Российское законодательство в сфере защиты информации предусматривает цикличность процессов обеспечения безопасности. Согласно Постановлению Правительства РФ №127, пересмотр установленной категории значимости объектов критической информационной инфраструктуры (КИИ) должен осуществляться не реже одного раза в пять лет. Учитывая, что первая массовая волна присвоения категорий пришлась на 2020–2021 годы, для большинства субъектов КИИ 2026 год станет отчетным периодом для повторной процедуры. Это требует от организаций заблаговременной подготовки, пересмотра внутренних процессов и актуализации бюджетов.
Нормативный ландшафт и причины пересмотра
Процедура категорирования — это не просто формальное заполнение документов, а фундамент всей системы защиты предприятия. За прошедшие пять лет ландшафт киберугроз и нормативная база претерпели существенные изменения. Во-первых, изменились сами информационные системы: добавились новые модули, изменилась архитектура, увеличилось количество пользователей или обрабатываемых данных. Во-вторых, ужесточились требования регуляторов в лице ФСТЭК и ФСБ.
Субъекты КИИ обязаны учитывать изменения в показателях критериев значимости. Если ранее объект мог не дотягивать до третьей категории, то с учетом роста масштабов ущерба (экономического, социального или экологического) в текущих реалиях он может получить значимый статус. Игнорирование сроков пересмотра влечет за собой административную ответственность и повышенное внимание со стороны надзорных органов.
Своевременное начало работы комиссии по категорированию позволяет избежать аврального режима работы и ошибок в документации, которые могут привести к предписаниям со стороны регуляторов и необходимости полной переделки пакета документов.
Важным фактором также является курс на импортозамещение. В 2026 году многие отсрочки по переходу на отечественное программное обеспечение и оборудование заканчиваются. Это напрямую влияет на архитектуру объектов КИИ и, следовательно, на процесс их категорирования.
Поэтапный план действий для субъектов КИИ
Подготовка к 2026 году должна начинаться задолго до наступления календарного дедлайна. Процесс можно разделить на несколько ключевых этапов, каждый из которых требует вовлечения не только специалистов по информационной безопасности, но и технологов, юристов и финансового блока.
Первым шагом всегда является актуализация состава комиссии. Часто бывает так, что члены комиссии, утвержденные пять лет назад, уже не работают в организации или сменили должности. Приказ о создании или обновлении комиссии должен быть подписан руководителем организации.
Далее следует инвентаризация процессов. Необходимо выявить все управленческие, технологические, производственные и финансово-экономические процессы и сопоставить их с текущими информационными системами (ИС) и автоматизированными системами управления (АСУ). Именно на этом этапе часто выявляются новые объекты, которые ранее не были учтены. Особое внимание следует уделить методическим рекомендациям, касающимся КАТЕГОРИРОВАНИЯ КИИ 2026, так как регуляторы ужесточают контроль за полнотой сведений.
Ниже представлена таблица с примерным графиком мероприятий для средней организации:
| Этап | Ключевые мероприятия | Ожидаемый результат |
|---|---|---|
| Подготовительный | Аудит ИТ-инфраструктуры, обновление приказа о комиссии | Актуальный перечень ИС и АСУ, легитимный состав комиссии |
| Аналитический | Оценка критичности процессов, расчет показателей критериев значимости | Заполненные формы сведений, проекты актов категорирования |
| Согласование | Утверждение актов руководителем, отправка сведений во ФСТЭК | Внесение объектов в реестр (или обновление данных) |
Бюджетирование информационной безопасности
Повторное категорирование неизбежно влечет за собой финансовые последствия. Если категория объекта повышается (например, с незначимого до значимого или с третьей категории до второй), организации придется модернизировать подсистему информационной безопасности в соответствии с более строгими приказами ФСТЭК (№ 235, № 239). Это требует закупки дополнительных средств защиты информации (СЗИ), межсетевых экранов, систем обнаружения вторжений и средств антивирусной защиты.
Бюджет на 2025–2026 годы должен формироваться с учетом следующих статей расходов:
- Консалтинговые услуги (если организация привлекает внешних экспертов для аудита и подготовки документов).
- Закупка и продление лицензий на СЗИ (с приоритетом на отечественные решения).
- Обучение и повышение квалификации штатных сотрудников (требование к квалификации персонала для значимых объектов КИИ является обязательным).
- Аттестация или приемка систем защиты информации.
Экономия на этапе категорирования, выражающаяся в попытке искусственно занизить категорию значимости, является стратегической ошибкой. В случае инцидента и расследования несоответствие реального ущерба заявленной категории может привести к уголовной ответственности для ответственных лиц.
Финансовым директорам и руководителям служб безопасности рекомендуется закладывать резервный фонд на случай изменения цен на оборудование или необходимости экстренного внедрения дополнительных мер защиты. Подробнее о нюансах составления смет можно узнать на профильных ресурсах.
Таким образом, подготовка к 2026 году — это комплексный проект, требующий системного подхода. Организации, которые начнут этот процесс заранее, смогут распределить финансовую нагрузку и плавно интегрировать новые требования безопасности в свои бизнес-процессы без остановки основной деятельности.