Дата публикации: 08.04.2026

Категорирование объектов КИИ — первое, что делает субъект критической информационной инфраструктуры. От него зависит, какие объекты признают значимыми и что нужно будет защищать. Разбираем порядок по шагам: от приказа о комиссии до записи в реестр ФСТЭК.

Что такое категорирование объектов КИИ и зачем оно нужно

Категорирование — процедура, в ходе которой субъект КИИ определяет свои объекты, оценивает значимость каждого и присваивает одну из трёх категорий либо фиксирует, что объект незначимый. Порядок задаёт постановление Правительства РФ от 08.02.2018 № 127 (ред. от 07.11.2025 № 1762).

Категория объекта определяет объём мер защиты:

КатегорияМасштаб возможных последствийОбъём требований
Первая (высшая)Федеральный или отраслевой уровень: жертвы, экологические катастрофы, ущерб оборонеМаксимальный
ВтораяРегиональный или межотраслевой уровеньСредний
ТретьяЛокальный уровень: отдельные организации или муниципалитетыБазовый
НезначимыйНи один показатель критериев не достигаетсяТолько учёт

Незначимые объекты в реестр не вносятся. Но отсутствие категории нужно обосновать документально и всё равно направить сведения во ФСТЭК.

Шаг 1. Создание комиссии по категорированию

Категорирование КИИ под ключ

Кредо-С — лицензиат ФСТЭК России. Проводим инвентаризацию, помогаем собрать комиссию, готовим акты и направляем сведения во ФСТЭК.

Получить консультацию

Субъект КИИ издаёт приказ о создании постоянно действующей комиссии. Состав по ПП-127 п. 11: руководитель или его заместитель (председатель), специалисты по технологическим процессам, по ИТ и эксплуатации оборудования, по информационной безопасности. При необходимости — работники по гражданской обороне и защите от чрезвычайных ситуаций, а также подразделения по защите гостайны, если она есть.

Ошибка в составе комиссии — один из первых поводов, по которым ФСТЭК возвращает сведения.

Шаг 2. Определение перечня объектов КИИ

Комиссия выявляет процессы субъекта — управленческие, технологические, производственные, финансово-экономические — и информационные системы, сети связи, АСУ, которые их обеспечивают. Из них формируется перечень объектов для категорирования. Перечень утверждает руководитель субъекта.

Важно: перечень не направляют во ФСТЭК отдельно. В регулятор уходят сведения о результатах категорирования — после работы комиссии и утверждения актов (шаг 5).

С 2025 года (ред. ПП-127 от 07.11.2025 № 1762) для ряда отраслей предусмотрены типовые отраслевые перечни объектов КИИ. Субъекты вправе опираться на них. Подробнее о том, что включать, — в статье «Перечень объектов КИИ: как составить и направить во ФСТЭК».

Шаг 3. Анализ угроз и оценка значимости

Для каждого объекта комиссия анализирует возможные действия нарушителей, угрозы безопасности и последствия инцидентов. Последствия оцениваются по пяти критериям значимости (187-ФЗ ст. 7 ч. 2): социальная, политическая, экономическая, экологическая значимость, значимость для обороны страны и правопорядка.

Объекту присваивают ту категорию, которая соответствует наибольшему достигнутому показателю (ПП-127 п. 6). Ни один показатель не достигается — объект незначимый.

Здесь чаще всего занижают категорию. Специально, чтобы снизить объём требований. ФСТЭК это проверяет.

Шаг 4. Оформление акта категорирования

По каждому объекту комиссия составляет акт категорирования. В акте: сведения об объекте, рассмотренные угрозы и смоделированные последствия, присвоенная категория значимости с обоснованием по каждому критерию. Для незначимых объектов — отдельный акт с мотивировкой.

Акт подписывают все члены комиссии. Утверждает руководитель субъекта КИИ.

Шаг 5. Направление сведений во ФСТЭК России

В течение 10 рабочих дней со дня утверждения акта субъект направляет во ФСТЭК сведения по установленной форме (ПП-127 п. 17; 187-ФЗ ст. 7 ч. 5). В сведениях — перечень объектов, результаты оценки, присвоенные категории.

ФСТЭК проверяет полноту категорирования. При отсутствии замечаний значимые объекты вносятся в реестр. После этого у субъекта появляются обязательства по двум приказам ФСТЭК: №235 (система безопасности объектов КИИ) и №239 (меры защиты для каждой категории).

Если замечания есть — ФСТЭК направит мотивированное возражение. Субъект устраняет и направляет сведения повторно.

Сроки и повторное категорирование

Максимального срока для первичного категорирования закон не устанавливает. Но каждый месяц без результатов — это месяц нарушения 187-ФЗ. На практике процедура занимает от 2 до 6 месяцев в зависимости от числа объектов и их сложности.

Повторное категорирование — не реже одного раза в 5 лет (ПП-127 п. 21), а также при изменении показателей критериев значимости.

Типичные ошибки при категорировании

  • Неполный перечень. Организация упускает АСУ или смежные системы (СКУД, инженерные сети), которые фактически обеспечивают критические процессы.
  • Заниженная категория. Последствия инцидента недооценены ради снижения объёма требований. ФСТЭК выявляет при надзорных мероприятиях.
  • Нарушение состава комиссии. Нет специалиста по ИБ или представителя профильного подразделения — решения комиссии оспоримы.
  • Пропуск 10-рабочедневного срока. Несвоевременное направление сведений после утверждения акта — прямое нарушение ч. 5 ст. 7 187-ФЗ.
  • Устаревшая форма сведений. После редакции ПП-127 от 07.11.2025 форма обновлена. Старый бланк вернут без рассмотрения.

За нарушения при категорировании — административная ответственность и предписания ФСТЭК. Подробнее о рисках: «Ответственность за нарушение требований 187-ФЗ».

Самостоятельно или с подрядчиком

Субъект вправе провести категорирование силами собственной комиссии. Большинство так и делает — пока не получает возражения ФСТЭК.

«Кредо-С» проводит категорирование объектов КИИ под ключ: инвентаризация объектов, работа комиссии, оформление актов, направление сведений во ФСТЭК. Если после категорирования нужен аудит ИБ значимых объектов — это следующий шаг перед созданием системы защиты. Обзор КИИ целиком — в материале «Критическая информационная инфраструктура».

Что делать после категорирования

Категорирование — первый этап, но не финальный. Если хотя бы один объект получил категорию значимости (1, 2 или 3), начинается второй цикл работ — построение системы безопасности значимых объектов КИИ.

Нормативная цепочка после категорирования

Приказ ФСТЭКЧто регулирует
№ 235Требования к организации системы безопасности: кто отвечает, как устроена служба ИБ
№ 239 (ред. 28.08.2024)Состав мер защиты для значимых объектов — от контроля доступа до защиты от DDoS
№ 236Как оформить и направить сведения о категорировании во ФСТЭК

Срок направления сведений во ФСТЭК — 10 рабочих дней с даты решения комиссии. ФСТЭК проверяет в течение 30 дней и вправе вернуть на пересмотр.

Все субъекты КИИ обязаны информировать НКЦКИ об инцидентах вне зависимости от категории объектов. Для значимых — дополнительно интеграция с технической инфраструктурой ГосСОПКА.

Кредо-С проводит полный цикл: от инвентаризации и категорирования до разработки ОРД и внедрения мер по Приказу № 239. Узнать об услуге защиты объектов КИИ →

Часто задаваемые вопросы

Сколько занимает категорирование объектов КИИ?
Максимальный срок — до одного года со дня утверждения перечня объектов. На практике зависит от числа объектов и состояния исходных данных.
Кто входит в комиссию по категорированию?
Руководитель субъекта или его заместитель, специалисты по информационной безопасности и ИТ, представители профильных подразделений, при необходимости — работники по гражданской обороне и защите от ЧС.
Что такое акт категорирования?
Документ, в котором по каждому объекту фиксируют сведения, рассмотренные угрозы и последствия, присвоенную категорию значимости и её обоснование. Подписывают члены комиссии, утверждает руководитель.
Нужно ли направлять сведения во ФСТЭК?
Да. Перечень объектов направляют во ФСТЭК в течение 10 рабочих дней после утверждения, а сведения о результатах категорирования — в течение 10 рабочих дней после утверждения акта.
Можно ли провести категорирование без подрядчика?
Да, силами собственной комиссии. Но привлечение специализированной организации снижает риск ошибок в оценке значимости и оформлении документов и ускоряет процесс.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных