- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Образец и правила заполнения формы сведений о результатах категорирования КИИ
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Образец и правила заполнения формы сведений о результатах категорирования КИИ
Форма направления сведений о результатах категорирования объектов КИИ — обязательный документ, утверждённый Приказом ФСТЭК России № 236. С 1 сентября 2025 года действует обновлённая редакция (Приказ № 247), существенно расширяющая перечень обязательных полей. В этой статье мы подробно разберём каждый пункт формы, покажем, как правильно заполнять сетевые атрибуты (домены и IP-адреса), и предоставим готовый чек-лист для проверки перед отправкой во ФСТЭК.
Форма сведений о результатах категорирования объектов критической информационной инфраструктуры (КИИ) — это официальный документ, утверждённый Приказом ФСТЭК России от 22.12.2017 № 236. Она представляет собой структурированную анкету, которую субъект КИИ обязан заполнить по итогам процедуры категорирования и направить в ФСТЭК России. Документ содержит сведения как о самой организации, так и о каждом объекте КИИ — его архитектуре, программно-аппаратном составе, угрозах безопасности и присвоенной категории значимости.
Важно понимать: форма направляется не только при присвоении категории значимости (первой, второй или третьей), но и в случае, когда комиссия приходит к выводу об отсутствии необходимости присвоения категории. Подробнее о работе комиссии по категорированию и пошаговом руководстве по категорированию читайте в наших материалах.
Правильное заполнение формы — критически важный этап. Ошибки приводят к возврату документов, затягиванию сроков и риску штрафных санкций. Регулятор проверяет сведения на полноту, достоверность и логическую непротиворечивость, а при выявлении недостатков субъект обязан устранить их в десятидневный срок.
Заполнение формы сведений опирается на три ключевых нормативных акта, которые необходимо рассматривать в совокупности.
Базовый документ, утвердивший саму форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости. Форма содержит 9 основных пунктов, охватывающих полную информацию об объекте — от наименования и сферы деятельности до перечня угроз и мер защиты. Подробнее об этом приказе можно узнать в статье Приказ ФСТЭК 236: сведения о доменах и IP-адресах.
Ключевое обновление, вступившее в силу 1 сентября 2025 года. Приказ внёс существенные изменения в форму, утверждённую Приказом № 236:
Это постановление полностью перестроило подход к определению объектов КИИ. Исключены понятия «критических процессов», основой для категорирования стали перечни типовых отраслевых объектов. Субъекты КИИ обязаны выявлять информационные системы, сети и АСУ, соответствующие типовым объектам из перечней, и заполнять форму с учётом новых правил. Подробный анализ изменений представлен в статье Постановление 1762: категорирование объектов КИИ.
Форма направления сведений, утверждённая Приказом № 236 (в редакции Приказа № 247), состоит из следующих основных разделов:
| № пункта | Раздел формы | Краткое содержание |
|---|---|---|
| 1 | Сведения об объекте КИИ | Наименование, тип, сфера деятельности, назначение, категория, сетевые атрибуты |
| 2 | Сведения о субъекте КИИ | Полное наименование, ИНН, ОГРН, юридический адрес, контактные данные |
| 3 | Сведения о взаимодействии с сетями электросвязи | Доменные имена, IP-адреса, способ подключения к Интернету |
| 4 | Сведения о лице, эксплуатирующем объект | Данные эксплуатирующей организации, если она отличается от субъекта |
| 5 | Сведения о программных и программно-аппаратных средствах | Перечень ПО, оборудования, элементов архитектуры объекта |
| 6 | Сведения об угрозах безопасности информации | Актуальные угрозы, категории нарушителей, модель угроз |
| 7 | Сведения о возможных последствиях | Оценка масштаба и последствий компьютерных инцидентов |
| 8 | Сведения о мерах по обеспечению безопасности | Средства защиты информации, сертификаты соответствия, организационные меры |
| 9 | Категория значимости / отсутствие необходимости | Присвоенная категория или обоснование отсутствия категории |
Каждый из этих разделов содержит подпункты, требующие детального заполнения. Рассмотрим их далее.
Ниже приведена детальная инструкция по заполнению основных полей формы. Рекомендуется использовать её как справочник при подготовке документов.
Пункт 1.1. Наименование объекта КИИ. Указывается полное наименование информационной системы, информационно-телекоммуникационной сети или автоматизированной системы управления. Наименование должно точно соответствовать внутренним документам организации (приказам, эксплуатационной документации). Например: «Автоматизированная система управления технологическим процессом цеха термообработки» или «Информационная система бухгалтерского учёта „1С:Предприятие“».
Пункт 1.2. Сфера (область) деятельности субъекта КИИ. Указывается одна или несколько сфер деятельности из перечня, предусмотренного статьёй 2 Федерального закона № 187-ФЗ: здравоохранение, наука, транспорт, связь, энергетика, финансовый рынок, топливно-энергетический комплекс, атомная энергия, оборона, ракетно-космическая отрасль, горнодобывающая промышленность, металлургия, химическая промышленность. После изменений, внесённых Приказом № 247, допускается указание нескольких сфер для одного объекта. Актуальные изменения в законе описаны в статье Изменения 187-ФЗ в 2025–2026 году.
Пункт 1.3. Тип объекта КИИ. Указывается один из трёх типов: информационная система (ИС), информационно-телекоммуникационная сеть (ИТКС) или автоматизированная система управления (АСУ). Тип должен соответствовать перечням типовых отраслевых объектов.
Пункт 1.4. Назначение объекта КИИ. Описывается функциональное назначение объекта — какие задачи он решает, какие процессы автоматизирует. Описание должно быть конкретным и позволять определить роль объекта в деятельности организации. Не допускаются общие формулировки вроде «обеспечение деятельности организации».
Пункт 1.5. Описание архитектуры объекта. После изменений Приказа № 247 здесь необходимо конкретизировать элементы (компоненты) объекта КИИ: центры обработки данных, серверное оборудование, сетевые сегменты, автоматизированные рабочие места, каналы связи. Указывается общая структурная схема объекта.
Пункт 1.6. Размещение объекта КИИ. Указываются адреса площадок, на которых размещены компоненты объекта. Если объект территориально распределён, перечисляются все площадки.
Пункт 1.7. Наличие взаимодействия с сетями электросвязи общего пользования. Указывается факт наличия или отсутствия подключения объекта КИИ к сети Интернет или к иным сетям электросвязи общего пользования. Если взаимодействие имеется, необходимо заполнить п. 1.8.
Пункт 1.8. Сетевые атрибуты объекта КИИ. Это поле требует особого внимания — подробный разбор представлен в следующем разделе.
Указываются полное и сокращённое наименование юридического лица, ИНН, ОГРН, юридический и фактический адреса, контактный телефон, адрес электронной почты, ФИО руководителя. Данные должны точно соответствовать выписке из ЕГРЮЛ.
Раздел заполняется на основании данных п. 1.7. Указываются: наименование оператора связи, тип подключения (выделенный канал, VPN, публичный Интернет), пропускная способность каналов, схема сетевого взаимодействия.
Заполняется, если объект КИИ эксплуатируется сторонней организацией (аутсорсинг, облачный провайдер). Указываются: наименование организации, реквизиты договора, ответственные лица.
Перечисляются: наименования программного обеспечения, версии, производители; аппаратные платформы; наличие в Едином реестре российского ПО. После изменений Приказа № 247 также требуется указать реквизиты сертификатов соответствия средств защиты информации.
Указываются актуальные угрозы из Банка данных угроз ФСТЭК (БДУ), категории нарушителей (внешние, внутренние), способы реализации угроз. Данный раздел должен быть согласован с моделью угроз организации.
Описываются масштаб возможных последствий компьютерных инцидентов по показателям критериев значимости: ущерб жизни и здоровью людей, экологический ущерб, экономический ущерб, нарушение функционирования транспортной инфраструктуры, нарушение обороноспособности и др. Оценка ведётся по методике ФСТЭК.
Перечисляются организационные и технические меры защиты: средства антивирусной защиты, системы обнаружения вторжений, межсетевые экраны, SIEM-системы. Для каждого средства защиты указываются реквизиты сертификата соответствия ФСТЭК/ФСБ или обоснование отсутствия сертификата.
Указывается одна из трёх категорий значимости (первая, вторая, третья) или отметка об отсутствии необходимости присвоения категории с обоснованием. Обоснование должно содержать ссылки на конкретные показатели критериев и результаты оценки масштаба последствий. Об отраслевых особенностях категорирования читайте в нашей отдельной статье.
Для кого эта услуга
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Пункт 1.8 формы сведений — один из наиболее значимых после изменений, внесённых Приказом ФСТЭК № 247 и Постановлением № 1762. Если объект КИИ взаимодействует с сетями электросвязи общего пользования, в том числе с информационно-телекоммуникационной сетью «Интернет», то заполнение этого пункта является обязательным.
В данном пункте указываются:
scada.enterprise.ru, portal.company.ru.203.0.113.25) или IPv6.| Условие | Действие |
|---|---|
| Объект КИИ имеет прямое подключение к Интернету | Обязательно — указать домен и статический IP |
| Объект КИИ имеет подключение через NAT/прокси | Обязательно — указать внешний IP шлюза и домен (при наличии) |
| Объект КИИ имеет динамический IP | Обязательно — указать диапазон IP + адрес DNS-сервера провайдера |
| Объект КИИ подключён к VPN без выхода в Интернет | Рекомендуется — указать «Взаимодействие с сетями общего пользования отсутствует» |
| Объект КИИ полностью изолирован (air gap) | Не заполняется — в п. 1.7 указать отсутствие взаимодействия |
1. Проведите инвентаризацию всех внешних IP-адресов и доменных имён объекта до начала заполнения формы. Обратитесь к администраторам сети и оператору связи для получения актуальных данных.
2. Указывайте все домены, ассоциированные с объектом КИИ, включая поддомены. Например, если объект — информационная система с веб-порталом, укажите: portal.company.ru, api.portal.company.ru, admin.portal.company.ru.
3. Для динамических IP-адресов укажите диапазон, выделенный провайдером (например, 198.51.100.0/24), и адрес DNS-сервера провайдера связи.
4. Не указывайте внутренние (серые) IP-адреса из диапазонов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Пункт 1.8 предназначен исключительно для внешних (публичных) адресов.
5. Если объект не имеет подключения к Интернету, пункт 1.8 оставьте пустым, но в п. 1.7 обязательно укажите отсутствие взаимодействия с сетями общего пользования. Детальная информация о требованиях содержится в статье Приказ ФСТЭК 236: сведения о доменах и IP-адресах.
Для наглядности представим ключевые изменения, внесённые Приказом ФСТЭК № 247 в форму, утверждённую Приказом № 236.
| Элемент формы | Было (до 01.09.2025) | Стало (после 01.09.2025) |
|---|---|---|
| Сфера деятельности (п. 1.2) | Одна сфера на один объект | Допускается указание нескольких сфер деятельности для одного объекта |
| Описание архитектуры (п. 1.5) | Общее описание | Конкретизация элементов: ЦОД, серверное оборудование, сетевые сегменты, АРМ |
| Сетевые атрибуты (п. 1.8) | Факультативное поле | Обязательное при наличии взаимодействия с Интернетом: домен + внешний IP + DNS |
| Средства защиты (п. 8) | Перечень СЗИ без обязательных реквизитов | Обязательно: реквизиты сертификатов соответствия или обоснование их отсутствия |
| Программные средства (п. 5) | Общий перечень ПО | Детализация: наименование, версия, производитель, наличие в реестре российского ПО |
| Основа для категорирования | Критические процессы субъекта | Перечни типовых отраслевых объектов (ПП № 1762) |
Субъекты, ранее направлявшие сведения по старой форме, должны актуализировать их с учётом внесённых изменений. О сроках и порядке «второй волны категорирования» читайте в нашем материале.
Практика взаимодействия с ФСТЭК показывает, что значительная часть направленных сведений возвращается субъектам на доработку. Рассмотрим наиболее распространённые причины.
| № | Ошибка | Последствие | Как исправить |
|---|---|---|---|
| 1 | Незаполненный п. 1.8 при наличии подключения к Интернету | Возврат сведений на доработку | Провести инвентаризацию IP и доменов, заполнить п. 1.8 |
| 2 | Указание внутренних IP-адресов вместо внешних | Замечание ФСТЭК, необходимость исправления | Указывать только публичные адреса, запросить у провайдера |
| 3 | Несоответствие наименования объекта внутренним документам | Логическое противоречие, возврат | Привести наименование в соответствие с приказом о вводе в эксплуатацию |
| 4 | Отсутствие обоснования при «нулевой» категории | Требование пересмотра категорирования | Привести аргументацию со ссылками на показатели критериев |
| 5 | Неактуальные критерии значимости при расчёте ущерба | Акт возвращается «на доработку» | Использовать актуальные критерии из ПП № 127 (в ред. ПП № 1762) |
| 6 | Отсутствие сведений о незначимых объектах | Административная ответственность | Направить сведения по всем объектам, включая незначимые |
| 7 | Отсутствие реквизитов сертификатов СЗИ | Возврат на доработку (после 01.09.2025) | Дополнить сведения реквизитами сертификатов или обоснованием отсутствия |
По данным практикующих специалистов, около 40% направляемых сведений возвращаются на доработку. Основная причина — формальный подход к заполнению без привлечения технических специалистов. Подробнее о типичных ошибках при взаимодействии с ФСТЭК читайте в нашем обзоре.
При получении мотивированного обоснования причин возврата субъект КИИ обязан устранить недостатки и повторно направить сведения в ФСТЭК в срок не более 10 рабочих дней.
Перед направлением сведений во ФСТЭК рекомендуем провести финальную проверку по следующему чек-листу. Это позволит минимизировать риск возврата документов.
| № | Что проверить | Пункт формы | Статус |
|---|---|---|---|
| 1 | Наименование объекта совпадает с эксплуатационной документацией | п. 1.1 | Проверить |
| 2 | Указаны все применимые сферы деятельности | п. 1.2 | Проверить |
| 3 | Тип объекта соответствует перечню типовых отраслевых объектов | п. 1.3 | Проверить |
| 4 | Назначение объекта описано конкретно, без общих формулировок | п. 1.4 | Проверить |
| 5 | Архитектура детализирована: ЦОД, серверы, сетевые сегменты, АРМ | п. 1.5 | Проверить |
| 6 | Указаны адреса всех площадок размещения объекта | п. 1.6 | Проверить |
| 7 | Заполнен п. 1.7 (наличие/отсутствие взаимодействия с Интернетом) | п. 1.7 | Проверить |
| 8 | При наличии подключения к Интернету: указаны домен, внешний IP, DNS | п. 1.8 | Критично |
| 9 | Реквизиты субъекта совпадают с данными ЕГРЮЛ | п. 2 | Проверить |
| 10 | Для каждого СЗИ указаны реквизиты сертификата или обоснование отсутствия | п. 8 | Критично |
| 11 | Угрозы соответствуют актуальной модели угроз и БДУ ФСТЭК | п. 6 | Проверить |
| 12 | Категория обоснована со ссылками на конкретные показатели критериев | п. 9 | Критично |
| 13 | Нет логических противоречий между разделами формы | Все | Критично |
| 14 | Электронная копия подготовлена в формате .ods (не .xlsx) | — | Проверить |
| 15 | Форма подписана уполномоченным лицом субъекта КИИ | — | Проверить |
Рекомендуем назначить ответственного за перекрёстную проверку формы — специалиста, который не участвовал в заполнении. Свежий взгляд позволяет выявить логические несоответствия, невидимые исполнителю.
После завершения заполнения и проверки формы необходимо выполнить следующие шаги.
Комплект включает:
Сведения направляются по почтовому адресу ФСТЭК России: 105066, г. Москва, ул. Старая Басманная, д. 17. Также возможна передача нарочным в канцелярию ФСТЭК.
В соответствии с Постановлением Правительства РФ № 127 (в редакции ПП № 1762), сведения направляются в ФСТЭК в течение 10 рабочих дней после подписания акта категорирования. При изменении сведений (смена IP-адресов, обновление СЗИ, реорганизация субъекта) актуализированные данные также направляются в десятидневный срок.
| Роль | Зона ответственности | Пункты формы |
|---|---|---|
| CISO / Руководитель ИБ | Общая координация, согласование, подпись; угрозы и меры защиты | п. 6, п. 8, п. 9 |
| ИТ-директор / CTO | Архитектура, программно-аппаратные средства, сетевые атрибуты | п. 1.5, п. 1.7, п. 1.8, п. 5 |
| Юрист | Реквизиты субъекта, правовые основания, сопроводительное письмо | п. 1.2, п. 2, п. 4 |
| Системный администратор | Инвентаризация IP, доменов, ПО, оборудования | п. 1.8, п. 3, п. 5 |
| Владелец процесса / АСУ ТП | Назначение объекта, оценка последствий инцидентов | п. 1.4, п. 7 |
О стоимости услуг по категорированию с привлечением лицензиатов ФСТЭК читайте в статьях: Стоимость категорирования КИИ и Как выбрать лицензиата ФСТЭК и ФСБ.
Форма сведений о результатах категорирования объектов КИИ, утверждённая Приказом ФСТЭК № 236 (в редакции Приказа № 247 от 11.07.2025), является центральным документом, фиксирующим результаты категорирования и формирующим основу для реестра значимых объектов КИИ.
С учётом изменений, вступивших в силу 1 сентября 2025 года и 18 ноября 2025 года (ПП № 1762), заполнение формы требует существенно большей детализации, чем ранее. Особое внимание следует уделить:
Рекомендуем формировать межфункциональную рабочую группу (CISO, ИТ-директор, юрист, системный администратор) для совместного заполнения формы и использовать приведённый выше чек-лист перед отправкой.
Для организаций, не обладающих достаточными ресурсами или компетенциями для самостоятельного заполнения, оптимальным решением является привлечение лицензиата ФСТЭК. Наша команда оказывает услуги комплексной защиты КИИ под ключ, включая подготовку и проверку всех документов для ФСТЭК.
Нужна помощь с заполнением формы сведений или полным циклом категорирования?
Обратитесь к нашим экспертам — мы подготовим документы с учётом всех актуальных требований ФСТЭК 2026 года и сопроводим до успешного внесения объектов в реестр. Узнать подробнее.
Медиа
Была ли полезна вам данная статья?
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000.
© ООО «Астелс» - Консалтинговая группа» 2012 - 2024
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 17.03.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград