Ошибки при взаимодействии со ФСТЭК: почему регулятор возвращает сведения о КИИ

ФСТЭК ежегодно возвращает сотни комплектов документов о категорировании объектов КИИ. В 2025 году регулятор зафиксировал более 1100 нарушений. Разбираем типичные ошибки категорирования КИИ, которые приводят к отказу, и даём практические инструменты для их предотвращения.

Невыявление объектов КИИ: новая «болевая точка» 2025–2026

С принятием Постановления № 1762 и утверждением перечней типовых отраслевых объектов КИИ невыявление объектов, подлежащих категорированию, стало самостоятельным основанием для санкций. Ранее организации могли ограничиться перечнем объектов, который составляли самостоятельно. Теперь их инфраструктура должна быть сопоставлена с государственными перечнями.

Почему объекты остаются невыявленными

• Размытые границы систем. Организация рассматривает как один объект то, что по факту является несколькими. Например, ERP-система и подключённый к ней модуль управления технологическим процессом — это два разных объекта КИИ.
• Теневые ИТ. Подразделения самостоятельно внедряют системы без согласования с ИТ-службой. Комиссия по категорированию не знает об их существовании.
• Подрядные и облачные системы. SaaS-решения и системы, эксплуатируемые подрядчиками, могут формально относиться к объектам КИИ субъекта, но не учитываться при инвентаризации.
• Отсутствие сверки с перечнями. Комиссия не использует типовые отраслевые перечни как контрольный инструмент.

Как действовать

Первый шаг — провести полную инвентаризацию информационных систем, АСУ и сетей электросвязи. Второй — сопоставить результат с типовым перечнем для вашей отрасли. Третий — для каждого выявленного объекта задокументировать, почему он включён или не включён в перечень КИИ. Подробный разбор подхода к нетиповым объектам представлен в статье «Нетиповые объекты КИИ: механизм снизу вверх».

Формальные и процедурные нарушения при подаче сведений

Помимо содержательных ошибок, значительную долю возвратов составляют формальные нарушения. Они не требуют пересмотра категорирования, но затягивают процесс и создают административные риски.

Ошибки в оформлении формы по Приказу № 236

Форма направления сведений утверждена Приказом ФСТЭК № 236. Типичные ошибки заполнения:

• отсутствие доменных имён и IP-адресов для объектов, имеющих подключение к сети Интернет;
• несоответствие наименования объекта в форме и в акте категорирования;
• пропуск обязательных полей (сведения о программном обеспечении, средствах защиты информации);
• отсутствие обоснования присвоенной категории или отсутствия категории;
• указание устаревших данных (например, прежний юридический адрес организации).

Процедурные нарушения

• Нарушение сроков. Сведения направляются позже 10 дней с момента утверждения акта категорирования.
• Неверный формат подачи. С 2020 года ФСТЭК требует подачу в бумажном виде с приложением электронного носителя в формате .ods (электронная таблица). Отправка только в бумажном или только в электронном виде — основание для возврата.
• Отсутствие сопроводительного письма. Сведения направляются без официального письма с подписью уполномоченного лица.
• Неактуальный состав комиссии. Члены комиссии, указанные в акте, на момент подачи уже уволены из организации, а новый состав не утверждён.

По нашему опыту, процедурные нарушения составляют около 30% всех возвратов. Они легко устранимы, но каждый возврат — это потерянные 10–15 дней и дополнительная нагрузка на ответственных сотрудников.

Чек-лист самопроверки перед подачей сведений во ФСТЭК

Ниже — практический чек-лист, который мы используем в «Астелс» при сопровождении клиентов. Пройдите его до отправки документов — это позволит исключить большинство типичных ошибок.

Блок 1. Полнота перечня объектов

• Проведена полная инвентаризация ИС, АСУ и сетей электросвязи
• Перечень сопоставлен с типовым отраслевым перечнем
• Для каждого типового объекта есть документальное обоснование включения/невключения
• Учтены облачные сервисы и системы, эксплуатируемые подрядчиками
• Проверены «теневые» ИТ-системы подразделений

Блок 2. Корректность категорирования

• Расчёт проведён по всем 14 показателям критериев значимости (ПП № 127)
• Для каждого показателя указано конкретное значение с обоснованием
• Учтены отраслевые особенности категорирования
• Масштаб последствий определён корректно (муниципальный/региональный/федеральный)
• Выводы комиссии соответствуют фактическим данным об объекте
• Присвоена наивысшая категория из всех применимых показателей

Блок 3. Оформление документов

• Форма по Приказу № 236 заполнена полностью, все обязательные поля содержат данные
• Указаны доменные имена и IP-адреса объектов с доступом в Интернет
• Наименование объекта совпадает в форме, акте категорирования и приказе о создании комиссии
• Приложено обоснование выбранной категории (или отсутствия категории)
• Указаны актуальные сведения о ПО и средствах защиты информации

Блок 4. Процедурные требования

• Сведения подаются в течение 10 дней с момента утверждения акта
• Документы оформлены в бумажном виде + электронный носитель (формат .ods)
• Приложено сопроводительное письмо с подписью руководителя
• Состав комиссии актуален — все указанные лица работают в организации
• Акт категорирования подписан всеми членами комиссии

Стратегия минимизации рисков: от комиссии до реестра

Ошибки категорирования КИИ — не случайность, а системная проблема. Чтобы избежать возврата сведений ФСТЭК и связанных с этим рисков, необходим комплексный подход.

Шаг 1. Сформируйте компетентную комиссию

Включите в состав комиссии:

• руководителя ИТ-подразделения (знает архитектуру систем);
• специалиста по информационной безопасности (понимает угрозы и меры защиты);
• юриста (обеспечивает соответствие нормативным требованиям);
• представителя бизнес-подразделений (может оценить масштаб последствий для деятельности);
• при необходимости — внешнего эксперта с опытом прохождения проверок ФСТЭК.

Шаг 2. Проведите сверку с типовыми перечнями

Используйте утверждённые перечни типовых отраслевых объектов как обязательный контрольный инструмент. Для каждой позиции перечня зафиксируйте: «есть соответствующий объект» / «нет объекта — обоснование». Учитывайте специфику второй волны категорирования 2026 года.

Шаг 3. Обоснуйте каждый показатель

Для каждого из 14 показателей критериев значимости подготовьте:

• конкретное числовое значение (не «незначительно», а «менее 500 пользователей»);
• источник данных (отчёт, реестр, статистика);
• методику расчёта (как получено значение).

Шаг 4. Проведите внутренний аудит до подачи

Назначьте сотрудника, не входящего в комиссию, для независимой проверки документов по чек-листу из раздела 7. Это позволяет выявить ошибки, которые «замыливаются» у участников процесса.

Шаг 5. Обеспечьте синхронизацию документов

Наименования объектов, их характеристики, IP-адреса и другие данные должны совпадать во всех документах: приказе о создании комиссии, перечне объектов, акте категорирования и форме по Приказу № 236. Расхождения — одна из частых причин возврата.

Шаг 6. Выстройте процесс актуализации

Категорирование — не разовое мероприятие. Пересмотр требуется при:

• модернизации или замене информационной системы;
• изменении масштаба деятельности организации;
• появлении новых отраслевых требований;
• получении уведомления от ФСТЭК о необходимости пересмотра.

Подробнее о том, когда именно требуется повторное категорирование, читайте в материале «Вторая волна категорирования КИИ 2026».

Итог

Возврат сведений о категорировании — это не штрафная санкция, а сигнал о том, что процедура была проведена с нарушениями. Однако каждый возврат запускает десятидневный таймер, создаёт репутационные риски и может стать основанием для внеплановой проверки. В условиях ужесточения контроля в 2025–2026 годах, когда ФСТЭК фиксирует более 1100 нарушений за 10 месяцев, а число административных дел превышает 400, системный подход к категорированию — не рекомендация, а необходимость.

Главные принципы: компетентная комиссия, полная инвентаризация, обоснование каждого показателя, сверка с типовыми перечнями и внутренний аудит перед подачей. Соблюдение этих правил позволяет пройти процедуру с первого раза и избежать нарушения 187-ФЗ.

Нужна помощь с категорированием КИИ или подготовкой сведений для ФСТЭК? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут избежать ошибок при взаимодействии с регулятором.