Акт категорирования объекта КИИ — обязательный документ, фиксирующий результаты работы комиссии по категорированию критической информационной инфраструктуры. Он составляется для каждого объекта КИИ — информационной системы, сети или АСУ — независимо от того, присвоена объекту категория значимости или нет. На основе акта формируются сведения о результатах категорирования, направляемые во ФСТЭК России в 10-дневный срок.
В этом руководстве приведём структуру акта категорирования по ПП-127, образец с обязательными полями, примеры заполнения для трёх типов объектов (ИС, АСУ ТП, незначимый объект), а также разберём типичные ошибки, из-за которых ФСТЭК возвращает документы на доработку. Подробнее о полном процессе категорирования — в статье Категорирование объектов КИИ: инструкция по 187-ФЗ.
Что такое акт категорирования объекта КИИ
Правовое основание: ПП №127 и приказы ФСТЭК
Акт категорирования регулируется следующими нормативными актами:
- Постановление Правительства РФ № 127 (08.02.2018, ред. 2023) — устанавливает порядок категорирования, требования к составу акта и порядок направления сведений во ФСТЭК.
- Приказ ФСТЭК № 236 (22.12.2017) — определяет форму направления сведений о результатах категорирования.
- 187-ФЗ «О безопасности КИИ» — устанавливает обязанность субъектов КИИ провести категорирование и направить результаты регулятору.
Пункт 16 ПП-127 определяет перечень сведений, которые должны содержаться в акте. Несоблюдение этих требований — основание для возврата сведений ФСТЭК.
Роль акта в процессе категорирования
Акт категорирования — итоговый документ комиссии по категорированию. Он аккумулирует результаты всех предыдущих этапов:
- Инвентаризация объектов КИИ — описание объекта.
- Определение критических процессов — привязка объекта к процессам.
- Оценка по 14 показателям критериев значимости — ядро акта.
- Решение о категории — итог работы комиссии.
Акт утверждается руководителем субъекта КИИ и хранится в организации бессрочно. На его основе формируются сведения для ФСТЭК.
Акт vs сведения о результатах: различия
Два документа выполняют разные функции:
| Параметр | Акт категорирования | Сведения о результатах |
|---|---|---|
| Назначение | Внутренний документ организации | Документ для ФСТЭК |
| Полнота | Полные результаты с обоснованиями | Выжимка по форме № 236 |
| Кто утверждает | Руководитель субъекта КИИ | Руководитель субъекта КИИ |
| Куда направляется | Остаётся в организации | Во ФСТЭК (территориальный орган) |
| Срок направления | Не направляется | 10 рабочих дней после утверждения акта |
| Хранение | Бессрочно | Копия остаётся у субъекта |
Оба документа обязательны. Акт без направления сведений — нарушение. Сведения без акта — нарушение порядка категорирования.
Обязательные разделы акта категорирования
Сведения об объекте КИИ
Раздел включает:
- Наименование объекта — полное наименование ИС, ИТКС или АСУ (например, «Медицинская информационная система "Медиалог"»).
- Тип объекта — информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления.
- Сфера деятельности — одна из 14 сфер по 187-ФЗ, к которой относится объект.
- Размещение — адреса площадок, на которых функционирует объект.
- Назначение и функции — краткое описание, что делает система и для чего используется.
- Взаимодействие — с какими другими системами и сетями взаимодействует объект.
Сведения о субъекте КИИ
- Полное наименование юридического лица (или ФИО ИП).
- ИНН, ОГРН.
- Юридический и фактический адрес.
- Сфера (сферы) деятельности субъекта КИИ.
- Контактные данные ответственного лица.
Сведения о комиссии
- Реквизиты приказа о создании комиссии (номер, дата).
- Состав комиссии (ФИО, должности, роли — председатель, секретарь, члены).
- Дата (даты) заседания комиссии, на котором рассматривался данный объект.
Оценка по показателям критериев значимости
Ключевой раздел акта. Для каждого из 14 показателей ПП-127 указывается:
- Наименование показателя.
- Значение показателя для данного объекта (числовое или качественное).
- Обоснование выбранного значения.
- Пороговое значение для категорий 1, 2, 3.
- Вывод: превышает ли значение пороговое, и если да — для какой категории.
Пропуск оценки хотя бы по одному показателю — одна из главных причин возврата сведений ФСТЭК. Даже если показатель неприменим к объекту (например, показатель «нарушение обороноспособности» для больницы), это необходимо зафиксировать с обоснованием «неприменимо».
Результат категорирования
Итоговый вывод комиссии:
- Присвоена категория значимости (1, 2 или 3) — с указанием показателя (показателей), по которому определена наивысшая категория.
- Категория не присвоена — с обоснованием, что ни один показатель не превысил минимальных пороговых значений категории 3.
Подписи членов комиссии
Акт подписывается всеми членами комиссии. При несогласии — особое мнение оформляется отдельным приложением.
Образец акта категорирования объекта КИИ
Шаблон с обязательными полями
Ниже приведён шаблон акта категорирования с указанием обязательных полей.
УТВЕРЖДАЮ
Руководитель [наименование субъекта КИИ]
_________________ / [ФИО] /
«___» ____________ 20___ г.
АКТ КАТЕГОРИРОВАНИЯ
объекта критической информационной инфраструктуры
[наименование объекта КИИ]
1. СВЕДЕНИЯ О СУБЪЕКТЕ КИИ
Полное наименование: _______________________
ИНН: _____________ ОГРН: _________________
Юридический адрес: _________________________
Сфера деятельности: ________________________
2. СВЕДЕНИЯ О КОМИССИИ ПО КАТЕГОРИРОВАНИЮ
Комиссия создана приказом от «__» _______ 20__ г. № ___
Состав комиссии:
Председатель — [ФИО, должность]
Секретарь — [ФИО, должность]
Члены:
— [ФИО, должность]
— [ФИО, должность]
— [ФИО, должность]
3. СВЕДЕНИЯ ОБ ОБЪЕКТЕ КИИ
Наименование: ______________________________
Тип: [ИС / ИТКС / АСУ]
Сфера деятельности: ________________________
Размещение: ________________________________
Назначение и функции: ______________________
Обеспечиваемые процессы: ___________________
Взаимодействие с иными объектами КИИ: ______
4. ОЦЕНКА ПО ПОКАЗАТЕЛЯМ КРИТЕРИЕВ ЗНАЧИМОСТИ
[Таблица: 14 показателей с оценкой — см. образец ниже]
5. РЕЗУЛЬТАТ КАТЕГОРИРОВАНИЯ
На основании оценки по показателям критериев значимости
объекту КИИ [наименование] присвоена / не присвоена
категория значимости: _______
Подписи членов комиссии:
Председатель _____________ / [ФИО] /
Секретарь _____________ / [ФИО] /
Член комиссии _____________ / [ФИО] /
Член комиссии _____________ / [ФИО] /
Член комиссии _____________ / [ФИО] /
Дата: «___» ____________ 20___ г.
Таблица оценки по показателям (шаблон)
| № | Показатель | Значение | Обоснование | Кат. 3 | Кат. 2 | Кат. 1 | Вывод |
|---|---|---|---|---|---|---|---|
| 1 | Ущерб жизни и здоровью | До 50 | 50–500 | 500+ | |||
| 2 | Прекращение жизнеобеспечения | 1 объект | Муниципалитет | Субъект РФ | |||
| 3 | Нарушение транспорта | Местное | Региональное | Федеральное | |||
| 4 | Нарушение связи | Местное | Региональное | Федеральное | |||
| 5 | Нарушение работы госоргана | Местное | Региональное | Федеральное | |||
| 6 | Снижение доходов федбюджета | — | — | Пороговое | |||
| 7 | Снижение доходов бюджета субъекта | — | — | Пороговое | |||
| 8 | Прекращение деятельности субъекта | До 1 ч | 1–6 ч | 6+ ч | |||
| 9 | Ущерб субъекту КИИ | Пороговое | Пороговое | Пороговое | |||
| 10 | Вредное воздействие на среду | Местное | Региональное | Федеральное | |||
| 11 | Нарушение выполнения ГОЗ | Незначительное | Значительное | Критическое | |||
| 12 | Нарушение ВВТ | Незначительное | Значительное | Критическое | |||
| 13 | Нарушение управления обороной | Незначительное | Значительное | Критическое | |||
| 14 | Нарушение правоприменения | Незначительное | Значительное | Критическое |
Пример заполнения акта для информационной системы
Пример: бухгалтерская ИС банка (категория 3)
Объект КИИ: Автоматизированная банковская система «АБС-Банк»
Субъект КИИ: ПАО «Примербанк», ИНН 7700000001, сфера — банковская деятельность
Обеспечиваемые процессы: расчётно-кассовое обслуживание клиентов, ведение лицевых счетов, проведение платежей
Оценка ключевых показателей:
| № | Показатель | Значение | Обоснование | Вывод |
|---|---|---|---|---|
| 1 | Ущерб жизни и здоровью | Неприменимо | Сбой АБС не создаёт угрозу жизни и здоровью | Не превышает |
| 2 | Прекращение жизнеобеспечения | Неприменимо | АБС не обеспечивает объекты жизнедеятельности | Не превышает |
| 8 | Прекращение деятельности | До 1 часа | При сбое АБС расчётно-кассовые операции приостанавливаются. Резервные процедуры позволяют восстановить работу в течение 40 минут | Категория 3 |
| 9 | Ущерб субъекту КИИ | 15 млн руб. | Прямые убытки (штрафы ЦБ, компенсации клиентам, восстановление) | Категория 3 |
Показатели 3–7, 10–14: неприменимо (банк не является транспортным, оборонным, государственным предприятием).
Результат: объекту КИИ «АБС-Банк» присвоена категория значимости 3 (по показателям 8 и 9).
Пример: АСУ ТП энергетического предприятия (категория 2)
Объект КИИ: АСУ ТП «СКАДА-Энерго» электрической подстанции 110/10 кВ
Субъект КИИ: АО «Облэнерго», ИНН 5000000002, сфера — энергетика
Обеспечиваемые процессы: управление режимами работы подстанции, передача и распределение электроэнергии
Оценка ключевых показателей:
| № | Показатель | Значение | Обоснование | Вывод |
|---|---|---|---|---|
| 1 | Ущерб жизни и здоровью | До 50 человек | Потенциально — пациенты на ИВЛ в зоне обслуживания, лифты | Категория 3 |
| 2 | Прекращение жизнеобеспечения | Муниципальное образование | Подстанция обеспечивает электроснабжение города с населением 45 000 чел. | Категория 2 |
| 5 | Нарушение работы госоргана | Местное | Администрация города лишится электроснабжения | Категория 3 |
| 8 | Прекращение деятельности | 1–6 часов | Перевод нагрузки на резервные линии — от 2 до 4 часов | Категория 2 |
Показатели 6–7, 11–14: неприменимо.
Результат: объекту КИИ «СКАДА-Энерго» присвоена категория значимости 2 (наивысшая по показателю 2 — прекращение жизнеобеспечения муниципального образования).
Пример: ИС медицинской организации (без категории)
Объект КИИ: Информационная система «Регистратура-онлайн» (запись пациентов на приём)
Субъект КИИ: ГБУЗ «Поликлиника № 5», ИНН 7700000003, сфера — здравоохранение
Обеспечиваемые процессы: предварительная запись пациентов на амбулаторный приём
Оценка ключевых показателей:
| № | Показатель | Значение | Обоснование | Вывод |
|---|---|---|---|---|
| 1 | Ущерб жизни и здоровью | Неприменимо | Система записи не влияет на процесс оказания медпомощи. При сбое запись ведётся вручную | Не превышает |
| 2 | Прекращение жизнеобеспечения | Неприменимо | Система не обеспечивает объекты жизнедеятельности | Не превышает |
| 8 | Прекращение деятельности | Менее порогового | Поликлиника продолжает работу, запись ведётся по телефону и в регистратуре | Не превышает |
Все 14 показателей оценены. Ни один не превышает минимальных пороговых значений категории 3.
Результат: объекту КИИ «Регистратура-онлайн» категория значимости не присвоена — объект является незначимым.
КиберОснова автоматически формирует акты категорирования на основе данных инвентаризации и результатов оценки критериев. Шаблон акта заполняется данными из карточки объекта КИИ, а таблица критериев генерируется с обоснованиями.
Протокол заседания комиссии по категорированию
Структура протокола
Протокол заседания комиссии — отдельный документ, фиксирующий ход обсуждения и принятия решений. Структура:
- Заголовок: номер протокола, дата, место заседания.
- Присутствовали: список членов комиссии (ФИО, должность).
- Повестка дня: перечень рассматриваемых объектов КИИ.
- Ход заседания: по каждому объекту:
- описание объекта и обеспечиваемых процессов;
- результаты оценки по показателям критериев;
- обсуждение спорных вопросов;
- предложение о присвоении категории.
- Решения: для каждого объекта — присвоенная категория (или отсутствие категории).
- Голосование: результат голосования по каждому решению (единогласно / большинством голосов).
- Подписи: всех присутствовавших членов комиссии.
Пример оформления протокола
ПРОТОКОЛ № 3
заседания комиссии по категорированию
объектов критической информационной
инфраструктуры
г. Москва «15» марта 2026 г.
Присутствовали:
Председатель — Иванов И.И., заместитель генерального директора
Секретарь — Петрова А.С., начальник отдела ИБ
Члены:
— Сидоров В.К., начальник отдела ИТ
— Козлова М.Н., начальник юридического отдела
— Фёдоров Д.А., инженер АСУ ТП
ПОВЕСТКА ДНЯ:
Категорирование объекта КИИ «АБС-Банк»
СЛУШАЛИ:
Петрова А.С. доложила результаты оценки объекта КИИ
«АБС-Банк» по 14 показателям критериев значимости...
[описание хода обсуждения]
РЕШИЛИ:
Присвоить объекту КИИ «АБС-Банк» категорию значимости 3
на основании показателей 8 и 9 ПП-127.
Голосование: единогласно.
Председатель _____________ / Иванов И.И. /
Секретарь _____________ / Петрова А.С. /
Связь протокола с актом
Протокол — обосновывающий документ для акта категорирования. В акте фиксируются результаты и обоснования, а протокол содержит ход обсуждения и аргументацию. При проверке ФСТЭК может запросить оба документа. При несогласии членов комиссии протокол фиксирует особые мнения.
Сведения о результатах категорирования для ФСТЭК
Форма направления сведений
Сведения о результатах категорирования направляются по форме, установленной приказом ФСТЭК № 236. Форма включает:
- Сведения о субъекте КИИ (наименование, ИНН, ОГРН, адрес, контакт).
- Сведения об объекте КИИ (наименование, тип, сфера, размещение).
- Присвоенная категория значимости (или информация об отсутствии).
- Основные характеристики объекта.
Форма заполняется для каждого объекта КИИ отдельно.
Порядок и сроки направления
- Срок: 10 рабочих дней с момента утверждения акта категорирования.
- Способ: в печатном виде, нарочным или заказным письмом с уведомлением.
- Адресат: территориальный орган ФСТЭК по месту нахождения субъекта КИИ.
- Объём: сведения по всем объектам КИИ, включая незначимые.
Что проверяет ФСТЭК
ФСТЭК рассматривает сведения в течение 30 дней и проверяет:
- Полноту представленных сведений.
- Соблюдение порядка категорирования (создана ли комиссия, утверждён ли перечень).
- Корректность оценки по всем 14 показателям.
- Соответствие присвоенной категории пороговым значениям ПП-127.
- Адекватность обоснований (не занижена ли категория).
Если замечаний нет, ФСТЭК:
- вносит значимый объект в реестр значимых объектов КИИ;
- уведомляет субъекта о результатах проверки (для незначимых объектов).
Если выявлены нарушения — ФСТЭК возвращает сведения с замечаниями. Субъект устраняет замечания в 10 рабочих дней.
Типичные ошибки при оформлении акта категорирования
Неполная оценка по критериям
Самая частая ошибка: комиссия оценивает только «релевантные» показатели, пропуская те, которые считает неприменимыми. ПП-127 требует оценки по всем 14 показателям. Если показатель неприменим — укажите «неприменимо» с обоснованием, но не пропускайте.
Неправильно: в акте для банковской ИС оценены только показатели 8 и 9, остальные ячейки пусты.
Правильно: все 14 показателей заполнены. Для неприменимых указано: «Показатель 1 (ущерб жизни и здоровью) — неприменимо. Обоснование: сбой АБС не создаёт прямой угрозы жизни и здоровью граждан».
Занижение категории значимости
Субъекты занижают категорию, чтобы снизить затраты на средства защиты по приказу ФСТЭК № 239. ФСТЭК проверяет адекватность: если энергетическая компания присвоила подстанции, обеспечивающей город, категорию 3 вместо 2 — сведения будут возвращены.
Рекомендация: при оценке используйте принцип «наихудший реалистичный сценарий». Не оптимистичный, не пессимистичный, а реалистичный с учётом максимальных последствий.
Отсутствие обоснования решения
Акт содержит итоговую категорию, но не объясняет, как комиссия пришла к этому решению. Для каждого показателя необходимо обоснование: почему выбрано именно такое значение, на каких данных оно основано.
Неправильно: «Показатель 8 — до 1 часа».
Правильно: «Показатель 8 — до 1 часа. Обоснование: согласно SLA с провайдером хостинга, время восстановления не превышает 40 минут. Резервный ЦОД обеспечивает автоматическое переключение в течение 15 минут. План восстановления утверждён приказом от 01.02.2026 № 12, тестируется ежеквартально».
Ошибки в описании объекта
- Наименование объекта не соответствует тому, что указано в перечне объектов КИИ (направленном во ФСТЭК ранее).
- Неправильно определена сфера деятельности.
- Не указаны обеспечиваемые процессы (без них невозможно обосновать оценку критериев).
Нарушение сроков направления сведений
Акт утверждён, но сведения во ФСТЭК направлены с нарушением 10-дневного срока. Это само по себе является основанием для административного штрафа по ст. 19.7.15 КоАП.
Автоматизированный расчёт критериев в SGRC-системе исключает типичные ошибки оценки — система содержит все пороговые значения ПП-127, не позволяет пропустить показатели и формирует обоснования автоматически. Модуль категорирования КИИ в КиберОснова контролирует сроки и уведомляет о необходимости направления сведений.
Автоматическое формирование актов категорирования
Как SGRC-система генерирует документы
SGRC-платформа автоматизирует формирование актов категорирования:
- Карточка объекта КИИ — данные из модуля инвентаризации (наименование, тип, размещение, функции) автоматически подставляются в акт.
- Калькулятор критериев — ввод параметров (число пользователей, зона обслуживания, время восстановления), автоматический расчёт значений по всем 14 показателям.
- Контроль полноты — система не позволяет сформировать акт, если хотя бы один показатель не оценён.
- Генерация обоснований — на основе введённых данных формируются текстовые обоснования для каждого показателя.
- Формирование акта — документ генерируется по шаблону, соответствующему требованиям ПП-127.
- Формирование сведений — одновременно генерируются сведения о результатах по форме ФСТЭК № 236.
КиберОснова: от инвентаризации до акта
Платформа КиберОснова обеспечивает полный цикл:
- Инвентаризация — реестр всех ИС, ИТКС и АСУ с карточками, связями, процессами.
- Перечень объектов КИИ — формируется из реестра, экспортируется для направления во ФСТЭК.
- Оценка критериев — калькулятор с пороговыми значениями, контроль полноты, автоматическое определение категории.
- Акт категорирования — генерируется автоматически, включая таблицу оценки с обоснованиями.
- Протокол заседания — шаблон с предзаполненными данными.
- Сведения для ФСТЭК — по форме № 236, готовые к направлению.
- Контроль сроков — уведомления о дедлайнах (30 дней на перечень, 1 год на категорирование, 10 дней на сведения).
Связь с модулем документов ИБ обеспечивает хранение, версионирование и контроль актуальности всех документов по КИИ в единой системе.
Запросите демо платформы КиберОснова и посмотрите, как автоматически формируется весь пакет документов для категорирования КИИ — от инвентаризации до акта и сведений для ФСТЭК.
Смотрите также: Категорирование КИИ — КиберОснова | Категорирование КИИ: инструкция | Инвентаризация активов | Документы ИБ | Модель угроз
