Категорирование объектов КИИ: практическое руководство

Если в вашей компании есть автоматизированные и иные системы, от работы которых зависит население РФ, обязательно проводится категорирование объектов КИИ. Эта процедура помогает определить, насколько значимы ваши системы и какие меры защиты вы обязаны внедрить. Без нее компания рискует попасть под надзор ФСТЭК и получить штраф. 

Что такое категорирование объектов КИИ

Категорирование объектов критической информационной инфраструктуры — это процесс, в котором определяется, насколько важен конкретный объект КИИ для государства, бизнеса или общества. Проще говоря, вы оцениваете, какие последствия могут возникнуть, если этот объект выйдет из строя, и с учетом определенных параметров присваиваете ему определенную категорию. Все это фиксируется в акте. 

На какие законы следует ориентироваться:

1. Постановление Правительства РФ от 8 февраля 2018 г. №127, устанавливающее правила категорирования объектов КИИ. 
2. ФЗ от 26.07.2017 №187-ФЗ, определяющий требования к безопасности КИИ.
3. Приказ ФСТЭК от 25.12.2017 №239, регламентирующий требования безопасности объектов КИИ. 

Также стоит учитывать методические рекомендации по категорированию объектов КИИ в разных сферах. Например, в сфере транспорта они утверждены Министерством транспорта Российской Федерации 24 января 2024 г., в сфере связи — Минцифры России 04.04.2025 №АШ-7089вн, в науке — Министерством науки и высшего образования Российской Федерации 21 февраля 2025 г, в медицине — Минздравом РФ от 05.04.2021. 

Какие бывают категории значимости

Ст.7 ФЗ №187-ФЗ выделяет три категории значимости объектов критической информационной инфраструктуры — первую, вторую и третью. Если объект не соответствует установленным критериям и пороговым значениям, категория ему не присваивается.

Категория определяется по совокупности показателей, отражающих, насколько серьезные последствия может вызвать нарушение работы объекта. При категорировании учитываются следующие критерии:

1. Социальная значимость — насколько сильно сбой повлияет на жизнь и здоровье людей, доступность государственных услуг или инфраструктуру.
2. Политическая значимость — способен ли инцидент нанести ущерб интересам государства во внутренней или внешней политике.
3. Экономическая значимость — возможные финансовые потери для организации, отрасли или бюджета.
4. Экологическая значимость — вероятность причинения вреда окружающей среде.
5. Значимость для обороны, государственной безопасности и правопорядка — насколько объект влияет на функционирование систем, связанных с обороной и безопасностью.

Также на присвоение категории влияют другие факторы: масштаб и характер возможного ущерба по каждому критерию, функции объекта КИИ (например, оборонная, социальная), отраслевые особенности. 

Этапы категорирования объектов КИИ

Процедура состоит из множества шагов:

1. Формирование комиссии по категорированию объектов КИИ:
   • назначаете состав комиссии и ответственного — руководитель проекта, представитель IT, юрист и т.д.; при необходимости привлекаете сторонних экспертов;
   • фиксируете полномочия комиссии и порядок принятия решений — кто утверждает выводы, кто подписывает документы;
   • результат: приказ о создании комиссии с описанием ее состава.
2. Инвентаризация объектов и определение границ каждого объекта:
   • составление реестра информационных систем, сервисов, сетей и их компонентов; указываете владельца, функции и зависимые процессы;
   • для каждого объекта четко прописываете границы — что входит в объект, а что считается внешней службой или подрядчиком;
   • результат: реестр объектов КИИ с границами и описанием функций.
3. Сбор исходных данных и доказательной базы:
   • собираете схемы, журналы, контракты, техзадания, отчеты о нагрузках и финансовые показатели; 
   • фиксируете источники данных и дату получения — это важно при проверках;
   • результат: папка с доказательной базой (электронно и/или на бумаге).
4. Моделирование инцидентов и оценка последствий:
   • для каждого объекта моделируете сценарии отказа — частичный и полный; оцениваете последствия по критериям (социальная, экономическая, оборонная и т.д.);
   • используете количественные показатели там, где возможно — суммы потерь, количество затронутых лиц, продолжительность простоя;
   • результат: таблица оценок последствий по сценариям.
5. Сопоставление показателей с критериями и предварительное присвоение категории:
   • применяете правила и методики — сопоставляете рассчитанные показатели с порогами для первой/второй/третьей категории.
   • если объект подходит под разные категории — комиссия документирует аргументы в пользу выбранной категории;
   • результат: предварительные выводы по категориям для каждого объекта.
6. Оформление акта категорирования объекта КИИ:
   • готовите акт с мотивировкой: описание объекта, методика расчетов, исходные данные, сценарии, результаты сопоставления и присвоенная категория;
   • акт подписывается членами комиссии и руководителем организации;
   • результат: подписанный акт категорирования объекта КИИ.
7. Внутреннее согласование и уведомление ФСТЭК России:
   • проверяете акт на соответствие внутренним процедурам; при необходимости юрист проводит правовую экспертизу.
   • направляете уведомление — сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
   • результат: протокол комиссии, квитанции/подтверждения отправки.
8. Внедрение обязательных мер защиты и планов реагирования:
   • на основании присвоенной категории внедряете технические и организационные меры; фиксируете исполнителей и сроки.
   • разрабатываете план защиты объекта КИИ и реагирования на инциденты.
   • результат: план мероприятий и распоряжения на его реализацию.

Важно! Обязательно следите за изменениями законодательства и проводите аудит на объекте КИИ. Категорирование выполняется каждые 5 лет или при изменениях на самом объекте. 

Заключение 

Проведение категорирования объектов КИИ — это не только обязанность, предусмотренная законом, но и инструмент защиты бизнеса от киберугроз и штрафов. Правильно организованный процесс помогает выявить уязвимые системы, определить приоритеты в обеспечении безопасности и доказать регулятору, что компания управляет рисками осознанно. Чем точнее проведено категорирование, тем надежнее работает ваша инфраструктура и спокойнее проходят проверки.