Перечень объектов КИИ — документ, с которого начинается вся работа субъекта критической информационной инфраструктуры. Без него категорирование не провести, а значит, и требования 187-ФЗ не выполнить. Разбираем, что включать, как оформить и когда взаимодействовать с ФСТЭК.
Перечень объектов КИИ — документ субъекта, в котором перечислены все информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), обеспечивающие критические процессы организации. Именно по нему комиссия по категорированию оценивает значимость каждого объекта и решает, какую категорию присвоить.
Обязанность составить перечень установлена 187-ФЗ ст. 7 ч. 1. Порядок — ПП РФ от 08.02.2018 № 127 (ред. от 07.11.2025 № 1762).
Составить перечень и провести категорирование КИИ
Кредо-С — лицензиат ФСТЭК России. Проводим инвентаризацию, помогаем собрать комиссию и подготовить документы для ФСТЭК.
Все субъекты КИИ: организации и ИП, которым принадлежат объекты КИИ в следующих сферах (187-ФЗ ст. 2):
Форма собственности значения не имеет. Государственные, муниципальные и коммерческие организации — под одинаковыми требованиями.
Комиссия выявляет процессы субъекта и определяет, какие ИС, ИТКС и АСУ их обеспечивают. В перечень включают:
Смежные системы пропускают чаще всего. ФСТЭК при надзорной проверке сравнивает перечень с реальной архитектурой — и фиксирует расхождения как нарушение.
Единой утверждённой формы нет. Как правило, оформляют таблицей:
| Поле | Что указать |
|---|---|
| Наименование объекта КИИ | Полное официальное название ИС / ИТКС / АСУ |
| Тип объекта | ИС / ИТКС / АСУ |
| Сфера деятельности | Из перечня ст. 2 187-ФЗ |
| Критический процесс | Процесс субъекта, который объект обеспечивает |
| Подразделение-владелец | Ответственное структурное подразделение |
| Взаимодействие | Связанные объекты КИИ, в том числе других субъектов |
Перечень утверждает руководитель субъекта КИИ. С 2025 года ФСТЭК разработал типовые отраслевые перечни для ряда сфер — субъекты вправе ориентироваться на них при составлении своего.
Перечень объектов КИИ не направляют во ФСТЭК отдельно. По ПП-127 п. 17 и 187-ФЗ ст. 7 ч. 5, в регулятор направляют сведения о результатах категорирования — уже после работы комиссии и утверждения актов. Срок: 10 рабочих дней со дня утверждения акта.
В сведениях указывают перечень объектов, присвоенные категории значимости и результаты оценки по критериям. После редакции ПП-127 от 07.11.2025 форма сведений обновилась. Отправка по устаревшему бланку — возврат без рассмотрения.
Для незначимых объектов сведения тоже направляют во ФСТЭК — с обоснованием отсутствия категории. О полном порядке категорирования — в пошаговой инструкции по категорированию объектов КИИ.
Перечень актуализируют при вводе новых ИС, ИТКС или АСУ, при существенном изменении архитектуры действующих объектов, при выходе обновлённых типовых отраслевых перечней. И в любом случае — не реже одного раза в 5 лет (ПП-127 п. 21).
После актуализации перечня необходимо повторно оценить значимость изменившихся объектов и направить обновлённые сведения во ФСТЭК.
Перечень — точка входа. Дальше:
Ошибки в перечне на старте — неполный состав объектов, неверная классификация, пропущенные смежные системы — переходят в категорирование и фиксируются ФСТЭК при первой проверке. Подробнее о рисках и санкциях: «Ответственность за нарушение требований 187-ФЗ».
Правильно составить перечень объектов КИИ требует одновременно знания 187-ФЗ и понимания реальной ИТ-архитектуры организации. Ошибки на этом этапе дорого обходятся позже.
«Кредо-С» проводит категорирование объектов КИИ под ключ: инвентаризация и составление перечня, работа комиссии, оформление актов, направление сведений во ФСТЭК. Обзор КИИ и всей системы защиты — в материале «Критическая информационная инфраструктура».
Категорирование — первый этап, но не финальный. Если хотя бы один объект получил категорию значимости (1, 2 или 3), начинается второй цикл работ — построение системы безопасности значимых объектов КИИ.
| Приказ ФСТЭК | Что регулирует |
|---|---|
| № 235 | Требования к организации системы безопасности: кто отвечает, как устроена служба ИБ |
| № 239 (ред. 28.08.2024) | Состав мер защиты для значимых объектов — от контроля доступа до защиты от DDoS |
| № 236 | Как оформить и направить сведения о категорировании во ФСТЭК |
Срок направления сведений во ФСТЭК — 10 рабочих дней с даты решения комиссии. ФСТЭК проверяет в течение 30 дней и вправе вернуть на пересмотр.
Все субъекты КИИ обязаны информировать НКЦКИ об инцидентах вне зависимости от категории объектов. Для значимых — дополнительно интеграция с технической инфраструктурой ГосСОПКА.
Кредо-С проводит полный цикл: от инвентаризации и категорирования до разработки ОРД и внедрения мер по Приказу № 239. Узнать об услуге защиты объектов КИИ →
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года