Разработка ОРД по КИИ: перечень документов 2026

Зачем субъекту КИИ нужна организационно-распорядительная документация

Федеральный закон № 187-ФЗ обязывает субъектов КИИ обеспечивать безопасность значимых объектов критической информационной инфраструктуры. Однако закон не содержит закрытого перечня документов — требования распределены по нескольким нормативным актам: Приказам ФСТЭК России № 235 и № 239, приказам ФСБ России, Постановлению Правительства № 127 (в редакции ПП-1762) и отраслевым документам.

ОРД выполняет три ключевые функции:

• Юридическое закрепление ответственности. Без утверждённых приказов, регламентов и инструкций невозможно привлечь сотрудника к дисциплинарной ответственности за нарушение требований ИБ, а при проверке ФСТЭК отсутствие документов квалифицируется как нарушение.
• Формализация процессов. Документы превращают абстрактные требования приказов в конкретные процедуры: кто, когда, в какой последовательности выполняет действия по защите информации.
• Доказательная база. При компьютерных инцидентах, проверках регулятора или судебных разбирательствах именно ОРД подтверждает, что субъект КИИ предпринял все необходимые меры.

Отсутствие или неполнота ОРД — одно из наиболее частых замечаний при проверках ФСТЭК в 2026 году. Штрафы по ст. 13.12.1 КоАП РФ за нарушение требований по обеспечению безопасности КИИ могут достигать значительных сумм, а повторные нарушения влекут ещё более серьёзные санкции.

Нормативная основа: какие акты формируют требования к ОРД

Прежде чем составлять перечень документов, необходимо чётко понимать иерархию нормативных источников. Ниже — систематизированная таблица.

Важно: с 2026 года к перечисленным актам добавляются перечни типовых отраслевых объектов КИИ, утверждаемые на уровне Правительства РФ. Они напрямую влияют на содержание ОРД, поскольку определяют объектный состав, подлежащий защите.

Полный перечень документов ОРД по КИИ

Ниже представлен структурированный перечень организационно-распорядительных документов, сгруппированный по функциональным блокам. Состав может корректироваться в зависимости от категории значимости объектов, отраслевой специфики и масштаба организации.

Блок 1. Документы по категорированию

1. Приказ о создании комиссии по категорированию объектов КИИ.
2. Положение о комиссии по категорированию (полномочия, состав, порядок работы).
3. Перечень объектов КИИ, подлежащих категорированию.
4. Акты категорирования по каждому объекту.
5. Сведения о результатах категорирования (форма по Приказу ФСТЭК № 236).
6. Модель угроз для каждого значимого объекта КИИ.

Блок 2. Документы по созданию системы безопасности (Приказ № 235)

7. Приказ о назначении ответственного за обеспечение безопасности значимых объектов КИИ (или о создании структурного подразделения).
8. Положение о структурном подразделении по безопасности КИИ.
9. Должностные инструкции специалистов по безопасности КИИ.
10. План мероприятий по обеспечению безопасности значимых объектов КИИ.
11. Порядок контроля состояния безопасности значимых объектов КИИ.
12. Порядок проведения внутренних аудитов (проверок) безопасности КИИ.

Блок 3. Политики и регламенты безопасности (Приказ № 239)

13. Политика информационной безопасности значимых объектов КИИ (головной документ).
14. Регламент идентификации и аутентификации (ИАФ).
15. Регламент управления доступом (УПД).
16. Регламент ограничения программной среды (ОПС).
17. Регламент защиты машинных носителей информации (ЗНИ).
18. Регламент аудита безопасности (АУД).
19. Регламент антивирусной защиты (АВЗ).
20. Регламент предотвращения вторжений (СОВ).
21. Регламент обеспечения целостности (ОЦЛ).
22. Регламент обеспечения доступности (ОДТ).
23. Регламент защиты технических средств и систем (ЗТС).
24. Регламент защиты информационной (автоматизированной) системы и её компонентов (ЗИС).
25. Регламент планирования мероприятий по обеспечению безопасности (ПЛН).
26. Регламент управления конфигурацией (УКФ).
27. Регламент управления обновлениями программного обеспечения (ОПО).
28. Регламент реагирования на компьютерные инциденты (ИНЦ).
29. Регламент обеспечения действий в нештатных ситуациях (ДНС).
30. Регламент информирования и обучения персонала (ИПО).

Блок 4. Документы по взаимодействию с ГосСОПКА (приказы ФСБ)

31. Регламент информирования ФСБ (НКЦКИ) о компьютерных инцидентах.
32. План реагирования на компьютерные инциденты.
33. Порядок обмена информацией об инцидентах с НКЦКИ.
34. Порядок организации и проведения мероприятий по ликвидации последствий компьютерных атак.

Блок 5. Дополнительные документы

35. Приказ об утверждении границ контролируемых зон значимых объектов КИИ.
36. Техническое задание на создание системы безопасности.
37. Программа и методика испытаний системы безопасности.
38. Акт приёмки системы безопасности значимого объекта в эксплуатацию.
39. Порядок вывода из эксплуатации значимого объекта КИИ.
40. Порядок учёта и инвентаризации объектов КИИ.

Итого: минимально — 40 документов. Для крупных субъектов КИИ с множеством значимых объектов разных категорий количество может превышать 60–80 единиц, так как часть регламентов разрабатывается отдельно для каждого объекта.

Критическое требование 2026 года: исключение термина «критические процессы»

Постановление Правительства РФ № 1762 от 07.11.2025 внесло принципиальные изменения в ПП-127. Одно из ключевых — полное исключение понятия «критические процессы» из процедуры категорирования.

Что изменилось

До ПП-1762 логика категорирования строилась по цепочке: выявление критических процессов → определение объектов КИИ, обеспечивающих эти процессы → оценка последствий → присвоение категории. Теперь эта схема заменена новой: типовые отраслевые объекты КИИ → отраслевые особенности категорирования → оценка нарушения штатного/проектного функционирования → присвоение категории.

В пункте 14¹ ПП-127 формулировка «или нарушение выполнения критических процессов» заменена на «функционирования объектов критической информационной инфраструктуры или нарушение установленных параметров его проектного или штатного функционирования, которые могут определяться отраслевыми особенностями категорирования».

Почему это критически важно для ОРД

Если ваша внутренняя документация содержит упоминания «критических процессов» — при проверке это будет квалифицироваться как несоответствие действующей нормативной базе. Регулятор вправе потребовать повторного категорирования и переработки всей системы безопасности.

Пошаговый алгоритм «очистки» действующей ОРД

Ниже — практический алгоритм ревизии внутренней документации, который позволит привести её в соответствие с ПП-1762.

Шаг 1. Инвентаризация документов

Соберите реестр всей действующей ОРД по КИИ. Включите не только утверждённые приказами документы, но и черновики, шаблоны, методические рекомендации, презентации для руководства — любой документ, который может быть запрошен при проверке.

Шаг 2. Полнотекстовый аудит

Выполните автоматизированный поиск следующих терминов и словосочетаний:

• «критический процесс» / «критические процессы»
• «КП субъекта» / «перечень КП»
• «выявление критических процессов»
• «обеспечение критических процессов»
• «нарушение критических процессов»

Шаг 3. Замена формулировок

Шаг 4. Согласование и утверждение

Подготовьте листы изменений, проведите согласование с юридической службой и подразделением ИБ. Утвердите обновлённые версии приказом руководителя субъекта КИИ. Обязательно доведите изменения до всех ответственных сотрудников под подпись.

Шаг 5. Архивирование устаревших версий

Сохраните предыдущие редакции в архиве с пометкой «утратил силу» и датой замены. Это необходимо для подтверждения истории изменений при проверке.

Структура и содержание ключевых документов

Рассмотрим подробнее содержание наиболее важных документов из перечня ОРД.

Политика информационной безопасности ЗО КИИ

Это головной документ, определяющий цели, принципы и основные направления обеспечения безопасности. Политика должна включать:

• цели и задачи обеспечения безопасности значимых объектов КИИ;
• основные угрозы безопасности и подход к управлению рисками;
• организационную структуру системы безопасности;
• ссылки на подчинённые регламенты, инструкции, порядки;
• порядок пересмотра и актуализации документа.

С 2026 года в политике необходимо отразить ссылки на применимые перечни типовых отраслевых объектов и отраслевые особенности категорирования, заменив упоминания критических процессов.

Регламент реагирования на компьютерные инциденты

Документ разрабатывается во исполнение приказов ФСБ России № 196, 281, 282 и должен содержать:

• классификацию инцидентов по типам и уровням критичности;
• порядок обнаружения, регистрации и квалификации инцидентов;
• сроки информирования НКЦКИ (не более 24 часов с момента обнаружения);
• алгоритм реагирования и эскалации;
• порядок ликвидации последствий и восстановления;
• формы отчётности и журналы регистрации.

План мероприятий по обеспечению безопасности

Ежегодный план, утверждаемый руководителем субъекта КИИ, должен включать: перечень мероприятий, ответственных исполнителей, сроки выполнения, необходимые ресурсы и ожидаемые результаты. План формируется с учётом методики расчёта коэффициента защищённости и результатов предыдущих аудитов.

Типичные ошибки при разработке ОРД

Анализ результатов проверок ФСТЭК и опыт взаимодействия с регулятором позволяет выделить наиболее распространённые ошибки.

Матрица соответствия: меры Приказа 239 — документы ОРД

Один из наиболее эффективных инструментов контроля полноты ОРД — матрица соответствия, связывающая каждую группу мер из Приложения к Приказу ФСТЭК № 239 с конкретным документом.

Данная матрица — эффективный инструмент для самопроверки. Если напротив какой-либо группы мер отсутствует документ — это прямой сигнал о неполноте ОРД.

Рекомендации по организации процесса разработки

Разработка полного комплекта ОРД — трудоёмкий проект, который требует координации между несколькими подразделениями. Вот практические рекомендации, основанные на опыте реальных проектов.

Определите ответственного руководителя

Разработка ОРД должна координироваться одним лицом — как правило, это CISO или руководитель подразделения ИБ. Именно он несёт ответственность за полноту, актуальность и согласованность документов между собой.

Создайте рабочую группу

В рабочую группу необходимо включить: специалистов по ИБ, IT-специалистов (администраторы систем, являющихся объектами КИИ), юристов, представителей эксплуатирующих подразделений. Без участия юриста невозможно корректно оформить приказы и положения, а без IT-специалистов — адекватно описать технические меры.

Используйте иерархическую структуру

Выстраивайте документы в иерархию: Политика ИБ (верхний уровень) → Регламенты и порядки (средний уровень) → Инструкции и формы (нижний уровень). Это упрощает навигацию, исключает дублирование и облегчает актуализацию.

Предусмотрите версионирование

Каждый документ должен содержать: номер версии, дату утверждения, лист согласования, историю изменений. При проверке ФСТЭК регулятор обращает внимание на наличие механизма актуализации.

Привлеките лицензиата ФСТЭК

Если внутренних ресурсов недостаточно, рассмотрите привлечение специализированной организации с лицензией ФСТЭК. Это особенно актуально для средних и малых субъектов КИИ, у которых нет выделенного подразделения ИБ. Стоимость комплексных услуг по КИИ варьируется в зависимости от масштаба организации.

Чек-лист готовности ОРД к проверке ФСТЭК в 2026 году

Используйте данный чек-лист для финальной самопроверки перед визитом регулятора.

Если хотя бы один пункт не выполнен — существует риск получения предписания по итогам проверки. Рекомендуем провести ревизию заблаговременно и при необходимости обратиться за комплексной поддержкой к лицензированным специалистам.

Заключение

Разработка организационно-распорядительной документации по КИИ — это не разовая задача, а непрерывный процесс. В 2026 году он осложняется двумя факторами: необходимостью полной «очистки» ОРД от устаревшего термина «критические процессы» и переходом на модель типовых отраслевых объектов. Откладывание этой работы напрямую увеличивает регуляторные и операционные риски.

Ключевые выводы:

• Минимальный комплект ОРД включает около 40 документов, охватывающих категорирование, систему безопасности, 17 групп мер Приказа № 239 и взаимодействие с ГосСОПКА.
• Термин «критические процессы» должен быть полностью исключён из всех внутренних документов и заменён на актуальные формулировки ПП-1762.
• Матрица соответствия мер и документов — обязательный инструмент самоконтроля.
• Рекомендуется привлечь лицензиата ФСТЭК для аудита и доработки ОРД, особенно если вторая волна категорирования затрагивает вашу организацию.

Начните с пошагового руководства по категорированию — оно поможет выстроить процесс от инвентаризации до утверждения полного комплекта документов.