Как правильно создать и обучить комиссию по категорированию объектов КИИ

Комиссия по категорированию объектов КИИ — обязательный элемент процедуры по ПП РФ № 127. От правильного подбора состава и распределения ролей зависит, пройдёт ли организация проверку ФСТЭК с первого раза. В этой статье — полный алгоритм создания комиссии, матрица ответственности RACI и типичные ошибки из реальной практики.

Приказ о создании комиссии: пошаговый алгоритм

Приказ о создании комиссии по категорированию — первый формальный документ, который проверяет ФСТЭК. Вот пошаговый алгоритм его подготовки:

1. Определить председателя. Руководитель организации или уполномоченное лицо из топ-менеджмента. По рекомендации ФСТЭК, это должен быть сотрудник, курирующий вопросы безопасности (заместитель генерального директора по безопасности, CISO).
2. Сформировать список членов. Включить представителей всех обязательных категорий из п. 11 ПП № 127 (см. таблицу выше). Убедиться, что включены специалисты по ИБ, ИТ, эксплуатации и бизнес-процессам.
3. Подготовить проект приказа. Приказ должен содержать: основание (ссылка на 187-ФЗ и ПП № 127), персональный состав комиссии с указанием должностей, срок начала работы, поручение разработать положение о комиссии.
4. Разработать положение о комиссии. Отдельный документ, регламентирующий порядок работы: периодичность заседаний, кворум, порядок голосования, формы протоколов.
5. Утвердить и довести до членов. Подписать приказ у руководителя, ознакомить всех членов комиссии под подпись.
6. Организовать первое заседание. На нём утверждается план работы: сроки инвентаризации, график заседаний, распределение задач.

Типичная ошибка: многие организации ограничиваются только приказом, без положения о комиссии. ФСТЭК при проверке запрашивает оба документа, а также протоколы заседаний. Отсутствие положения — формальное нарушение процедуры.

Обучение членов комиссии: программа и форматы

ПП № 127 не устанавливает прямого требования к обучению членов комиссии. Однако на практике комиссия, в которой участники не понимают методику категорирования, допускает системные ошибки. По нашему опыту, вводное обучение окупается многократно — снижает количество доработок и ускоряет процесс.

Рекомендуемая программа обучения

Блок 1. Правовые основы (2–3 часа)

• Структура 187-ФЗ: субъекты, объекты, категории значимости
• ПП № 127: процедура категорирования шаг за шагом
• Ответственность: штрафы по ст. 274.1 УК РФ и ст. 13.12.1 КоАП
• Изменения 2025–2026: новые показатели критериев значимости

Блок 2. Методика категорирования (3–4 часа)

• 14 показателей критериев значимости: как считать каждый
• Коэффициент защищённости (КЗИ) — новая методика ФСТЭК 2025
• Практические кейсы: расчёт на примере реальных объектов
• Границы объектов КИИ: что включать, что — нет

Блок 3. Практикум для каждой роли (2–3 часа)

• Для ИТ: инвентаризация ИС и АСУ, составление перечня
• Для ИБ: моделирование угроз, работа с БДУ ФСТЭК
• Для бизнеса: определение критических процессов, оценка ущерба
• Для эксплуатации: взаимосвязь ИТ и технологических процессов

Форматы обучения

• Внутреннее обучение. CISO или ответственный за ИБ проводит вводный семинар для остальных членов комиссии. Подходит, если в штате есть опытный специалист по КИИ.
• Привлечение внешнего консультанта. Лицензиат ФСТЭК или профильная организация проводит однодневный тренинг. Оптимально для первого категорирования.
• Дистанционные курсы. Учебные центры предлагают программы повышения квалификации по безопасности КИИ (72–108 часов). Целесообразно для специалистов по ИБ.

Барьеры межфункционального взаимодействия и как их преодолеть

Комиссия по категорированию — один из немногих случаев в корпоративной практике, когда в одной рабочей группе должны эффективно взаимодействовать ИБ, ИТ, производство, бизнес и юристы. Это создаёт предсказуемые конфликты.

Барьер 1: «Это не наша задача»

ИТ-служба воспринимает категорирование как задачу ИБ. Бизнес-подразделения считают, что это «техническая тема». В результате ИБ-специалист вынужден собирать информацию в одиночку.

Решение: Приказ о создании комиссии должен содержать персональные задачи для каждого члена с конкретными сроками. Не «принять участие в работе комиссии», а «предоставить перечень информационных систем подразделения до 15.04.2026».

Барьер 2: Разный язык

ИБ говорит об «угрозах» и «уязвимостях», производство — о «простоях» и «аварийности», бизнес — о «выручке» и «репутационных рисках». Члены комиссии не понимают друг друга.

Решение: Подготовить глоссарий из 20–30 ключевых терминов КИИ с переводом на «бизнес-язык». Например: «компьютерный инцидент» = «сбой, который может остановить производство на срок от N часов».

Барьер 3: Конфликт приоритетов

Участники комиссии загружены основной работой и воспринимают заседания как отвлечение. Заседания переносятся, сроки срываются.

Решение: Включить участие в работе комиссии в KPI или должностные инструкции. Назначить ответственного секретаря, который контролирует сроки и готовит материалы к каждому заседанию заблаговременно.

Барьер 4: Страх ответственности

Бизнес-владельцы опасаются, что признание процесса «критическим» повлечёт дополнительные расходы на защиту и ответственность лично для них.

Решение: Разъяснить, что занижение категории создаёт больший риск — штрафы за непредоставление сведений или предоставление заведомо ложных сведений во ФСТЭК значительно выше, чем затраты на адекватные меры защиты.

Комиссия в организациях с филиалами: особенности

Для организаций с территориально распределённой структурой ПП № 127 допускает создание отдельных комиссий в филиалах и представительствах (п. 11). Это создаёт дополнительные управленческие задачи.

Два подхода к организации

Централизованная модель: одна комиссия в головном офисе категорирует объекты всей организации. Подходит для небольших компаний (до 5 филиалов) или при однотипной ИТ-инфраструктуре.

Распределённая модель: головная комиссия + филиальные комиссии. Головная комиссия утверждает единую методику и контролирует результаты; филиальные — проводят инвентаризацию и оценку на местах. Подходит для крупных организаций с разнородной инфраструктурой.

Ключевая рекомендация из практики: при распределённой модели обязательно разработайте локальный нормативный акт, который чётко разграничивает полномочия головной и филиальных комиссий. Без этого неизбежны конфликты: филиал занижает категорию, чтобы «не создавать себе проблем», а головной офис узнаёт об этом только при проверке ФСТЭК.

Дерево решений: какой состав комиссии нужен именно вам

Состав комиссии зависит от масштаба организации, отрасли и типов объектов КИИ. Используйте следующее дерево решений для определения оптимальной конфигурации.

Шаг 1. Определите масштаб

• Менее 10 потенциальных объектов КИИ → компактная комиссия (5–7 человек)
• 10–50 объектов → расширенная комиссия (8–12 человек)
• Более 50 объектов → комиссия + рабочие подгруппы по направлениям

Шаг 2. Учтите отраслевую специфику

• Есть АСУ ТП → обязательно включить специалиста по промышленной автоматизации
• Обработка гостайны → включить представителя подразделения защиты гостайны
• Опасное производство → включить специалиста по промышленной безопасности
• Медицинская организация → включить главного врача (или заместителя) и специалиста по медицинским информационным системам
• Энергетика и ТЭК → включить специалиста по SCADA/диспетчеризации

Шаг 3. Оцените внутренние компетенции

• Нет штатного специалиста по ИБ → привлеките внешнего лицензиата ФСТЭК
• Нет опыта категорирования → рекомендуем привлечь консультанта для сопровождения первого цикла
• Есть опытный CISO → он может возглавить методическую работу комиссии

Типичные ошибки, за которые ФСТЭК возвращает документы

На основе анализа замечаний ФСТЭК и нашего опыта сопровождения проектов мы составили чек-лист ошибок, связанных именно с комиссией по категорированию. Каждая из них — реальная причина возврата документов.

1. Формальный состав. В комиссию включены только руководители без технических специалистов. ФСТЭК видит, что акт категорирования подписан людьми, не обладающими компетенцией для оценки ИТ-архитектуры.
2. Отсутствие специалиста по ИБ. Пункт 11 «в» ПП № 127 прямо требует включения работников, на которых возложены функции по обеспечению ИБ. Нет такого специалиста в штате — привлекайте внешнего.
3. Нет положения о комиссии. Приказ есть, а порядок работы не регламентирован. При проверке ФСТЭК запрашивает оба документа.
4. Нет протоколов заседаний. Комиссия «работала», но решения не фиксировались. Для проверяющих это означает, что работа не проводилась.
5. Неполный охват объектов. Комиссия рассмотрела только «основные» системы, пропустив вспомогательные ИС, которые тоже являются объектами КИИ (хотя и могут быть без категории). Подробнее — в статье про нетиповые объекты КИИ.
6. Необоснованное занижение. Экономическую значимость оценивали «на глазок» без привлечения финансового подразделения. Нет расчётов — нет обоснования.
7. Устаревший состав. Члены комиссии уволились, но приказ не обновлялся. Акт подписан людьми, которые уже не работают в организации.
8. Смешение объектов. Комиссия объединила несколько ИС в один объект КИИ или, наоборот, раздробила единый объект. Ознакомьтесь с перечнями типовых отраслевых объектов для корректного определения границ.

Итог

Комиссия по категорированию КИИ — не бюрократическая формальность, а рабочий инструмент, от качества работы которого зависит безопасность организации и результат взаимодействия с ФСТЭК. Правильный подбор состава, чёткое распределение ролей между ИБ, ИТ, эксплуатацией и бизнес-владельцами, а также целевое обучение участников — три фактора, которые отличают успешное категорирование от бесконечного цикла доработок.

Начните с малого: сформируйте состав комиссии по приведённой таблице, распределите задачи по матрице RACI и проведите вводное обучение. Если у вас нет внутренней экспертизы в области КИИ, привлечение профильного консультанта на этапе создания комиссии обойдётся значительно дешевле, чем исправление ошибок после проверки регулятора.

Нужна помощь с формированием комиссии по категорированию КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут подготовить приказ, положение и план работы комиссии.