Категорирование объектов КИИ в транспортной сфере: пошаговое руководство

Категорирование объектов критической информационной инфраструктуры в транспортной сфере — обязательный этап для организаций, чья деятельность связана с перевозками, управлением транспортными процессами, эксплуатацией объектов транспортной инфраструктуры и иными информационными системами, влияющими на оказание транспортных услуг. От правильного определения объектов, выбора критериев и расчета последствий зависит, будет ли объект признан значимым и какие требования по защите информации придется выполнять.

С чего начинается процесс категорирования?

Если организации не поступало отдельное требование о проведении категорирования от ФСТЭК России или прокуратуры, начинать нужно не с оформления документов. Сначала следует определить, относится ли организация к субъектам КИИ.

Для этого необходимо установить, ведет ли она деятельность в одной из 14 сфер, перечисленных в понятии субъекта КИИ в Федеральном законе № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Для транспортных организаций этот вопрос обычно связан с перевозками, управлением дорожным движением, эксплуатацией транспортной инфраструктуры и иными технологическими процессами транспорта.

После того как организация приходит к выводу, что является субъектом КИИ, внутри нее создается комиссия по категорированию. Как правило, для этого оформляют два внутренних документа: приказ о создании комиссии по категорированию и положение о комиссии по категорированию. Приказ закрепляет состав комиссии, а положение — ее функции, полномочия и порядок работы.

Помимо этого важно учитывать и кадровый аспект. Если организация признается субъектом КИИ, она должна выполнять требования, связанные с обеспечением функций информационной безопасности, включая наличие ответственных должностных лиц и профильного подразделения.

В состав комиссии целесообразно включить заместителя руководителя по безопасности в качестве председателя, а при его отсутствии — руководителя организации. Также в комиссию обычно входят начальник подразделения по информационной безопасности, его сотрудники и профильные специалисты по основному виду деятельности организации. Такой состав позволяет оценивать последствия компьютерной атаки с учетом реальных технологических и производственных процессов, а не только формальных признаков.

Какие объекты подлежат категорированию?

Следующий этап — определить, какие именно объекты организации подлежат категорированию. Речь идет об объектах КИИ, соответствующих типам информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, включенным в Перечень типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации, утвержденный распоряжением Правительства РФ от 26.02.2026 № 360-р.

Для транспортной сферы это особенно важно, поскольку одна организация может одновременно эксплуатировать несколько разных систем: системы диспетчеризации, управления движением, автоматизированные системы управления технологическими процессами, билетные платформы, навигационные комплексы и иные цифровые решения. Если организация работает сразу в нескольких сферах, каждый объект нужно категорировать в рамках той сферы, к которой он относится. В этом случае определить принадлежность объекта также помогает перечень.

Одна из частых ошибок на практике — попытка категорировать всю ИТ-инфраструктуру как единый массив. Однако категорирование проводится применительно к конкретным объектам КИИ, а не ко всей компании в целом. Поэтому сначала выделяют объекты, а затем по каждому из них оценивают последствия нарушения безопасности.

По каким критериям оцениваются последствия нарушения безопасности?

Для каждого объекта КИИ комиссия должна установить, к каким последствиям может привести компьютерная атака, нарушающая его функционирование. Набор критериев зависит от сферы деятельности, а в транспортной сфере применяются специальные критерии значимости, закрепленные в нормативных актах и отраслевых особенностях категорирования.

В общем виде порядок оценки выглядит так: комиссия либо использует уже имеющиеся фактические данные, либо, если таких данных нет, делает обоснованный прогноз возможного ущерба и последствий. Это особенно важно для новых организаций: даже если компания создана недавно и не располагает накопленной статистикой, категорирование все равно проводится на основе прогноза.

Отдельное внимание следует уделять экономическому показателю. Одной из самых частых ошибок остается его неверный расчет. Для расчета рекомендуется использовать методический документ ФСТЭК России «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации».

Еще одна типовая ошибка — расчет последствий с учетом уже существующих организационных и технических мер защиты. При категорировании должен рассматриваться наихудший сценарий, при котором защитные меры также могут быть скомпрометированы, выведены из строя или не сработать в момент атаки.

Особенности транспортной сферы

Изменения в правилах категорирования направлены на совершенствование механизма оценки значимости объектов КИИ и учет отраслевой специфики. Для субъектов КИИ, работающих в транспортной сфере, это выражается в появлении дополнительных показателей критериев значимости при оценке нарушения или прекращения функционирования объектов транспортной инфраструктуры, организаций, осуществляющих грузовые и пассажирские перевозки, а также транспортных средств, включая высокоавтоматизированные транспортные средства.

Одним из таких специальных показателей является учет категории объекта транспортной инфраструктуры. Этот показатель позволяет учитывать не только общий масштаб последствий, но и специфику самого транспортного объекта, его роль в транспортной системе и степень влияния на безопасность и непрерывность перевозочного процесса. Категория объекта транспортной инфраструктуры определяется в соответствии с отраслевыми требованиями Минтранса России.

Поэтому в транспортной сфере категорирование объектов КИИ нельзя рассматривать как чисто формальную ИТ-процедуру. Это междисциплинарная работа, в которой должны участвовать как специалисты по информационной безопасности, так и специалисты, способные оценить последствия остановки перевозок, нарушения регулирования движения или отказа инфраструктурных систем.

Пример категорирования объекта КИИ в транспортной сфере

Рассмотрим условный пример организации, работающей в пределах одного муниципального образования. Предположим, речь идет об ООО «Транспортный поток», использующем информационную систему управления светофорами.

Комиссия по категорированию принимает во внимание, что организация действует в пределах одного муниципального образования. По соответствующему критерию это соответствует третьему уровню значимости. Далее комиссия оценивает социальные последствия возможной компьютерной атаки на систему управления светофорами.

Светофоры расположены в одном муниципальном образовании, где, допустим, проживает около 20 000 человек. При этом жители данной территории являются непосредственными пользователями транспортной услуги, которая регулируется системой управления светофорами. На основании экспертного мнения комиссия приходит к выводу, что не менее 10% жителей ежедневно участвуют в дорожном движении — как водители личного транспорта, пассажиры общественного транспорта или пешеходы.

Исходя из этого, комиссия устанавливает, что в случае компьютерной атаки транспортную услугу могут не получить 2 000 человек. Далее анализируется время восстановления работоспособности информационной системы. Согласно технической документации, предельное время восстановления после компьютерной атаки составляет не более 4 часов.

Если принять, что средняя продолжительность активного рабочего дня жителя муниципального образования составляет около 10 часов, то за период восстановления функционирования системы около 800 жителей не получат транспортную услугу. Полученное значение соответствует третьей категории по другому применяемому критерию.

Поскольку результаты оценки по двум критериям совпали, комиссия принимает решение о присвоении объекту КИИ третьей категории значимости.

Как категория влияет на дальнейшие требования

По результатам категорирования объекту КИИ либо не присваивается категория значимости, либо присваивается одна из трех категорий. Если объект не признан значимым, специальные меры защиты, предусмотренные для значимых объектов КИИ, для него не являются обязательными. При этом обязательным остается взаимодействие с ГосСОПКА.

Если же объект признан значимым, на него распространяется более широкий круг обязанностей. К ним относятся требования по защите информации, выполнению мер безопасности, применению установленных средств защиты и организационных процедур. На практике это означает необходимость выстраивать полноценную систему безопасности — от базовых механизмов, таких как антивирусная защита и разграничение доступа, до постоянного мониторинга событий безопасности и реагирования на инциденты.

Для транспортных организаций это особенно актуально, поскольку сбой в функционировании значимого объекта КИИ может привести не только к финансовым потерям, но и к массовым нарушениям перевозочного процесса, транспортным заторам, дестабилизации городской инфраструктуры и другим общественно значимым последствиям.

Почему формальный подход опасен

Категорирование объектов КИИ в транспортной сфере начинается с двух базовых вопросов: является ли организация субъектом КИИ и какие именно ее информационно-телекоммуникационные сети и автоматизированные системы управления относятся к объектам КИИ. После этого создается комиссия, определяются объекты КИИ, выбираются применимые критерии и рассчитываются последствия возможной компьютерной атаки по наихудшему сценарию.

Особенность транспортной отрасли в том, что последствия отказа цифровых систем напрямую затрагивают население, безопасность движения и устойчивость транспортной инфраструктуры. Поэтому категорирование должно проводиться не формально, а с глубоким пониманием технологических процессов и реального масштаба возможного ущерба.