Категорирование объектов критической информационной инфраструктуры

Определим категории значимости ваших объектов КИИ и сдадим сведения во ФСТЭК

Соблюдение требований законодательства
Лицензии ФСТЭК и ФСБ
Бесплатная консультация
Получить консультациюПроцедура категорирования
30+ летна рынке ИБ, с 1993 года
ФСТЭК + ФСБлицензии на деятельность по защите информации
50+проектов по защите объектов КИИ с 2018 года
ГосСОПКАкорпоративный центр класса «Б»

Категорирование – это процесс классификации объектов КИИ по критериям их значимости

Объекты КИИ

Информационные системы (ИС)
Информационно-телекоммуникационные сети (ИТКС)
Автоматизированные системы управления (АСУ)

Категорирование объектов КИИ осуществляется субъектами КИИ в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ

Субъекты КИИ

Химическая промышленность
Оборонная промышленность
Металлургическая промышленность
Горнодобывающая промышленность
Ракетно-космическая промышленность
Атомная энергетика
Топливно-энергетический комплекс
Банковская сфера
Транспорт
Связь
Наука
Здравоохранение

Законодательство РФ о категорировании объектов КИИ

Федеральный закон №187-ФЗ от 26.07.2017

«О безопасности КИИ РФ»

Постановление Правительства РФ №127 от 08.02.2018

«Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений»

Информационное сообщение ФСТЭК России №240/25/3752 от 24.08.2018

«По вопросам представления перечней объектов КИИ, подлежащих категорированию, и направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»

Процедура категорирования КИИ

Создание комиссии по категорированию

Для проведения мероприятий по категорированию создается постоянно действующая комиссия, которая утверждается Приказом организации

Проведение инвентаризации

Определение переченя объектов, подлежащих категорированию

Категорирование объектов

Присвоение одной из категорий объектов в соответствии с их значимостью и уровнем защищенности, либо выдача заключения об отсутствии необходимости присвоения категории значимости

Направление сведений в ФСТЭК России

Формирование типового акта категорирования критической информационной инфраструктуры и направление перечня документов в ФСТЭК России

Пересмотр установленной категории значимости в соответствии с Правилами осуществляется Субъектом КИИ не реже чем один раз в 5 лет. Наши сотрудники могут оказать помощь в проверке и, в случае изменения категории значимости, сведения о результатах пересмотра категории значимости помогут направить в ФСТЭК России

Получите бесплатную консультацию по категорированию объектов КИИ

Получить консультацию

Критерии значимости: от чего зависит категория объекта

Категория значимости — не формальная отметка в акте. От неё зависит, какие меры защиты придётся внедрять по Приказу ФСТЭК № 239: для первой категории требования жёстче всего, для третьей — мягче. Поэтому комиссия не присваивает категорию на глаз, а считает её по конкретным показателям.

Логика прямая: оценивается, что произойдёт, если объект остановится из-за компьютерного инцидента. Чем тяжелее последствия — тем выше категория. Перечень показателей закреплён в Постановлении Правительства РФ от 08.02.2018 № 127 (ред. от 07.11.2025) и охватывает пять областей возможного ущерба:

1Социальная значимостьВред жизни и здоровью людей, сбой жизнеобеспечения, транспорта и связи. Для больницы или водоканала это главный критерий.
2Политическая значимостьСрыв работы государственных органов.
3Экономическая значимостьПрямой и косвенный ущерб субъекту КИИ и бюджету страны.
4Экологическая значимостьВред окружающей среде.
5Оборона и безопасностьУщерб обороноспособности государства, безопасности и правопорядку.

Категория присваивается по наивысшему показателю. Сработал хотя бы один критерий первой категории — остальные уже не считают, объект сразу относят к первой. Не подошёл ни под один показатель — категорию не присваивают вовсе, но сведения всё равно уходят во ФСТЭК: «категория не требуется» — это тоже результат категорирования, а не повод молчать.

1Первая категория — самая высокая значимость
2Вторая категория
3Третья категория — самая низкая

Создание комиссии по категорированию

Категорирование начинается не с анализа систем, а с приказа: руководитель субъекта КИИ создаёт постоянно действующую комиссию и возглавляет её сам либо назначает уполномоченное лицо. Частая ошибка — собрать комиссию из одних айтишников. ПП № 127 требует другого состава.

  • руководитель субъекта КИИ или уполномоченное им лицо;
  • специалисты по основным видам деятельности предприятия, по информационным технологиям и связи, по эксплуатации основного технологического оборудования и промышленной безопасности — те, кто понимает производственные процессы, а не только серверы;
  • работники, на которых возложено обеспечение информационной безопасности объектов КИИ;
  • специалисты по защите государственной тайны — если объект обрабатывает такие сведения;
  • работники, отвечающие за гражданскую оборону и защиту от чрезвычайных ситуаций.

Дальше комиссия делает основную работу: находит объекты КИИ по перечням типовых отраслевых объектов, разбирает возможные действия нарушителя и оценивает последствия по наихудшему сценарию — целенаправленной атаке, после которой объект встанет. По каждому объекту выносит вердикт: категория значимости либо обоснованное «присвоение не требуется».

Акт категорирования и сроки направления во ФСТЭК

Итог работы комиссии — акт категорирования. В нём фиксируют сведения об объекте КИИ и присвоенную категорию значимости либо обоснование, почему она не нужна. Это не документ «для себя»: с момента утверждения акта включается счётчик.

10рабочих дней на отправку во ФСТЭК

Со дня утверждения акта, в печатном и электронном виде, по форме, утверждённой ведомством. ФСТЭК проверит результаты по правилам 187-ФЗ и вправе вернуть на пересмотр.

от 30дней занимает весь процесс

Нижняя граница. Реальный срок зависит от числа объектов и времени на аудит: одно дело — пара систем, другое — распределённая сеть с филиалами.

Наши партнёры

POSITIVE TECHNOLOGIES
Infotecs
Код Безопасности
InfoWatch
UserGate
F6
INDEED-ID

Почему выбирают нас

Наличие лицензий

Выполнение всех видов работ, требующих наличие лицензий ФСТЭК и ФСБ на техническую защиту конфиденциальной информации, криптографию и работу с гостайной.

Сертифицированные сотрудники в области защиты КИИ

Квалифицированный ответ на любой вопрос в области защиты объектов критической инфраструктуры. Консультации и подбор необходимых решений.

Консалтинг в области защиты объектов КИИ

Поможем разобраться в трудных вопросах, повысить уровень компетенции в данной области и уменьшить трудозатраты сотрудников.

КРЕДО-С работает в области защиты КИИ с 2018 года

За это время мы реализовали более 50 проектов по созданию системы защиты объектов КИИ.

Нам доверяют сотни российских предприятий и учреждений по всей России. Мы всегда остаемся на страже защиты информации, готовы помочь и вам.

Узнать весь перечень работ по созданию защиты КИИ и получить рекомендации по дальнейшим работам, вы можете на нашем сайте — смежные услуги: защита критической информационной инфраструктуры и аттестация информационных систем для значимых объектов КИИ.

«Категорирование — это фундамент всей защиты КИИ: ошибка в показателях значимости тянет за собой неверный состав мер и предписание при первой же проверке. Мы собираем комиссию, считаем показатели по Правилам №127 и сдаём сведения во ФСТЭК так, чтобы к ним не было вопросов.»

Часто задаваемые вопросы

Кто обязан проводить категорирование объектов КИИ?
Субъекты КИИ по 187-ФЗ: госорганы и организации, работающие в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской и финансовой сфере, ТЭК, атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Что является результатом категорирования?
Акт категорирования и сведения, направляемые во ФСТЭК России для включения в реестр значимых объектов КИИ. Каждому объекту присваивается категория значимости (1, 2 или 3) либо фиксируется её отсутствие.
Какие этапы включает категорирование?
Инвентаризация процессов и информационных систем, создание комиссии, формирование и согласование перечня объектов КИИ, оценка показателей значимости, оформление актов и направление сведений во ФСТЭК. «Кредо-С» сопровождает все этапы под ключ.
Что будет, если не провести категорирование?
Предусмотрена административная ответственность за нарушение порядка категорирования. Кроме того, без категорирования невозможно выполнить остальные требования 187-ФЗ — построить систему безопасности значимых объектов и организовать взаимодействие с ГосСОПКА.
Что делать после категорирования?
Для значимых объектов — создать систему безопасности по требованиям ФСТЭК (приказы № 235 и № 239) и организовать обмен с ГосСОПКА. Смотрите нашу услугу защита критической информационной инфраструктуры.
Сколько категорий (классов) значимости у объектов КИИ?
Установлены три категории значимости объектов КИИ — их также называют классами: первая (самая высокая), вторая и третья. Категория определяется по показателям критериев значимости из Постановления Правительства РФ № 127 — социальным, экономическим, экологическим и значимости для обороны и безопасности. Если ни один показатель не достигнут, объекту категория не присваивается.
Сколько стоит категорирование объектов КИИ?
Стоимость категорирования объектов КИИ зависит от числа объектов, отраслевой специфики и состояния исходных данных. Цена определяется после бесплатной консультации и инвентаризации. Мы фиксируем стоимость и сроки в договоре, помогаем собрать комиссию и подготовить акт категорирования для направления во ФСТЭК.
Как классифицируются объекты КИИ?
Классификация объектов КИИ проводится по принадлежности субъекта к одной из сфер 187-ФЗ (энергетика, транспорт, связь, банковская сфера, здравоохранение и другие) и по типу объекта: информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления. По итогам присваивается категория значимости.
Какие виды объектов КИИ подлежат категорированию?
Категорированию подлежат три вида объектов КИИ: информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), принадлежащие субъекту КИИ. Субъект самостоятельно определяет перечень объектов и направляет его во ФСТЭК до проведения категорирования.
Кто входит в комиссию по категорированию объектов КИИ?
В комиссию по категорированию включаются руководитель или уполномоченное лицо субъекта КИИ, работники подразделений, эксплуатирующих объекты и отвечающих за ИБ, специалисты по ГО и ЧС, а при необходимости — представители госорганов. Комиссия создаётся приказом и действует на постоянной основе.
Реализованные проекты
2023 Энергетическое машиностроение

Энергетическое машиностроение

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва