Как изменить или снять категорию значимости объекта КИИ: законные основания

Категория значимости объекта КИИ не является постоянной: при изменении бизнес-логики, выводе из эксплуатации или обновлении нормативных требований субъект обязан инициировать пересмотр. В статье — полный алгоритм процедуры, риски получения отказа от ФСТЭК и способы их предотвращения.

Порядок снижения или повышения категории значимости

Процедура изменения категории КИИ проходит через те же этапы, что и первичное категорирование, но с рядом существенных особенностей. Ниже — пошаговый алгоритм, адаптированный под задачу пересмотра.

Ключевое отличие от первичного категорирования. При пересмотре комиссия не проводит полную инвентаризацию ИС, АСУ и ИТКС «с нуля». Вместо этого анализируются конкретные изменения, послужившие основанием для пересмотра, и пересчитываются только затронутые показатели. Однако акт пересмотра должен содержать полное обоснование — как по изменённым, так и по неизменным показателям.

Если по результатам пересмотра категория снижается (например, со 2-й до 3-й), субъект вправе скорректировать систему безопасности объекта в соответствии с новыми требованиями. Если категория повышается — субъект обязан привести меры защиты в соответствие с требованиями для новой категории.

Юридический нюанс при снижении категории. Право на сокращение мер защиты возникает только после получения подтверждения от ФСТЭК о внесении изменений в реестр. До этого момента действует прежняя категория, и субъект обязан выполнять весь объём мер, предусмотренный для неё. Преждевременный демонтаж средств защиты квалифицируется как нарушение требований Приказа ФСТЭК №239 — со всеми вытекающими последствиями в виде предписаний и штрафов.

Отдельно следует отметить, что при пересмотре категории комиссия обязана учитывать актуальную методику ФСТЭК с коэффициентом защищённости (КЗИ). Данный коэффициент может существенно повлиять на итоговую оценку, особенно для объектов, ранее категорированных без учёта этой методики.

Снятие категории при выводе объекта из эксплуатации

Вывод объекта КИИ из эксплуатации — отдельный сценарий, который отличается от снижения категории. Здесь речь идёт не об изменении значений критериев, а о полном прекращении существования объекта как элемента критической инфраструктуры.

Когда объект выводится из эксплуатации

• Информационная система заменена новой (миграция с устаревшей ERP на новую платформу).
• АСУ ТП демонтирована в связи с закрытием производственной линии.
• ИТКС ликвидирована после объединения двух сетей в одну.
• Организация прекратила деятельность в сфере, отнесённой к КИИ.

Порядок исключения из реестра ЗОКИИ

Процедура вывода объекта из реестра значимых объектов КИИ регулируется Приказом ФСТЭК №227 (в редакции Приказа №254 от 17.07.2025). Алгоритм действий:

1. Документирование факта вывода. Составьте акт вывода объекта из эксплуатации, зафиксировав дату прекращения функционирования, причину и способ утилизации данных.
2. Решение комиссии. Комиссия по категорированию фиксирует в протоколе, что объект выведен из эксплуатации и основания для присвоения категории значимости утрачены.
3. Уведомление ФСТЭК. Субъект КИИ направляет во ФСТЭК России письмо с информацией о выводе объекта из эксплуатации, приложив копию акта и выписку из протокола комиссии.
4. Исключение из реестра. ФСТЭК в течение 30 дней рассматривает обращение и принимает решение об исключении объекта из реестра ЗОКИИ.

Что происходит с данными. Акт категорирования, форма сведений и вся сопутствующая документация должны храниться субъектом КИИ в течение всего срока существования объекта и не менее 3 лет после его вывода из эксплуатации. Это необходимо для подтверждения правомерности действий при последующих проверках.

Замена одного объекта другим. Частый сценарий — организация выводит устаревшую систему и одновременно вводит в эксплуатацию новую, выполняющую аналогичные функции. В этом случае процедуры проводятся параллельно: исключение старого объекта из реестра ЗОКИИ и первичное категорирование нового. Комиссия по категорированию вправе рассмотреть оба вопроса на одном заседании, оформив результаты единым протоколом, но отдельными актами — акт вывода и акт категорирования нового объекта.

Актуализация реестра КИИ: что направлять во ФСТЭК

Любое изменение категории значимости — повышение, снижение или снятие — требует направления обновлённых сведений во ФСТЭК России. Состав пакета документов зависит от характера изменения.

С 2025 года в состав сведений включаются доменные имена и IP-адреса объектов, взаимодействующих с интернетом. При актуализации данных после пересмотра категории субъект обязан заполнить и этот блок — даже если ранее он не предоставлялся.

Способ подачи. Сведения направляются в бумажном виде с сопроводительным письмом на бланке организации. Электронная подача через портал ФСТЭК на текущий момент не предусмотрена для изменения категорий, хотя некоторые субъекты дублируют пакет на электронную почту территориального управления.

Риски получения отказа от ФСТЭК: причины и профилактика

ФСТЭК России рассматривает поступившие сведения в течение 30 дней. По результатам проверки регулятор может: принять сведения и внести изменения в реестр, вернуть документы на доработку с замечаниями, или направить мотивированное решение о несогласии с присвоенной категорией.

По данным ФСТЭК, в 2024–2025 годах было проведено более 4 000 актуализаций сведений об объектах из реестра ЗОКИИ. Значительная доля обращений возвращалась на доработку. Разберём основные причины отказов.

Что делать при получении замечаний. ФСТЭК возвращает документы с перечнем конкретных замечаний. Субъект обязан устранить их и повторно направить сведения. Срок на устранение замечаний нормативно не ограничен, однако в период доработки объект сохраняет действующую категорию — а значит, и обязанность по выполнению всех мер защиты для этой категории. Затягивание доработки — прямые финансовые потери на избыточную защиту.

Статистика из практики. По нашему опыту сопровождения более 300 субъектов КИИ, наиболее частая причина возврата — необоснованное занижение показателей (около 35% всех возвратов). На втором месте — несоблюдение отраслевых особенностей категорирования (около 25%). Остальные причины связаны с процедурными нарушениями: отсутствие протокола комиссии, устаревшая форма сведений, неполные данные о сетевых реквизитах объекта. Привлечение специализированного интегратора на этапе подготовки документов позволяет избежать большинства этих ошибок.

Блок-схема: алгоритм принятия решения об изменении категории

Ниже представлена структурированная логика принятия решений. Используйте её как внутренний регламент при работе комиссии по категорированию.

Эту таблицу можно использовать как основу для раздела ОРД — организационно-распорядительной документации по КИИ, определяющего внутренний порядок пересмотра категорий в организации.

Рекомендация для CISO. Включите проверку оснований для пересмотра категорий в ежеквартальный цикл внутреннего аудита ИБ. Это позволит своевременно выявлять ситуации, требующие актуализации, и не допускать накопления «технического долга» перед регулятором. По нашему опыту сопровождения субъектов КИИ, организации, внедрившие регулярный мониторинг оснований для пересмотра, сокращают средний срок прохождения процедуры во ФСТЭК с 4–5 месяцев до 6–8 недель.

Чек-лист документов для процедуры деклассификации

Деклассификация — снятие категории значимости с объекта КИИ (перевод в статус «без категории») или исключение из реестра ЗОКИИ. Ниже — полный перечень документов, которые потребуются на каждом этапе.

Рекомендация из практики. Формируйте пакет документов в едином электронном деле с нумерацией листов. При отправке бумажного пакета во ФСТЭК сохраняйте копию с описью вложения и уведомлением о вручении. Это защитит субъекта от споров о сроках подачи.

Для автоматизации учёта объектов КИИ рекомендуется вести электронный реестр с отметками о статусе каждого объекта: «действующий», «на пересмотре», «выводится из эксплуатации», «исключён из реестра».

Итог: как минимизировать регуляторные риски

Изменение категории значимости объекта КИИ — легитимная процедура, предусмотренная законодательством. Однако ФСТЭК России обоснованно относится к таким обращениям с повышенным вниманием, особенно когда речь идёт о снижении или снятии категории. Минимизировать риск отказа позволяют три принципа:

1. Документальная обоснованность. Каждое изменение показателя критерия значимости должно подтверждаться документально: актами, справками, статистикой, отчётами. Формулировка «показатель снизился» без цифр — гарантированный возврат документов.
2. Полнота пересчёта. При пересмотре анализируются все 14 показателей критериев значимости, а не только те, которые изменились. ФСТЭК проверяет, не упущены ли показатели, по которым категория могла повыситься.
3. Соблюдение процедуры. Решение принимается комиссией, оформляется актом, направляется по установленной форме в установленные сроки. Нарушение любого процедурного элемента — основание для возврата.

Если ваша организация планирует вывод объекта из эксплуатации, реорганизацию или пересмотр результатов второй волны категорирования, начните с аудита текущего состояния объектов. Стоимость категорирования зависит от числа объектов и сложности обоснования — привлечение лицензиата ФСТЭК на этапе подготовки документов снижает вероятность отказа и сокращает сроки прохождения процедуры.

Нужна помощь с изменением или снятием категории значимости объекта КИИ? Оставьте заявку — эксперты sertifikat.bz проведут предварительный анализ и подготовят полный пакет документов для ФСТЭК.