Как пройти категорирование КИИ в 2026 году

Как пройти категорирование КИИ в 2026 году и выстроить защиту без формального подхода

Почему тема КИИ в 2026 году стала острее

Критическая информационная инфраструктура давно перестала быть темой только для крупнейших госструктур или инфраструктурных гигантов. Для многих организаций это уже практический вопрос: относится ли компания к субъектам КИИ, какие объекты нужно категорировать, какие требования выполнять и как построить защиту так, чтобы она выдержала и проверку, и реальную атаку.

Ситуация стала еще жестче по двум причинам. Первая — устойчивый рост атак на российскую критическую информационную инфраструктуру, особенно заметный с 2022 года. Вторая — усиление регуляторной ответственности: цена ошибки теперь измеряется не только сбоями и ущербом, но и персональными рисками для ответственных лиц.
Поэтому в 2026 году разговор о КИИ — это уже не обсуждение «нужно или не нужно заниматься категорированием», а вопрос о том, насколько быстро и качественно организация сможет перевести требования закона в рабочую систему защиты.

Отправная точка — понимание базовых терминов.

К объектам критической информационной инфраструктуры относятся:

• информационные системы;
• автоматизированные системы управления;
• сети связи и передачи данных.

Субъекты КИИ — это организации, которые работают в значимых для государства сферах. В материале отдельно подчеркивается, что речь идет о широком перечне отраслей: здравоохранении, транспорте, связи, энергетике, банковской сфере, оборонной промышленности, науке, металлургии, ТЭК и других направлениях. Важно, что на практике вопрос «относимся ли мы к КИИ» нередко оказывается сложнее, чем кажется, особенно если у компании нет явного ощущения, что она работает в критичном для государства контуре.

Именно поэтому первым реальным шагом становится не выбор средств защиты, а корректное определение:

• является ли организация субъектом КИИ;
• какие ее системы являются объектами КИИ;
• какие из этих объектов подлежат категорированию.

Логика исполнения требований к КИИ строится последовательно.

Сначала организация определяет, подпадает ли она под регулирование и какие ее системы относятся к объектам критической информационной инфраструктуры. Затем проводится категорирование, по результатам которого объекту присваивается категория значимости.

После этого уже появляется следующая практическая задача: выполнить требования по защите значимых объектов. Именно на этом этапе организация переходит к мерам, связанным с 239 приказом ФСТЭК, проектированием системы защиты, выбором средств и выстраиванием процессов.

На этом цепочка не заканчивается. Дальше идет:

• создание и ввод системы защиты в эксплуатацию;
• выстраивание реагирования на компьютерные инциденты;
• подключение к ГосСОПКА или взаимодействие с НКЦКИ;
• организационные меры, документация, обучение персонала и постоянная актуализация защиты.

Именно в этом месте многие компании допускают системную ошибку: воспринимают категорирование как отдельную юридическую процедуру, а не как точку входа в полноценную программу защиты объекта КИИ.

Для объектов КИИ значимы не только внешние кибератаки. Практика показывает, что наиболее опасными оказываются сразу несколько классов рисков:

• внешние кибератаки;
• внутренние угрозы;
• ошибки и халатность сотрудников;
• технологические сбои;
• инсайдерские действия;
• проблемы, возникающие из-за архитектурных или организационных слабостей.

При этом важно понимать, что 239 приказ в первую очередь фокусируется на угрозах, связанных с информационными технологиями. Физические воздействия и смежные риски не игнорируются, но не являются его основным предметом.

Отдельно подчеркивается еще одна вещь: рост атак на КИИ сопровождается ростом ущерба. А это значит, что защита значимых объектов — не просто вопрос соответствия нормативке, а вопрос устойчивости бизнеса и ответственности руководства.

Одна из ключевых практических мыслей — нельзя защищать то, что не описано и не понято.

Поэтому базой для построения системы защиты становится инвентаризация активов:

• какие системы есть в контуре;
• как они взаимодействуют;
• какие данные обрабатывают;
• какие связи критичны;
• какие точки доступа существуют.

Без этого невозможно ни корректно смоделировать угрозы, ни выбрать меры защиты, ни понять, какие векторы атак вообще актуальны для конкретного объекта.

Следующий уровень — организационная база. До покупки и внедрения средств защиты необходимо:

• спланировать проект защиты;
• разработать концепцию;
• подготовить локальные нормативные акты;
• определить роли и ответственность;
• описать организационно-распорядительную документацию.

Только после этого появляется основа для моделирования угроз, выбора мер и последующего ввода системы защиты в эксплуатацию.

Если говорить о минимальных практических шагах, то они выглядят так:

1. Инвентаризация активов и связей между ними.
2. Установка обновлений безопасности и работа с уязвимостями.
3. Переход на отечественные решения там, где это требуется, либо применение компенсирующих мер.
4. Настройка базовой защиты.
5. Обучение персонала.

На следующем уровне идут:

• мониторинг;
• аудиты;
• развитие внутренних компетенций;
• модернизация инфраструктуры;
• создание собственного SOC или использование внешнего центра мониторинга.

В теме КИИ особенно опасно заблуждение, что последствия ограничиваются только штрафами или предписаниями. На практике риски могут быть гораздо серьезнее.
Показательны несколько типовых сценариев.

Нарушение границ объекта КИИ
Если в контур значимого объекта вносится неучтенное устройство или неконтролируемое изменение, это может быть квалифицировано как нарушение безопасности объекта КИИ. В качестве примера приводился кейс, когда к объекту подключили стороннее устройство, не учтенное при категорировании. Даже без прямого нанесенного ущерба такое действие привело к реальному сроку.

Передача чувствительных данных через неразрешенные каналы
Еще один сценарий — пересылка данных через иностранные мессенджеры или иные неконтролируемые средства связи. Если речь идет одновременно о персональных данных и значимом объекте КИИ, последствия могут быть крайне тяжелыми.

Ответственность за неверные решения на ранних этапах
Отдельно подчеркивается риск для тех, кто участвует в категорировании и определении параметров защиты. Ошибочные или формальные решения на ранней стадии способны тянуть последствия спустя годы, в том числе уже после ухода ответственного сотрудника с должности.

Главный вывод простой: в КИИ нельзя принимать решения «для удобства» или «по аналогии», если они меняют состав объекта, контур защиты, способы обработки данных или реальные каналы доступа.

Какие изменения законодательства особенно важно учитывать

В 2026 году важно учитывать не только сам 187-ФЗ, но и его актуальные изменения, а также связанные подзаконные акты.

Особенно значимым обозначается появление типовых объектов КИИ — это дает компаниям более понятную опору в вопросе, какие системы действительно должны быть отнесены к объектам критической инфраструктуры.

Кроме того, акцент сделан на изменениях, связанных с импортозамещением. Практическая логика здесь такая: для объектов КИИ переход на отечественные решения становится не рекомендательным, а нормативно значимым сценарием. Там, где немедленный переход невозможен, требуется выстраивать компенсирующие меры.

То есть в 2026 году защита КИИ — это уже не только категорирование и проектирование защиты, но и реальная работа с технологическим стеком, включая отказ от неподдерживаемых или нерекомендованных решений.

Как подбирать средства защиты под требования 239 приказа

После категорирования защита не строится «по каталогу». Сначала определяется модель угроз, затем — базовые угрозы, характерные именно для конкретной информационной системы, после этого — потенциальный нарушитель, а уже затем выбираются меры защиты из 239 приказа и разрабатывается технический проект.

Именно на этом этапе становится понятным, какие классы средств защиты нужны в системе:

• защита каналов связи;
• межсетевое экранирование;
• защита конечных устройств;
• обнаружение и предотвращение вторжений;
• управление и анализ событий;
• средства доверенной загрузки и защиты от несанкционированного доступа;
• организационные меры и процессы реагирования.

При этом важно помнить: не все меры закрываются техническими средствами. Часть требований 239 приказа неизбежно остается в зоне организационной ответственности — это планирование, обучение, регламенты действий в нештатных ситуациях, распределение ролей, контроль исполнения и поддержание процессов.

Линейка ИнфоТеКС для защиты КИИ: от каналов связи до конечных устройств

Один из практических подходов к теме КИИ — рассматривать защиту через набор задач, а не через список продуктов. В этой логике решения ИнфоТеКС распределяются по основным уровням защиты.

1. Защита каналов связи и периметраViPNet xFirewall
Это межсетевой экран нового поколения, который работает как на уровне классической сетевой фильтрации, так и на уровне приложений. Он представлен в аппаратном и виртуальном исполнении, поддерживает DPI и совмещает функции NGFW и системы обнаружения и предотвращения вторжений.

Практический смысл продукта в контуре КИИ — защита внешнего и внутреннего периметра, фильтрация трафика и контроль угроз на сетевом уровне.

ViPNet Coordinator HW 5
Пятое поколение координаторов сохраняет основу криптошлюза, но дополняется функциями NGFW. В результате это уже не просто средство шифрования каналов, а криптографический шлюз с глубокой фильтрацией трафика, модулем DPI, IDS/IPS и GeoIP-механизмами.

Важно, что акцент в продукте все равно остается на криптографической функции. Это не «еще один NGFW», а прежде всего криптошлюз, который дополнительно получил расширенные функции фильтрации и обнаружения.

Логика применения зависит от архитектуры:

• кому-то нужен отдельный криптошлюз и отдельный NGFW;
• кому-то достаточно одного узла с совмещенными функциями;
• в распределенных схемах важна правильная очередность устройств: сначала трафик расшифровывается криптошлюзом, а уже потом передается на межсетевой экран и средства анализа.

2. Защита промышленных и автоматизированных систем
Для промышленных и встраиваемых сценариев используется шлюз безопасности, который сочетает криптографическую основу с возможностью глубокой фильтрации промышленных протоколов, включая Modbus TCP и Modbus RTU. Такое исполнение особенно актуально в инфраструктурах, где критичны компактность, надежность и работа в специфической промышленной среде.

Отдельно подчеркивается, что для таких систем важнее не максимальная пропускная способность, а устойчивость, предсказуемость и соответствие промышленным требованиям.

3. Защита конечных устройствSafeBoot
Это программный модуль доверенной загрузки, который встраивается в UEFI и позволяет защищать систему от атак на BIOS/UEFI. Практическая ценность такого подхода в том, что защита начинается еще до загрузки операционной системы. Для контуров КИИ это особенно важно, если требуется доверенная платформа и контроль среды исполнения.

SafePoint
Классическое средство защиты от несанкционированного доступа. Закрывает задачи контроля устройств, аутентификации, идентификации, разграничения доступа, контроля программной среды и защиты рабочих станций и серверов.

ViPNet Endpoint Protection
Средство для защиты конечных устройств, которое включает поведенческий анализ, персональный межсетевой экран, контроль приложений и бессигнатурный anti-malware-модуль на базе машинного обучения. При этом отдельно оговаривается, что оно не отменяет необходимости специализированного антивируса, а дополняет защиту конечных точек.

Практически это особенно важно в сценариях компенсирующих мер — например, когда в инфраструктуре еще остаются неподдерживаемые операционные системы и необходимо усиливать защиту хостов за счет дополнительных механизмов.

ViPNet Client 5
Унифицированный клиент для Windows, Linux, Android, iOS и Авроры. Поддерживает разные сценарии использования, работу с несколькими профилями на одном устройстве и взаимодействие как с ViPNet Administrator, так и с ViPNet Prime.

Это важно для распределенных инфраструктур, удаленных рабочих мест и мобильных сотрудников, которым нужен защищенный доступ к ресурсам организации.

4. Сетевое обнаружение вторжений и корреляция

ViPNet IDS NS
Сетевая IDS, которая анализирует зеркалированный трафик и позволяет выявлять атаки без обязательной блокировки. Для объектов КИИ это принципиальный момент: в ряде систем нельзя просто «резать» трафик по факту подозрения, потому что остановка технологического процесса может сама по себе стать инцидентом.

Именно поэтому в критической инфраструктуре сценарий «обнаружить и уведомить» зачастую не менее важен, чем сценарий «обнаружить и заблокировать».

ViPNet TIAS
Система для сбора и анализа инцидентов на базе сенсоров ViPNet. Работает с событиями от xFirewall, Endpoint Protection и IDS NS, помогает отфильтровывать ложные срабатывания, формировать аналитику и подготавливать данные для передачи дальше, включая интеграцию с SIEM и поддержку взаимодействия с ГосСОПКА.

Как может выглядеть практическая схема защиты

Один из самых полезных элементов — не перечень продуктов, а показ того, как они собираются в единую схему.

Типовая архитектура для КИИ строится так:

• в центральной части находятся сегменты хранения, управления и администрирования;
• на границе сети устанавливается криптографический шлюз;
• после расшифровки трафика он передается на межсетевой экран нового поколения;
• внутри контура работают IDS и аналитические средства;
• на удаленных площадках или объектах используются криптошлюзы в промышленном исполнении;
• взаимодействие с НКЦКИ / ГосСОПКА также выстраивается по защищенным каналам.

Важная практическая мысль: если в схеме одновременно используются криптошлюз и NGFW, первым по пути трафика должен стоять именно криптошлюз, чтобы сначала расшифровать данные, а затем уже передать их на фильтрацию и анализ. Иначе система анализа просто не увидит содержимое трафика в нужном виде.

Такая схема уже используется в реальных инфраструктурных проектах — в том числе в транспортной тематике и системах управления дорожной инфраструктурой.

Важные прикладные уточнения по продуктам и миграции

В финальной части были затронуты практические вопросы, которые важны для тех, кто уже эксплуатирует решения ИнфоТеКС или планирует миграцию.

По iOS
Возврата приложения в классическом виде для iOS не ожидается, но существуют обходные сценарии, которые обсуждаются адресно. Это важно для организаций, где мобильный доступ остается критичным.

По песочнице
Собственной песочницы нет, но есть возможность работать по ICAP со сторонними решениями. Это означает, что защитную архитектуру можно строить гибко, не замыкаясь на одном стеке.

По четвертому и пятому поколению
Четвертое поколение не снято с эксплуатации мгновенно, но развитие продуктов смещается в сторону пятого поколения. При этом:

• критические доработки для четвертого поколения продолжаются;
• нужно внимательно следить за сертификатами соответствия;
• для новых проектов логично ориентироваться именно на пятое поколение.

По миграции на Prime
Для перехода на ViPNet Prime существуют разные сценарии миграции, в том числе с сохранением существующей сетевой логики. Такая миграция может выполняться либо силами самого заказчика, либо вместе с партнером, либо в рамках технической поддержки.

По совместимости
Вопросы совместимости старых и новых сборок решаемы, но общий вектор понятен: инфраструктуру лучше постепенно подтягивать к актуальным версиям, чтобы не жить в режиме постоянных исключений и временных схем.

Заключение

Категорирование КИИ в 2026 году — это не отдельная бумажная процедура и не формальный чекбокс перед проверкой. Это точка, с которой начинается полноценная работа по построению системы защиты: от определения субъектности и состава объектов до модели угроз, технического проекта, выбора средств защиты, выстраивания процессов и взаимодействия с регуляторами.

В этой логике самая частая ошибка — пытаться решать задачу фрагментами: отдельно категорирование, отдельно документы, отдельно закупка средств защиты, отдельно мониторинг. На практике устойчивый результат дает только связанный подход, в котором организационные меры, архитектура, процессы и технические средства работают как единая система.

Если смотреть на эту задачу именно так, линейка ИнфоТеКС закрывает значимую часть технического контура: защищенные каналы связи, периметр, IDS, защиту конечных устройств, доверенную загрузку и аналитический слой. Но даже самый сильный продуктовый стек не заменяет главного — корректного определения объекта КИИ, зрелой модели угроз и дисциплины в реализации мер защиты.

Для компаний, которые только входят в тему КИИ, главный практический вывод звучит так: начинать нужно не с выбора конкретного устройства или сертификата, а с инвентаризации, категорирования и понимания, как именно ваш объект будет жить под требованиями закона и под реальными угрозами.