Что такое категорирование объектов КИИ?

Категорирование КИИ — процесс определения степени значимости объекта КИИ (информационной системы, АСУ ТП, ИТС) путём оценки последствий компьютерного инцидента. По результатам объекту присваивается 1, 2 или 3 категория значимости. Регулируется Постановлением Правительства №127 от 08.02.2018.

Каковы сроки категорирования КИИ?

Субъект КИИ обязан провести категорирование в течение 1 года с момента появления объекта КИИ или с момента признания организации субъектом КИИ. Результаты направляются во ФСТЭК России в течение 10 дней после утверждения акта категорирования комиссией.

Сколько категорий значимости КИИ?

Три категории значимости: 1 категория — наиболее высокая (максимальные требования по приказу ФСТЭК №239); 2 категория — средняя; 3 категория — базовая. Если последствия инцидента не достигают пороговых значений ни по одному критерию — объект признаётся «не значимым» (категория не присваивается).

По каким критериям присваивается категория?

Оценка проводится по пяти критериям: социальный (нарушение жизнеобеспечения населения), политический (ущерб государственным интересам), экономический (финансовый ущерб), экологический (загрязнение окружающей среды), оборонный (ущерб обороноспособности). По каждому критерию установлены пороговые показатели для 1, 2 и 3 категории.

Что изменилось в категорировании КИИ с 01.09.2025?

Федеральный закон 58-ФЗ от 07.04.2025 внёс изменения в 187-ФЗ: ИП исключены из числа субъектов КИИ; введены отраслевые перечни объектов КИИ — Правительство РФ утверждает типовые перечни для каждой из 13 отраслей, упрощая самоидентификацию; расширен контроль ГосСОПКА на значимые объекты всех категорий.

Что будет, если не провести категорирование?

Непроведение категорирования является нарушением 187-ФЗ. Ответственность: административные штрафы (КоАП РФ ст. 13.12.1), предписания ФСТЭК России, приостановление деятельности систем. Кроме того, без категорирования невозможно выполнить требования по защите значимых объектов КИИ и подключиться к ГосСОПКА.

Как автоматизировать категорирование КИИ?

SGRC-платформа КиберОснова автоматизирует полный цикл: ведение перечня объектов КИИ, расчёт показателей критичности по каждому из 5 критериев, формирование акта категорирования по утверждённой ФСТЭК форме, контроль сроков направления сведений во ФСТЭК, хранение истории изменений.

Глоссарий ИБ

Категорирование КИИ: порядок, критерии и сроки

Категорирование объектов критической информационной инфраструктуры — обязательный процесс для субъектов КИИ. По результатам присваивается 1, 2 или 3 категория значимости, от которой зависят требования ФСТЭК.

Автоматизировать категорирование Все термины

Что такое категорирование КИИ

Категорирование объектов КИИ — установленный Федеральным законом №187-ФЗ процесс определения степени значимости каждого объекта критической информационной инфраструктуры. Порядок категорирования определён Постановлением Правительства №127 от 08.02.2018.

По результатам категорирования объекту присваивается категория значимости (1, 2 или 3) либо делается вывод о её отсутствии. Категория определяет, какие требования приказа ФСТЭК №239 должны быть выполнены для защиты объекта.

Три категории значимости КИИ

Категория 1 (наивысшая) — максимальные последствия инцидента: сотни тысяч пострадавших, ущерб свыше 1 млрд руб., угроза обороноспособности страны. Требования: все меры группы 1 по приказу ФСТЭК №239, класс СЗИ не ниже 4.
Категория 2 (средняя) — значительные, но ограниченные последствия: десятки тысяч пострадавших, ущерб от 50 млн до 1 млрд руб. Меры группы 2 по приказу №239.
Категория 3 (базовая) — локальные последствия: тысячи пострадавших, ущерб до 50 млн руб. Меры группы 3 по приказу №239.
Категория не присвоена — последствия инцидента не достигают порогов ни по одному критерию. Базовые требования 187-ФЗ соблюдать всё равно необходимо.

Пять критериев оценки для категорирования

Категория значимости определяется по наивысшему показателю из пяти критериев:

Социальный критерий — нарушение жизнеобеспечения населения: число пострадавших граждан, нарушение работы систем здравоохранения, транспорта, связи
Политический критерий — ущерб государственным интересам РФ: нарушение управления страной, дискредитация органов власти
Экономический критерий — финансовый ущерб: прямой ущерб субъекту КИИ и государству в рублёвом выражении
Экологический критерий — загрязнение окружающей среды: нарушение санитарно-эпидемиологических норм, ущерб природным объектам
Оборонный критерий — ущерб обороноспособности РФ: нарушение функционирования систем вооружения и военного управления

Итоговая категория присваивается по наивысшему значению среди всех критериев. Если хотя бы по одному критерию объект соответствует категории 1 — объект относится к категории 1.

Порядок и сроки категорирования

Шаг 1: Формирование комиссии по категорированию — приказом руководителя субъекта КИИ, в составе не менее 3 человек
Шаг 2: Определение перечня объектов КИИ — инвентаризация всех ИС, АСУ ТП, ИТС организации
Шаг 3: Оценка последствий по каждому из 5 критериев для каждого объекта
Шаг 4: Присвоение категории значимости (1/2/3) или вынесение решения об отсутствии значимости
Шаг 5: Оформление акта категорирования по установленной ФСТЭК форме
Шаг 6: Утверждение акта руководителем и направление сведений во ФСТЭК России в течение 10 дней
Срок проведения: 1 год с момента появления объекта или признания субъектом КИИ
Периодический пересмотр: не реже 1 раза в 5 лет или при изменении объекта

Изменения в категорировании КИИ с 01.09.2025 (58-ФЗ)

Федеральный закон 58-ФЗ от 07.04.2025 внёс существенные изменения в 187-ФЗ. Подробный разбор — в статье «Реформа КИИ: 58-ФЗ — 7 ключевых изменений». Ключевые поправки, влияющие на категорирование:

ИП исключены из числа субъектов КИИ — индивидуальные предприниматели больше не обязаны проводить категорирование
Отраслевые перечни объектов КИИ — Правительство РФ утверждает типовые перечни для каждой из 13 отраслей, что упрощает самоидентификацию субъектов
Расширение контроля ГосСОПКА — все субъекты значимых объектов КИИ (1–3 категории) обязаны взаимодействовать с НКЦКИ
Требование использования российского ПО — на значимых объектах КИИ устанавливается приоритет российского ПО и оборудования

Вопросы о категорировании КИИ

Связанные разделы

Автоматизируйте категорирование КИИ

КиберОснова ведёт перечень объектов КИИ, рассчитывает критичность по 5 критериям, формирует акт категорирования по форме ФСТЭК.