Закрыть.
Выбор города
АлфавитРегион

    Консалтинговая группа Astels.

    Федеральный

    8(800) 70-70-144

    Оставить заявку

    Заказать звонок

    Главная  /  База знаний  /  Категорирование объектов критической информационной инфраструктуры (КИИ)  /  Что такое КИИ: полный гайд для начинающих

    Главная  /  База знаний  /  Категорирование объектов критической информационной инфраструктуры (КИИ)  /  Что такое КИИ: полный гайд для начинающих

    Что такое КИИ: полный гайд для начинающих

    В современном мире цифровые технологии стали неотъемлемой частью функционирования государства, бизнеса и общества. Практически все ключевые сферы жизнедеятельности — от здравоохранения и энергетики до финансов и транспорта — зависят от информационных систем и телекоммуникационных сетей.

    Однако с ростом цифровизации растут и риски, связанные с возможными сбоями, кибератаками и иными инцидентами, которые могут поставить под угрозу жизнь и благополучие миллионов людей. Именно поэтому государство и бизнес уделяют особое внимание защите критической информационной инфраструктуры (КИИ) — совокупности информационных систем и телекоммуникационных сетей, от которых зависит нормальное функционирование ключевых сфер экономики и социальной жизни.

    В России эта тема регулируется Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», принятым в 2017 году.

    Описание услуги

    Что такое критическая информационная инфраструктура (КИИ)

    Критическая информационная инфраструктура — это совокупность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирование которых критически важно для:

    • Экономики страны

    • Обороноспособности государства

    • Безопасности государства и общества

    • Устойчивого функционирования транспортной инфраструктуры

    • Устойчивого функционирования энергетической инфраструктуры

    • Устойчивого функционирования промышленной инфраструктуры

    • Устойчивого функционирования социальной инфраструктуры

    Проще говоря, КИИ — это те ИТ-системы, отказ которых может привести к серьезным последствиям для страны, регионов, отраслей экономики и безопасности граждан.

    Почему КИИ так важна?

    Представьте, что произойдет, если:

    • Вышли из строя системы энергоснабжения крупного города — люди останутся без электричества, отопления, воды; остановятся больницы, предприятия

    • Отказала система управления железнодорожным транспортом — произойдут столкновения поездов, погибнут люди

    • Произошел взлом банковских систем — люди потеряют свои деньги, экономика страны пострадает

    • Нарушилась работа системы управления больницей — пациенты не получат помощь, возможны летальные исходы

    • Произошли сбои в системе водоснабжения — город останется без воды, начнется эпидемия

    Все эти сценарии могут привести к трагическим последствиям — от физических пострадавших до экономического ущерба в миллиарды рублей. Именно поэтому государство и организации должны обеспечивать максимальную защищенность таких систем.

    Объекты и субъекты КИИ: в чем разница?

    Объекты КИИ

    Объекты КИИ — это конкретные информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, которые относятся к критической инфраструктуре.

    К объектам КИИ относятся:

    1. Информационные системы (ИС)

    Определение: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

    Примеры:

    • Системы учета пациентов в больницах

    • Системы управления производством на заводах

    • Банковские системы обработки платежей

    • Системы контроля воздушного движения в аэропортах

    2. Информационно-телекоммуникационные сети (ИТС)

    Определение: Технологические системы, предназначенные для передачи по линиям связи информации с использованием средств вычислительной техники.

    Примеры:

    • Интернет-магистрали, соединяющие города и страны

    • Мобильные сети операторов связи

    • Внутрисетевые системы передачи данных энергетических компаний

    • Системы видеонаблюдения и коммуникации в транспорте

    3. Автоматизированные системы управления (АСУ)

    Определение: Комплекс программных и программно-аппаратных средств, предназначенных для контроля и управления технологическими и производственными процессами.

    Примеры:

    • Системы управления энергосетями (оптимизация подачи электроэнергии)

    • Системы управления транспортными потоками (светофоры, навигация)

    • SCADA-системы на предприятиях (контроль технологических процессов)

    • Системы управления водоснабжением и водоотведением

    Субъекты КИИ

    Субъекты КИИ — это юридические лица и государственные органы, которым принадлежат объекты КИИ. Это организации, которые:

    • Владеют информационными системами, ИТС или АСУ

    • Работают в одной из 14 сфер КИИ

    • Берут на себя ответственность за защиту этих объектов

    • Обязаны соответствовать требованиям законодательства (ФЗ-187)

    Примеры субъектов КИИ:

    • Государственные и частные больницы

    • Коммунальные энергоснабжающие компании

    • Кредитные организации (банки)

    • Операторы мобильной и фиксированной связи

    • Аэропорты и железные дороги

    • Муниципальные службы водоснабжения и водоотведения

    • Портовые компании

    Важно: Только сама организация может признать себя субъектом КИИ. ФСТЭК и другие регулятора не могут присваивать эту категорию — они только осуществляют контроль за исполнением закона.

    14 сфер критической информационной инфраструктуры

    Согласно Федеральному закону № 187-ФЗ, критическая информационная инфраструктура функционирует в следующих 14 основных сферах:

    Таблица: 14 сфер КИИ и примеры объектов

    Сфера Описание Примеры объектов КИИ
    1 Здравоохранение Системы управления медицинскими организациями и оказания медицинской помощи Больницы, поликлиники, системы учета пациентов, электронные медицинские карты
    2 Наука Научные исследования и разработки, особенно в критических областях Научные лаборатории, исследовательские центры, системы хранения данных
    3 Транспорт Управление транспортными системами и логистикой Аэропорты, железные дороги, порты, метро, системы управления трафиком
    4 Связь Электросвязь и телекоммуникации Мобильные операторы, интернет-провайдеры, почтовые системы
    5 Энергетика Производство, передача и распределение электроэнергии Электростанции, трансформаторные подстанции, сети электропередач
    6 Банковская сфера Финансовые организации и платежные системы Банки, биржи, платежные системы, страховые компании
    7 Топливно-энергетический комплекс Добыча и производство топлива и энергии Газораспределительные системы, нефтепроводы, системы мониторинга
    8 Атомная энергия Атомные электростанции и ядерные объекты АЭС, системы управления реакторами, системы безопасности
    9 Оборонная промышленность Производство вооружений и военной техники Военные предприятия, системы управления вооружением
    10 Ракетно-космическая промышленность Космические исследования и спутниковые системы Космические агентства, центры управления полетами
    11 Горнодобывающая промышленность Добыча полезных ископаемых Системы управления добычей, транспортировки минералов
    12 Металлургическая промышленность Производство и обработка металлов Металлургические комбинаты, системы управления производством
    13 Химическая промышленность Производство химических веществ и материалов Химические заводы, системы контроля опасных веществ
    14 Иные сферы Коммунальное хозяйство, водоснабжение, жилищное хозяйство Системы водоснабжения, водоотведения, отопления

     

    Как определить, является ли ваша организация субъектом КИИ?

    Это один из самых частых вопросов, которые задают организации. Ответ на этот вопрос критичен, потому что от него зависит, должна ли ваша организация соответствовать требованиям закона 187-ФЗ.

    Пошаговая инструкция для самопроверки

    Шаг 1: Определите, есть ли в вашей организации информационные системы

    Вопрос: Использует ли ваша организация информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления?

    • Если ответ НЕТ — ваша организация НЕ ЯВЛЯЕТСЯ субъектом КИИ, переходите к Шагу 3

    • Если ответ ДА — переходите к Шагу 2

    Шаг 2: Проанализируйте критические бизнес-процессы

    Вопрос: Какие процессы в вашей организации являются критическими и зависят от ИТ-систем?

    Составьте список и ответьте на вопросы:

    • Какие процессы обеспечивают основную деятельность организации?

    • От каких ИТ-систем зависят эти процессы?

    • Что произойдет, если эти ИТ-системы выключатся?

    • Будут ли затронуты люди, финансы, государственные функции?

    Шаг 3: Определите, работаете ли вы в одной из 14 сфер КИИ

    Вопрос: Входит ли ваша организация в одну из 14 сфер КИИ?

    Посмотрите в таблицу выше и ответьте на вопрос:

    • Какая основная деятельность вашей организации?

    • Входит ли она в один из 14 перечисленных секторов?

    • Если ответ НЕТ — ваша организация НЕ ЯВЛЯЕТСЯ субъектом КИИ (вы свободны от требований)

    • Если ответ ДА — переходите к Шагу 4

    Шаг 4: Проверьте, используются ли ИС в деятельности, связанной со сферой КИИ

    Вопрос: Функционируют ли ваши информационные системы в контексте деятельности одной из 14 сфер?

    • Обеспечивают ли они управленческие процессы в этой сфере?

    • Обеспечивают ли они технологические или производственные процессы в этой сфере?

    • Относятся ли они к финансово-экономическим процессам в этой сфере?

    Если все ответы положительные:
    ✓ ВАША ОРГАНИЗАЦИЯ ЯВЛЯЕТСЯ СУБЪЕКТОМ КИИ
    ✓ Вы должны соответствовать требованиям закона 187-ФЗ
    ✓ Вам нужно провести категорирование объектов КИИ
    ✓ Вам нужно отправить сведения во ФСТЭК

    Примеры определения статуса организации

    Пример 1: Коммерческий банк ✓ СУБЪЕКТ КИИ

    Анализ:

    • ✓ Имеет информационные системы: системы обработки платежей, базы данных клиентов, системы управления

    • ✓ Критические процессы: обработка платежей, управление счетами, выдача кредитов

    • ✓ Входит в сферу КИИ: банковская сфера

    • ✓ ИС функционируют в контексте банковской деятельности
      = ЯВЛЯЕТСЯ СУБЪЕКТОМ КИИ → Обязан категорировать объекты и отправить сведения во ФСТЭК

    Пример 2: Небольшой IT-стартап, разрабатывающий мобильные приложения ✗ НЕ СУБЪЕКТ КИИ

    Анализ:

    • ✓ Имеет информационные системы: серверы для хостинга приложений

    • ✗ НО эти системы не входят в сферу КИИ (это просто разработка приложений)

    • ✗ Работает в информационных технологиях, но не в одной из 14 критических сфер

    • ✗ Не предоставляет услуги в критических областях
      = НЕ ЯВЛЯЕТСЯ СУБЪЕКТОМ КИИ → Не обязан соответствовать требованиям 187-ФЗ

    Пример 3: Коммунальное предприятие водоснабжения ✓ СУБЪЕКТ КИИ

    Анализ:

    • ✓ Имеет АСУ (автоматизированные системы управления): контроль насосов, очистка воды, распределение

    • ✓ Критические процессы: подача воды в город, очистка, поддержание давления в сетях

    • ✓ Входит в сферу КИИ: коммунальное хозяйство, водоснабжение

    • ✓ АСУ функционируют в контексте подачи воды населению
      = ЯВЛЯЕТСЯ СУБЪЕКТОМ КИИ → Обязан категорировать объекты и отправить сведения во ФСТЭК

    Пример 4: Телекоммуникационная компания (оператор связи) ✓ СУБЪЕКТ КИИ

    Анализ:

    • ✓ Имеет ИТС (информационно-телекоммуникационные сети): мобильные сети, интернет-каналы

    • ✓ Критические процессы: обеспечение связи для граждан и организаций

    • ✓ Входит в сферу КИИ: связь и телекоммуникации

    • ✓ Сети функционируют в контексте критической инфраструктуры
      = ЯВЛЯЕТСЯ СУБЪЕКТОМ КИИ → Обязан категорировать объекты и отправить сведения во ФСТЭК

    Категории значимости объектов КИИ

    После определения, является ли ваша организация субъектом КИИ, необходимо провести категорирование объектов КИИ. Это процесс определения, насколько критичен каждый конкретный объект.

    Три категории значимости КИИ

    Первая категория (Критическая значимость)

    Параметр Описание
    Уровень важности Критический — система имеет наивысшую важность
    Последствия нарушения Чрезвычайно тяжелые — могут привести к государственным бедствиям
    Примеры объектов Системы управления энергоснабжением крупного города; система управления аэропортом международного значения; система скорой помощи мегаполиса
    Требования к защите Максимальные, самые строгие требования; требуется применение полного набора мер защиты
    Восстановление Восстановление должно быть в минимальные сроки (часы)

     

    Пример: Если система энергоснабжения Москвы выйдет из строя, это может привести к чрезвычайной ситуации в масштабе города.

    Вторая категория (Высокая значимость)

     

    Параметр Описание
    Уровень важности Высокий — система имеет значительную важность
    Последствия нарушения Тяжелые — серьезное воздействие на население и экономику
    Примеры объектов Системы управления региональной больницей; локальные энергосети города; системы управления железнодорожным транспортом region
    Требования к защите Средние, стандартные требования; требуется применение основного набора мер защиты
    Восстановление Восстановление должно быть в короткие сроки (сутки)

    Пример: Если больница областного города потеряет доступ к информационным системам, это серьезно повлияет на качество медицинской помощи.

    Третья категория (Средняя значимость)

    Параметр Описание
    Уровень важности Средний — система имеет умеренную важность
    Последствия нарушения Умеренные — ограниченное воздействие на отдельные группы
    Примеры объектов Системы управления небольшой поликлиникой; локальные коммунальные сети; филиал региональной компании
    Требования к защите Базовые требования; требуется применение основного, но упрощенного набора мер защиты
    Восстановление Восстановление может быть в средние сроки (несколько дней)

     

    Пример: Если система управления амбулаторией в небольшом городе выйдет из строя, это повлияет на людей этого небольшого района.

    Незначимые объекты

    Объект может быть признан незначимым объектом КИИ, если:

    • Последствия его нарушения минимальны

    • Нет влияния на критические процессы

    • Не соответствует критериям ни одной из трех категорий

    Критерии, по которым определяется категория значимости

    При присвоении категории оценивается влияние по следующим критериям:

    1. Социальная значимость

    Оценивается: Количество людей, которые могут пострадать

    • Первая категория: Более 1 млн человек

    • Вторая категория: От 100 тыс. до 1 млн человек

    • Третья категория: От 10 тыс. до 100 тыс. человек

    Примеры:

    • Системы энергоснабжения города — затрагивают миллионы людей

    • Системы транспорта — затрагивают сотни тысяч людей

    • Локальная поликлиника — затрагивает несколько тысяч человек

    2. Политическая значимость

    Оценивается: Влияние на функционирование государственных органов

    • Прекращение деятельности органов власти или их подразделений

    • Нарушение выполнения федеральных функций

    • Невозможность исполнения международных договоров

    3. Экономическая значимость

    Оценивается: Размер экономического ущерба

    • Первая категория: Ущерб более 100 млрд рублей или критическое воздействие на системно значимых платежных системах

    • Вторая категория: Ущерб от 10 до 100 млрд рублей

    • Третья категория: Ущерб менее 10 млрд рублей

    4. Экологическая значимость

    Оценивается: Возможность причинения вреда окружающей среде

    • Количество пострадавших организмов

    • Площадь территории воздействия

    • Длительность воздействия на окружающую среду

    Примеры:

    • Система управления АЭС — может привести к радиационному загрязнению

    • Система мониторинга химического завода — может предотвратить экологическую катастрофу

    5. Значимость для безопасности государства

    Оценивается: Влияние на обороноспособность и безопасность

    • Влияние на органы управления в области безопасности

    • Влияние на оборонные системы

    • Влияние на правоохранительные органы

    Практические советы для организаций

    Если вы считаете, что являетесь субъектом КИИ

    1. Проведите аудит своих ИТ-систем

    • Составьте полный реестр ИС, ИТС и АСУ

    • Определите их назначение и критичность

    • Отметьте взаимосвязи между системами

    2. Сформируйте внутреннюю комиссию по категорированию

    • Включите в нее ИТ-специалистов

    • Включите руководителей подразделений (те, кто знает бизнес-процессы)

    • Включите юристов

    • Назначьте председателя комиссии

    3. Определите критические бизнес-процессы

    • Какие процессы обеспечивают основную деятельность?

    • От каких ИТ-систем они зависят?

    • Какие последствия возникнут при их нарушении?

    4. Обратитесь к специалистам

    • Консультантам по КИИ

    • Компаниям, специализирующимся на категорировании объектов

    • Аудиторам по информационной безопасности

    5. Подготовьте необходимую документацию

    • Акт категорирования объектов КИИ

    • Описание критических процессов

    • План защиты объектов КИИ

    • Согласование с ФСТЭК (если требуется)

    6. Внедрите необходимые меры защиты

    • Техническое оборудование (firewalls, IDS/IPS)

    • Программное обеспечение (защита от вредоноса, шифрование)

    • Организационные процедуры (политики безопасности, обучение сотрудников)

    Основные обязанности субъектов КИИ

    Если ваша организация признана субъектом КИИ, вы должны:

    Обязательные действия

    ✓ Провести категорирование объектов КИИ

    • Создать комиссию

    • Определить все объекты КИИ

    • Присвоить категории значимости

    • Составить акт категорирования

    ✓ Внедрить меры безопасности

    • Согласно приказу ФСТЭК №239

    • В соответствии с присвоенной категорией

    • С учетом результатов анализа угроз

    ✓ Отправить сведения во ФСТЭК

    • В течение 10 дней после категорирования

    • По установленной форме

    • С указанием категорий значимости

    ✓ Информировать об инцидентах

    • При возникновении компьютерных атак

    • При выявлении уязвимостей

    • При возникновении инцидентов безопасности

    ✓ Регулярно пересматривать категории

    • Не реже одного раза в 5 лет

    • При изменении инфраструктуры

    • При изменении критических процессов

    Ответственность за нарушения

    За нарушение требований закона 187-ФЗ предусмотрена ответственность:

     

    Тип нарушения Ответственность
    Непредставление сведений о категорировании Штраф 50 000–500 000 рублей (для юридических лиц)
    Неправильное определение категории значимости Штраф + требование переделать категорирование
    Недостаточные меры защиты Штраф 50 000–500 000 рублей + требование внедрить меры
    Непредставление информации об инцидентах Штраф до 500 000 рублей (максимум для юридических лиц)
    Серьезные нарушения с последствиями Уголовная ответственность до лишения свободы

     

    Заключение

    Критическая информационная инфраструктура — это не просто ИТ-системы. Это основа для функционирования всех ключевых сфер жизни государства и общества.

    Защита КИИ является не только технической задачей, но и вопросом национальной безопасности.

    Ключевые выводы:

    1. КИИ работает в 14 сферах — здравоохранение, энергетика, транспорт, связь, финансы и др.

    2. Существует важная разница между объектами (конкретные ИТ-системы) и субъектами КИИ (организации, которым они принадлежат)

    3. Каждый объект КИИ имеет категорию значимости — первая, вторая или третья, определяющую требуемый уровень защиты

    4. Если ваша организация является субъектом КИИ, вы должны провести категорирование и отправить сведения во ФСТЭК

    5. Нарушение требований закона карается штрафами и возможной уголовной ответственностью

    Если ваша организация является субъектом КИИ, помните: это не штраф, а возможность обеспечить надежную защиту ваших систем и данных. Это совместная ответственность государства и бизнеса за безопасность критической инфраструктуры.

    Лучшая защита — это подготовка до инцидента, а не попытка справиться после его возникновения.

    Полезные источники и контакты

    • ФСТЭК России: https://fstec.ru (официальный сайт с методическими рекомендациями)

    • Федеральный закон № 187-ФЗ: текст доступен в справочной системе «КонсультантПлюс»

    • Постановление Правительства РФ № 127: о категорировании объектов КИИ

    • Приказ ФСТЭК № 239: о требованиях по обеспечению безопасности значимых объектов КИИ

    • Приказ ФСТЭК № 235: о требованиях к системам безопасности значимых объектов КИИ

    Часто задаваемые вопросы (FAQ)

    Q: Может ли наша маленькая компания быть субъектом КИИ?
    A: Да, размер не имеет значения. Главное — работаете ли вы в одной из 14 сфер и функционируют ли там ваши ИТ-системы.

    Q: Нужно ли категорировать ВСЕ информационные системы?
    A: Нет, только те, которые обеспечивают критические процессы в сферах КИИ.

    Q: Как часто нужно пересматривать категорию?
    A: Не реже, чем раз в 5 лет, или при изменении инфраструктуры.

    Q: Что происходит, если мы не отправим сведения во ФСТЭК?
    A: Это административное нарушение, которое карается штрафом.

    Q: Нужна ли нам специальная лицензия на категорирование?
    A: Нет, но нужна комиссия, включающая компетентных специалистов.

     

    Была ли полезна вам данная статья?

    Да Нет

    Расчет стоимости

    Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

    Отправить запрос

    Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности


    ООО «Астелс» - Центр стандартизации и экспертизы

    8(800) 70-70-144

    info@sertifikat.bz

    Мы в соц. сетях:

    Политика конфеденциальности
    Карта сайта

    г. Екатеринбург

    г. Москва

    г. Челябинск

    г. Казань

    г. Пермь

    г. Волгоград

    г. Нижний Новгород

    г. Омск

    г. Новосибирск

    г. Воронеж

    г. Санкт-Петербург

    г. Ростов-на-Дону

    г. Самара

    г. Красноярск

    г. Уфа

    Города

    * Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000. 

    © ООО «Астелс» - Консалтинговая группа» 2012 - 2024

      8(800) 70-70-144 Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград  

    * На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности

    Последнее обновление сайта: 05.12.2025