Информационная безопасность объектов КИИ в 2026 году: новые требования ФСТЭК и практические шаги для бизнеса

С марта 2026 года вступили в силу новые требования ФСТЭК, которые меняют подход к контролю за объектами КИИ: теперь проверяется не наличие документов, а реальная работоспособность средств защиты информации, раннее писали об этом. А с 1 сентября 2026 года вводятся обязательные показатели защищенности и уровня зрелости с отчетностью регулятору. Рассказываем подробнее о нововведениях, типичных ошибках бизнеса и пошаговой готовности к проверке ФСТЭК.

Что изменилось и как избежать штрафов и блокировок

С 1 марта 2026 года начали действовать Приказ Федеральной службы по техническому и экспортному контролю РФ №117 (заменивший №17 для государственных информационных систем и иных систем) и Федеральный закон №325, которые вводят государственный контроль над критической информационной инфраструктурой (КИИ) с акцентом на процессный подход к обеспечению защиты.

С 1 сентября 2026 года вступают в силу обновления Приказов №235 и №239, устанавливающие новые показатели защищенности: КЗИ (Показатель защищенности) необходимо рассчитывать каждые полгода, ПЗИ (Показатель уровня зрелости) — раз в два года. Также ужесточается контроль за средствами защиты информации (СЗИ). ФСТЭК фиксирует формальный подход у многих компаний: документы вроде бы есть, а реальная защита не работает. Во втором квартале 2026 года ожидается утверждение единого перечня типовых отраслевых объектов КИИ.

21 мая, 10:00. Вебинар «Управленческий учет и бюджетирование в «новой реальности»: как найти точки роста для финансового контроля»

Новые правила: как поменялась логика надзора ФСТЭК

С марта 2026 регулятор кардинально сменил подход: теперь проверяется не наличие бумаг, а фактическая работоспособность защиты. Это принципиальный сдвиг. Раньше можно было предъявить инспектору папку с приказами, регламентами и актами ввода СЗИ в эксплуатацию — и формально считаться соответствующим требованиям. 

Теперь же внедрили процессный подход «Планируй — Делай — Проверяй — Воздействуй» (Plan-Do-Check-Act) вместо жестких табличных требований. Это означает непрерывный цикл: планирование, внедрение, оценка и улучшение информационной безопасности. Сегодня инспекторы ФСТЭК задают другие вопросы: какие события безопасности зафиксированы за последние три месяца? Как система отреагировала на инцидент в феврале? Кто и почему имеет доступ к автоматизированным системам управления технологическими процессами?

С сентября 2026 обязательным станет рассчет показателей КЗИ и ПЗИ, а также отправка результатов в ФСТЭК. Проверки теперь фокусируются на том, как реально работают СЗИ, а не на документах. Обязательны сертифицированные СЗИ (согласно Приказу №247) и актуальная модель угроз, разработанная по Правительственному постановлению №676.

Три аспекта, которые проверяют в первую очередь

1. Работают ли СЗИ на практике — средства защиты должны быть настроены, интегрированы между собой, генерировать события, иметь действующую техподдержку и не допускать удаленного доступа третьих лиц.
2. Фиксируются ли инциденты — наличие журналов событий, системы SIEM, круглосуточный мониторинг.
3. Реагирует ли команда — наличие регламентов, проведение учений, своевременное уведомление ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак). 

Ужесточение контроля за категорированием объектов КИИ

После внесения поправок в Федеральный закон №187-ФЗ вводится единый перечень типовых отраслевых объектов КИИ (документ должен быть утвержден Правительством РФ во II квартале 2026 года). Категорирование теперь обязательно проводить именно по типовым перечням, а не по собственному усмотрению. 

Если ваш объект отсутствует в перечне, но является значимым — необходимо присвоить ему категорию и предложить дополнить перечень через ФСТЭК. Органы мониторинга будут сообщать о «некатегорированных типовых» объектах. КИИ в 2026 году — это живая система безопасности, а не просто комплект документов.

Главное заблуждение бизнеса: «мы не относимся к КИИ»

Субъектами КИИ признаются компании из 13 отраслей, перечисленных в ФЗ №187-ФЗ: здравоохранение, финансы, транспорт, связь, энергетика, наука, оборонная промышленность, ракетно-космическая сфера, горнодобывающая, металлургическая, химическая отрасли, государственное управление, а также организации, обеспечивающие взаимодействие этих систем. Ключевое слово — «обеспечивающие взаимодействие». Примеры:

• Частная IT-компания, разрабатывающая и эксплуатирующая биллинговую систему для регионального оператора связи — субъект КИИ;
• Производственное предприятие с АСУ ТП, управляющей конвейерной линией — субъект КИИ;
• Частная клиника с медицинской информационной системой, подключенной к Единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ) — субъект КИИ.

После обновлений 2025–2026 годов круг затронутых организаций расширился. В финансовом секторе дополнительно под регулирование попали оператор цифрового рубля, микрофинансовые организации и бюро кредитных историй. В транспортной сфере усилен акцент на грузовых и пассажирских перевозчиках. В сфере связи ужесточены требования к устойчивости инфраструктуры.

Алгоритм самопроверки (три вопроса):

1. Работает ли ваша компания в одной из 13 указанных отраслей?
2. Есть ли у вас информационные системы, сети или АСУ, которые влияют на бизнес-процессы этой отрасли?
3. Присутствует ли ваш тип системы в типовых отраслевых перечнях объектов КИИ?

Если на все три вопроса ответ «да» — вы субъект КИИ, даже если никогда не слышали этого термина.

7 типичных ошибок при проверках ФСТЭК

Ошибка 1. Не проведено категорирование

Нарушение базового требования ФЗ №187-ФЗ. Последствие — предписание с жестким дедлайном и административный штраф.

Ошибка 2. Категория занижена

Это не просто техническая погрешность — регулятор квалифицирует занижение категории как попытку уклониться от требований. Риски: повторная проверка, ужесточение санкций, требование переделать весь комплект документов.

Ошибка 3. СЗИ внедрены формально, но не работают

Средства защиты куплены, акты подписаны, но системы не настроены, не интегрированы между собой, не генерируют событий безопасности. При проверке это обнаруживается в первые часы: инспектор запрашивает журналы и видит пустые логи.

Ошибка 4. Отсутствует мониторинг событий безопасности

Атаки не фиксируются — значит, компания не знает, что происходит в ее инфраструктуре. Инциденты выявляются постфактум, когда ущерб уже нанесен.

Ошибка 5. Нет регламентов реагирования на инциденты

При сбое начинается хаос: непонятно, кто принимает решения, кому звонить, как изолировать сегмент сети, когда уведомлять ГосСОПКА. Отсутствие регламента многократно усиливает последствия любого инцидента.

Ошибка 6. Документы устарели и не соответствуют реальной инфраструктуре

Модель угроз написана в 2021 году, с тех пор изменилась архитектура сети, появились новые сервисы, часть оборудования заменена. Документ описывает систему, которой уже не существует.

Ошибка 7. Нет ответственного за КИИ

Обязанности «размазаны» по нескольким сотрудникам — системному администратору, ИБ-специалисту, юристу. Никто не ведет процесс целиком. При проверке выясняется, что никто не знает текущего статуса категорирования, сроков актуализации документов и порядка взаимодействия с регулятором.

Что делать бизнесу: от нулевой точки до готовности к проверке ФСТЭК

Шаг 1. Определить наличие объектов КИИ

Проведите инвентаризацию информационных систем, сетей и АСУ. Сопоставьте их с типовыми отраслевыми перечнями, утверждёнными Правительством РФ. Если ваш тип системы есть в перечне — дальнейшие шаги обязательны.

Шаг 2. Провести категорирование

Создайте комиссию, оцените объекты по критериям Постановления Правительства №127 и типовым перечням. Направьте сведения во ФСТЭК, указав доменные имена и сетевые адреса интернет-объектов.

Шаг 3. Разработать актуальную модель угроз

Модель угроз не должна быть формальностью. Она обязана описывать реальные векторы атак на вашу инфраструктуру: внешние угрозы, действия инсайдеров, риски в цепочках поставок. Основа — Методика оценки угроз безопасности информации ФСТЭК 2021 года.

Шаг 4. Внедрить СЗИ в соответствии с категорией

Для значимых объектов первой категории требуется максимальный набор мер. Для второй и третьей категорий — соответствующий объём. Ключевое требование: СЗИ должны быть настроены, интегрированы и генерировать события безопасности. Минимальный базовый набор для любой категории включает антивирус на рабочих станциях, межсетевой экран на периметре и SIEM-систему для сбора событий.

Шаг 5. Настроить 3 обязательных процесса

• Мониторинг событий безопасности в режиме 24/7 (или с четко определенным окном реагирования).
• Реагирование на инциденты с задокументированными регламентами и уведомление ГосСОПКА в установленные сроки.
• Управление доступом и изменениями в инфраструктуре.

Шаг 6. Провести независимый аудит готовности

До плановой проверки ФСТЭК самостоятельно выявите слабые места. Аудит должен проверить: соответствие документов реальной инфраструктуре, работоспособность СЗИ, наличие и актуальность регламентов, готовность персонала. Это позволит устранить критические пробелы до того, как их зафиксирует регулятор.

Итого: требования с сентября 2026 года

С 1 сентября 2026 года (обновления Приказов №235 и №239) вводятся следующие требования:

1. Рассчитывать показатели КЗИ (каждые 6 месяцев) и ПЗИ (каждые 2 года) и направлять их в ФСТЭК.
2. Использовать СЗИ только при наличии технической поддержки и без удаленного доступа третьих лиц.
3. Программное обеспечение для объектов 1-й и 2-й категорий должно быть размещено на территории РФ.

Сколько стоит несоответствие требованиям КИИ

Поможем подготовиться к проверке ФСТЭК, обеспечим поддержку вашей 1С-инфраструктуры. Обратитесь к нашим специалистам по форме обратной связи ниже.

Наши новостные каналы в Телеграм, Макс и ВКонтакте, видеоконтент для пользователей и специалистов 1С – на YouTube и RUTUBE.