Дата публикации: 06.05.2026

Перечень объектов КИИ — документ, с которого начинается вся работа субъекта критической информационной инфраструктуры. Без него категорирование не провести, а значит, и требования 187-ФЗ не выполнить. Разбираем, что включать, как оформить и когда взаимодействовать с ФСТЭК.

Что такое перечень объектов КИИ

Перечень объектов КИИ — документ субъекта, в котором перечислены все информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), обеспечивающие критические процессы организации. Именно по нему комиссия по категорированию оценивает значимость каждого объекта и решает, какую категорию присвоить.

Обязанность составить перечень установлена 187-ФЗ ст. 7 ч. 1. Порядок — ПП РФ от 08.02.2018 № 127 (ред. от 07.11.2025 № 1762).

Кто обязан составить перечень

Составить перечень и провести категорирование КИИ

Кредо-С — лицензиат ФСТЭК России. Проводим инвентаризацию, помогаем собрать комиссию и подготовить документы для ФСТЭК.

Получить консультацию

Все субъекты КИИ: организации и ИП, которым принадлежат объекты КИИ в следующих сферах (187-ФЗ ст. 2):

  • здравоохранение, наука, транспорт, связь, энергетика;
  • банковская и иные сферы финансового рынка;
  • топливно-энергетический комплекс, атомная энергия;
  • оборонная, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленности.

Форма собственности значения не имеет. Государственные, муниципальные и коммерческие организации — под одинаковыми требованиями.

Что включать в перечень объектов КИИ

Комиссия выявляет процессы субъекта и определяет, какие ИС, ИТКС и АСУ их обеспечивают. В перечень включают:

  • АСУ технологическими процессами (АСУ ТП) — производственные, энергетические, транспортные, в том числе диспетчерские системы и SCADA.
  • Корпоративные ИС, обеспечивающие управленческие и финансово-экономические процессы, если их нарушение или остановка критична.
  • Телекоммуникационные сети — корпоративные сети, каналы между площадками, операторские сети (для субъектов из сферы связи).
  • Смежные системы: СКУД, инженерная инфраструктура с цифровым управлением (электроснабжение, вентиляция), системы видеонаблюдения в технологических зонах.

Смежные системы пропускают чаще всего. ФСТЭК при надзорной проверке сравнивает перечень с реальной архитектурой — и фиксирует расхождения как нарушение.

Как оформить перечень

Единой утверждённой формы нет. Как правило, оформляют таблицей:

ПолеЧто указать
Наименование объекта КИИПолное официальное название ИС / ИТКС / АСУ
Тип объектаИС / ИТКС / АСУ
Сфера деятельностиИз перечня ст. 2 187-ФЗ
Критический процессПроцесс субъекта, который объект обеспечивает
Подразделение-владелецОтветственное структурное подразделение
ВзаимодействиеСвязанные объекты КИИ, в том числе других субъектов

Перечень утверждает руководитель субъекта КИИ. С 2025 года ФСТЭК разработал типовые отраслевые перечни для ряда сфер — субъекты вправе ориентироваться на них при составлении своего.

Когда и как взаимодействовать с ФСТЭК

Перечень объектов КИИ не направляют во ФСТЭК отдельно. По ПП-127 п. 17 и 187-ФЗ ст. 7 ч. 5, в регулятор направляют сведения о результатах категорирования — уже после работы комиссии и утверждения актов. Срок: 10 рабочих дней со дня утверждения акта.

В сведениях указывают перечень объектов, присвоенные категории значимости и результаты оценки по критериям. После редакции ПП-127 от 07.11.2025 форма сведений обновилась. Отправка по устаревшему бланку — возврат без рассмотрения.

Для незначимых объектов сведения тоже направляют во ФСТЭК — с обоснованием отсутствия категории. О полном порядке категорирования — в пошаговой инструкции по категорированию объектов КИИ.

Когда обновлять перечень

Перечень актуализируют при вводе новых ИС, ИТКС или АСУ, при существенном изменении архитектуры действующих объектов, при выходе обновлённых типовых отраслевых перечней. И в любом случае — не реже одного раза в 5 лет (ПП-127 п. 21).

После актуализации перечня необходимо повторно оценить значимость изменившихся объектов и направить обновлённые сведения во ФСТЭК.

Перечень объектов КИИ и всё, что за ним следует

Перечень — точка входа. Дальше:

  • комиссия проводит категорирование и присваивает категории значимости;
  • субъект направляет сведения во ФСТЭК — значимые объекты вносятся в реестр;
  • создаётся система безопасности значимых объектов КИИ (приказ ФСТЭК №235, ред. от 20.04.2023);
  • реализуются меры защиты по категории (приказ ФСТЭК №239, ред. от 28.08.2024);
  • объекты подключаются к ГосСОПКА.

Ошибки в перечне на старте — неполный состав объектов, неверная классификация, пропущенные смежные системы — переходят в категорирование и фиксируются ФСТЭК при первой проверке. Подробнее о рисках и санкциях: «Ответственность за нарушение требований 187-ФЗ».

Помощь в составлении перечня и категорировании

Правильно составить перечень объектов КИИ требует одновременно знания 187-ФЗ и понимания реальной ИТ-архитектуры организации. Ошибки на этом этапе дорого обходятся позже.

«Кредо-С» проводит категорирование объектов КИИ под ключ: инвентаризация и составление перечня, работа комиссии, оформление актов, направление сведений во ФСТЭК. Обзор КИИ и всей системы защиты — в материале «Критическая информационная инфраструктура».

Что делать после категорирования

Категорирование — первый этап, но не финальный. Если хотя бы один объект получил категорию значимости (1, 2 или 3), начинается второй цикл работ — построение системы безопасности значимых объектов КИИ.

Нормативная цепочка после категорирования

Приказ ФСТЭКЧто регулирует
№ 235Требования к организации системы безопасности: кто отвечает, как устроена служба ИБ
№ 239 (ред. 28.08.2024)Состав мер защиты для значимых объектов — от контроля доступа до защиты от DDoS
№ 236Как оформить и направить сведения о категорировании во ФСТЭК

Срок направления сведений во ФСТЭК — 10 рабочих дней с даты решения комиссии. ФСТЭК проверяет в течение 30 дней и вправе вернуть на пересмотр.

Все субъекты КИИ обязаны информировать НКЦКИ об инцидентах вне зависимости от категории объектов. Для значимых — дополнительно интеграция с технической инфраструктурой ГосСОПКА.

Кредо-С проводит полный цикл: от инвентаризации и категорирования до разработки ОРД и внедрения мер по Приказу № 239. Узнать об услуге защиты объектов КИИ →

Часто задаваемые вопросы

Что такое перечень объектов КИИ и зачем он нужен?
Перечень объектов КИИ — документ субъекта, в котором перечислены все информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, обеспечивающие критические процессы организации. Без перечня невозможно провести категорирование — обязательную процедуру по 187-ФЗ, определяющую требования к защите объектов.
Кто обязан составить перечень объектов КИИ?
Все субъекты КИИ: организации и ИП, которым на праве собственности, аренды или ином законном основании принадлежат объекты КИИ в сферах здравоохранения, науки, транспорта, связи, энергетики, финансового рынка, ТЭК, атомной энергии, оборонной и ряда других промышленных отраслей. Форма собственности значения не имеет.
Нужно ли направлять перечень объектов КИИ во ФСТЭК?
Отдельно — нет. Во ФСТЭК направляют сведения о результатах категорирования в течение 10 рабочих дней после утверждения акта категорирования (ПП-127 п. 17; 187-ФЗ ст. 7 ч. 5). В этих сведениях и содержится перечень объектов вместе с присвоенными категориями и результатами оценки значимости.
Что включать в перечень объектов КИИ?
Информационные системы, информационно-телекоммуникационные сети и АСУ, обеспечивающие критические процессы субъекта. В том числе АСУ ТП (производственные, энергетические, транспортные), корпоративные ИС, телекоммуникационные сети, а также смежные системы: СКУД, инженерная инфраструктура с цифровым управлением, системы видеонаблюдения в технологических зонах.
Как часто нужно обновлять перечень объектов КИИ?
При вводе в эксплуатацию новых ИС, ИТКС или АСУ, при существенном изменении архитектуры действующих объектов, при выходе обновлённых типовых отраслевых перечней, а также в рамках периодического пересмотра категорий — не реже одного раза в 5 лет (ПП-127 п. 21).

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных