КИИ категорирование: пошаговая инструкция по 187-ФЗ
Пошаговое руководство по категорированию объектов критической информационной инфраструктуры по 187-ФЗ: кто является субъектом КИИ, как определить категорию значимости, порядок подачи сведений во ФСТЭК.
КИИ категорирование: пошаговая инструкция по 187-ФЗ
Федеральный закон №187-ФЗ от 26 июля 2017 года обязывает организации из ключевых отраслей экономики провести категорирование объектов критической информационной инфраструктуры (КИИ). Несмотря на то что закон действует уже почти 9 лет, многие компании до сих пор не приступили к этому процессу — или провели его с ошибками. В 2025–2026 годах регулятор ужесточил контроль, а за нарушения грозит уголовная ответственность. Разбираем процедуру категорирования по шагам.
Кто является субъектом КИИ
Закон 187-ФЗ распространяется на организации, работающие в 14 сферах деятельности:
| № | Сфера деятельности | Примеры организаций |
|---|---|---|
| 1 | Здравоохранение | Больницы, клиники, лаборатории |
| 2 | Наука | НИИ, университеты, исследовательские центры |
| 3 | Транспорт | Авиакомпании, РЖД, логистические компании |
| 4 | Связь | Операторы связи, провайдеры, дата-центры |
| 5 | Энергетика | Электростанции, сетевые компании |
| 6 | Банковская сфера и финансы | Банки, страховые, НФО |
| 7 | Топливно-энергетический комплекс | Нефте- и газодобыча, переработка |
| 8 | Атомная энергия | АЭС, предприятия Росатома |
| 9 | Оборонная промышленность | Предприятия ОПК |
| 10 | Ракетно-космическая отрасль | Роскосмос, предприятия отрасли |
| 11 | Горнодобывающая промышленность | Добыча полезных ископаемых |
| 12 | Металлургическая промышленность | Металлургические комбинаты |
| 13 | Химическая промышленность | Химические заводы, фармацевтика |
| 14 | Государственные органы | Ведомства, госучреждения |
Важно: Субъектом КИИ является не только крупная корпорация. Даже небольшая частная клиника или региональный провайдер связи подпадает под действие 187-ФЗ, если владеет информационными системами в перечисленных сферах.
Три категории значимости
Постановление Правительства РФ №127 устанавливает порядок категорирования и определяет три категории значимости объектов КИИ:
| Категория | Уровень | Последствия инцидента |
|---|---|---|
| 1-я (высшая) | Максимальная значимость | Ущерб критичен для государства, угроза жизни людей в масштабах региона/страны |
| 2-я | Средняя значимость | Существенный ущерб экономике, социальной сфере или обороноспособности |
| 3-я (низшая) | Базовая значимость | Ограниченный ущерб, локальные последствия |
| Без категории | Объект КИИ, не соответствующий критериям | Минимальные последствия инцидента |
Категория определяется по пяти критериям значимости:
- Социальная значимость — влияние на жизнь и здоровье людей, доступность социальных услуг
- Политическая значимость — влияние на государственное управление и внутреннюю политику
- Экономическая значимость — финансовый ущерб субъекту КИИ, бюджету, экономике региона
- Экологическая значимость — ущерб окружающей среде
- Значимость для обороны — влияние на обороноспособность страны
Объекту присваивается наивысшая из категорий, определённых по каждому критерию. Если ни один критерий не достигает порога 3-й категории — объект остаётся без категории.
Пошаговый порядок категорирования
Шаг 1. Создание комиссии по категорированию
Руководитель организации издаёт приказ о создании постоянно действующей комиссии. В неё включаются:
- Руководитель или заместитель (председатель комиссии)
- Специалисты по ИТ и информационной безопасности
- Специалисты, ответственные за основные производственные процессы
- При необходимости — представители ФСТЭК (по согласованию)
Шаг 2. Определение критических процессов
Комиссия выявляет управленческие, технологические, производственные и иные процессы, нарушение или прекращение которых может привести к негативным последствиям в одной из 14 сфер деятельности.
Шаг 3. Выявление объектов КИИ
На основе критических процессов определяются информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС), которые обеспечивают эти процессы. Именно они и являются объектами КИИ.
Важно: С 1 сентября 2025 года действуют новые поправки — утверждены типовые перечни объектов КИИ для каждой из 14 сфер. Это упрощает процесс выявления объектов, но требует сверки с актуальными нормативными актами.
Шаг 4. Оценка угроз и моделирование последствий
Для каждого объекта КИИ комиссия оценивает:
- Возможные угрозы безопасности (на основе банка данных угроз ФСТЭК)
- Потенциальные последствия компьютерных инцидентов
- Масштаб возможного ущерба по каждому из пяти критериев значимости
Шаг 5. Присвоение категории значимости
На основе оценки последствий каждому объекту присваивается категория (1-я, 2-я, 3-я) или принимается решение об отсутствии категории. Результаты оформляются актом категорирования.
Шаг 6. Подача сведений во ФСТЭК
В течение 10 рабочих дней после подписания акта категорирования субъект КИИ направляет сведения во ФСТЭК России. Регулятор проверяет результаты в течение 30 дней и может вернуть их на доработку.
Что делать после категорирования
Категорирование — это только начало. Для значимых объектов КИИ (1-я, 2-я, 3-я категория) необходимо:
- Выполнить требования по обеспечению безопасности (Приказы ФСТЭК №235, №239)
- Разработать и внедрить систему безопасности значимого объекта КИИ
- Подключиться к ГосСОПКА — государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак
- Обеспечить взаимодействие с НКЦКИ (Национальным координационным центром по компьютерным инцидентам)
- Проводить регулярную переоценку категории (не реже 1 раза в 5 лет)
Ответственность за нарушения
Ответственность за невыполнение требований 187-ФЗ — одна из самых серьёзных в сфере ИБ:
| Нарушение | Ответственность |
|---|---|
| Нарушение правил эксплуатации КИИ | УК РФ ст. 274.1 — штраф до 1 млн ₽ или лишение свободы до 6 лет |
| Неправомерное воздействие на КИИ, повлёкшее ущерб | УК РФ ст. 274.1 — лишение свободы до 8 лет |
| Непредоставление сведений о категорировании во ФСТЭК | Административная ответственность, предписания |
| Невыполнение предписаний ФСТЭК | Повторные проверки, штрафы, приостановка деятельности |
Важно: Уголовная ответственность по ст. 274.1 УК РФ распространяется не только на внешних злоумышленников, но и на должностных лиц субъекта КИИ, допустивших нарушение правил эксплуатации.
Типичные ошибки при категорировании
- Занижение категории — попытка присвоить объекту более низкую категорию для уменьшения затрат на защиту. ФСТЭК проверяет обоснованность и возвращает на доработку
- Неполный перечень объектов — пропуск информационных систем, особенно вспомогательных (бухгалтерия, кадры, документооборот)
- Формальный подход к оценке угроз — использование шаблонных моделей без учёта реальной специфики организации
- Отсутствие пересмотра — категорирование проведено в 2019 году и с тех пор не обновлялось, несмотря на изменения инфраструктуры
- Путаница между ИСПДн и КИИ — это разные процессы: персональные данные (152-ФЗ) и критическая инфраструктура (187-ФЗ) регулируются отдельно
Сроки и стоимость категорирования
Сроки зависят от масштаба организации:
| Этап | Средние сроки |
|---|---|
| Создание комиссии, приказы | 1–2 недели |
| Выявление процессов и объектов | 2–4 недели |
| Оценка угроз и категорирование | 3–6 недель |
| Подготовка и подача сведений во ФСТЭК | 1–2 недели |
| Итого | 2–3 месяца |
Организациям, которые не имеют в штате специалистов по ИБ, выгоднее привлечь внешнего подрядчика — это ускоряет процесс и снижает риск ошибок при подаче документов.
Нужна помощь с категорированием объектов КИИ? Специалисты Бюро 152 проведут полный цикл работ — от создания комиссии до подачи сведений во ФСТЭК. Оставьте заявку на бесплатную консультацию или узнайте подробнее об услуге категорирования КИИ.