Вячеслав Толмачев: «Транспортную и информационную безопасность больше нельзя рассматривать как два изолированных направления»

27 мая 2026, 18:57

© Фото: Вячеслав Толмачев

Сегодня транспортная отрасль переживает этап глубокой цифровизации, и поэтому субъектам транспортной инфраструктуры все сложнее разделять контуры транспортной и информационной безопасности. Именно на стыке требований Федерального закона № 16-ФЗ и Федерального закона № 187-ФЗ в 2025–2026 годах возникли новые нормативные и практические вызовы для отрасли. Об этом на Форуме «Транспортная безопасность» рассказал Вячеслав Толмачев, заместитель председателя «Ассоциации Транспортной безопасности Юга». Журнал RUБЕЖ пообщался с экспертом по итогам мероприятия.                                    

— Почему тема совмещения требований транспортной безопасности и КИИ стала настолько актуальной?

— Исторически большинство транспортных предприятий выстраивали контур защиты прежде всего через призму Федерального закона № 16-ФЗ, считая информационную безопасность вторичной или не относящейся к их профильной деятельности функцией.

Однако сегодня законодательство фактически устраняет такое разделение: если транспортное предприятие на законном основании владеет информационными системами, информационно-телекоммуникационными сетями или автоматизированными системами управления, функционирующими в сфере транспорта, оно автоматически оказывается и в поле регулирования закона о КИИ.

— То есть сам факт наличия ИТ-инфраструктуры уже делает транспортную организацию субъектом КИИ?

— По сути, да. Более того, инженерно-технические системы обеспечения транспортной безопасности, которые внедряются во исполнение 16-ФЗ, — системы видеонаблюдения, контроля и управления доступом, досмотровые комплексы, — по своей архитектуре представляют собой обычные автоматизированные и информационные системы.

Поэтому выполнение требований транспортной безопасности сегодня объективно невозможно без использования ИТ-инфраструктуры, а значит, физическая защищенность объекта напрямую связана с его киберустойчивостью.

— Какие нормативные акты 2025–2026 годов сильнее всего изменили подход к этой теме?

— На практике речь идет о целом пакете документов. Во-первых, Федеральный закон от 07.04.2025 № 58-ФЗ изменил базовый закон о КИИ, передав полномочия по утверждению перечней типовых отраслевых объектов КИИ и отраслевых особенностей их категорирования на уровень Правительства РФ; одновременно индивидуальные предприниматели были исключены из состава субъектов КИИ.

Во-вторых, Постановление Правительства РФ от 07.11.2025 № 1762 обновило Правила категорирования КИИ и ввело новые отраслевые показатели ущерба для транспорта, жестко увязав категорию значимости КИИ с категорией объекта транспортной инфраструктуры по 16-ФЗ и типами перевозок.                                                                                          

— Какие еще документы здесь нужно учитывать?

— Также большое значение имеют Постановление Правительства РФ от 28.11.2025 № 1915, которое утвердило новые Правила категорирования объектов транспортной инфраструктуры, и Приказ Минтранса России от 30.01.2026 № 41, установивший обновленное количество категорий и количественные критерии категорирования объектов транспортной инфраструктуры по видам транспорта.

Кроме того, Распоряжение Правительства РФ от 26.02.2026 № 360-р официально закрепило перечень типовых отраслевых объектов КИИ, и для транспортной сферы в нем прямо названы информационные системы и автоматизированные сети, предназначенные для управления техническими средствами обеспечения транспортной безопасности.

— Что эти изменения означают для транспортных предприятий на практике?

— По сути, сейчас для отрасли есть два обязательных сценария. Если организация уже завершала категорирование КИИ, ей, скорее всего, придется пересматривать ранее принятые акты, потому что изменение критериев значимости и прямая корреляция категории КИИ с категорией объекта транспортной инфраструктуры требуют новой оценки.

Если же предприятие раньше не относило свои ИТ-системы к КИИ, теперь категорирование придется проводить с нуля, опираясь на правительственный перечень типовых объектов.

— Можно ли сегодня вывести из этого периметра, например, видеонаблюдение, СКУД или досмотровые комплексы?

— После появления правительственного перечня типовых отраслевых объектов КИИ юридическая возможность исключения систем видеонаблюдения, СКУД и досмотровых комплексов из периметра категорирования КИИ фактически устранена.

Для транспортной отрасли такие системы уже прямо связаны с управлением техническими средствами обеспечения транспортной безопасности.

— Получается, что речь идет не только о дополнительной бумажной работе, но и о новых расходах?

— Безусловно. Дополнительную финансовую и организационную нагрузку создает и требование о поэтапном переходе значимых объектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов в срок до 1 января 2030 года.

Это означает, что многим субъектам придется не просто пересматривать документацию, но и планировать модернизацию технической базы.

— Какие системные барьеры сильнее всего мешают адаптации к новым требованиям?

— Во-первых, отрасль испытывает выраженный кадровый дефицит в сфере информационной безопасности и нехватку унифицированных профильных стандартов.

Во-вторых, для менеджмента возникает серьезный правовой риск: признание системы значимым объектом КИИ может повлечь потенциальную уголовную ответственность должностных лиц по статье 274.1 УК РФ в случае инцидентов с тяжкими последствиями, и это иногда подталкивает компании к попыткам искусственно занизить категорию значимости.

— Но с учетом новых критериев сделать это становится сложнее?

— Именно так. В условиях новых, более жёстких критериев Постановления № 1762 искусственное занижение категорий значимости становится практически невозможным — риски для менеджмента только возрастают.

— Какую правовую коллизию на стыке ТБ и КИИ вы считаете самой острой?

— Самая болезненная точка — это сертификация инженерно-технических систем обеспечения транспортной безопасности. С одной стороны, по действующему Постановлению Правительства № 969 такие системы подлежат обязательной сертификации, и любое несанкционированное вмешательство в программно-аппаратную среду сертифицированного комплекса недопустимо.

С другой стороны, требования ФСТЭК России, в частности Приказ № 239, обязывают внедрять на значимых объектах КИИ сертифицированные средства защиты информации, а их установка меняет конфигурацию системы и тем самым формально может поставить под вопрос действие сертификата транспортной безопасности.

— Есть ли признаки того, что это противоречие будет устранено новым регулированием?

— Анализ проекта нового Постановления Правительства № 2107 показывает, что данный конфликт регулирования не устранен.

ФСТЭК России по-прежнему не включена в перечень ведомств, осуществляющих обязательную сертификацию оборудования транспортной безопасности, а кибербезопасность не выделена как самостоятельное функциональное свойство ИТСО ТБ.

— Какие законные стратегии сегодня помогают субъектам транспортной инфраструктуры минимизировать риски и затраты?

— Первая стратегия — это интеграция мер физической и информационной безопасности.

Нормативная база, в том числе положения Приказа ФСТЭК № 239, допускает применение компенсирующих мер, если отдельные ИТ-меры защиты реализовать затруднительно, а у транспортных предприятий уже есть развитая система физической защиты: заграждения, СКУД, подразделения транспортной безопасности.

При грамотном описании в модели угроз и проектной документации такие физические барьеры можно использовать как компенсирующие меры и тем самым легитимно снизить потребность во внедрении дорогостоящих наложенных программных средств защиты.

— Что еще можно сделать?

— Вторая стратегия — оптимизация сетевой архитектуры. Если проектировать изолированные технологические сегменты и физически отсекать системы транспортной безопасности от корпоративных сетей и интернета, это существенно снижает потенциальную поверхность атаки, позволяет локализовать риски и пересмотреть итоговую категорию значимости изолированного контура.

Третья стратегия — рациональный подход к оценке соответствия средств защиты информации: обязательная сертификация требуется лишь в прямо установленных законом случаях, а Приказ ФСТЭК № 239 допускает осуществление оценки соответствия в форме испытаний или приемки, что дает организациям больше гибкости при выборе решений.

— Какой главный вывод сегодня должны сделать субъекты транспортной инфраструктуры?

— Главный вывод в том, что транспортную и информационную безопасность больше нельзя рассматривать как два изолированных направления. В новых нормативных условиях успешное прохождение проверок и выполнение требований государства возможно только при комплексном риск-ориентированном подходе, когда подразделения транспортной безопасности и ИТ-службы работают как единая система защиты инфраструктуры.