Кто является субъектом КИИ и обязан проводить категорирование?

Субъектами КИИ являются государственные органы и учреждения, российские юридические лица и индивидуальные предприниматели, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, финансовые рынки, топливно-энергетический комплекс, атомная энергия, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность. Все субъекты КИИ обязаны провести категорирование принадлежащих им объектов.

Какие сроки установлены для категорирования объектов КИИ?

По Постановлению Правительства №127 субъект КИИ обязан в течение 30 рабочих дней после утверждения перечня объектов КИИ направить его во ФСТЭК. Само категорирование должно быть завершено не позднее одного года с момента утверждения перечня объектов. После завершения категорирования в 10-дневный срок сведения о результатах направляются во ФСТЭК. ФСТЭК в течение 30 дней проверяет сведения и вносит объект в реестр значимых объектов КИИ (при присвоении категории) или уведомляет о результатах проверки.

Сколько категорий значимости КИИ существует и чем они отличаются?

Установлено три категории значимости. 1-я категория (высшая): присваивается, если инцидент может причинить ущерб жизни и здоровью более 500 человек, или ущерб федеральному бюджету более 1% ВВП, или прекращение деятельности более чем на 6 часов. 2-я категория: ущерб жизни и здоровью от 50 до 500 человек, значительный экономический ущерб, прекращение деятельности от 1 до 6 часов. 3-я категория (низшая): ущерб жизни и здоровью до 50 человек, умеренный экономический ущерб. Если ни один критерий не превышен — объект является незначимым (категория не присваивается), но он всё равно фиксируется в результатах категорирования.

Что будет, если не провести категорирование КИИ в срок?

За нарушение сроков и порядка категорирования предусмотрена административная ответственность по ст. 19.7.15 КоАП РФ: штраф для должностных лиц от 10 000 до 50 000 руб., для юридических лиц — от 50 000 до 100 000 руб. ФСТЭК вправе направить предписание об устранении нарушений. При повторном нарушении штрафы увеличиваются. Кроме того, в случае инцидента на некатегорированном объекте КИИ возможна уголовная ответственность по ст. 274.1 УК РФ (до 10 лет лишения свободы при тяжких последствиях).

Можно ли провести категорирование КИИ самостоятельно или нужен лицензиат?

Категорирование объектов КИИ субъект обязан провести самостоятельно — это его прямая ответственность по 187-ФЗ. Привлечение лицензиата ФСТЭК для категорирования не требуется (в отличие от аттестации). Субъект создаёт внутреннюю комиссию по категорированию, которая выполняет все этапы: определение объектов, оценку по критериям значимости, присвоение категорий. Однако на практике организации часто привлекают консультантов для методической поддержки, особенно при первичном категорировании — это не запрещено, но ответственность остаётся на субъекте.

Как определить, какие системы являются объектами КИИ?

Объектами КИИ являются информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), которые обеспечивают управленческие, технологические, производственные, финансово-экономические или иные процессы в рамках деятельности субъекта КИИ. Для определения объектов нужно: провести инвентаризацию всех ИС, ИТКС и АСУ; определить, какие процессы они обеспечивают; оценить, относятся ли эти процессы к сферам, указанным в 187-ФЗ. Бухгалтерская система банка — объект КИИ (финансовая сфера), а сайт-визитка того же банка — нет.

Категорирование объектов КИИ: инструкция по 187-ФЗ

Категорирование объектов критической информационной инфраструктуры — обязательная процедура для всех субъектов КИИ, установленная Федеральным законом 187-ФЗ и детализированная в Постановлении Правительства РФ № 127. Процедура определяет, какие информационные системы, сети и АСУ организации являются объектами КИИ, и присваивает каждому из них категорию значимости (1, 2, 3) или фиксирует отсутствие категории. От результатов категорирования зависит объём обязательных мер защиты, требования к персоналу и средствам защиты информации.

В этой инструкции разберём полный цикл категорирования: от создания комиссии до направления сведений во ФСТЭК. Для каждого этапа приведём нормативные ссылки, сроки, практические рекомендации и типичные ошибки. Покажем, как SGRC-платформа автоматизирует процесс.

Что такое категорирование объектов КИИ и зачем оно нужно

Определения: субъект КИИ, объект КИИ, значимый объект

Прежде чем разбирать процедуру, уточним терминологию:

Субъект КИИ — государственный орган, учреждение, юридическое лицо или ИП, которому принадлежат информационные системы, сети или АСУ, функционирующие в одной из 14 сфер, определённых 187-ФЗ.
Объект КИИ — информационная система (ИС), информационно-телекоммуникационная сеть (ИТКС) или автоматизированная система управления (АСУ), принадлежащая субъекту КИИ.
Значимый объект КИИ — объект КИИ, которому присвоена одна из трёх категорий значимости (1, 2 или 3). На значимые объекты распространяются требования приказа ФСТЭК № 239 по обеспечению безопасности.
Незначимый объект КИИ — объект КИИ, которому по результатам оценки категория не присвоена. Он остаётся объектом КИИ, но на него не распространяются требования приказа № 239.

Нормативная база: 187-ФЗ, ПП №127, приказы ФСТЭК

Категорирование регулируется следующими нормативными актами:

Документ	Что устанавливает
187-ФЗ «О безопасности КИИ» (26.07.2017)	Определения, обязанности субъектов, сферы КИИ, ответственность
ПП РФ № 127 (08.02.2018, ред. 2023)	Порядок категорирования, критерии значимости, пороговые значения
Приказ ФСТЭК № 236 (22.12.2017)	Форма направления сведений о результатах категорирования
Приказ ФСТЭК № 239 (25.12.2017)	Требования по обеспечению безопасности значимых объектов КИИ
Приказ ФСТЭК № 235 (21.12.2017)	Требования к созданию систем безопасности значимых объектов КИИ

Все нормативные акты неоднократно актуализировались — при работе используйте действующие редакции.

Ответственность за непроведение категорирования

Непроведение категорирования или нарушение его порядка влечёт:

Административная ответственность (ст. 19.7.15 КоАП РФ): штраф для должностных лиц — от 10 000 до 50 000 руб., для юридических лиц — от 50 000 до 100 000 руб.
Предписание ФСТЭК об устранении нарушений с конкретными сроками.
Уголовная ответственность (ст. 274.1 УК РФ) — в случае инцидента на некатегорированном объекте, повлёкшего тяжкие последствия: до 10 лет лишения свободы.

ФСТЭК активно проводит проверки: по данным регулятора, к 2025 году проверено более 85% субъектов КИИ в критичных отраслях. Отсутствие результатов категорирования — одно из наиболее частых нарушений.

Кто является субъектом КИИ: сферы деятельности

Полный перечень 14 сфер по 187-ФЗ

Субъектами КИИ являются организации, функционирующие в следующих сферах:

Здравоохранение
Наука
Транспорт
Связь
Энергетика
Банковская сфера и иные сферы финансового рынка
Топливно-энергетический комплекс
Атомная энергия
Оборонная промышленность
Ракетно-космическая промышленность
Горнодобывающая промышленность
Металлургическая промышленность
Химическая промышленность
Государственная регистрация прав на недвижимое имущество и сделок с ним (добавлена позднее)

Как определить, является ли организация субъектом КИИ

Для определения статуса субъекта КИИ ответьте на два вопроса:

Относится ли деятельность организации к одной из 14 сфер? Проверьте коды ОКВЭД — если хотя бы один код попадает в перечисленные сферы, организация потенциально является субъектом КИИ.
Принадлежат ли организации ИС, ИТКС или АСУ, обеспечивающие процессы в этих сферах? Не любая система является объектом КИИ — только та, которая обеспечивает процессы в рамках деятельности субъекта в соответствующей сфере.

Пример: больница — субъект КИИ (сфера «здравоохранение»). Её медицинская информационная система (МИС) — объект КИИ. А вот система бухгалтерского учёта больницы — вопрос дискуссионный (зависит от того, обеспечивает ли она критические процессы в сфере здравоохранения).

Типичные заблуждения

«ИП и малый бизнес не являются субъектами КИИ». Неверно. 187-ФЗ прямо относит к субъектам КИИ индивидуальных предпринимателей. Аптека (ИП) с информационной системой учёта лекарственных средств — субъект КИИ в сфере здравоохранения.

«У нас нет АСУ ТП, значит, мы не субъекты КИИ». Неверно. Объектами КИИ являются не только АСУ ТП, но и информационные системы, и сети. ERP-система энергетической компании — объект КИИ.

«Если мы не значимый объект, нам ничего не нужно делать». Неверно. Даже если по результатам категорирования ни одному объекту не присвоена категория, субъект КИИ обязан: провести категорирование, направить результаты во ФСТЭК, информировать ГосСОПКА об инцидентах.

Этап 1 — Создание комиссии по категорированию

Состав комиссии: кто должен входить

Согласно ПП-127, в состав комиссии по категорированию включаются:

Руководитель или заместитель руководителя субъекта КИИ (председатель комиссии).
Работники структурного подразделения по ИБ (или ответственные за обеспечение безопасности).
Работники подразделения ИТ — знают архитектуру ИС, сетей и АСУ.
Работники подразделений, эксплуатирующих объекты КИИ — понимают бизнес-процессы.
Представители территориального органа ФСТЭК (по согласованию) — необязательно, но рекомендуется для крупных субъектов.

Для крупных организаций с десятками объектов КИИ рекомендуется создавать рабочие группы по направлениям (ИТ, АСУ ТП, ИБ), результаты которых выносятся на комиссию.

Приказ о создании комиссии (структура документа)

Приказ о создании комиссии включает:

Основание — ссылка на 187-ФЗ и ПП-127.
Состав комиссии — поимённо, с указанием должностей и ролей (председатель, секретарь, члены).
Задачи комиссии — определение объектов КИИ, оценка по критериям значимости, присвоение категорий.
Сроки — начало и окончание работ по категорированию.
Ответственный за организацию работ.

Полномочия и ответственность членов комиссии

Комиссия уполномочена:

запрашивать у структурных подразделений информацию об ИС, ИТКС и АСУ;
привлекать экспертов (в том числе внешних консультантов);
определять перечень объектов КИИ;
оценивать объекты по критериям значимости;
принимать решение о присвоении (или неприсвоении) категории значимости.

Решения комиссии оформляются протоколом и утверждаются актом категорирования.

Этап 2 — Определение и утверждение перечня объектов КИИ

Инвентаризация ИС, ИТКС и АСУ

Первый рабочий этап — полная инвентаризация информационных систем, сетей и автоматизированных систем управления, принадлежащих организации. Для каждого объекта фиксируется:

наименование;
тип (ИС, ИТКС, АСУ);
назначение и функции;
обеспечиваемые процессы;
размещение (адреса площадок);
взаимодействие с другими системами;
ответственный за эксплуатацию.

Инвентаризация ИС — первый и самый трудоёмкий шаг. Модуль инвентаризации КиберОснова автоматизирует сбор данных обо всех активах организации и формирует карточки объектов КИИ.

Определение процессов, обеспечиваемых объектами

Для каждой ИС, ИТКС и АСУ определите, какие управленческие, технологические, производственные, финансово-экономические или иные процессы она обеспечивает. Это критически важно, потому что:

объектом КИИ является только та система, которая обеспечивает процессы в сферах по 187-ФЗ;
оценка критериев значимости проводится в привязке к этим процессам (какие последствия наступят, если процесс будет нарушен).

Пример: МИС больницы обеспечивает процесс оказания медицинской помощи (сфера «здравоохранение»). Если МИС выйдет из строя, врачи не смогут получить данные о назначениях и аллергиях — прямой риск для жизни и здоровья пациентов.

Формирование и утверждение перечня

По результатам инвентаризации формируется перечень объектов КИИ, подлежащих категорированию. Перечень утверждается руководителем субъекта КИИ.

Типовая структура перечня:

№	Наименование объекта	Тип	Сфера	Обеспечиваемые процессы	Площадка
1	МИС «Медиалог»	ИС	Здравоохранение	Оказание медпомощи, учёт пациентов	Москва, ул. Примерная, 1
2	ЛИС «Ариадна»	ИС	Здравоохранение	Лабораторная диагностика	Москва, ул. Примерная, 1
3	Сеть передачи данных	ИТКС	Здравоохранение	Обмен данными между подразделениями	Москва, ул. Примерная, 1

Направление перечня во ФСТЭК (30 рабочих дней)

В течение 30 рабочих дней с момента утверждения перечня субъект КИИ обязан направить его во ФСТЭК. Перечень направляется в печатном виде по почте или нарочным в территориальный орган ФСТЭК.

ФСТЭК не согласовывает перечень — она принимает его к сведению. Однако по результатам проверок ФСТЭК вправе указать на неполноту перечня (например, субъект «забыл» включить в перечень отдельные ИС).

Этап 3 — Оценка по критериям значимости

14 показателей критериев значимости (ПП №127)

ПП-127 устанавливает 14 показателей критериев значимости, сгруппированных в пять категорий. Для каждого объекта КИИ комиссия оценивает все 14 показателей — пропуск любого является основанием для возврата сведений ФСТЭК.

Социальная значимость

№	Показатель	Суть оценки
1	Причинение ущерба жизни и здоровью людей	Количество пострадавших при инциденте
2	Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности	Водоснабжение, электроснабжение, теплоснабжение, канализация
3	Прекращение или нарушение функционирования транспортной инфраструктуры	Аэропорты, железные дороги, автодороги
4	Прекращение или нарушение функционирования сети связи	Телефония, интернет, специальная связь

Политическая значимость

№	Показатель	Суть оценки
5	Прекращение или нарушение функционирования государственного органа	Влияние на выполнение государственных функций

Экономическая значимость

№	Показатель	Суть оценки
6	Снижение доходов федерального бюджета	Доля от прогнозируемого дохода
7	Снижение доходов бюджетов субъектов РФ	Доля от прогнозируемого дохода
8	Прекращение или нарушение деятельности субъекта КИИ	Время простоя, финансовые потери
9	Возникновение ущерба субъекту КИИ	Прямые убытки в рублях

Экологическая значимость

№	Показатель	Суть оценки
10	Вредное воздействие на окружающую среду	Площадь загрязнения, масштаб ущерба

Значимость для обороны и безопасности

№	Показатель	Суть оценки
11	Прекращение или нарушение выполнения гособоронзаказа	Влияние на сроки и объёмы ГОЗ
12	Прекращение или нарушение функционирования вооружения и военной техники	Влияние на боеготовность
13	Прекращение или нарушение функционирования государственного управления в области обороны	Влияние на систему управления
14	Прекращение или нарушение функционирования правоприменительной деятельности	Влияние на правоохранительные органы

Методика оценки с примерами

Оценка проводится по принципу «наихудший реалистичный сценарий»: комиссия определяет, какие последствия наступят при реализации наихудшего, но реалистичного инцидента ИБ на данном объекте.

Пример для МИС больницы на 500 коек:

Показатель 1 (жизнь и здоровье): при отказе МИС на 6+ часов врачи не получат данные о назначениях, аллергиях, результатах анализов — возможен вред здоровью десятков пациентов. Оценка: 50–500 человек (категория 2).
Показатель 8 (прекращение деятельности): больница не прекратит работу полностью, но значительная часть процессов будет нарушена. Оценка: нарушение на 1–6 часов.
Показатели 5–7, 10–14: неприменимы (больница — не госорган, не оборонное предприятие).

Итоговая категория определяется по наивысшему показателю — в данном примере категория 2.

Этап 4 — Присвоение категории значимости

Категория 1 (высшая): пороговые значения

Категория 1 присваивается, если хотя бы по одному показателю достигнуто наивысшее пороговое значение:

Ущерб жизни и здоровью: более 500 человек
Прекращение обеспечения жизнедеятельности: в пределах субъекта РФ и более
Экономический ущерб субъекту КИИ: более 1% валового регионального продукта
Прекращение деятельности субъекта: более 6 часов

Категория 2: пороговые значения

Ущерб жизни и здоровью: от 50 до 500 человек
Прекращение обеспечения жизнедеятельности: в пределах муниципального образования
Экономический ущерб субъекту КИИ: определяется пороговыми значениями ПП-127
Прекращение деятельности субъекта: от 1 до 6 часов

Категория 3 (низшая): пороговые значения

Ущерб жизни и здоровью: менее 50 человек
Прекращение обеспечения жизнедеятельности: в пределах одного объекта
Экономический ущерб субъекту КИИ: минимальные пороговые значения ПП-127
Прекращение деятельности субъекта: до 1 часа

Объект без категории: когда значимость не присвоена

Если ни один показатель критериев значимости не превышает минимальных пороговых значений категории 3, объект признаётся незначимым — категория не присваивается.

Важно: отсутствие категории не означает, что объект не является объектом КИИ. Субъект по-прежнему обязан:

направить сведения о результатах категорирования во ФСТЭК;
информировать ГосСОПКА (НКЦКИ) об инцидентах;
пересматривать категорию при изменении условий.

Таблица пороговых значений (сводная)

Показатель	Категория 3	Категория 2	Категория 1
Ущерб жизни и здоровью	До 50 чел.	50–500 чел.	Более 500 чел.
Прекращение обеспечения жизнедеятельности	1 объект	Муниципалитет	Субъект РФ и более
Прекращение деятельности субъекта	До 1 часа	1–6 часов	Более 6 часов
Нарушение транспорта	Местное значение	Региональное	Федеральное
Нарушение связи	Местное значение	Региональное	Федеральное

КиберОснова автоматически рассчитывает критерии значимости и предлагает категорию на основе введённых данных. Модуль категорирования КИИ содержит все пороговые значения ПП-127 и исключает ошибки ручного расчёта.

Этап 5 — Оформление акта категорирования

Структура акта категорирования

Акт категорирования — документ, утверждаемый руководителем субъекта КИИ, фиксирующий результаты работы комиссии. Подробное руководство по оформлению акта, включая образец и примеры заполнения, приведено в статье Акт категорирования объекта КИИ.

Типовой акт включает:

Наименование субъекта КИИ, реквизиты (ИНН, ОГРН, адрес).
Сведения о комиссии (ссылка на приказ, состав).
Наименование и описание объекта КИИ.
Сфера деятельности, к которой относится объект.
Обеспечиваемые критические процессы.
Оценка по каждому из 14 показателей критериев значимости (с обоснованием).
Решение о присвоении (или неприсвоении) категории.
Подписи всех членов комиссии.

Обязательные сведения

Особое внимание — оценке по критериям. Для каждого из 14 показателей необходимо:

указать значение показателя (числовое или качественное);
дать обоснование выбранного значения;
указать, превышает ли значение пороговое для соответствующей категории.

Пропуск оценки хотя бы по одному показателю — основание для возврата ФСТЭК.

Согласование и утверждение акта

Акт подписывается всеми членами комиссии и утверждается руководителем субъекта КИИ. При несогласии отдельных членов комиссии с решением — оформляется особое мнение, прикладываемое к акту.

Этап 6 — Направление сведений во ФСТЭК

Форма направления сведений

Сведения о результатах категорирования направляются во ФСТЭК по форме, утверждённой приказом ФСТЭК № 236. Форма содержит выжимку из акта категорирования:

сведения о субъекте и объекте КИИ;
категория значимости (или информация об отсутствии категории);
основные параметры объекта.

Сроки и порядок направления

10 рабочих дней с момента утверждения акта — срок направления сведений во ФСТЭК.
Сведения направляются в печатном виде по почте или нарочным.
Направляются сведения по каждому объекту КИИ, включая незначимые.

Проверка ФСТЭК: что могут вернуть на доработку

ФСТЭК проверяет полученные сведения в течение 30 дней. Основания для возврата на доработку:

Нарушен порядок категорирования (не создана комиссия, не утверждён перечень).
Оценка проведена не по всем 14 показателям.
Присвоенная категория не соответствует пороговым значениям ПП-127.
Сведения представлены не в полном объёме.
Выявлено занижение категории значимости.

При возврате субъект обязан устранить замечания в 10 рабочих дней и повторно направить сведения.

Внесение в реестр значимых объектов КИИ

Если присвоена категория значимости (1, 2 или 3), ФСТЭК вносит объект в реестр значимых объектов КИИ. После внесения в реестр на объект распространяются требования приказа ФСТЭК № 239 по обеспечению безопасности, включая:

разработку модели угроз;
создание системы безопасности;
применение сертифицированных средств защиты информации;
мониторинг и реагирование на инциденты;
периодическую проверку соответствия.

Типичные ошибки при категорировании КИИ

Занижение категории значимости

Самая распространённая ошибка. Субъекты занижают категорию, чтобы снизить затраты на средства защиты (чем выше категория, тем строже требования по приказу ФСТЭК № 239). ФСТЭК активно проверяет адекватность оценки и возвращает сведения с заниженной категорией на пересмотр.

Пример: энергетическая компания присвоила АСУ ТП электроподстанции категорию 3, хотя отключение подстанции оставит без электричества муниципальное образование (пороговое значение категории 2).

Неполный перечень объектов

Субъект включает в перечень только «очевидные» объекты (АСУ ТП, основные ИС) и «забывает» про вспомогательные (сети передачи данных, системы мониторинга, системы резервного копирования). При проверке ФСТЭК укажет на неполноту.

Ошибки в оценке критериев

Оценка не по всем 14 показателям.
Отсутствие обоснования выбранных значений.
Некорректная оценка масштаба последствий (занижение числа потенциально пострадавших, занижение времени простоя).

Нарушение сроков

Этап	Срок	Частая ошибка
Направление перечня во ФСТЭК	30 рабочих дней после утверждения	Перечень утверждён, но не направлен
Категорирование	1 год с момента утверждения перечня	Затягивание процесса
Направление сведений	10 рабочих дней после утверждения акта	Задержка оформления
Устранение замечаний ФСТЭК	10 рабочих дней	Игнорирование возврата

Автоматизация категорирования КИИ

Инвентаризация активов в SGRC-системе

Ручная инвентаризация десятков и сотен информационных систем — процесс, занимающий недели. SGRC-платформа автоматизирует его:

Единый реестр ИС, ИТКС и АСУ с карточками объектов.
Связи между объектами (какие системы взаимодействуют, какие процессы обеспечивают).
Автоматическое определение сферы КИИ на основе ОКВЭД и описания деятельности.
Формирование перечня объектов КИИ для направления во ФСТЭК.

Автоматический расчёт критериев значимости

Модуль категорирования проводит оценку по всем 14 показателям:

встроенные пороговые значения из ПП-127 (все редакции);
калькулятор критериев — ввод данных о последствиях, автоматическое определение категории;
контроль полноты — система не позволяет завершить оценку, если хотя бы один показатель не оценён;
формирование обоснования для каждого показателя.

Формирование документации в КиберОснова

Платформа КиберОснова формирует полный пакет документов по категорированию:

Приказ о создании комиссии — шаблон с автозаполнением.
Перечень объектов КИИ — на основе данных инвентаризации.
Акт категорирования — генерируется автоматически по результатам оценки, с обоснованием по каждому показателю.
Протокол заседания комиссии — фиксация хода обсуждения и решений.
Сведения о результатах категорирования — по форме ФСТЭК № 236, готовые к направлению.

Автоматизация сокращает срок категорирования с нескольких месяцев до нескольких недель и исключает типичные ошибки: неполную оценку показателей, неверные пороговые значения, нарушение структуры документов.

Связь с модулем БДУ ФСТЭК обеспечивает анализ угроз для значимых объектов КИИ — следующий обязательный шаг после категорирования. Для анализа актуальных угроз используйте реестр БДУ ФСТЭК.

Запросите демо платформы КиберОснова и посмотрите, как автоматизировать полный цикл категорирования КИИ — от инвентаризации до акта.

Категорирование объектов КИИ: полная инструкция по 187-ФЗ и ПП №127

Часто задаваемые вопросы