Категорирование КИИ: пошаговая инструкция и чек-лист для бизнеса

С февраля 2026 года утвержден единый перечень типовых отраслевых объектов КИИ из 397 позиций, и это многое поменяло для владельцев таких объектов. Чтобы избежать штрафов и предписаний ФСТЭК, бизнесу необходимо провести категорирование КИИ — процедуру, которая определяет значимость каждого объекта и уровень его защиты. Разбираем, кто обязан это сделать и как пройти категорирование без ошибок.

Что такое КИИ

Критическая информационная инфраструктура (КИИ) — это информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления (АСУ) субъектов КИИ. Правовой статус КИИ установлен Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

К КИИ относятся объекты, которые обеспечивают работу ключевых отраслей: здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Сюда входят, например, информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети.

Субъектами КИИ признаются государственные органы, государственные учреждения, российские юридические лица, которым принадлежат объекты КИИ на праве собственности, аренды или ином законном основании.

Когда нужно категорирование КИИ

Категорирование объектов КИИ необходимо в следующих случаях:

1. если организация осуществляет деятельность в одной из отраслей, перечисленных в ст. 2 Федерального закона № 187-ФЗ;
2. если информационная система подпадает под позицию из Перечня типовых отраслевых объектов КИИ (Распоряжение Правительства № 360-р);
3. если объект КИИ был модернизирован или изменились условия его функционирования — тогда нужен пересмотр категории.

С 2026 года порядок категорирования КИИ ужесточен: организации обязаны сверить свои активы с типовым перечнем, а при выявлении объекта КИИ — незамедлительно приступить к процедуре.

Примеры объектов для категорирования КИИ

Пример 1: энергосбытовая компания. Организация эксплуатирует биллинговую систему и АСУ технологическими процессами. Обе системы включены в раздел V «Сфера энергетики» Перечня типовых отраслевых объектов КИИ (пункты 96–107), который охватывает 12 типовых объектов — от управляющих систем гидро- и теплоэлектростанций до информационных систем оптового рынка электроэнергии. Компания обязана провести категорирование КИИ для каждой из этих систем.

Пример 2: частная клиника. Медицинская организация использует лабораторную информационную систему для обработки результатов анализов и радиологическую информационную систему для архивации медицинских изображений. С февраля 2026 года эти системы прямо указаны в разделе «Сфера здравоохранения» Перечня типовых отраслевых объектов КИИ. Клиника обязана провести категорирование КИИ.

Пример 3: оператор связи. Компания предоставляет услуги подвижной радиотелефонной связи. Ее биллинговая система и система управления сетью связи включены в раздел «Сфера связи» Перечня типовых отраслевых объектов КИИ. С 1 сентября 2026 года вступает в силу Постановление Правительства РФ от 13.04.2026 № 402, которое закрепляет отраслевые особенности категорирования для сферы связи — в том числе такой показатель, как количество абонентов.

Критерии значимости КИИ

Процедура проводится с учетом критериев значимости, установленных Постановлением Правительства РФ от 08.02.2018 № 127. Объекту может быть присвоена одна из трех категорий: I (высшая), II (средняя) или III (базовая). Если ни один из критериев не достигает порогового значения, фиксируется отсутствие необходимости присвоения категории.

Оценка проводится по пяти показателям:

1. Социальная значимость — ущерб жизни и здоровью людей, нарушение оказания государственных услуг.
2. Политическая значимость — последствия для государственного управления и стабильности.
3. Экономическая значимость — размер прямого и косвенного ущерба.
4. Экологическая значимость — уровень воздействия на окружающую среду.
5. Значимость для обороны страны, безопасности государства и правопорядка.

Каждый критерий имеет количественные показатели. Например, для экономической значимости оценивается размер ущерба при нарушении работы объекта. Последствия оцениваются для каждого из свойств безопасности информации: конфиденциальности, целостности и доступности.

Как проводится категорирование объектов КИИ: пошаговая инструкция

Процедура категорирования КИИ состоит из нескольких этапов:

Шаг 1: подтверждение статуса субъекта КИИ. Проанализируйте сферу деятельности организации по ст. 2 Федерального закона № 187-ФЗ. Сверьте информационные системы с Перечнем типовых отраслевых объектов КИИ (Распоряжение № 360-р).

Шаг 2: создание комиссии. Она утверждается приказом руководителя. В нее обязательно должны войти представители IT-подразделения, службы информационной безопасности, технологических подразделений и юридической службы.

Шаг 3: инвентаризация. Комиссия выявляет все информационные системы, АСУ и ИТКС, которые могут относиться к КИИ. Для каждого объекта составляется описание назначения, архитектуры и взаимосвязей.

Шаг 4: оценка критериев значимости. Для каждого выявленного объекта комиссия количественно оценивает ущерб по каждому из пяти критериев значимости согласно отраслевой методике.

Шаг 5: присвоение категории. На основе полученных оценок объекту присваивается категория значимости (I, II или III). Если ни один критерий не достиг порогового значения, фиксируется отсутствие необходимости присвоения категории.

Шаг 6: оформление акта категорирования КИИ. В нем фиксируются результаты, он подписывается всеми членами комиссии и утверждается руководителем организации.

Шаг 7: направление сведений в ФСТЭК. Сведения о результатах категорирования КИИ направляются в ФСТЭК России в течение 10 дней после завершения процедуры.

Категорирование КИИ: чек-лист для бизнеса

1. Помните про сроки. Направить документы по результатам категорирования объекта КИИ в ФСТЭК нужно в течение 10 дней после утверждения акта.
2. Не ограничивайтесь ИБ-отделом. Вовлекайте в процесс юристов и других специалистов. Без них система будет описана неполно, а модель угроз потеряет практическую ценность.
3. Оцените последствия. При анализе ущерба учитывайте не только прямой эффект, но и цепную реакцию: нарушение работы смежных систем, остановку зависимых производственных участков, репутационный ущерб.
4. Назначьте ответственного за взаимодействие с ГосСОПКА. Для значимых объектов КИИ обязательно подключение к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак.
5. Создайте дорожную карту. Продумайте план действий на 5 лет вперед: пересмотр категории при модернизации систем, отслеживание новых отраслевых постановлений, обновление документации.