- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / КАТЕГОРИРОВАНИЕ КИИ ПОШАГОВАЯ ИНСТРУКЦИЯ
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / КАТЕГОРИРОВАНИЕ КИИ ПОШАГОВАЯ ИНСТРУКЦИЯ
Категорирование объектов КИИ — это не просто формальная процедура. Это ключевой процесс, который определяет:
Какие меры защиты требуются для ваших ИТ-систем
Сколько ресурсов нужно инвестировать в безопасность
Какие требования будут предъявляться ФСТЭК
Как часто нужно проводить аудиты и проверки
Если вы его проведете правильно — вы получите ясное понимание критичности своих систем. Если ошибетесь — ФСТЭК может потребовать переделать всё заново.
В этом руководстве мы разберем точный алгоритм, который использют профессионалы.
Описание услуги
Приказ №___/2025 от "___" _________ 2025 г. О создании комиссии по категорированию объектов критической информационной инфраструктуры ПРИКАЗЫВАЮ: 1. Создать постоянно действующую комиссию по категорированию объектов КИИ в следующем составе: - Председатель: [ФИ О, должность] - Секретарь: [ФИО, должность] - Члены комиссии: [список] 2. Возложить на комиссию следующие обязанности: - Определение объектов КИИ в организации - Выявление критических процессов - Присвоение категорий значимости объектам - Подготовка документов для отправки во ФСТЭК - Пересмотр категорий (не реже 1 раза в 5 лет) 3. Проводить заседания не реже одного раза в месяц. 4. Первое заседание провести не позднее "___" _________ 2025 г. 5. Приказ вступает в силу со дня подписания. Руководитель: _________________ [подпись и дата]
| Должность / Подразделение | Роль в комиссии | Функции | Отчетность |
|---|---|---|---|
| Руководитель организации | Председатель | Принятие решений по категориям, утверждение актов | Совет директоров / Собрание акционеров |
| Начальник ИТ-отдела | Секретарь / Координатор | Сбор информации об ИС ИТС АСУ подготовка документов | Председатель комиссии |
| Специалист по ИБ (безопасности) | Эксперт | Анализ угроз оценка последствий анализ рисков | Начальник ИТ-отдела |
| Начальник подразделения автоматизации | Эксперт | Описание технологических процессов архитектуры | Председатель комиссии |
| Руководитель основного подразделения | Член комиссии | Определение критических процессов своей сферы | Начальник ИТ-отдела |
| Специалист комплексной безопасности | Член комиссии | Оценка физической защиты объектов | Начальник ИТ-отдела |
| Юрист | Консультант | Соответствие нормативным требованиям ФЗ-187 | Председатель комиссии |
| Тип | Описание | Примеры |
|---|---|---|
| Управленческие | Планирование, стратегия, контроль | Бюджетирование, аудит, отчетность |
| Основные (Технологические) | То, ради чего существует организация | Обработка платежей, лечение пациентов |
| Финансово-экономические | Доход, расход, прибыль | Учет, налоги, зарплата |
| Информационные | Работа с данными | Хранение, передача, обработка |
| Обеспечивающие | Поддержка других процессов | ИТ-поддержка, логистика, безопасность |
| № | Процесс / Система | Социальная значимость | Экономическая значимость | Политическая значимость | Экологическая значимость | Безопасность государства | КРИТИЧЕСКИЙ? | Категория |
|---|---|---|---|---|---|---|---|---|
| 1 | Обработка платежей (Банк) | Нет - 50тыс клиентов | ДА - 20млрд рублей | Нет | Нет | Нет | ДА - Вторая | 2-я категория |
| 2 | Система дистанционного банковского обслуживания | Нет - 30тыс клиентов | ДА - 5млрд рублей | Нет | Нет | Нет | ДА - Третья | 3-я категория |
| 3 | Стратегическое планирование | Нет | Нет | Нет | Нет | Нет | НЕТ | Без категории |
| 4 | Подача воды в город | ДА - 100тыс людей | ДА - 10млрд рублей | Нет | ДА | Нет | ДА - Первая | 1-я категория |
| 5 | Управление энергосетью | ДА - 500тыс людей | ДА - 50млрд рублей | Нет | ДА | ДА | ДА - Первая | 1-я категория |
| 6 | Учет сотрудников | Нет | Нет | Нет | Нет | Нет | НЕТ | Без категории |
| 7 | Система видеонаблюдения | Нет | Нет | Нет | Нет | НЕТ | НЕТ | Без категории |
✅ Более 10 000 человек пострадают → КРИТИЧЕСКИЙ
✅ Ущерб более 1 млрд рублей → КРИТИЧЕСКИЙ
✅ Отключится орган власти → КРИТИЧЕСКИЙ
✅ Экологическое загрязнение → КРИТИЧЕСКИЙ
✅ Угроза безопасности государства → КРИТИЧЕСКИЙ
❌ Иначе → НЕ КРИТИЧЕСКИЙ
Реальные примеры критических процессов:
Сроки: 1-2 недели
Ответственный: ИТ-отдел + Служба безопасности
Объект КИИ — это конкретная система (ИС, ИТС или АСУ), которая обеспечивает критический процесс.
Связь процессов и объектов КИИ:
Результат этапа:
Вы должны получить Перечень объектов КИИ, подлежащих категорированию.
Пример:
Объекты КИИ банка: ✓ Основная банковская система (АБС) — обеспечивает обработку платежей ✓ Система дистанционного банковского обслуживания (СДБО) — обеспечивает доступ клиентов ✓ Корпоративная сеть — обеспечивает передачу данных между системами ✓ Система резервного копирования — защита от потери данных ✗ Система видеонаблюдения — НЕ обеспечивает критический процесс ✗ Система электронного документооборота — НЕ обеспечивает критический процесс
| Критический процесс | Обеспечивающие его объекты КИИ | Тип объекта (ИС/ИТС/АСУ) | Архитектура | Категория |
|---|---|---|---|---|
| Обработка платежей (Банк) | Основная банковская система (АБС) | ИС | Центральные серверы+ Кластеры | 2-я категория |
| Процессинговая система | ИС | Распределенная архитектура | 2-я категория | |
| Система дистанционного банковского обслуживания (СДБО) | ИС | Облачные серверы | 3-я категория | |
| Корпоративная сеть банка | ИТС | Распределенная сеть каналов связи | 2-я категория | |
| Подача воды в город | Система управления насосами | АСУ | SCADA-система на местности | 1-я категория |
| Система мониторинга качества воды | ИС | Центральная станция мониторинга | 1-я категория | |
| Система диспетчеризации | АСУ | Распределенная АСУ | 1-я категория | |
| Управление энергосетью | SCADA-система управления энергосетью | АСУ | Распределенная система управления | 1-я категория |
| Система учета электроэнергии | ИС | Центральная база данных | 1-я категория | |
| Сеть контроля и мониторинга | ИТС | Волоконно-оптическая линия связи | 1-я категория |
Сроки: 2-4 недели
Ответственный: ИТ-отдел, служба безопасности, руководители процессов
Это самый трудоёмкий этап, но без качественных данных категорирование будет неправильным.
Что собирать:
| Категория информации | Что собирать | Источник | Ответственный | Сроки |
|---|---|---|---|---|
| О субъекте КИИ | Наименование ИНН КПП регистрационные данные | Учредительные документы реестры | Юрист / Руководитель | 1 неделя |
| О размещении объекта | Адреса географическое положение количество площадей | Реестры помещений кадастровые данные | Служба безопасности | 1 неделя |
| Об архитектуре объекта | Диаграммы схемы описание компонентов | Документация ИТ-отдела | ИТ-архитектор | 2 недели |
| О технологиях | Список ПО версии ОС оборудование | Лицензии реестры ПО инвентаризация | Администратор ПО | 1 неделя |
| Об операторе | ФИО должность контакты ответственного | Приказы внутренние документы | Руководитель подразделения | 3 дня |
| О взаимодействии с сетями | Оператор связи каналы пропускная способность | Договоры техническая документация | Начальник ИТ-отдела | 2 недели |
| О средствах защиты | Какие меры уже реализованы | Политики безопасности реестры | Специалист ИБ | 2 недели |
| О уязвимостях | Результаты тестирований аудитов | Отчеты по безопасности | Специалист ИБ | 3 недели |
| О последствиях | Модель угроз сценарии | Анализ рисков | Аналитик безопасности | 3 недели |
| О потоках данных | Карта потоков взаимодействие систем | Документация ИТ | ИТ-архитектор | 2 недели |
Сроки: 3-4 недели
Ответственный: Комиссия по категорированию
Пять критериев значимости:
1️⃣ СОЦИАЛЬНАЯ ЗНАЧИМОСТЬ
2️⃣ ЭКОНОМИЧЕСКАЯ ЗНАЧИМОСТЬ
3️⃣ ПОЛИТИЧЕСКАЯ ЗНАЧИМОСТЬ
4️⃣ ЭКОЛОГИЧЕСКАЯ ЗНАЧИМОСТЬ
5️⃣ БЕЗОПАСНОСТЬ ГОСУДАРСТВА
Оценивается влияние на оборону, органы безопасности, органы правопорядка.
Если объект соответствует хотя бы одному показателю для определённой категории, ему присваивается эта категория.
Пример оценки:
Объект: Основная банковская система (АБС) Проверяем по критериям: ✓ Социальная значимость: 50 тыс. человек может потерять доступ → 2-я категория ✗ Политическая значимость: не влияет на органы власти → не применяется ✓ Экономическая значимость: ущерб 20 млрд рублей → 2-я категория ✗ Экологическая значимость: не применяется → не применяется ✗ Безопасность государства: не применяется → не применяется ИТОГОВАЯ КАТЕГОРИЯ: 2-я (по наихудшему результату)
Сроки: 1-2 недели
Ответственный: Комиссия + ИТ-отдел
Три документа, которые нужно подготовить:
Основной документ, где описаны все объекты, их категории и обоснование.
АКТ КАТЕГОРИРОВАНИЯ КИИ 1. СВЕДЕНИЯ О КОМИССИИ - Состав комиссии - Дата проведения заседания 2. ВЫЯВЛЕННЫЕ КРИТИЧЕСКИЕ ПРОЦЕССЫ - Полный список с описанием 3. ВЫЯВЛЕННЫЕ ОБЪЕКТЫ КИИ - Перечень ИС, ИТС, АСУ 4. ПРИСВОЁННЫЕ КАТЕГОРИИ - Таблица объектов с категориями 5. АНАЛИЗ УГРОЗ И ПОСЛЕДСТВИЙ - Описание возможных инцидентов - Оценка ущерба для каждого объекта 6. ПОДПИСИ ЧЛЕНОВ КОМИССИИ
Специальная форма от ФСТЭК для передачи данных. Заполняется по образцу с сайта https://fstec.ru
Отправляется ДО начала категорирования.
| Документ | Срок отправки |
|---|---|
| Перечень объектов | 5 дней после утверждения |
| Акт категорирования | 10 дней после утверждения |
| Формы 236 | 10 дней после утверждения |
| Проверка ФСТЭК | 30 дней со дня получения |
Описание услуги
| Ошибка | Почему неправильно | Как правильно |
|---|---|---|
| Присвоение категории всем системам | Категория должна быть только для объектов КИИ | Категорируйте только объекты, связанные с критическими процессами |
| Завышение социальной значимости | Считают потенциальный максимум | Учитывайте реальное количество затронутых людей |
| Забывают про АСУ | Видят только ИС и ИТС | Тщательно проверьте все SCADA-системы и АСУ |
| Игнорируют каскадные последствия | Оценивают объект изолированно | Анализируйте взаимодействие с другими системами |
| Не согласовывают с регулятором | ФСТЭК требует пересмотра | Согласуйте перечень с вашим отраслевым регулятором |
| Забывают про пересмотр | Категория остаётся на 5 лет | Пересматривайте при изменении инфраструктуры |
Объект: Основная банковская система (АБС)
Анализ:
Затронуты 50 000 клиентов (социальная) → 2-я категория
Ущерб 20 млрд рублей (экономическая) → 2-я категория
Система критична для функционирования банка
Присвоённая категория: 2-я категория
Требуемые меры защиты:
Лицензированное ПО для защиты
Межсетевые экраны
Системы обнаружения вторжений (IDS/IPS)
Регулярные аудиты безопасности (минимум раз в 6 месяцев)
Резервное копирование с RPO не более 1 часа
Объект: SCADA-система управления насосной станцией
Анализ:
Затронуты 100 000 жителей города (социальная) → 1-я категория
Ущерб более 10 млрд рублей (экономическая) → 1-я категория
Возможны проблемы с гигиеной и здоровьем
Присвоённая категория: 1-я категория
Требуемые меры защиты:
Максимальный уровень защиты
Полная изоляция от интернета (air-gap)
Полное резервирование систем
Постоянный мониторинг и контроль
Тестирование на проникновение ежегодно
Объект: Система управления записью пациентов
Анализ:
Затронуты 5 000 пациентов локально (социальная) → 3-я категория
Ущерб менее 1 млрд рублей (экономическая) → 3-я категория
Нарушение не критично для региона
Присвоённая категория: 3-я категория
Требуемые меры защиты:
Базовая антивирусная защита
Простые межсетевые экраны
Резервное копирование
Обучение сотрудников безопасности
После прочтения этой статьи проверьте, выполнили ли вы всё:
Создана комиссия по категорированию (минимум 5 человек)
Издан приказ о создании комиссии
Составлен полный перечень процессов организации
Выявлены критические процессы
Определены все объекты КИИ
Собраны исходные данные об объектах
Проведена оценка по 5 критериям для каждого объекта
Присвоены категории значимости
Подготовлен акт категорирования с обоснованиями
Согласован перечень с отраслевым регулятором
Отправлены документы во ФСТЭК в установленные сроки
Получено подтверждение от ФСТЭК
ФСТЭК России: https://fstec.ru
Федеральный закон № 187-ФЗ: Полный текст в системе КонсультантПлюс
Постановление Правительства РФ № 127: О категорировании объектов КИИ
Приказ ФСТЭК № 239: О мерах защиты значимых объектов КИИ
Приказ ФСТЭК № 235: О требованиях к системам защиты
Категорирование КИИ — это не штраф и не бюрократия. Это возможность:
✅ Понять, какие системы действительно критичны
✅ Правильно распределить ресурсы на защиту
✅ Защитить своих клиентов и сотрудников
✅ Соответствовать требованиям закона
✅ Избежать штрафов и проблем с ФСТЭК
Начните с создания комиссии, проведите систематический анализ, и ваша организация будет готова!
Была ли полезна вам данная статья?
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000.
© ООО «Астелс» - Консалтинговая группа» 2012 - 2024
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 05.12.2025
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград