Категорирование объектов КИИ в 2026: процедура, документы, сроки

Категорирование объектов критической информационной инфраструктуры (КИИ) — обязательная процедура для каждой организации, признанной субъектом КИИ по ст. 2 Федерального закона № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации». Регулируется Постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ» (последняя редакция учитывает изменения 2023-2024 годов).

В рамках категорирования каждому объекту КИИ присваивается одна из трёх категорий значимости либо констатируется отсутствие значимости. От категории зависят требования к защите, сроки подачи документов в ФСТЭК, виды контроля и размер ответственности за нарушения.

Кто обязан проводить категорирование

Все организации, попадающие под критерии субъекта КИИ:

• Государственные органы и учреждения, имеющие информационные системы или АСУ
• Юридические лица и ИП, владеющие информационными системами и сетями связи в 13 отраслях из ст. 2 187-ФЗ: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК, атомная энергия, оборонная промышленность, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность
• Юридические лица и ИП, обеспечивающие критические процессы в отношении объектов КИИ других организаций (поставщики IT-услуг, операторы связи для критической инфраструктуры)

Если вы пока не уверены, относится ли ваша организация к субъектам КИИ — изучите пошаговую инструкцию по определению субъекта КИИ. Категорирование — следующий обязательный шаг после установления статуса субъекта.

ПП РФ №127 предусматривает три категории значимости плюс констатацию отсутствия значимости. Категория определяется по 5 показателям критериев значимости: социальная, политическая, экономическая, экологическая, обороноспособности.

Как определяется категория

По каждому из 5 показателей рассчитывается уровень последствий, и выбирается наибольший. Если хотя бы по одному показателю последствия «катастрофические» — присваивается К1, «существенные» → К2, «ограниченные» → К3.

Социальная значимость (примеры)

• Количество пострадавших граждан при нарушении работы объекта
• Возможные жертвы (для критических медицинских и транспортных систем)
• Размер территории, попадающей в зону влияния

Экономическая значимость

• Ущерб бюджету РФ или субъекта РФ
• Ущерб владельцу объекта
• Ущерб другим лицам — клиентам, контрагентам, населению

Политическая и оборонная значимость

• Влияние на внутреннюю и внешнюю политику
• Влияние на работу госорганов
• Связь с обороноспособностью страны

Экологическая значимость

• Возможность техногенных катастроф
• Загрязнение окружающей среды
• Радиационные, химические, биологические риски

Расчёт по каждому показателю требует экспертной оценки и обоснования. Это самый ответственный этап категорирования — занижение категории грозит ответственностью и переаттестованием при проверке ФСТЭК, завышение — неоправданно высокими затратами на защиту.

Процедура категорирования по ПП РФ №127 состоит из пяти последовательных этапов. Общий срок — от 6 до 12 месяцев в зависимости от сложности и количества объектов.

Этап 1. Создание комиссии по категорированию (1-2 недели)

Руководитель субъекта КИИ издаёт приказ о создании комиссии. В состав включаются: руководитель или его заместитель (председатель), специалисты по информационным технологиям, специалисты по информационной безопасности, представители подразделений, эксплуатирующих информационные системы. Минимальный состав — 5 человек. Комиссия отвечает за весь процесс категорирования.

Этап 2. Формирование перечня объектов КИИ (1-2 месяца)

Комиссия выявляет все информационные системы, сети связи и автоматизированные системы управления в организации. По каждой системе определяется, относится ли она к объектам КИИ. Критерии: используется в критических процессах одной из 13 отраслей, нарушение работы способно вызвать существенные негативные последствия. Результат — перечень объектов КИИ, утверждённый председателем комиссии.

Этап 3. Оценка показателей и расчёт категории (1-3 месяца)

По каждому объекту из перечня комиссия оценивает 5 показателей значимости (социальный, политический, экономический, экологический, обороноспособности). Для каждого показателя — уровень последствий: катастрофические/существенные/ограниченные/отсутствуют. Максимальный уровень определяет категорию объекта. Все расчёты документируются с обоснованиями — это критично для прохождения проверки ФСТЭК.

Этап 4. Утверждение акта категорирования (1-2 недели)

По каждому объекту КИИ оформляется акт категорирования, содержащий: наименование объекта, краткое описание, перечень критических процессов, результаты оценки по 5 показателям, обоснование категории. Акт утверждается руководителем субъекта КИИ.

Этап 5. Направление сведений в ФСТЭК (10 рабочих дней)

Сведения о результатах категорирования направляются в ФСТЭК России в течение 10 рабочих дней со дня утверждения акта. Форма установлена Приказом ФСТЭК России от 22.12.2017 №236. Включает: наименование субъекта КИИ, перечень объектов с присвоенными категориями, краткое обоснование. ФСТЭК вносит сведения в Реестр значимых объектов КИИ.

После категорирования начинается следующий этап — создание системы безопасности объекта КИИ по Приказу ФСТЭК №239 (для объектов первой и второй категории — обязательна аттестация). Это уже отдельный проект с собственными сроками и бюджетами.

Полный пакет документации по категорированию включает 10-15 документов. Это основная база для прохождения проверки ФСТЭК и подтверждения правильности присвоенной категории.

Организационно-распорядительные документы

• Приказ о создании комиссии по категорированию — состав, председатель, полномочия
• Положение о комиссии — порядок работы, регламент заседаний
• Приказ об утверждении перечня объектов КИИ
• Приказ об утверждении актов категорирования по каждому объекту

Документы по оценке

• Перечень информационных систем, АСУ и сетей связи субъекта КИИ — все системы организации
• Перечень объектов КИИ — те системы, которые попадают под критерии 187-ФЗ
• Перечень критических процессов субъекта КИИ — основа для оценки значимости
• Результаты анализа последствий по каждому объекту по 5 показателям
• Обоснование расчётов по каждому показателю — с привязкой к фактическим данным организации

Акты и отчёты

• Акт категорирования объекта КИИ по каждому объекту (или акт об отсутствии категории значимости)
• Протокол комиссии по категорированию — фиксирует ход рассмотрения, принятые решения, особые мнения
• Сведения о результатах категорирования для направления в ФСТЭК России (по форме Приказа ФСТЭК №236)

Документы по поддержанию категории

• Регламент пересмотра категории — при изменениях в системе или процессах
• Журнал учёта изменений категорий
• Уведомление ФСТЭК о смене категории (при необходимости)

Сгенерировать полный пакет документации можно в конструкторе документов Кибероснова: вы отвечаете на вопросы о вашей организации (отрасль, состав информационных систем, критические процессы), система формирует персонализированные документы с правильными расчётами и обоснованиями. Срок — 1-2 дня вместо 2-3 месяцев самостоятельной разработки.

Сроки категорирования установлены ПП РФ №127 (с учётом изменений 2023-2024 годов). Их соблюдение проверяет ФСТЭК России — нарушение сроков влечёт ответственность.

Сроки первичного категорирования

• Для новых субъектов КИИ: в течение 12 месяцев со дня признания субъектом
• Для существующих субъектов с новыми объектами КИИ (например, после внедрения новой информационной системы): в течение 6 месяцев со дня ввода в эксплуатацию
• Направление сведений в ФСТЭК — 10 рабочих дней со дня утверждения акта категорирования

Сроки пересмотра категорий

Категория должна пересматриваться при изменении обстоятельств, влияющих на значимость объекта. Триггеры пересмотра:

• Расширение или сокращение функций объекта КИИ
• Изменение перечня обрабатываемой информации
• Объединение или разделение объектов
• Изменения в нормативной базе (например, ужесточение требований к отрасли)
• Серьёзные инциденты безопасности на объекте

Пересмотр проводится в те же сроки: 6 месяцев со дня возникновения обстоятельств + 10 рабочих дней на уведомление ФСТЭК.

Ответственность за нарушение сроков

Нарушение сроков категорирования — административное правонарушение по ст. 19.7.15 КоАП РФ:

• Для должностных лиц: штраф от 10 000 до 50 000 рублей
• Для юридических лиц: штраф от 100 000 до 500 000 рублей

Повторное нарушение в течение года увеличивает штрафы в 2 раза. Дополнительно — приостановление эксплуатации объекта КИИ до устранения нарушений и обязательная переаттестация при выявлении некорректно присвоенной категории.

Уголовная ответственность по ст. 274.1 УК РФ

Нарушение правил эксплуатации объектов КИИ или средств защиты информации в КИИ, если это повлекло причинение тяжких последствий, наказывается по ст. 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации»:

• Принудительные работы до 5 лет
• Лишение свободы до 6 лет
• При особо отягчающих обстоятельствах — до 10 лет лишения свободы

Это самая жёсткая санкция в области информационной безопасности — фактически за инциденты на объектах КИИ ответственные руководители могут получить реальные сроки лишения свободы.

Анализ практики ФСТЭК за 2024-2025 годы показывает топ-7 ошибок, которые приводят к переаттестованию или штрафам. Их можно избежать на этапе подготовки.

Ошибка 1. Неполный перечень объектов КИИ

Самая частая проблема — в перечень не включены объекты, которые формально подпадают под критерии 187-ФЗ. Например, упускают системы видеонаблюдения с распознаванием лиц, корпоративные SAP/1С если они обрабатывают критические процессы, IT-сервисы для дочерних структур из отраслей КИИ. ФСТЭК при проверке выявляет такие объекты и требует категорирования с применением штрафов за нарушение сроков.

Ошибка 2. Занижение категории значимости

Соблазн поставить категорию ниже для экономии на защите — типичная ошибка. ФСТЭК пересматривает категории при инцидентах или плановых проверках. Если фактические последствия инцидента оказались выше заявленных в акте категорирования — переаттестация + штраф + риск уголовной ответственности по ст. 274.1 УК РФ для руководителей.

Ошибка 3. Шаблонные обоснования

Обоснования расчётов значимости часто пишут «под копирку» — одинаковые формулировки для разных объектов. ФСТЭК принимает только индивидуальные обоснования с привязкой к фактическим данным организации. Шаблоны из интернета не работают.

Ошибка 4. Несоответствие документов реальной инфраструктуре

В акте категорирования описана одна архитектура, в реальности — другая. Это вылавливает ФСТЭК через сверку с проектной документацией СЗИ и техническими спецификациями.

Ошибка 5. Несвоевременное направление сведений в ФСТЭК

10 рабочих дней — жёсткий срок. Многие субъекты КИИ оформляют акт категорирования, но забывают направить сведения в ФСТЭК. Через несколько месяцев — штраф по ст. 19.7.15 КоАП за нарушение порядка предоставления сведений.

Ошибка 6. Отсутствие пересмотра категории при изменениях

После категорирования объект меняется (расширяется, обновляются процессы), но категория не пересматривается. ФСТЭК при следующей проверке выявляет несоответствие категории фактическому состоянию.

Ошибка 7. Игнорирование комиссии по категорированию

Решения принимаются без проведения заседаний комиссии, протоколы пишутся задним числом. При проверке ФСТЭК запрашивает протоколы и подтверждение участия членов комиссии (подписи, табели рабочего времени). Несоответствие — основание для пересмотра всей процедуры.

Чтобы избежать этих ошибок, многие субъекты КИИ привлекают специалистов по категорированию объектов КИИ: внешняя экспертиза, актуальные шаблоны документов, методология расчётов под конкретную отрасль. Кибероснова Документы предоставляет такую услугу — с пакетом документов под ПП РФ №127 и сопровождением до получения подтверждения от ФСТЭК.

Категорирование — самый сложный с точки зрения документации этап работы субъекта КИИ. 10-15 документов с перекрёстными ссылками, обоснованиями по 5 показателям значимости и индивидуальными расчётами под каждый объект. Самостоятельная разработка занимает 2-3 месяца, через консалтинг — от 200 000 до 500 000 ₽.

Сравнение способов категорирования

Почему именно Кибероснова для субъектов КИИ

• Единый пакет для КИИ + связанных систем. Большинство субъектов КИИ параллельно работают с ПДн (152-ФЗ), ИСПДн (ПП №1119), иногда — ГИС (ФСТЭК №117). Кибероснова покрывает 6 регуляторных областей в одной подписке: 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. У b-152 и 152doc — только 152-ФЗ.
• Multi-org для холдингов. Промышленные группы, энергетические холдинги, телеком-операторы — часто состоят из нескольких юрлиц, каждое со своими объектами КИИ. Один аккаунт Кибероснова работает на все юрлица без необходимости заводить отдельную подписку.
• Связь с защитой по ФСТЭК №239. После категорирования наступает этап создания системы безопасности — это десятки документов по Приказу №239. В Кибероснове они генерируются из того же набора данных об объектах КИИ — не нужно дублировать вход.
• Партнёры-лицензиаты для аттестации К1/К2. Аттестацию мы не лицензируем (это деятельность по лицензии ФСТЭК), но привлекаем партнёров-лицензиатов с подтверждённой экспертизой. Клиент получает полный цикл «категорирование → защита → аттестация» с единым проектным менеджментом.

Запишитесь в лист ожидания Кибероснова Документы — бесплатный доступ на месяц для подготовки документации категорирования. Готовые акты, перечни, обоснования, сведения для ФСТЭК — за 1-2 дня вместо 2-3 месяцев.

Категорирование — не финал, а начало работы по защите объектов КИИ. После получения категории субъект обязан создать систему безопасности значимого объекта в соответствии с Приказом ФСТЭК России от 25.12.2017 №239.

Состав системы безопасности значимого объекта КИИ

• Организационная структура — служба или подразделение по защите КИИ, ответственные лица
• Нормативная база — политика безопасности, регламенты, инструкции
• Технические меры защиты — сертифицированные средства защиты информации (СЗИ), системы обнаружения вторжений, антивирусная защита
• Меры реагирования на инциденты — взаимодействие с ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак)
• Системы мониторинга и аудита — журналирование событий, периодические проверки

Подключение к ГосСОПКА

Все значимые объекты КИИ обязательно подключаются к ГосСОПКА — государственной системе обнаружения, предупреждения и ликвидации компьютерных атак. Это требование ст. 9 187-ФЗ. Подключение осуществляется через НКЦКИ (Национальный координационный центр по компьютерным инцидентам). Срок — в течение 1 года со дня категорирования.

Аттестация для объектов 1 и 2 категории

Для объектов К1 и К2 — обязательная аттестация системы защиты по Приказу ФСТЭК №239. Подробно процедура описана в нашем гайде «Аттестация ГИС: этапы, документы, подготовка» — аналогичная процедура применяется и для значимых объектов КИИ (с учётом специфики 187-ФЗ).

Сроки выполнения требований ФСТЭК

• Подключение к ГосСОПКА — в течение 12 месяцев со дня категорирования
• Создание системы безопасности — в течение 18 месяцев
• Аттестация (для К1 и К2) — в течение 24 месяцев
• Ежегодная проверка работоспособности системы безопасности
• Уведомление НКЦКИ об инцидентах — в течение 24 часов

Услуги Кибероснова Документы для субъектов КИИ

Мы помогаем субъектам КИИ на всех этапах подготовки документации:

• Категорирование объектов КИИ — методология, документы, направление сведений в ФСТЭК
• Разработка модели угроз для значимых объектов КИИ с учётом БДУ ФСТЭК и НКЦКИ
• Политика и регламенты ИБ для системы безопасности КИИ
• Конструктор документов — полный пакет ОРД по 187-ФЗ и Приказу ФСТЭК №239 за 1-2 дня

Аттестацию (лицензированный вид деятельности ФСТЭК) проводим в партнёрстве с проверенными лицензиатами — обеспечиваем единый проектный менеджмент подготовки и аттестации «под ключ».