Пошаговое руководство по категорированию объектов КИИ в 2026 году (с нуля до акта)

Категорирование объектов КИИ в 2026 году проходит по обновлённым правилам: вместо «критических процессов» — сопоставление с перечнями типовых отраслевых объектов. В этом руководстве — шесть последовательных шагов, которые проведут вас от первого приказа до подачи акта во ФСТЭК.

Шаг 3. Оцените угрозы и смоделируйте последствия инцидентов

После формирования перечня объектов КИИ комиссия переходит к оценке угроз безопасности для каждого объекта. Этот этап определяет, какие именно сценарии компьютерных атак и инцидентов возможны и к каким последствиям они приведут.

Что включает оценка угроз

• Моделирование действий нарушителей — определение категорий потенциальных нарушителей (внешние, внутренние) и их возможностей.
• Анализ уязвимостей — выявление известных уязвимостей ПО и оборудования объекта.
• Оценка возможных последствий — анализ наихудших сценариев: что произойдёт при целенаправленной атаке на объект.

ФСТЭК рекомендует использовать Банк данных угроз безопасности информации (bdu.fstec.ru) и методику ФСТЭК с коэффициентом защищённости (КЗИ) для объективной оценки.

Практический совет. Не путайте моделирование угроз при категорировании с полноценной моделью угроз по Приказу ФСТЭК №239. На этапе категорирования достаточно верхнеуровневой оценки — какие типы инцидентов возможны и каковы их масштабные последствия. Полная модель угроз разрабатывается после присвоения категории, уже в рамках создания системы безопасности ЗОКИИ.

Шаг 4. Рассчитайте категории значимости по критериям ПП №127

Категория значимости присваивается каждому объекту КИИ на основании оценки по пяти группам критериев. Для каждого критерия установлены пороговые значения показателей, соответствующие 1-й, 2-й или 3-й категории. Если ни один показатель не достигает порога 3-й категории, объект признаётся незначимым.

Пять групп критериев значимости

Порядок расчёта

1. Для каждого объекта КИИ определите, какие группы критериев применимы (например, для больницы — социальная и экономическая, для оборонного завода — все пять).
2. По каждому применимому критерию рассчитайте показатель на основе наихудшего сценария инцидента из Шага 3.
3. Сопоставьте показатель с пороговыми значениями для 1-й, 2-й и 3-й категорий (Приложение к ПП №127).
4. Объекту присваивается наивысшая категория по любому из показателей. Например, если по социальной значимости объект соответствует 3-й категории, а по экономической — 2-й, то присваивается 2-я категория.

Важно. С 2026 года при расчёте необходимо учитывать отраслевые особенности категорирования. Каждая отрасль может иметь собственные дополнительные показатели и методики расчёта. Например, для банковской сферы добавлены показатели для микрофинансовых организаций и бюро кредитных историй, а для энергетики и ТЭК — специфические критерии непрерывности энергоснабжения.

Шаг 5. Оформите акт категорирования

Акт категорирования — итоговый документ, фиксирующий результаты работы комиссии по каждому объекту КИИ. Именно акт является юридическим основанием для присвоенной категории (или её отсутствия).

Что должен содержать акт

1. Реквизиты субъекта КИИ — наименование организации, ИНН, ОГРН, юридический адрес.
2. Сведения о комиссии — ссылка на приказ о создании, перечисление членов комиссии.
3. Описание объекта КИИ — наименование, назначение, тип (ИС/АСУ/ИТКС), границы объекта, соответствие позиции в перечне типовых отраслевых объектов.
4. Результаты оценки по критериям значимости — расчёт по каждому применимому показателю с обоснованием.
5. Присвоенная категория (1-я, 2-я, 3-я) или обоснование отсутствия категории.
6. Подписи всех членов комиссии и утверждение руководителем субъекта КИИ.

Требования к обоснованию

Одна из главных причин возврата сведений ФСТЭК — недостаточная аргументация. По нашей практике, типичные ошибки взаимодействия с ФСТЭК связаны именно с актом категорирования:

• Формальная фраза «показатель не достигает порогового значения» без расчёта — ФСТЭК вернёт документ.
• Отсутствие статистических данных, подтверждающих расчёт экономического ущерба.
• Несоответствие описания объекта его фактическим границам.

Рекомендация. Для каждого показателя приводите конкретные цифры: количество пользователей системы, объём обрабатываемых транзакций, площадь обслуживаемой территории. Чем детальнее обоснование, тем меньше вероятность замечаний от регулятора.

Шаг 6. Подайте сведения во ФСТЭК России

После подписания акта категорирования субъект КИИ обязан направить сведения о результатах категорирования во ФСТЭК России. Форма направления сведений обновлена Приказом ФСТЭК №247 от 11.07.2025.

Состав сведений для ФСТЭК (обновлённая форма)

1. Сведения о субъекте КИИ (наименование, ИНН, ОГРН, сфера деятельности — теперь допускается указание нескольких сфер для одного объекта).
2. Сведения об объекте КИИ (наименование, тип, назначение, соответствие позиции в перечне типовых объектов).
3. Сведения о взаимодействии объекта с сетями электросвязи.
4. Доменные имена и IP-адреса объекта, взаимодействующего с интернетом (новое требование).
5. Сведения об эксплуатирующей организации (если отличается от субъекта).
6. Сведения об угрозах и категориях нарушителей.
7. Оценка последствий инцидентов по каждому критерию значимости.
8. Присвоенная категория или обоснование её отсутствия.

Сроки и порядок подачи

Способ подачи. Сведения направляются в ФСТЭК России в бумажном виде с сопроводительным письмом. ФСТЭК проверяет документы в течение 30 дней. Если замечаний нет, объект вносится в Реестр значимых объектов КИИ (при наличии категории) или фиксируется как незначимый. При наличии замечаний — документы возвращаются на доработку.

Дерево решений: какая категория у вашего объекта

Ниже — упрощённый алгоритм определения категории, который поможет предварительно оценить результат категорирования до начала формальной процедуры.

Внимание. Это упрощённая схема для предварительной оценки. Точные пороговые значения по каждому из 14 показателей критериев значимости определены в Приложении к ПП №127. Используйте конкретные цифры из этого приложения при заполнении акта.

Чек-лист «от нуля до акта» — сводная таблица документов

Полный перечень документов, которые формируются на каждом этапе категорирования. Используйте эту таблицу как контрольный список — отмечайте готовность каждого документа.

Совет по организации. Заведите единый реестр документов в электронном виде с отметками о статусе: «в разработке», «на согласовании», «подписан», «отправлен». Это особенно важно для организаций с десятками объектов КИИ, где каждому объекту соответствует свой комплект документов.

Типичные ошибки и как их избежать

За годы практики мы систематизировали наиболее частые ошибки, которые допускают субъекты КИИ при самостоятельном категорировании. Каждая из них может привести к возврату документов ФСТЭК или к административному штрафу при проверке.

Итог

Категорирование объектов КИИ в 2026 году — это структурированный процесс из шести последовательных шагов: от формирования комиссии до подачи сведений во ФСТЭК. Ключевое отличие от предыдущих лет — отказ от логики «критических процессов» и переход к сопоставлению с перечнями типовых отраслевых объектов. Это упрощает процедуру, но повышает требования к полноте инвентаризации и качеству обоснования.

Главная рекомендация: не экономьте время на инвентаризации (Шаг 2) и обосновании критериев (Шаг 4). По нашему опыту, 80% замечаний ФСТЭК приходится именно на эти два этапа. Качественно проведённая инвентаризация и детальный расчёт показателей — залог того, что документы будут приняты с первого раза.

Нужна помощь с категорированием объектов КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут пройти все этапы «от нуля до акта».