КИИ – первые шаги. Нужно ли Вам категорироваться и как это сделать правильно?

В этой статье мы попробуем разобраться в основных вопросах, которые возникают у организаций при процедуре категорирования. Ведь именно категория значимости объектов организации определяет какие требования по защите информации необходимо выполнять и каким образом необходимо выстраивать систему защиты информации.

Нужно ли Вам категорироваться?

Если ваша организация является государственным органом, госучреждением, российским юридическим лицом, которое на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в следующих сферах:

  • здравоохранение;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • государственная регистрация прав на недвижимое имущество и сделок с ним;
  • банковская сфера и иные сферы финансового рынка;
  • топливно-энергетический комплекс;
  • атомная энергетика;
  • оборонная промышленность;
  • ракетно-космическая промышленность;
  • металлургия;
  • химическая промышленность;
  • горнодобыча,

то возможно Ваша организация является субъектом критической информационной инфраструктуры (далее – КИИ). Это накладывает на руководителей и сотрудников организации множество жёстких требований по защите информации, в первую очередь требования Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – №187-ФЗ).


Какая ответственность ожидает субъектов КИИ за нарушения?

Стоит отметить, что тысячи объектов КИИ ещё остаются не категорированными. ФСТЭК России с каждым годом увеличивает количество проверок в рамках проведения гос. контроля субъектов КИИ, что отмечалось официальными представителями ФСТЭК России на Международном ТБ форуме 2026 года в выступлении, посвященном особенностям реализации законодательства в области повышения защищенности объектов КИИ.

На данный момент законодательство устанавливает, как административную ответственность:

  • статья 13.12.1 КоАП РФ (штрафы на должностных лицо до 50 тысяч, на юр. лиц до 500 тысяч рублей);
  • статья 19.7.15 КоАП РФ (штрафы на должностных лицо до 100 тысяч, на юр. лиц до 500 тысяч рублей),

так и уголовную ответственность, предусмотренную ст. 274.1 УК РФ ч.1-5 cо штрафами до 1 млн. рублей, лишением свободы до 10 лет с лишением права занимать определенные должности или вести деятельность для владельцев и эксплуатантов КИИ.


Как провести категорирование?

В связи с изменениями в № 187-ФЗ и имениями в Постановлении Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – ПП № 127) изменился порядок категорирования.

Давайте разберемся как провести процесс категорирования по новым правилам.

Первое что нужно сделать это посмотреть утверждены ли для сферы деятельности вашей организации отраслевые особенности категорирования, на момент написания этой статьи уже утвержден документ «Отраслевые особенности категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка». Ожидается, что в течение 2026 года подобные документы появятся и для других отраслей.

Если отраслевые особенности для Вашей сферы деятельности утверждены, руководствуйтесь ими, в противном случае нужно руководствоваться ПП № 127.

Кто занимается категорированием?

Субъект КИИ должен сформировать постоянно действующую комиссию по категорированию (далее – Комиссия), которая должна заниматься вопросами определения категории значимости объектов КИИ, а также направлять результаты присвоения, пересмотра категории значимости объектов КИИ во ФСТЭК России.

Создание Комиссии должно быть оформлено приказом руководителя субъекта КИИ, а деятельность Комиссии регламентирована Положением о Комиссии.

Какие объекты нужно категорировать?

Для того чтобы определить какие объекты КИИ требуется категорировать необходимо провести инвентаризацию информационных ресурсов, телекоммуникационных сетей, автоматизированных систем управления субъекта КИИ (объектов КИИ).

А далее обратиться к отраслевым перечням, утвержденным Распоряжение Правительства Российской Федерации от 26.02.2026 № 360-р. Именно для объектов КИИ, которые попали в перечень будет определяться категория значимости.

Примечание: Если объект КИИ не попала в перечень, но при этом по мнению Комиссии обладает критериями значимости, субъект КИИ отправляет сведения о таком объекте, а также предложение о дополнении перечня типовых отраслевых объектов КИИ во ФСТЭК России.

Как определить категорию значимости?

Объекты КИИ могут быть:

  • значимыми;
  • не значимыми.

Для определения категории Комиссия для каждого объекта КИИ определяет показатели критериев значимости согласно перечню показателей критериев значимости объектов КИИ из ПП № 127.

Комиссия при оценке должна рассматривает возможные действия нарушителей в отношении объектов КИИ, а также иные источники угроз безопасности информации.

При этом должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых являются прекращение функционирования объектов КИИ, нанесение максимально возможного ущерба.

Что делать с результатами категорирования?

Решение Комиссии о присвоении категории значимости объекту КИИ оформляется актом, который должен содержать:

  • сведения об объекте КИИ;
  • сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Комиссия направлять результаты присвоения, пересмотра категории значимости объектов КИИ во ФСТЭК России. по форме, утвержденной в приказе ФСТЭК России не позднее чем через 10 дней после утверждения руководителем субъекта КИИ Акта о категорировании.

С какой периодичностью нужно проводить категорирование?

Согласно ПП №127 субъект КИИ должен проводить категорирование своих объектов КИИ не реже 1 раза в 5 лет. А также осуществлять пересмотр категории значимости в следующих случаях:

  • изменение показателей критериев значимости объектов КИИ или их значений;
  • изменение отраслевых особенностей категорирования.

Важно! В случае непредставления субъектом КИИ сведений о результатах категорирования, ФСТЭК России направляет на адрес указанного субъекта требование о необходимости соблюдения положений ст. 7 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Срок предоставлениях таких сведений будет ограничен!

Заключение

Категорирование это трудоемкий, но важный этап на пути выстраивания системы защиты информации объекта КИИ субъекта КИИ. Надеюсь, эта статья дала Вам понимание того, что такое категорирование объектов КИИ. В дальнейших статьях постараемся ответить на вопрос какие требования предъявляет законодательство к обеспечению информационной безопасности значимым и незначимых объектов КИИ и с чего стоит начать выстраивание системы защиты в первую очередь.


  Если у Вас возникнут вопросы, связанные с обеспечением информационной безопасности и выполнения требования законодательства специалисты ООО «Иксон Секьюрити» всегда рады помочь.

Оставьте заявку на расчет стоимости вашего проекта со скидкой
Оставить заявку
Полезные ссылки