Создание комиссии по категорированию --- обязательный первый шаг процедуры категорирования объектов КИИ. Без комиссии результаты категорирования юридически недействительны, а организация рискует получить предписание ФСТЭК и административные штрафы. Пункт 11 постановления Правительства No 127 (ПП-127) прямо устанавливает требование о формировании комиссии и определяет её минимальный состав. В этой статье разбираем: кого включить в комиссию, как оформить приказ и положение, как организовать работу от первого заседания до акта категорирования. Приводим образцы ключевых документов.
Зачем нужна комиссия по категорированию КИИ
Категорирование объектов КИИ --- процедура, затрагивающая несколько направлений деятельности организации: информационные технологии, информационную безопасность, основные бизнес-процессы, юридические аспекты. Решение о присвоении категории значимости не может быть принято одним специалистом --- оно требует коллегиальной оценки.
Требования ПП-127 к организации категорирования
ПП-127 устанавливает следующий порядок:
- Руководитель субъекта КИИ создаёт комиссию по категорированию (п. 11).
- Комиссия определяет процессы, объекты КИИ, оценивает критерии значимости и присваивает категории.
- Результаты оформляются актом категорирования.
- Сведения направляются во ФСТЭК в 10-дневный срок.
Комиссия --- не формальность. ФСТЭК при проверках запрашивает приказ о создании комиссии, положение, протоколы заседаний. Отсутствие любого из этих документов --- основание для замечания.
Роль комиссии в процессе категорирования
Комиссия выполняет следующие функции:
- Определение процессов. Выявление управленческих, технологических, производственных и иных процессов, обеспечиваемых субъектом КИИ.
- Выявление критических процессов. Определение процессов, нарушение или прекращение которых может привести к негативным социальным, экономическим, экологическим последствиям или угрозе обороноспособности.
- Определение объектов КИИ. Составление перечня ИС, ИТКС и АСУ, обеспечивающих критические процессы.
- Оценка критериев значимости. Расчёт показателей по 14 критериям ПП-127 для каждого объекта.
- Присвоение категорий. Определение категории значимости (1-я, 2-я, 3-я) или отсутствия необходимости присвоения.
- Оформление результатов. Подготовка акта категорирования и сведений для ФСТЭК.
Ответственность за категорирование без комиссии
Категорирование без создания комиссии --- нарушение установленного порядка. Последствия:
- Административная ответственность (ст. 19.7.15 КоАП) --- штраф на должностных лиц 10 000--50 000 руб., на юрлиц 50 000--100 000 руб.
- Признание результатов недействительными --- ФСТЭК вправе не принять сведения о категорировании и потребовать повторное проведение процедуры.
- Предписание ФСТЭК --- обязание устранить нарушения в установленный срок.
На практике наиболее болезненное последствие --- необходимость повторного категорирования, которое занимает от 1 до 6 месяцев.
Состав комиссии по категорированию
Правильный подбор состава комиссии --- залог качественного категорирования. ПП-127 устанавливает минимальные требования, но на практике целесообразно расширить состав для обеспечения полноты оценки.
Обязательные участники по ПП-127
Согласно п. 11 ПП-127, в состав комиссии включаются:
| Роль | Кто обычно назначается | Зона ответственности |
|---|---|---|
| Председатель комиссии | Руководитель или заместитель руководителя | Общее руководство, утверждение решений |
| Ответственный за безопасность КИИ | Начальник отдела ИБ / CISO | Оценка угроз, определение мер защиты |
| Специалист по защите информации | Инженер ИБ | Техническая экспертиза, анализ уязвимостей |
| Специалист, эксплуатирующий объекты КИИ | Начальник ИТ-отдела / системный администратор | Описание архитектуры, зависимостей, времени восстановления |
Эти четыре роли --- минимум, определённый ПП-127. Одно лицо может совмещать несколько ролей, но общее количество членов комиссии не может быть менее трёх.
Рекомендуемый состав для крупных организаций
Для организаций с численностью свыше 500 сотрудников и сложной ИТ-инфраструктурой рекомендуемый состав --- 5--7 человек:
- Председатель --- заместитель генерального директора / директор по ИТ
- Заместитель председателя --- директор по ИБ / CISO
- Секретарь --- специалист по ИБ (ведение протоколов, координация)
- Член комиссии --- ИТ --- руководитель ИТ-подразделения
- Член комиссии --- владелец процессов --- руководитель ключевого бизнес-подразделения
- Член комиссии --- юрист --- специалист юридического отдела
- Член комиссии --- финансы --- представитель финансового подразделения (для оценки экономических критериев)
Минимальный состав для малых организаций
Для организаций с численностью до 50 сотрудников, где нет выделенного ИБ-подразделения:
- Председатель --- руководитель организации (генеральный директор)
- Член комиссии --- системный администратор / ответственный за ИТ
- Член комиссии --- руководитель подразделения, использующего основные ИС
Три человека --- минимум, установленный ПП-127. При этом экспертизу в области ИБ можно компенсировать привлечением внешних специалистов.
Привлечение внешних экспертов
ПП-127 допускает включение в комиссию:
- Представителей ФСТЭК и ФСБ --- по согласованию с соответствующими ведомствами. На практике встречается редко --- ведомства, как правило, не выделяют своих представителей для участия в комиссиях.
- Сотрудников организаций-лицензиатов ФСТЭК --- наиболее распространённый вариант привлечения внешней экспертизы. Лицензиат обеспечивает компетенции в области ИБ, которых не хватает внутри организации.
Привлечение внешних экспертов не снимает ответственности с субъекта КИИ. Решения комиссии --- ответственность организации, даже если в их подготовке участвовали внешние консультанты.
Приказ о создании комиссии по категорированию КИИ (образец)
Приказ --- основной распорядительный документ, без которого деятельность комиссии не имеет юридической силы.
Структура приказа
Приказ должен содержать следующие элементы:
- Реквизиты организации --- наименование, ИНН, юридический адрес
- Номер и дата --- регистрация в журнале внутренних распорядительных документов
- Основание --- ссылка на 187-ФЗ и ПП-127
- Распорядительная часть --- создание комиссии, утверждение состава
- Состав комиссии --- поимённый перечень с указанием должностей и ролей в комиссии
- Задачи комиссии --- перечень задач (определение объектов КИИ, оценка критериев, присвоение категорий)
- Сроки --- срок выполнения работ по категорированию
- Ответственность --- возложение ответственности за исполнение
- Подпись руководителя --- собственноручная подпись с расшифровкой
Образец приказа (шаблон)
ПРИКАЗ No ___
«О создании комиссии по категорированию объектов критической информационной инфраструктуры»
г. __________ «___» __________ 2026 г.
В соответствии с Федеральным законом от 26.07.2017 No 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и постановлением Правительства Российской Федерации от 08.02.2018 No 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации»
ПРИКАЗЫВАЮ:
Создать комиссию по категорированию объектов критической информационной инфраструктуры ООО «___________» в следующем составе:
- Председатель комиссии --- [ФИО], [должность]
- Заместитель председателя --- [ФИО], [должность]
- Секретарь комиссии --- [ФИО], [должность]
- Член комиссии --- [ФИО], [должность]
- Член комиссии --- [ФИО], [должность]
Комиссии в срок до «___» __________ 2026 г.:
- определить перечень процессов деятельности организации;
- выявить критические процессы;
- определить объекты КИИ, подлежащие категорированию;
- провести оценку показателей критериев значимости;
- присвоить категории значимости объектам КИИ;
- оформить акт категорирования и сведения для направления во ФСТЭК России.
Утвердить Положение о комиссии по категорированию (Приложение No 1).
Контроль исполнения приказа оставляю за собой.
Генеральный директор _________________ / ФИО /
Типичные ошибки в приказе
Ошибка 1: Отсутствие ссылки на ПП-127. Указание только 187-ФЗ без ПП-127 --- формальный недостаток, на который обращают внимание при проверках.
Ошибка 2: Указание ролей без привязки к должностям. «Председатель --- Иванов И.И.» без указания должности --- усложняет идентификацию при кадровых изменениях.
Ошибка 3: Отсутствие конкретных сроков. Формулировка «в кратчайшие сроки» не является сроком. ПП-127 устанавливает 1 год на категорирование с момента утверждения перечня объектов.
Ошибка 4: Отсутствие задач комиссии. Приказ, который создаёт комиссию, но не определяет её задачи, --- неполноценный документ.
КиберОснова автоматически формирует приказ о создании комиссии, положение и протоколы заседаний на основе введённых данных. Подробнее --- в модуле документов ИБ.
Положение о комиссии по категорированию (образец)
Положение --- документ, детализирующий порядок работы комиссии. Его оформление не обязательно по ПП-127, но настоятельно рекомендуется --- положение структурирует работу и снимает вопросы о полномочиях.
Общие положения
Раздел «Общие положения» должен включать:
- Назначение комиссии и правовые основания её создания
- Перечень нормативных документов, которыми руководствуется комиссия (187-ФЗ, ПП-127, приказы ФСТЭК)
- Период действия комиссии (постоянно действующая или на период категорирования)
Рекомендуется формировать постоянно действующую комиссию --- это упрощает пересмотр категорий, который требуется не реже одного раза в 5 лет.
Задачи и полномочия комиссии
Перечень задач из ПП-127:
- Определение перечня процессов деятельности субъекта КИИ
- Выявление критических процессов
- Определение объектов КИИ, обеспечивающих критические процессы
- Оценка показателей критериев значимости для каждого объекта
- Присвоение категории значимости или решение об отсутствии необходимости присвоения
- Подготовка акта категорирования
- Подготовка сведений для направления во ФСТЭК
- Пересмотр категорий в установленных случаях
Полномочия комиссии:
- Запрашивать информацию у подразделений организации
- Привлекать экспертов и специалистов
- Получать доступ к документации информационных систем
- Принимать решения о категорировании, обязательные для организации
Порядок работы комиссии
В положении целесообразно зафиксировать:
- Периодичность заседаний (например, не реже одного раза в месяц в период категорирования)
- Порядок созыва внеочередных заседаний
- Кворум для принятия решений (рекомендуется --- не менее 2/3 состава)
- Порядок голосования (открытое голосование, простое большинство)
- Порядок оформления особых мнений
Порядок принятия решений
- Решения принимаются простым большинством голосов присутствующих членов
- При равенстве голосов голос председателя является решающим
- Каждое решение оформляется протоколом
- Член комиссии, не согласный с решением, вправе приложить к протоколу особое мнение
Образец Положения
Положение обычно включает 5--7 разделов:
| Раздел | Содержание |
|---|---|
| 1. Общие положения | Цель, основания, термины |
| 2. Состав комиссии | Роли, порядок замены |
| 3. Задачи и полномочия | Перечень задач, права |
| 4. Порядок работы | Заседания, кворум, голосование |
| 5. Оформление результатов | Протоколы, акты, сведения |
| 6. Ответственность | Персональная ответственность членов |
| 7. Заключительные положения | Порядок внесения изменений |
Порядок работы комиссии: от первого заседания до акта
Работа комиссии --- это последовательность заседаний, каждое из которых решает конкретную задачу. Типичный цикл для средней организации --- 3--5 заседаний в течение 2--4 месяцев.
Первое заседание: определение плана работ
На первом заседании комиссия:
- Утверждает план-график категорирования
- Распределяет зоны ответственности между членами
- Определяет перечень процессов деятельности организации
- Назначает сроки для сбора информации об ИС, ИТКС и АСУ
Результат: протокол с утверждённым планом работ.
Инвентаризация и определение объектов КИИ
Второй этап --- формирование перечня объектов КИИ:
- Сбор информации обо всех ИС, ИТКС и АСУ организации
- Определение, какие из них обеспечивают критические процессы
- Фиксация технических характеристик: архитектура, пользователи, интеграции
- Определение владельцев каждого объекта
Для систематической инвентаризации рекомендуется использовать автоматизированные инструменты, которые обеспечивают полноту и структурированность данных.
Оценка критериев значимости
Ключевой этап работы комиссии. По каждому объекту КИИ оцениваются 14 показателей из ПП-127:
- Социальные --- причинение вреда жизни и здоровью людей, нарушение работы объектов жизнеобеспечения
- Политические --- нарушение государственного управления
- Экономические --- прямой и косвенный экономический ущерб
- Экологические --- причинение вреда окружающей среде
- Оборонные --- влияние на обороноспособность
Для каждого показателя определяется, превышает ли потенциальный ущерб пороговые значения для 3-й, 2-й или 1-й категории.
Принятие решения о присвоении категории
Категория определяется по наивысшему из превышенных пороговых значений. Если ни один показатель не достигает порога 3-й категории --- объект фиксируется без категории значимости.
Варианты решений комиссии:
- Присвоить 1-ю категорию значимости (критический объект)
- Присвоить 2-ю категорию значимости
- Присвоить 3-ю категорию значимости
- Определить отсутствие необходимости присвоения категории
Оформление результатов
По итогам работы комиссия формирует:
- Акт категорирования --- по каждому объекту КИИ, с обоснованием присвоенной категории
- Сведения о результатах категорирования --- по форме, утверждённой приказом ФСТЭК No 236, для направления во ФСТЭК
- Итоговый протокол --- с решениями комиссии по всем объектам
Сведения направляются во ФСТЭК в 10-дневный срок с момента утверждения акта. ФСТЭК проверяет сведения в течение 30 дней и при отсутствии замечаний вносит объекты в реестр значимых объектов КИИ.
Координируйте работу комиссии в единой системе --- все документы, сроки и задачи в одном месте. Подробнее --- на странице категорирования КИИ.
Протокол заседания комиссии (образец)
Протокол --- документ, фиксирующий ход заседания и принятые решения. Каждое заседание комиссии оформляется отдельным протоколом.
Обязательные элементы протокола
- Номер протокола и дата заседания
- Список присутствующих членов комиссии (с указанием ролей)
- Список приглашённых лиц (если есть)
- Повестка дня
- Ход обсуждения по каждому вопросу
- Принятые решения с результатами голосования
- Подписи председателя и секретаря
Образец протокола заседания
Протокол оформляется по стандартной форме: наименование организации, номер и дата, список присутствующих с ролями, повестка дня, по каждому вопросу --- «Слушали / Решили», результаты голосования, подписи председателя и секретаря. Ключевое --- в разделе «Решили» зафиксировать конкретное решение: «Присвоить объекту КИИ [наименование] 3-ю категорию значимости на основании показателя [наименование] --- [обоснование]».
Протоколы хранятся у секретаря комиссии не менее 5 лет (период между пересмотрами категорий). На практике целесообразно хранить бессрочно --- они потребуются при проверках ФСТЭК. Для контроля выполнения решений комиссии используйте модуль аудита ИБ.
Изменение состава комиссии и пересмотр категорий
Комиссия --- не разовый орган. После завершения первичного категорирования она продолжает действовать для целей пересмотра.
Когда нужно менять состав комиссии
Основания для изменения состава:
- Увольнение члена комиссии --- необходимо назначить замену приказом
- Перевод на другую должность --- если новая должность не соответствует роли в комиссии
- Организационные изменения --- реструктуризация, создание или упразднение подразделений
- Дополнение состава --- при расширении перечня объектов КИИ может потребоваться привлечение новых специалистов
Приказ об изменении состава
Изменение оформляется отдельным приказом: «О внесении изменений в приказ от [дата] No [номер] «О создании комиссии по категорированию объектов КИИ»». В приказе указывается:
- Кто выводится из состава комиссии (с указанием причины)
- Кто включается в состав (с указанием должности и роли)
- Дата вступления изменений в силу
Периодический пересмотр (раз в 5 лет)
ПП-127 устанавливает обязательный пересмотр категорий не реже одного раза в 5 лет. Кроме того, внеплановый пересмотр проводится при:
- Изменении показателей критериев значимости (например, увеличение количества пользователей системы)
- Создании новых объектов КИИ
- Получении предписания ФСТЭК
- Возникновении компьютерного инцидента на объекте КИИ
Для каждого пересмотра комиссия проводит полный цикл оценки: от анализа процессов до оформления акта.
Автоматизация работы комиссии в SGRC-системе
Работа комиссии включает значительный объём документирования, координации и контроля сроков. SGRC-система позволяет автоматизировать рутинные операции и сосредоточиться на содержательной оценке.
КиберОснова автоматически генерирует все документы комиссии: приказ о создании, положение, протоколы заседаний, акты категорирования и сведения для ФСТЭК по утверждённой форме. Система отслеживает сроки категорирования (1 год по ПП-127), контролирует 10-дневный срок направления сведений во ФСТЭК, напоминает о пересмотре категорий за 90 дней до истечения 5-летнего периода.
Все этапы работы комиссии выполняются в единой платформе. Члены комиссии работают в общем пространстве: видят текущий статус, назначенные задачи, сроки. Секретарь формирует протоколы в несколько кликов, а не набирает их вручную.
Итоги
Комиссия по категорированию --- не формальная структура, а рабочий орган, от качества работы которого зависит корректность категорирования и, как следствие, уровень защищённости объектов КИИ. Три ключевых вывода:
-
Создание комиссии обязательно. Без приказа, состава и протоколов результаты категорирования юридически недействительны. Минимальный состав --- 3 человека, рекомендуемый --- 5--7.
-
Документация --- не опция. Приказ о создании, положение о комиссии, протоколы заседаний --- документы, которые проверяет ФСТЭК. Образцы в статье можно адаптировать под специфику организации.
-
Комиссия действует постоянно. После первичного категорирования комиссия обеспечивает пересмотр категорий (минимум раз в 5 лет), оценку новых объектов и реагирование на изменения.
Если вы начинаете процесс категорирования или модернизируете существующий --- запросите демо КиберОснова. Покажем, как платформа упрощает работу комиссии: от формирования приказа до направления сведений во ФСТЭК.
FAQ
Как долго действует приказ о создании комиссии по категорированию? Приказ о создании комиссии действует бессрочно, если в нём не указана иная дата. Однако при изменении состава комиссии (увольнение, перевод, назначение нового сотрудника) необходимо издать новый приказ или дополнение к существующему. Рекомендуется пересматривать состав комиссии ежегодно при подготовке к плановому контролю сроков категорирования.
Может ли один и тот же сотрудник входить в комиссии по разным объектам КИИ? Да, один специалист может быть членом нескольких комиссий по категорированию разных объектов КИИ. Это распространённая практика в небольших организациях с ограниченным штатом ИБ-специалистов. Важно, чтобы в каждой комиссии обеспечивалось необходимое число участников и требуемая экспертиза по профилю рассматриваемого объекта.
