Как определяется категория значимости объекта КИИ?

Категория присваивается исходя из возможных последствий компьютерных инцидентов: социальных, политических, экономических, экологических и связанных с обороной. Комиссия оценивает критерии значимости и принимает решение: первая, вторая, третья категория или ее отсутствие.

Что анализируется в ходе работ по категорированию?

Анализируются критические процессы, состав оборудования, применяемые средства защиты информации, права доступа и возможные последствия инцидентов. Это необходимо для принятия решения по категории и обеспечения безопасности объектов.

Можно ли не переплачивать за защиту при категорировании?

Да. Цель категорирования — правильно определить необходимый уровень средств защиты, а не завысить бюджет. Оцениваем нужные меры мониторинга, контроля и реагирования соразмерно масштабу и категории объекта.

Когда нужен пересмотр категории значимости?

Пересмотр нужен при изменении назначения системы, внедрении нового оборудования, расширении обмена информацией, изменении средств защиты или после компьютерных атак, а также при вступлении в силу новых требований ФСТЭК.

Где заказать услугу категорирования КИИ?

Услуга доступна для организаций по всей России. Оставьте заявку на сайте: уточним состав систем, покажем примеры реализованных проектов и подготовим коммерческое предложение под вашу отрасль и масштаб.

IT-интегратор
Категорирование КИИ

Категорирование КИИ

Q: Кому нужно категорирование объектов КИИ?

Категорирование нужно организациям в сфере связи, транспорта, энергетики, здравоохранения, науки, банковской сферы и других отраслей, если их системы влияют на жизнедеятельность населения, обороноспособность или экономику России.

Q: На каких правилах основано категорирование?

Правила установлены 187-ФЗ, постановлением Правительства РФ №127, постановлением Правительства РФ №1762, а также приказами ФСТЭК №235, №236 и №239. Учитываются перечни типовых отраслевых объектов и фактическая ситуация в организации.

Q: Какие документы готовятся для ФСТЭК России?

Для ФСТЭК готовятся перечень объектов КИИ, акт категорирования, сведения о результатах, расчет критериев значимости и материалы для внутреннего согласования. Документы оформляются по форме, установленной приказом ФСТЭК №236.

Проводим категорирование объектов критической информационной инфраструктуры под ключ: определяем объекты КИИ, рассчитываем категории значимости, готовим перечень и сведения для ФСТЭК, помогаем пройти процедуру без лишних затрат на защиту.

Получить предварительную оценку

Заказать

Категорирование КИИ для отраслей

Работаем с организациями, где нарушение информационной безопасности может затронуть людей, производство, государственные функции, транспорт, связь, энергетику и устойчивость бизнес-процессов.

Связь и операторы связи

сети связи, телекоммуникационные сервисы, интернет-платформы и ресурсы взаимодействия с клиентами

Здравоохранение

медицинские учреждения, лаборатории, регистратуры, ИС обработки персональных данных и системы доступа к информации

Транспорт

логистические центры, перевозчики, диспетчерские системы управления и сервисы мониторинга транспорта

Энергетика

атомная энергетика, энергетический комплекс, топливно энергетического комплекс и объекты распределения энергии

Оборонный комплекс

предприятия обороны, производства, режимные объекты и процессы, важные для безопасности государства и правопорядка

Наука и образование

учреждения науки, исследовательские центры, технологические лаборатории и проекты с использованием государственной поддержки

Финансовая сфера

банки, платежные сервисы и системы обработки данных клиентов

Промышленность

предприятия металлургической, химической и горнодобывающей отрасли, предприятия химической промышленности, ракетно-космическая промышленность, АСУ ТП и контуры промышленного управления

Государственная и муниципальная сфера

органы государственной власти, государственные корпорации, организации, обеспечивающие выполнение функций и предоставление услуг

Требования к категорированию КИИ

Мы не переносим на страницу сухую статью закона, а переводим требования в понятный порядок работ, документов и решений для вашей организации

Федеральный закон от 26 июля 2017 года №187-ФЗ

устанавливает основы безопасности критической информационной инфраструктуры Российской Федерации и обязанности субъекта критической информационной инфраструктуры.

Постановление правительства РФ №127 от 8 февраля 2018 года

утверждает правила категорирования, перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и значения таких показателей.

Постановление правительства РФ №1762 от 7 ноября 2025 года

внесло изменения в правила: с учетом перечней типовых отраслевых объектов, отраслевых особенностей, исходных данных и полномочий комиссии.

Приказ ФСТЭК №236 от 22 декабря 2017 года

закрепляет форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения такой категории.

Приказ ФСТЭК №235 от 21 декабря 2017 года

описывает создание систем безопасности значимых объектов критической информационной инфраструктуры и требования к их функционированию.

Приказ ФСТЭК №239 от 25 декабря 2017 года

определяет требования по обеспечению безопасности значимых объектов КИИ, включая организационные и технические меры защиты информации.

Наши кейсы

Категорирование объектов КИИ в энергетике

Проблема и решение:

У компании были распределенные площадки, несколько контуров управления и неодинаковая редакцию внутренних документов. Мы провели аудит, сформировали перечень объектов КИИ, описали используемые ресурсы, рассчитали критерии значимости и подготовили сведения для ФСТЭК.

Команда: 6 специалистов

Срок: 1 месяц

Результат:

Заказчик получил согласованный внутри организации перечень, акт категорирования, рекомендации по созданию системы защиты и прозрачный план выполнения обязательных мероприятий.

Категорирование КИИ для оператора связи

Проблема и решение:

Нарушение связи могло затронуть клиентов и договорные обязательства. Мы выделили критические процессы, описали телекоммуникационные сети, подготовили перечень типовых отраслевых объектов, оценили последствия инцидентов и помогли оформить сведения об объекте.

Команда: 5 специалистов

Срок: 1 месяц

Результат:

Организация получила обоснованное решение по категории, перечень значимых объектов и порядок дальнейшего обеспечения безопасности

Категорирование КИИ для учреждения здравоохранения

Проблема и решение:

Нужно было определить, какие системы действительно участвуют в критически важных процессах, а какие относятся к обычной корпоративной инфраструктуре. Мы провели интервью, проверили права доступа, описали обработку информации, рассчитали влияние на оказание медицинской помощи и подготовили акт.

Команда: 4 специалиста

Срок: 1 месяц

Результат:

Учреждение получило документы для направления в ФСТЭК, понятную карту рисков и рекомендации по организационным и техническим мерам защиты.

Форматы сотрудничества

Услуга под ключ

Подходит, если нужно провести категорирование объектов КИИ от начала до результата. Мы берем на себя обследование, документы, расчет категории значимости, сведения для ФСТЭК, рекомендации по обеспечению безопасности и сопровождение вопросов после подачи.

Аутстаффинг КИИ

Подходит, если у организации уже есть специалисты ИБ, но нужен эксперт по правилам категорирования, отраслевых особенностей и требованиям ФСТЭК. Эксперт помогает комиссии, проверяет документы, обучает ответственных лиц и снижает риски ошибок.

Нам доверяют

Работаем с компаниями и учреждениями, для которых нарушение доступа к информации, остановка производства, сбой связи или ошибка в документах КИИ может привести к ущербу, проверкам и потере устойчивости.

Получить аудит КИИ

Проверим, есть ли у организации признаки субъекта КИИ, какие объекты критической информационной инфраструктуры нужно включить в перечень и какие документы потребуются для корректного начала процедуры.

Как мы проводим категорирование

Усиливаем сильных сильными

Без лишней паники

Сначала определяем фактический статус субъекта КИИ, а не начинаем с большого перечня документов. Это помогает компании понять объем обязательств и избежать лишних расходов.

Смотрим на процессы

Анализируем не только серверы и программы, а критические процессы, производственные цепочки, системы управления, автоматизированные системы, телекоммуникационные сети и влияние нарушения на деятельность.

Разделяем важное и обычное

Не каждые ИС, АС или ресурс сайта является объектом КИИ. Мы выявляем такие объекты, которые действительно относятся к критической информационной инфраструктуре и подлежат категорированию.

Работаем с доказательствами

В расчет берутся исходные данные, документы организации, интервью, схемы, показатели, модели угроз, архитектура и сведения о взаимодействии с другими системами.

Учитываем отраслевые правила

Перечни типовых отраслевых объектов, отраслевые особенности и новые изменения правил помогают корректно оценить объект с учетом сферы деятельности, а не по общей формуле.

Готовим комиссию

Помогаем определить состав комиссии, подготовить приказ руководителя, включить специалистов производства, ИБ, АСУ ТП, правового блока и лиц, отвечающих за устойчивость процессов.

Пишем понятные документы

Документы должны быть полезны не только для ФСТЭК, но и для руководителя, ИТ, ИБ и владельцев процессов. Поэтому мы делаем выводы ясными, проверяем логику и не перегружаем акт лишним текстом.

Думаем о защите заранее

Категорирование объектов КИИ определяет дальнейшие требования обеспечения безопасности. Мы сразу показываем, какие меры защиты могут понадобиться для значимых объектов.

Не бросаем после подачи

После направления сведений помогаем отвечать на запросы органа государственной власти, проводить пересмотр, уточнять данные и поддерживать контроль изменений в течение эксплуатации.

Проблемы и решения

Ваши проблемы

Наше решение

Неясно, является ли организация субъектом КИИ

Устав, коды деятельности и фактические процессы не всегда дают прямой ответ. Российскими юридическими лицами и государственными органами могут использоваться системы, которые на законном основании относятся к критической информационной инфраструктуре, но формально не очевидны для бизнеса.

Проверяем статус до начала расходов

Мы определяем признаки субъекта критической информационной инфраструктуры, анализируем права собственности, аренды или ином законном основании используемые системы, фиксируем основания решения и объясняем, какие объекты должны быть включены в перечень.

Есть риск включить лишние объекты

Без методики можно отнести к КИИ все корпоративные сервисы, включая сайт, блог, личный кабинет, новости и сервисы доступа. Это приводит к завышению бюджета защиты и распылению средств.

Отделяем значимые объекты от обычных

Проводим установление границ каждого объекта, анализируем выполняемые процессы, количество пользователей, режим эксплуатации, связи с производственной средой и возможные последствия нарушения функционирования.

Категория значимости выбрана формально

Ошибка в расчете критериев значимости может привести к претензиям ФСТЭК, лишним требованиям безопасности или, наоборот, к недостаточному уровню защиты значимых объектов критической информационной инфраструктуры.

Расчет по показателям и фактам

Мы оцениваем показатели критериев значимости объектов, учитываем отраслевые особенности, данные производства, сведения подразделений, потенциальный вред жизни и здоровью людей, количество человек в зоне влияния, ущерба природе, нарушение транспорта, связи и государственных функций.

Документы не готовы к проверке

Акт без исходных данных, неполный перечень, неверная форма сведений или отсутствие материалов комиссии могут затянуть сроки, вызвать запросы регулятора и увеличить нагрузку на специалистов ИБ.

Готовим комплект для ФСТЭК

Формируем полный пакет документов: приказ, состав комиссии, перечень объектов, акт категорирования, расчет значений, сведения о результатах, рекомендации мер защиты и сопроводительные материалы в соответствии с требованиями.

Ваша выгода в цифрах

1
понятный перечень объектов КИИ вместо разрозненных списков ИТ, ИС, сетей и систем управления
10
рабочих дней на подготовку сведений после подписания акта учитываем в плане, чтобы не потерять сроки
3
категории значимости проверяем по фактам: I, II, III, включая вариант отсутствия категории
5
групп последствий анализируем: социальная, политическая, экономическая, экологическая и значимость для обороны
1
комплект документов для каждого объекта: акт, расчет, сведения, обоснование, рекомендации и материалы комиссии
100%
решений привязываем к требованиям закона, ПП РФ, приказам ФСТЭК и фактическим данным вашей организации

Этапы категорирования

Процесс прозрачен: вы понимаете, что происходит на каждом шаге, какие документы готовятся и сколько времени занимает работа.

Первичная консультация

Собираем вводные: отрасль, виды деятельности, наличие лицензии, состав систем, площадки, контакты ответственных и ключевые риски.

Определение субъекта КИИ

Проверяем признаки субъекта, правовой статус, деятельность, право собственности, аренды или ином законном основании используемые объекты.

Формирование комиссии

Готовим проект приказа, состав комиссии, роли, порядок работы и список необходимых материалов.

Обследование инфраструктуры

Анализируем информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, АСУ ТП, базы данных и процессы.

Подготовка перечня объектов

Формируем перечень объектов критической информационной инфраструктуры, определяем границы, владельцев, функции и связи каждого объекта.

Оценка угроз и последствий

Рассматриваем компьютерных нарушителей, возможные инциденты, прекращение или нарушение функционирования, ущерб, влияние на клиентов, государство и среду.

Расчет категории значимости

Выполняем расчет значений показателей критериев значимости и готовим решение о присвоения категории либо ее отсутствии.

Подготовка комплекта документов

Оформляем акт категорирования, протоколы, сведения, рекомендации мер защиты, документы для ФСТЭК и внутренние материалы.

Передача и сопровождение

Помогаем направить сведения, пройти контроль, ответить на замечания, войти в рабочий режим и защитить решение перед ответственными лицами.

Рассчитать стоимость

Оценим объем работ по числу систем, площадок, отраслевых процессов, исходных данных и сроков. Вы получите понятный расчет без навязывания лишних мер защиты.

Контроль требований КИИ

Что дополнительно учитываем:

Положения статьи 7 187-ФЗ и иные нормы, которые установлены законодательством в отношении субъекта КИИ; такая проверка представляет основу правовой позиции.
Список следующих объектов и систем: действующие, создаваемых, ранее введенные, подлежащих пересмотру, а также связанных с ними ресурсов, сервисов и технологий.
Условия эксплуатации: в случае изменения заданного режима, состава пользователей, области применения или уровня воздействия может потребоваться новый анализ.
Нормативно значимые документы: постановление об утверждении правил, приказ ФСТЭК, методики, положения, официальный реестр и документы, вступившие в силу.
На первом этапе фиксируем начало проведения процедуры, порядок осуществления работ, состав комиссии и документ, который подписывается руководителем.
Проверяем, включен ли объект в перечни типовых отраслевых объектов, какой тип системы указан и есть ли программно аппаратные или технологические особенности.
В отношении указанных видов деятельности оцениваем, как нарушение может повлиять на процессы, клиентов, государство, рынок, среду и деятельность других организаций.
Если у компании уже есть прошедший аудит или проверка, используем результаты как источник информации, но дополнительно выявляем пробелы и несоответствия.
Для служб ИБ важно не просто создать документы, а выстроить обнаружения атак, реагирование, ликвидации последствий и контроль выполнения мер.
Например, самая высокая категория требует максимально внимательного подхода: штрафы, запросы и пересмотр могут возникнуть, если решение не подтверждено фактами.
Согласно требованиям, разработка документов ведется на основе исходных данных, в числе которых схемы, интервью, права доступа, технические материалы и описание архитектуры.
Такой подход имеет практический смысл: центр ответственности понятен, ответственные лица знают свои задачи, а организация постоянно поддерживает документы в актуальном состоянии.
В рамках работ необходимо выявить область, относящуюся к регулированию КИИ, и описать, как структура объекта влияет на действие установленных требований.
На базе списка систем фиксируем соответствующий тип, отдельных владельцев, условия эксплуатации, влияние установленных условий и перечень работ, осуществляемых предприятием.
Если описанные выше правила уже утверждены, ниже в проекте фиксируем получение заключений службы ИБ, позицию экспертного центра и выводы в части влияния на состояние рынка.
Проверяем применение правил категорирования и отдельно описываем границы таких объектов, чтобы решение комиссии было понятно ИТ, ИБ, руководству и регулятору.

Ответы на часто задаваемые вопросы

Кому нужно категорирование объектов КИИ?

Категорирование объектов КИИ нужно организациям в сфере связи, транспорта, энергетики, здравоохранения, науки, банковской области и других отраслей, если их системы влияют на жизнедеятельность населения, обороны страны, безопасности государства или экономику России. Для субъекта критической информационной инфраструктуры важно вовремя определить обязанности по закону и порядок обеспечения информационной безопасности.

Какие системы могут быть объектами КИИ?

Объектами КИИ могут быть информационные системы, сетевая инфраструктура, средства обмена информации, автоматизированные системы управления и оборудование на праве собственности, аренды или ином основании. Если объект обрабатывает информацию ограниченного доступа или сведения тайны, мы определяем его назначение, область применения и соответствие критериям значимости.

Как определяется категория значимости?

Категория присваивается исходя из возможных последствий в случае возникновения компьютерных инцидентов. Комиссия оценивает критерии значимости и принимает решение: первая, вторая или третья категория, либо отсутствие категории.

На каких правилах основано категорирование?

Правила категорирования объектов критической информационной инфраструктуры установлены федеральным законом, постановлением Правительства Российской Федерации и приказами ФСТЭК России. Мы учитываем перечни типовых объектов, отраслевые особенности категорирования и фактическую ситуацию в организации.

Что анализируется в ходе работ?

В ходе работ проводится выявление процессов, области использования, состава оборудования, качества функционирующих систем, применяемых средств защиты информации и возможных последствий в случае возникновения инцидентов. Это нужно для принятия решения по категории и обеспечения безопасности информации.

Зачем нужна комиссия по категорированию?

Комиссия субъекта КИИ отвечает за установление соответствия объекта критериям, согласование результатов и оформление документов. В нее обычно входят ИБ, ИТ, владельцы процессов, юристы и специалисты, которые знают область эксплуатации.

Какие документы готовятся для ФСТЭК России?

Для ФСТЭК России готовятся перечень, акт, сведения, расчет критериев и материалы для внутреннего согласования. В документах указываются адрес, назначение, область, состав объекта, решение комиссии и основания категорирования.

Можно ли не переплачивать за защиту?

Да. Цель услуг категорирования — правильно определить уровень средств защиты информации, а не завысить бюджет. Мы оцениваем нужные средства мониторинга, контроля и реагирования, чтобы проектирование системы обеспечения безопасности было соразмерно масштабу объекта.

Когда нужен пересмотр категории?

Пересмотр нужен при изменении назначения системы, внедрении нового оборудования, расширении обмена информации, изменении состава средств защиты или после компьютерных атак. Также его проводят, если изменилась версия правил, появились новые предложения ФСТЭК России или вступили в силу новые требования.

Где заказать услугу по категорированию КИИ?

Услуга доступна для компаний по всей России, а Москва может быть точкой очных встреч при обследовании или согласовании на площадке. Оставьте заявку: мы уточним адрес, состав систем, перечень услуг, покажем примеры проектов и подготовим коммерческое предложение.

Мария Гурькова Ведущий специалист по категорированию КИИ

Задать вопрос