категорирования, учитывающий как новые нормативные требования, так и специфические условия функционирования образовательной организации. Вузы, которые своевременно внедрят процессы мониторинга УГТ и перекрёстного отраслевого анализа, не только обеспечат соответствие требованиям 187-ФЗ, но и создадут управляемую, прозрачную систему защиты научной инфраструктуры, способную адаптироваться к изменению статуса объектов в зависимости от характера выполняемых работ.

Отраслевые технологии
4523 интересуются