Субъектами КИИ в научной сфере признаются государственные органы и учреждения, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы и сети, используемые при проведении научно-исследовательских и опытно-конструкторских работ. Документ устанавливает порядок выявления таких систем и оценки возможных последствий компьютерных инцидентов, на основе которых объектам присваивается категория значимости либо принимается решение об отсутствии необходимости их категорирования.

Процедура включает выявление соответствующих информационных систем и автоматизированных систем управления, их сопоставление с перечнем типовых отраслевых объектов КИИ и оценку масштабов возможных последствий компьютерных атак. При анализе учитываются наихудшие сценарии – прекращение или нарушение штатной работы систем, потенциальный максимальный ущерб, зависимость технологических процессов от других систем и ранее зафиксированные инциденты на аналогичных объектах.

В документе также закреплены специальные критерии для научной деятельности. В частности, учитывается использование опасных или вредных химических веществ при проведении исследований, участие организаций в международных научных проектах, выполнение научно-исследовательских и опытно-конструкторских работ по государственному оборонному заказу, а также уровень технологической готовности разрабатываемых технологий и научно-технических результатов.

Отдельный раздел посвящен расчету показателей значимости объектов КИИ. При их определении учитывается число сотрудников и участников исследований, которые могут находиться в зоне потенциального воздействия аварий или чрезвычайных ситуаций, возможное снижение количества завершенных экспериментов и испытаний, ухудшение точности результатов измерений, а также потеря или искажение научных данных.

Кроме того, анализируется влияние возможных инцидентов на экономические показатели. В частности, рассматривается риск снижения налоговых поступлений в бюджетную систему РФ, нарушение сроков выполнения научных проектов и опытно-конструкторских работ, а также увеличение времени производства продукции при выполнении работ по государственному оборонному заказу.

Документ также предусматривает оценку экологических и техногенных последствий киберинцидентов, в их числе – возможность аварий, взрывов, утечек и разливов опасных веществ, выбросов загрязняющих веществ в атмосферу, водоемы и почву, а также негативное влияние на производство продукции, включая медицинские препараты, медицинское оборудование, химическую и пищевую продукцию.

В феврале 2026 года правительство утвердило перечень типовых отраслевых объектов критической информационной инфраструктуры. В него включили отдельные медицинские информационные системы профильных организаций, системы фармацевтических компаний, используемые для оптовой и розничной торговли лекарствами, а также государственную информационную систему ОМС и аналогичные региональные платформы, применяемые в сфере обязательного социального обеспечения.

Ранее, в начале июля 2025 года, Минздрав РФ представил проект отраслевых особенностей категорирования объектов КИИ в сфере здравоохранения. Документ предусматривает распределение объектов на три категории значимости по аналогии с другими отраслями. В числе ключевых критериев предлагается учитывать оказание специализированной, включая высокотехнологичную, и скорой медицинской помощи, а также участие организаций в оптовой торговле лекарствами или ведение аптечной деятельности при годовой выручке от 5 млрд рублей и численности персонала не менее 250 человек. Общественное обсуждение проекта завершилось 19 июля 2025 года, однако документ пока не утвержден.

Внимание к защите критической инфраструктуры усиливается на фоне роста киберугроз в отрасли. Как писал Vademecum, в 2025 году в информационном поле появлялись сообщения о нескольких крупных инцидентах в здравоохранении. О стороннем вмешательстве сообщали аптечные сети «Нео-Фарм» и «Столички», а также частная клиника «Семейный доктор». Кроме того, появлялись заявления хакерской группировки Silent Crow о якобы полученном доступе к инфраструктуре ЕМИАС, обслуживающей пациентов государственных медучреждений Москвы и области.

Подписывайтесь на наши каналы в MAX: Vademecum и Vademecum Live