- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Инвентаризация ИТ-активов для КИИ: как ничего не упустить и избежать штрафа
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Инвентаризация ИТ-активов для КИИ: как ничего не упустить и избежать штрафа
Невыявление объекта КИИ — самостоятельное правонарушение со штрафом до 500 000 рублей. При этом до 60% информационных систем в организациях остаются «невидимыми» для ИТ-отдела. Данная статья — практическое руководство для CIO и ИТ-инженеров: как провести полную инвентаризацию активов ИБ, обнаружить теневые системы, выбрать инструменты сканирования и выстроить непрерывный процесс учёта объектов КИИ.
Большинство субъектов критической информационной инфраструктуры сосредоточены на том, чтобы правильно категорировать уже известные объекты. Но существует менее очевидный и более опасный риск — не выявить объект КИИ вовсе. Информационная система, АСУ ТП или телекоммуникационная сеть, которая не попала в перечень, не проходит категорирование, не получает защитных мер и остаётся «вне закона» — при этом юридическая ответственность ложится на субъект.
С 2025–2026 года ситуация ужесточилась. Согласно обновлённому 187-ФЗ и Постановлению 1762, субъект обязан выявить все объекты КИИ, используемые в его деятельности. Невыполнение этого требования квалифицируется по ст. 19.7.15 КоАП РФ: штраф для должностных лиц составляет от 10 000 до 50 000 рублей, для юридических — от 50 000 до 500 000 рублей. При повторном нарушении санкции удваиваются.
Но штраф — это только верхушка айсберга. Невыявленный объект, лишённый защиты, становится мишенью для атак. Если инцидент на таком объекте приведёт к ущербу, вступает в действие ст. 274.1 УК РФ — уголовная ответственность вплоть до лишения свободы. Именно поэтому инвентаризация ИТ-активов — не формальность, а критический этап, определяющий периметр правовой и технической защиты.
Риски невыявления объектов КИИ
По данным ФСТЭК (Инфофорум 2026), в 2025 году 98% протоколов об административных правонарушениях связаны с несоответствием фактического состава объектов КИИ данным реестра. Значительная часть этих дел — следствие именно неполной инвентаризации активов ИБ.
Инвентаризация ИТ-активов для целей КИИ регулируется комплексом нормативных актов. CIO и ИТ-инженерам важно понимать, какие именно требования предъявляются на каждом этапе.
| Нормативный акт | Требование к инвентаризации | Санкция за невыполнение |
|---|---|---|
| 187-ФЗ, ст. 7 | Субъект обязан выявить все объекты КИИ, присвоить категорию или обосновать её отсутствие | Ст. 19.7.15 КоАП: до 500 000 ₽ |
| ПП-127 (ред. ПП-1762) | Формирование перечня объектов КИИ с привязкой к типовым отраслевым перечням | Предписание ФСТЭК, повторное категорирование |
| Приказ ФСТЭК № 236 | Указание в форме сведений IP-адресов, доменных имён, архитектуры объекта | Возврат формы на доработку |
| Приказ ФСТЭК № 239, мера АУД.1 | Инвентаризация информационных ресурсов значимого объекта КИИ | Ст. 13.12.1 КоАП, предписание |
| Вторая волна категорирования 2026 | Повторный анализ инфраструктуры с учётом новых типовых перечней | Неисполнение указа — административная и уголовная ответственность |
| Методика ФСТЭК (КЗИ) | Полнота охвата активов влияет на коэффициент защищённости | Снижение КЗИ ниже допустимого порога |
Принципиальный момент: инвентаризация активов ИБ — это не разовая акция, а непрерывный процесс. Комиссия по категорированию обязана актуализировать перечень объектов при любом изменении инфраструктуры: вводе новых систем, выводе старых, миграции в облако, слиянии юридических лиц. Согласно Приказу ФСТЭК № 239, пересмотр проводится не реже одного раза в 5 лет, но в реальности регулятор ожидает актуальных данных на момент проверки.
Почему организации пропускают объекты при инвентаризации? Ответ чаще всего сводится к одному явлению — Shadow IT (теневые ИТ). По статистике, ИТ-подразделения компаний не знают примерно о 40–60% реально функционирующих информационных систем и сервисов. В крупных организациях этот показатель может достигать 90% от общего числа приложений.
Теневые ИТ в контексте КИИ — это не только личные мессенджеры сотрудников. Это полноценные информационные системы, которые обрабатывают критически важные данные, но не попали в поле зрения комиссии по категорированию.
| Категория Shadow IT | Примеры | Риск для КИИ |
|---|---|---|
| «Забытые» серверы | Тестовые стенды, унаследованные от предыдущих проектов серверы, виртуальные машины-клоны | Нет обновлений, нет мониторинга, прямой доступ к сегменту КИИ |
| Самописные скрипты и системы | Макросы Excel, парсеры данных, локальные БД, внутренние веб-порталы | Обрабатывают критичные данные без классификации |
| Облачные сервисы | SaaS-приложения, подключённые подразделениями в обход ИТ-отдела | Данные КИИ хранятся за пределами контролируемого периметра |
| IoT и промышленные устройства | Видеокамеры с сетевым доступом, датчики АСУ ТП, контроллеры СКУД | Часто имеют уязвимости по умолчанию, подключены к корпоративной сети |
| ИИ-инструменты | Чат-боты, генеративные нейросети, ИИ-ассистенты, используемые сотрудниками | Передача критических данных во внешние сервисы без контроля |
| Устройства сотрудников (BYOD) | Личные ноутбуки, смартфоны, USB-носители с доступом к сети | Неуправляемые точки входа в сегмент объекта КИИ |
По данным отраслевых исследований, Shadow IT стал причиной 16% всех киберинцидентов в 2023–2024 годах. В критической инфраструктуре этот показатель составляет около 13%. Для субъекта КИИ каждая теневая система — это потенциальный невыявленный объект, за который организация несёт полную ответственность.
Характерный пример из практики: крупное промышленное предприятие провело категорирование и направило сведения во ФСТЭК по 12 объектам КИИ. При плановой проверке инспектор обнаружил ещё 4 информационных системы, развёрнутых подразделением логистики без участия ИТ-отдела. Системы обрабатывали данные о поставках сырья — критичный процесс для производства. Итог: предписание, штраф 300 000 рублей и обязательство провести повторное категорирование в 90-дневный срок.
Выявление объектов КИИ — это многоуровневый процесс, который начинается задолго до сканирования сетей. Комплексный аудит инфраструктуры предполагает сочетание нескольких методов.
Первый шаг — анализ существующих источников информации об ИТ-активах. Комиссия по категорированию изучает:
ИТ-отдел видит технику, но может не знать, какие бизнес-процессы она обслуживает. Опрос руководителей подразделений выявляет скрытые зависимости: какие системы критичны для производства, какие данные обрабатываются, существуют ли неучтённые решения на уровне отделов.
Инструментальный анализ сетевой инфраструктуры позволяет обнаружить устройства и сервисы, о которых не знает даже ИТ-отдел. Сканирование покрывает:
Пассивный мониторинг трафика выявляет системы, которые не отвечают на активные сканы: скрытые сервисы, нестандартные протоколы промышленных систем (Modbus, OPC UA), несанкционированные подключения к внешним ресурсам.
Отдельный этап — ревизия облачных сервисов: CASB-решения (Cloud Access Security Broker) или анализ журналов DNS/прокси позволяют выявить SaaS-приложения, используемые сотрудниками без ведома ИТ-отдела.
Для кого эта услуга
Горнодобывающая промышленность
Транспорт
Связь
Топливно-энергетический комплекс
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Для ИТ-инженеров, непосредственно выполняющих инвентаризацию, критически важен выбор правильных инструментов. Ниже — обзор решений, применимых для выявления объектов КИИ.
| Инструмент | Тип | Возможности для инвентаризации КИИ | Ограничения |
|---|---|---|---|
| Nmap / Zenmap | Активный сканер | Обнаружение хостов, открытых портов, определение ОС и версий сервисов, визуализация топологии | Не сертифицирован ФСТЭК, может вызвать сбои в АСУ ТП |
| MaxPatrol 8 / VM | Сканер уязвимостей + инвентаризация | Сертифицирован ФСТЭК. Инвентаризация активов, профилирование ОС/ПО, выявление уязвимостей | Коммерческая лицензия, требует настройки агентов |
| RedCheck | Сканер уязвимостей | Сертифицирован ФСТЭК. Аудит конфигураций, контроль обновлений, инвентаризация ПО | Ограниченные возможности по сетевому обнаружению |
| Zabbix | Мониторинг инфраструктуры | Автообнаружение устройств в сети, отслеживание изменений, API для интеграции с SGRC | Инструмент мониторинга, а не специализированного аудита |
| NetBox | IPAM/DCIM | Учёт IP-адресов, подсетей, оборудования. Источник истины для Приказа 236 | Требует ручного наполнения или интеграций для автоматического сбора |
| CASB (Cloud Access Security Broker) | Контроль облачных сервисов | Выявление Shadow IT в облаке, контроль доступа к SaaS, DLP | Не покрывает on-premise инфраструктуру |
Важное ограничение для АСУ ТП: активное сканирование промышленных сегментов сети может привести к сбоям оборудования. Промышленные контроллеры (ПЛК), датчики и SCADA-системы часто используют устаревшие протоколы, не рассчитанные на обработку нестандартных сетевых запросов. Известны случаи, когда Nmap-сканирование вызывало перезагрузку контроллеров на производственной линии. Для сетей АСУ ТП рекомендуется использовать пассивные методы — анализ зеркалированного трафика (SPAN-порт), а активные сканирования проводить только в технологические окна с согласия владельцев процессов.
Оптимальная стратегия — комбинированный подход: активное сканирование корпоративного сегмента + пассивный мониторинг технологического сегмента + CASB для облачных сервисов. Результаты всех сканирований сводятся в единый реестр, который становится основой для категорирования объектов КИИ. При этом каждый выявленный актив должен быть классифицирован: является ли он самостоятельным объектом КИИ, компонентом существующего объекта или не относится к КИИ. Это решение принимает комиссия по категорированию и фиксирует его протоколом.
Ниже — алгоритм из 7 шагов, который позволяет системно провести инвентаризацию и гарантированно выявить все объекты КИИ.
Алгоритм полной инвентаризации ИТ-активов для КИИ
Контрольная точка: после шага 5 рекомендуем провести перекрёстную верификацию — сравнить количество серверов в результатах сканирования с данными бухгалтерского учёта и CMDB. Расхождение более чем на 10% указывает на наличие неучтённых активов и требует дополнительного расследования.
Для организаций, проходящих вторую волну категорирования в 2026 году, алгоритм остаётся тем же, но с дополнительным этапом: анализ изменений инфраструктуры с момента первого категорирования. Все новые системы, введённые в эксплуатацию после первоначального категорирования, должны быть включены в обновлённый перечень.
Как определить, достаточно ли полно проведена инвентаризация? Ниже — матрица зрелости процесса, разработанная на основе практики аудитов более 7 000 проектов. Определите ваш текущий уровень и двигайтесь к целевому.
| Уровень | Название | Характеристика | Охват активов | Риск для ФСТЭК |
|---|---|---|---|---|
| 1 | Начальный | Учёт ведётся в головах сотрудников и разрозненных таблицах. Нет единого реестра | 30–50% | Критический |
| 2 | Базовый | Единый реестр в Excel. Ручное обновление. Сканирование не проводится | 50–70% | Высокий |
| 3 | Управляемый | Регулярное сканирование сети. Результаты вносятся в реестр. Процесс регламентирован | 70–85% | Средний |
| 4 | Оптимизированный | CMDB/ITAM с автоматическим обнаружением. Интеграция с Zabbix, AD. Регулярная верификация | 85–95% | Низкий |
| 5 | Непрерывный | SGRC-платформа с полным автоматическим учётом. Real-time обнаружение новых активов. Оповещения | 95–100% | Минимальный |
Для субъектов КИИ с значимыми объектами 1–2 категории целевой уровень — не ниже 4 (Оптимизированный). Для организаций с объектами 3 категории допустим уровень 3 при условии регулярности сканирований (не реже одного раза в квартал).
Практика показывает, что большинство субъектов КИИ в России находятся на уровнях 1–2: учёт ведётся в разрозненных таблицах или в памяти отдельных сотрудников. Переход с уровня 2 на уровень 3 (регулярное сканирование + регламент) можно осуществить за 1–2 месяца силами штатного ИТ-отдела. Переход на уровень 4 (CMDB с автоматическим обнаружением) требует внедрения специализированных инструментов и занимает 3–6 месяцев. Инвестиция в автоматизацию окупается снижением трудозатрат на поддержание реестра и минимизацией рисков при проверках ФСТЭК.
Ручная инвентаризация — это проект с конечным сроком. Но инфраструктура меняется непрерывно: новые серверы, обновления ПО, миграции в облако. Чтобы реестр объектов КИИ оставался актуальным, необходима автоматизация.
CMDB (Configuration Management Database) — база данных конфигурационных единиц. Хранит информацию обо всех ИТ-активах и связях между ними. Популярные решения: NetBox (open-source IPAM/DCIM), iTop, GLPI. Подходит как технический фундамент для инвентаризации, но не содержит нормативной логики КИИ.
ITAM (IT Asset Management) — управление жизненным циклом ИТ-активов от закупки до списания. Отслеживает лицензии, гарантии, финансовые показатели. Хорошо интегрируется с бухгалтерскими системами, но не знает о требованиях 187-ФЗ.
SGRC-платформы — специализированные системы для управления информационной безопасностью и compliance. Именно этот класс решений объединяет инвентаризацию активов с процессами категорирования КИИ, расчётом КЗИ, формированием формы сведений и разработкой ОРД.
Оптимальная архитектура: Zabbix обнаруживает устройства в сети и передаёт данные в NetBox (IPAM). NetBox хранит карту IP-адресов и подсетей. SGRC-платформа импортирует активы из обоих источников, привязывает их к объектам КИИ и отслеживает соответствие нормативным требованиям. При появлении нового устройства в подсети, относящейся к объекту КИИ, система автоматически создаёт задачу для ответственного: «Проверить, не требуется ли пересмотр категории».
При выборе класса решения ориентируйтесь на масштаб инфраструктуры. Если у организации до 50 объектов КИИ — достаточно связки Zabbix + NetBox + Excel-реестр с регламентированным обновлением. При 50–200 объектах рекомендуется внедрение специализированного модуля КИИ в составе SGRC. Для холдингов с сотнями объектов по множеству юридических лиц полноценная SGRC-платформа — единственный способ сохранить контроль. Стоимость категорирования в целом и экономику процесса мы подробно разбираем в статье «Сколько стоит категорирование КИИ в 2026 году».
Подробный обзор российских SGRC-решений (SECURITM, Security Vision, R-Vision, UDV ePlat4m, АльфаДок) и сравнительную матрицу функциональности читайте в нашей статье «Автоматизация учёта объектов КИИ: SGRC».
Анализ результатов аудитов ИБ и проверок ФСТЭК позволяет выделить наиболее частые ошибки, которые допускают субъекты КИИ при инвентаризации.
| № | Ошибка | Последствие | Как избежать |
|---|---|---|---|
| 1 | Учёт только «основных» систем, игнорирование тестовых сред | Тестовый стенд с копией продуктивной БД — такой же объект КИИ | Включать в периметр все среды: prod, stage, dev, DR |
| 2 | Неучёт облачных сервисов | ИС в облаке — тоже объект КИИ, если обрабатывает критические данные | Ревизия облачных подписок, анализ журналов прокси/DNS |
| 3 | Сканирование только корпоративного сегмента | АСУ ТП, СКУД, видеонаблюдение остаются вне реестра | Пассивный мониторинг технологических сетей |
| 4 | Разовая инвентаризация без процесса обновления | Через полгода реестр устаревает, новые системы не учтены | Регламент обновления, автоматическое обнаружение |
| 5 | Инвентаризация силами только ИТ-отдела | Бизнес-подразделения скрывают Shadow IT | Привлечь владельцев процессов, провести интервью |
| 6 | Несверка с типовыми перечнями | Пропущены объекты, обязательные для отрасли | Шаг 6 алгоритма — обязательная сверка с отраслевым перечнем |
| 7 | Отсутствие фиксации IP-адресов и доменов | Невозможно заполнить форму сведений по Приказу 236 | Фиксировать IP, FQDN, подсети на этапе сканирования |
| 8 | Игнорирование филиалов и дочерних организаций | ИС филиала может являться частью объекта КИИ головной компании | Шаг 1 алгоритма — определение всех юрлиц и площадок |
Особого внимания заслуживает ошибка № 4 — разовая инвентаризация. Многие организации проводят аудит инфраструктуры перед проверкой ФСТЭК, получают «чистый» результат и считают задачу выполненной. Но ИТ-среда живёт своей жизнью: через месяц после аудита появляется новый сервер, через два — тестовая среда разработки, через три — подразделение подключает облачный сервис. Без непрерывного процесса обнаружения все эти изменения останутся незамеченными до следующей проверки.
Избежать этих типичных ошибок поможет системный подход: сочетание документарного анализа, инструментального сканирования, интервью с бизнес-подразделениями и автоматизации через SGRC/CMDB.
Инвентаризация ИТ-активов — фундамент, на котором строится вся система безопасности критической информационной инфраструктуры. Неполный перечень объектов КИИ автоматически делает бессмысленными все последующие этапы: категорирование, моделирование угроз, проектирование системы защиты, расчёт коэффициента защищённости. И, что ещё важнее, невыявленный объект — это самостоятельное правонарушение с серьёзными штрафами.
Нужна помощь с инвентаризацией ИТ-активов и выявлением объектов КИИ? Специалисты sertifikat.bz проведут комплексный аудит вашей инфраструктуры, выявят теневые системы, сформируют полный реестр объектов и подготовят документацию для ФСТЭК. Мы работаем как аккредитованный лицензиат ФСТЭК и ФСБ с опытом более 7 000 проектов. Оставьте заявку — первая консультация бесплатно. Звоните: 8(800) 70-70-144.
С 2024 года по ст. 19.7.15 КоАП штраф за непредоставление или предоставление неполных сведений о категорировании объектов КИИ составляет до 500 тыс. рублей для юридических лиц. Кроме того, невыявленные объекты означают отсутствие защиты, что при инциденте может повлечь уголовную ответственность по ст. 274.1 УК РФ.
Законодательство требует пересматривать перечень объектов КИИ не реже одного раза в 5 лет, однако на практике рекомендуется проводить инвентаризацию ежегодно или при любом существенном изменении инфраструктуры. Это позволяет своевременно выявлять новые системы и корректировать категории значимости.
Начните с автоматического сканирования сети (Nmap, MaxPatrol, R-Vision) для обнаружения всех активных узлов и сервисов. Параллельно запросите у владельцев бизнес-процессов перечень используемых систем — это поможет выявить Shadow IT. Результаты объедините в единый реестр и сопоставьте с критическими процессами по 187-ФЗ.
Shadow IT — это информационные системы, сервисы и оборудование, используемые сотрудниками без ведома ИТ-отдела: облачные хранилища, личные серверы, незарегистрированные базы данных. При категорировании такие объекты выпадают из периметра, что делает инвентаризацию неполной и создаёт как регуляторные, так и реальные риски безопасности.
Сроки зависят от масштаба организации: для средней компании (500–2000 узлов) инвентаризация занимает от 2 до 6 недель. Стоимость аудита с привлечением лицензированной организации начинается от 300–500 тыс. рублей. При наличии внутренней команды и инструментов автоматизации (CMDB/ITAM) затраты можно существенно сократить.
Для самой процедуры инвентаризации использование сертифицированных средств не является обязательным требованием. Однако при дальнейшей защите значимых объектов КИИ средства защиты информации должны пройти оценку соответствия согласно приказам ФСТЭК № 239 и № 235. Поэтому многие организации сразу выбирают сертифицированные сканеры, чтобы использовать их и для инвентаризации, и для контроля защищённости.
В процесс необходимо вовлечь службу информационной безопасности, владельцев бизнес-процессов, эксплуатационные подразделения (АСУ ТП, связь) и юридический отдел. Комиссия по категорированию, создаваемая по требованиям постановления Правительства № 127, формально закрепляет ответственность. Без участия бизнес-подразделений невозможно корректно определить, какие системы обеспечивают критические процессы.
Медиа
Была ли полезна вам данная статья?
Так же читайте другие статьи на эту тему
Чек-лист: внутренний аудит ИБ перед плановой проверкой ФСТЭК субъекта КИИ
Подробный чек-лист внутреннего аудита информационной безопасности для субъекта КИИ перед плановой проверкой ФСТЭК: документарный контроль, организационные меры, технические СЗИ, мониторинг и расчёт КЗИ.
Взаимодействие ИБ и ИТ департаментов при категорировании КИИ: решение конфликтов
Как выстроить процесс так, чтобы ИТ-отдел вовремя передавал данные об IP-адресах и новых системах в службу безопасности: матрица RACI, регламент, SLA и чек-лист из 12 шагов.
Требования к защите значимых объектов КИИ (ЗОКИИ): разбор Приказа ФСТЭК № 239
Детальный разбор Приказа ФСТЭК № 239: 17 групп мер защиты, матрица требований по категориям значимости, алгоритм адаптации и компенсации мер, практический чек-лист готовности к проверке.
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Добровольная сертификация, Сетификация ИСО, Сертификация услуг, Категорирование КИИ, Классификация гостиниц, Разработка СМК, ХАССП
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 06.04.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград