Что будет, если не подать акт категорирования в ФСТЭК?

За непредставление сведений о результатах категорирования в ФСТЭК России предусмотрена административная ответственность. Кроме того, без присвоенной категории объект формально не защищён в соответствии с 187-ФЗ, что создаёт правовые и репутационные риски. Срок подачи акта — 10 дней с момента его утверждения.

Что такое незначимый объект КИИ?

Незначимый объект КИИ — объект, которому по итогам категорирования не присвоена ни одна из трёх категорий значимости. Тем не менее субъект КИИ обязан провести категорирование и направить в ФСТЭК акт с указанием «категория не присвоена». Требования по защите для незначимых объектов значительно ниже.

Как часто пересматривается категория значимости?

Категория значимости пересматривается не реже одного раза в 5 лет. Внеплановый пересмотр проводится при изменении функций объекта, его архитектуры или при изменении нормативных документов, которые влияют на показатели критичности.

Нужен ли аттестат соответствия для значимого объекта КИИ?

Приказ ФСТЭК №239 не требует обязательной аттестации для объектов КИИ — в отличие от ГИС. Вместо этого субъект обязан обеспечить соответствие мерам защиты по приказу №239 и допускает проведение оценки соответствия в форме испытаний или приёмки.

Что такое ГосСОПКА и обязательно ли к ней подключаться?

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Субъекты КИИ, имеющие значимые объекты, обязаны подключиться к ГосСОПКА и незамедлительно информировать НКЦКИ об инцидентах в значимых объектах.

Какова ответственность за нарушения в отношении значимых объектов КИИ?

Уголовная ответственность по ст. 274.1 УК РФ: неправомерное воздействие на КИИ — до 10 лет лишения свободы, нарушение правил эксплуатации — до 6 лет. Административная ответственность: штрафы до 500 тыс. руб. для юридических лиц. С 2025 года размеры штрафов существенно увеличены.

Глоссарий ИБ

Значимый объект КИИ: определение, категории значимости и обязанности субъектов

Значимый объект КИИ — объект критической инфраструктуры с присвоенной категорией (1, 2 или 3). Субъект обязан обеспечить защиту по приказу ФСТЭК №239 и подключиться к ГосСОПКА.

Попробовать КиберОснова Все термины

Что такое значимый объект КИИ

Значимый объект КИИ — объект критической информационной инфраструктуры, которому по результатам категорирования присвоена одна из трёх категорий значимости (1, 2 или 3). Понятие введено 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Объекты КИИ, которым при категорировании не присвоена ни одна категория, называются «незначимыми». Для них требования по защите значительно ниже, однако обязанность провести категорирование и подать акт в ФСТЭК сохраняется.

Критерии значимости и три категории

Категория значимости присваивается на основе оценки возможных последствий инцидента в пяти сферах: социальная, экономическая, политическая, экологическая и оборонная.

Категория	Масштаб последствий	Требования по приказу №239
1 (высшая)	Федеральный уровень, критические отрасли	Базовые + усиленные меры
2	Региональный уровень, значимые отрасли	Базовые + дополнительные меры
3	Местный уровень, локальные отрасли	Базовые меры защиты

Как объект получает статус значимого

Процедура категорирования регулируется Постановлением Правительства РФ №127. Пошаговая инструкция по категорированию КИИ:

Создание постоянно действующей комиссии по категорированию
Инвентаризация и составление перечня объектов КИИ
Оценка показателей критичности по каждому объекту
Составление и подписание акта категорирования
Направление сведений в ФСТЭК России в течение 10 дней
Включение в реестр значимых объектов КИИ

Обязанности субъекта КИИ после присвоения категории

Создать систему безопасности значимого объекта КИИ по приказу ФСТЭК №239
Подключиться к ГосСОПКА (НКЦКИ) для обмена данными об инцидентах
Информировать НКЦКИ о компьютерных инцидентах незамедлительно
Проводить оценку соответствия системы безопасности требованиям
Реагировать на инциденты по утверждённым планам
Пересматривать категорию не реже одного раза в 5 лет

Автоматизация категорирования КИИ в КиберОснова — ведение перечня объектов, расчёт показателей, формирование акта по утверждённой форме.

Ответственность за нарушения

Ст. 274.1 УК РФ: неправомерное воздействие на КИИ — до 10 лет лишения свободы
Ст. 274.1 УК РФ: нарушение правил эксплуатации значимых объектов — до 6 лет
КоАП РФ: административные штрафы за непредставление сведений — до 500 тыс. руб.
С 2025 года: ужесточение санкций и расширение перечня нарушений

Вопросы о значимых объектах КИИ

Связанные разделы

Автоматизируйте выполнение требований по значимым объектам КИИ

КиберОснова: категорирование КИИ, система безопасности по приказу №239, взаимодействие с ГосСОПКА — в одной платформе.