Акт категорирования объекта критической информационной инфраструктуры по ПП РФ №127: пошаговый порядок, критерии значимости, образец 2026 года и чек-лист для направления результатов во ФСТЭК.
* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.
Акт категорирования объекта КИИ — это документ, фиксирующий результаты присвоения (или неприсвоения) категории значимости объекту критической информационной инфраструктуры. Составляется комиссией по категорированию и направляется во ФСТЭК России в течение 10 рабочих дней после подписания.
Обязанность категорировать объекты КИИ установлена Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Порядок категорирования определён Постановлением Правительства РФ от 08.02.2018 № 127.
Непредоставление сведений о категорировании во ФСТЭК влечёт административную ответственность по ст. 19.7.15 КоАП РФ — штраф до 500 000 рублей для юридических лиц. С 2025 года контроль за выполнением 187-ФЗ существенно усилен.
Процедура категорирования включает следующие этапы в соответствии с ПП РФ № 127:
Руководитель организации (субъекта КИИ) издаёт приказ о создании комиссии. В состав включаются: руководитель или заместитель, ответственный за ИБ, специалисты по ИТ, представители подразделений-владельцев процессов. При необходимости — представители ФСТЭК.
Комиссия определяет все информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сферах, указанных в ст. 2 187-ФЗ. Перечень утверждается руководителем и направляется во ФСТЭК в течение 5 рабочих дней.
Для каждого объекта КИИ комиссия оценивает масштаб возможных последствий компьютерной атаки по 5 группам критериев (социальный, политический, экономический, экологический, значимость для обороны).
На основании оценки присваивается одна из трёх категорий (1 — максимальная, 3 — минимальная) либо устанавливается отсутствие необходимости присвоения категории.
Результаты оформляются актом категорирования. Сведения направляются во ФСТЭК по форме, утверждённой приказом ФСТЭК от 22.12.2017 № 236, в течение 10 рабочих дней. ФСТЭК проверяет в 30-дневный срок.
| № | Группа критериев | Что оценивается | Примеры показателей |
|---|---|---|---|
| 1 | Социальная значимость | Причинение вреда жизни и здоровью людей, нарушение функционирования объектов жизнеобеспечения | Количество пострадавших, территория нарушения жизнеобеспечения, время недоступности сервиса |
| 2 | Политическая значимость | Нарушение функционирования органов государственной власти, прекращение или нарушение государственных услуг | Количество недоступных госуслуг, длительность нарушения управления |
| 3 | Экономическая значимость | Прямой и косвенный ущерб бюджету РФ и субъекту КИИ | Сумма ущерба как доля от выручки, нарушение хозяйственной деятельности |
| 4 | Экологическая значимость | Вредное воздействие на окружающую среду | Территория загрязнения, объём вредных выбросов |
| 5 | Значимость для обороны | Нарушение обеспечения обороноспособности и безопасности государства | Снижение показателей гособоронзаказа, нарушение работы ОПК |
| Категория | Описание | Требования к защите | Пример объекта |
|---|---|---|---|
| 1 категория (максимальная) | Масштабные последствия: угроза жизни, значительный экономический ущерб (более 0,1% ВВП), нарушение обороноспособности | Полный набор мер по Приказу ФСТЭК № 239, аттестация, постоянный мониторинг | АСУ ТП ядерного объекта, ИС крупного госбанка |
| 2 категория | Существенные последствия: вред здоровью, ощутимый экономический ущерб, нарушение региональных госуслуг | Расширенный набор мер по Приказу ФСТЭК № 239, подключение к ГосСОПКА | Медицинская ИС региональной больницы, ИС водоснабжения |
| 3 категория (минимальная) | Ограниченные последствия: умеренный ущерб субъекту, локальное нарушение услуг | Базовый набор мер по Приказу ФСТЭК № 239, уведомление об инцидентах | ИС среднего промышленного предприятия, телеком-оператор |
| Без категории | Последствия не достигают пороговых значений ни по одному критерию | Общие требования по 187-ФЗ (уведомление об инцидентах), без обязательных мер по Приказу № 239 | ИС малого предприятия в сфере связи |
АКТ категорирования объекта критической информационной инфраструктуры
г. __________ «__» _________ 2026 г.
Комиссия по категорированию, созданная приказом _____ от _____ № ___, в составе: Председатель: _________________ (ФИО, должность) Члены комиссии: _________________ (ФИО, должность)
провела категорирование объекта КИИ: Наименование объекта: _______________________________________ Сфера функционирования (ст. 2 187-ФЗ): ______________________ Тип объекта: ИС / ИТКС / АСУ
РЕШЕНИЕ КОМИССИИ: Присвоить объекту КИИ «_____________» категорию значимости: ___ (или: установить отсутствие необходимости присвоения категории)
Председатель комиссии: _____________ / _____________ Члены комиссии: _____________ / _____________
Скачать образец
Актуальный бланк 2026 года в формате DOCX
Конструктор Кибероснова поможет подготовить акт категорирования с правильной структурой, критериями значимости и формулировками по ПП РФ №127.
Открыть конструктор«Акт категорирования объекта КИИ: образец, порядок заполнения» — сложный документ, который требует экспертизы. Обратитесь к специалистам Кибероснова — мы подготовим его под вашу организацию.
Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.
