Категорирование объектов КИИ

Категорирование объектов КИИ — АНБИТ

187-ФЗ · Критическая информационная инфраструктура

Категорирование
объектов КИИ

Выстраиваем процесс категорирования объектов КИИ как управляемую процедуру: создание комиссии, инвентаризация объектов, оценка критериев значимости, акт, направление во ФСТЭК — весь цикл под ключ.

Работаем по актуальным требованиям ПП №127 с изменениями ПП №1762, знаем все изменения законодательства и сопровождаем клиентов при проверках ФСТЭК.

Важно: с 16 ноября 2025 года вступили в силу обновлённые правила категорирования (ПП №127 с учётом изменений, внесённых ПП №1762). Понятие «критические процессы» исключено — теперь идентификация объектов осуществляется на основе сопоставления с перечнем типовых отраслевых объектов КИИ, утверждённым распоряжением Правительства РФ от 26 февраля 2026 года №360-р. В связи с этим всем субъектам КИИ необходимо пересмотреть ранее присвоенные категории.

Процесс категорирования Актуально 2025–2026

Создание комиссии

Приказ руководителя организации

Инвентаризация объектов

Сверка с отраслевыми перечнями

Оценка критериев значимости

По ПП №127 и отраслевым особенностям

Акт и направление во ФСТЭК

Форма Приказа ФСТЭК №236, 10 дней

Категория

III

Категория

187-ФЗ · Статья 2

Кто является субъектом КИИ?

Субъектами КИИ являются российские организации и ИП, государственные органы и учреждения, которым принадлежат объекты КИИ в 13 критически важных отраслях экономики.

Банки и финансовый сектор

Транспорт

Здравоохранение

Наука

Связь

Атомная промышленность

Топливно-энергетический комплекс

Ракетно-космическая промышленность

Металлургия и химическая промышленность

Горнодобывающая промышленность

Военно-промышленный комплекс

Организации, взаимодействующие с КИИ

Критерии значимости · ПП РФ №127

Три категории значимости объектов КИИ

По итогам категорирования объекту КИИ присваивается одна из трёх категорий — в зависимости от масштаба возможных последствий компьютерного инцидента.

Первая категория

Наивысший уровень значимости

Нарушение функционирования объекта может привести к чрезвычайным последствиям федерального или регионального масштаба: угрозе жизни людей, экологической катастрофе, серьёзному ущербу для государственного управления и обороноспособности страны.

Вторая категория

Значимый уровень

Нарушение работы влечёт значительные социальные, экономические или иные последствия в масштабах отдельного субъекта РФ или отрасли. Требования к защите существенно выше третьей категории, обязательный мониторинг через ГосСОПКА.

III

Третья категория

Базовый уровень

Нарушение функционирования влечёт умеренные последствия локального характера. Базовый набор мер безопасности с обязательным информированием НКЦКИ (ФСБ) об инцидентах и направлением сведений во ФСТЭК России.

5 критериев · ПП РФ №127

Критерии значимости объектов КИИ

Оценка производится комиссией по 5 группам критериев. Категория значимости присваивается по наивысшему показателю из всех применимых критериев для данного объекта КИИ.

Социальный

Угроза жизни и здоровью людей, нарушение систем жизнеобеспечения, транспорта, госуслуг

Политический

Ущерб интересам РФ в вопросах внутренней и внешней политики, деятельности органов власти

Экономический

Прямой и косвенный финансовый ущерб субъектам КИИ и бюджетной системе Российской Федерации

Экологический

Нарушение экологической безопасности и уровень воздействия на окружающую среду

Обороноспособность

Значимость для обороны страны, безопасности государства и поддержания правопорядка

Методология

Порядок проведения категорирования

С 16 ноября 2025 года действуют обновлённые правила (ПП №1762). Исключено понятие «критических процессов». Объекты КИИ выявляются путём сверки с типовыми отраслевыми перечнями.

Создание комиссии по категорированию

Приказ руководителя организации. В состав входят специалисты IT, ИБ, юристы, сотрудники ГО и защиты от ЧС. При наличии гостайны — специалист по её защите. Комиссия действует на постоянной основе.

Приказ руководителяПостоянная комиссия

Инвентаризация и выявление объектов КИИ

Сверка ИС, ИТКС и АСУ со списком типовых отраслевых объектов КИИ. Объекты, которые не соответствуют типовым, но по последствиям инцидентов подпадают под критерии значимости, также подлежат категорированию.

Отраслевые перечниИС, ИТКС, АСУ

Анализ угроз безопасности

Проводится анализ потенциальных сценариев реализации угроз и возможных действий нарушителей, способных привести к инцидентам на объектах КИИ. В качестве исходных данных используется Банк данных угроз безопасности ФСТЭК России. Результаты анализа подлежат оформлению в составе сведений, форма которых утверждена приказом ФСТЭК России №236.

БДУ ФСТЭКМодель угроз

Оценка показателей критериев значимости

Расчёт показателей по 5 группам критериев (социальный, политический, экономический, экологический, оборонный) согласно ПП №127 и отраслевым особенностям. При нескольких процессах — присваивается наивысший показатель.

ПП РФ №127Отраслевые особенности5 критериев

Оформление акта категорирования

Акт по установленной форме: сведения об объекте, анализ угроз, реализованные и необходимые меры безопасности, присвоенная категория или решение об её отсутствии. Подписывается комиссией и утверждается руководителем субъекта КИИ.

Форма из ПП №127Утверждение руководителем

Направление во ФСТЭК и включение в реестр

В течение 10 рабочих дней со дня утверждения акта — направление сведений во ФСТЭК по форме Приказа №236. ФСТЭК проверяет корректность и вносит значимый объект в единый реестр. После этого — разработка плана мер защиты по Приказу ФСТЭК №235 и №239.

10 рабочих днейПриказ ФСТЭК №236Реестр ЗО КИИ

Хронология

Ключевые изменения законодательства о КИИ

Нормативная база в сфере КИИ активно развивается. Актуальные изменения — в работе нашей команды.

26.07.2017

Принят 187-ФЗ. Введены понятия субъекта и объекта КИИ, базовые обязанности

Основной закон

01.05.2022

Персональная ответственность руководителя субъекта КИИ. Запрет иностранного ПО

Указ №250

16.11.2025

ПП №1762: новые правила. Исключены «критические процессы». Отраслевые перечни обязательны

⚡ Действует сейчас

01.01.2028

Предельный срок перехода значимых объектов КИИ на российское ПО и ПАК

Дедлайн

Нормативная база

Ключевые нормативные документы

Категорирование проводится в строгом соответствии с федеральным законодательством, актами Правительства РФ и нормативными документами ФСТЭК России.

187-ФЗ от 26.07.2017

«О безопасности КИИ Российской Федерации» — основной закон. Субъекты, объекты, обязанности, ответственность.

ПП РФ №127 от 08.02.2018 (ред. 2025)

Правила категорирования объектов КИИ и перечень показателей критериев значимости. Обновлён ПП №1762.

Распоряжение №360-р от 26.02.2026

Перечень типовых отраслевых объектов КИИ РФ — основа для выявления объектов, подлежащих категорированию.

Приказ ФСТЭК №236 от 22.12.2017

Форма направления сведений о результатах категорирования во ФСТЭК России. Обязателен для всех субъектов КИИ.

Приказ ФСТЭК №239 от 25.12.2017

Требования по обеспечению безопасности значимых объектов КИИ. Меры защиты для каждой из трёх категорий.

Отраслевые особенности категорирования

Постановления Правительства для каждой сферы: энергетика, транспорт, здравоохранение, финансы и др.

Ответственность

Типовые нарушения и последствия

С мая 2022 года руководитель субъекта КИИ несёт персональную ответственность за инциденты ИБ. Нарушения 187-ФЗ влекут административные и уголовные санкции.

Нарушение порядка категорирования

Отсутствие акта, несвоевременное утверждение или неверное присвоение категории. Распространённая ситуация — непредоставление сведений во ФСТЭК в 10-дневный срок или неактуализация сведений после изменений ПП №1762.

⚠ Административная ответственность, предписание ФСТЭК об устранении

Неуведомление об инциденте

Субъект КИИ обязан незамедлительно информировать НКЦКИ (ФСБ) об инцидентах. Сокрытие или несвоевременное уведомление — отдельный состав нарушения. Дополнительно необходимо информировать ФСТЭК о принятых мерах.

⚠ Административная ответственность должностного и юридического лица

Иностранное ПО и ПАК без разрешения

ПО из недружественных стран запрещено с 2022 года. С 01.01.2025 госорганам и компаниям с госучастием запрещено иностранное ПО на ЗО КИИ даже из дружественных стран. Предельный срок перехода — 01.01.2028.

⚠ Нарушение Указа Президента №166 и №250 от 2022 года

Уголовная ответственность руководителя

Создание и распространение ВПО, неправомерный доступ к охраняемой информации, нарушение правил эксплуатации — ст.274.1 УК РФ. Для особо значимых объектов КИИ предусмотрено лишение свободы до 10 лет.

⚠ Ст.274.1 УК РФ — до 10 лет лишения свободы + штраф до 3 млн руб.

Административная и уголовная ответственность

Таблица санкций по КоАП и УК РФ

Актуальные санкции за нарушения требований 187-ФЗ

До 10 лет лишения свободы

Основание	Нарушение	Санкция
Административная ответственность — КоАП РФ
ст.19.7.15	Непредоставление сведений о категорировании во ФСТЭК в установленный 10-дневный срок	ДЛ: 10–50 тыс. руб.; ЮЛ: 50–100 тыс. руб.
ч.1 ст.13.12	Нарушение условий лицензии на деятельность по технической защите информации	ЮЛ: 15–25 тыс. руб.
Уголовная ответственность — ст.274.1 УК РФ
ч.1 ст.274.1	Создание и распространение ВПО для воздействия на КИИ Российской Федерации	До 5 лет лишения свободы + штраф до 1 млн руб.
ч.2 ст.274.1	Неправомерный доступ к охраняемой компьютерной информации объектов КИИ	До 6 лет лишения свободы + штраф до 1 млн руб.
ч.3 ст.274.1	То же, совершённое группой лиц или с использованием служебного положения	До 8 лет лишения свободы
ч.4 ст.274.1	Нарушение правил эксплуатации средств хранения и обработки на объектах КИИ	До 6 лет лишения свободы
ч.5 ст.274.1	Деяния чч.1–4, повлёкшие тяжкие последствия или создавшие угрозу их наступления	До 10 лет лишения свободы + штраф до 3 млн руб.

Важно: с 01.05.2022 первое лицо организации-субъекта КИИ несёт персональную ответственность (Указ №250). Уголовная ответственность применяется к конкретным физическим лицам независимо от административных санкций.

Защитите свою организацию, оставьте заявку на консультацию!

Наша команда экспертов готова предложить индивидуальные решения, которые помогут защитить ваши данные и минимизировать риски. Доверьте свою защиту профессионалам!

Оставить заявку

Категорированиеобъектов КИИ