Хотя нормативная база по КИИ давно устоялась, для многих владельцев информационных систем по-прежнему остается неочевидным: нужно ли им проводить категорирование и как это делается на практике.
Разбираемся, что говорит закон, кого он касается и какие шаги нужно пройти.
Кто такие субъекты КИИ
В соответствии с частью 8 статьи 2 Федерального закона №187-ФЗ, субъектами критической информационной инфраструктуры являются:
- государственные органы,
- государственные учреждения,
и российские юридические лица, которым принадлежат на праве собственности, аренды или ином основании информационные системы, телекоммуникационные сети и автоматизированные системы управления, работающие в следующих сферах:
- здравоохранение
- наука
- транспорт
- связь
- энергетика
- государственная регистрация прав на недвижимость
- банковская и финансовая сфера
- топливно-энергетический комплекс
- атомная, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность
Также субъектами признаются компании, обеспечивающие взаимодействие таких систем и сетей.
Проще говоря: все организации, работающие в этих отраслях, обязаны пройти процедуру категорирования.
Этапы категорирования КИИ
1. Определить объекты информационной инфраструктуры
Сначала нужно составить перечень всех информационных систем предприятия.
Под информационной системой понимается совокупность программных и аппаратных средств, решающих схожие задачи — в том числе производственные (например, автоматизированная линия).
Привязываться к конкретному ПО не стоит: в одной системе может использоваться несколько приложений.
Примеры:
- небольшие компании часто объединяют в одну систему бухгалтерию и кадры;
- крупные — наоборот, разделяют: «Сотрудники», «Клиенты», «Биллинг» и т.д.
Излишняя детализация не требуется, но если какой-то автоматизированный станок работает обособленно, он считается отдельным объектом.
2. Выделить системы, связанные с критическими процессами
На текущий момент это, наверное, самый непонятный с точки зрения законодательства этап.
Если раньше пункт 3 Правил категорирования, утвержденный постановлением Правительства гласил, что категорированию подлежат объекты КИИ, обеспечивающие управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций организации (это была обширная абстрактная, но хотя бы понятная формулировка), то теперь он звучит иначе.
7 ноября 2025 года в постановление 127 были внесены изменения, и теперь пункт 3 звучит так:
”3. Категорированию подлежат объекты критической информационной инфраструктуры, соответствующие типам информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, включенным в перечни типовых отраслевых объектов критической информационной инфраструктуры, предусмотренные пунктом 4 части 2 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — перечни типовых отраслевых объектов критической информационной инфраструктуры).»
Источник: http://publication.pravo.gov.ru/document/0001202511080017?index=1
Казалось бы нужно свериться с перечнями и всё. Но не так все просто. Часть 2 статьи 6 187-ФЗ посвящена полномочиям Правительства Российской Федерации. А постановлений Правительства, утверждающих перечни пока нет.
Единый перечень для всех отраслей пока находится в статусе проекта постановления Правительства.
Ориентируемся пока на типовые перечни объектов КИИ, разработанные профильными ведомствами и здравый смысл.
3. Создать комиссию по категорированию
В состав комиссии включаются:
- руководитель организации или уполномоченное им лицо;
- специалисты в области ИТ, связи и технологических процессов;
- сотрудники, отвечающие за информационную безопасность;
- представители отдела защиты государственной тайны (если обрабатываются секретные данные);
- специалисты по гражданской обороне и ЧС.
4. Оценить возможный ущерб
Комиссия анализирует наихудшие сценарии, включая целенаправленные кибератаки, которые могут привести к нарушению критических процессов.
Оценка проводится по критериям, определенным Постановлением Правительства РФ от 8 февраля 2018 года №127:
- Социальный — последствия для объектов жизнеобеспечения (вода, газ, тепло, электроэнергия).
- Политический — влияние на международные обязательства.
- Экономический — расчет бюджетного ущерба по методикам ФСТЭК (опубликованы на сайте ФСТЭК России).
- Экологический — определяются территории, подверженные вредному воздействию, и количество населения (в тысячах человек).
Оценивается только вред от сбоя ИС, без учета внешних факторов (пожары, разливы и т.п.). - Обороноспособность — актуально для организаций, участвующих в обеспечении обороны.
5. Оформить результаты и направить сведения в ФСТЭК
По итогам работы комиссия составляет акты и в течение 10 рабочих дней направляет сведения в ФСТЭК России. Формы документов утверждены приказом ФСТЭК №236 от 22.12.2017.
Каждой информационной системе присваивается категория значимости (1, 2 или 3), либо принимается решение об отсутствии необходимости категорирования.
Там уже есть пункт, связанный с перечнями типовых отраслевых объектов критической информационной инфраструктуры. По информационному сообщению ФСТЭК России от 22.10.2025 года там пока ставится прочерк. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-22-oktyabrya-2025-g-n-240-84-3451
Не реже одного раза в пять лет необходимо пересматривать акты комиссии, а также проводить категорирование для новых информационных систем, появляющихся в организации.
Где посмотреть документы
📄 Постановление Правительства РФ №127 от 08.02.2018
📄 Приказ ФСТЭК России №236 от 22.12.2017
📄 Методика расчета экономического показателя ущерба
Категорирование КИИ — не формальность, а обязательная часть построения системы информационной безопасности. Оно помогает объективно оценить риски, определить приоритеты защиты и избежать штрафов при проверках.
Если у вас возникли вопросы или сложности с категорированием, подготовкой документов или оценкой ущерба — наша команда готова помочь.
