Услуги для операторов персональных данных по 152-ФЗ
+7 (938) 881-70-24

Категорирование объектов критической информационной инфраструктуры (КИИ)

  • Обязательная процедура для организаций, подпадающих под закон № 187-ФЗ
  • Проводим категорирование объектов КИИ, оформляем акт и направляем сведения в ФСТЭК 
  • Работаем по всей России

Что такое КИИ и кто обязан проводить категорирование

Критическая информационная инфраструктура (КИИ) — это информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, от которых зависит работа жизненно важных отраслей страны:
Здравоохранение
Наука
Транспорт
Связь и телеком
Энергетика и ТЭК
Финансовый сектор
Горнодобывающая, металлургическая, 
химическая промышленность
IT-компании, операторы цифровых платформ
Оборонная и ракетно - космическая
промышленность
Государственные органы и учреждения
Именно субъекты обязаны проводить категорирование объектов КИИ — оценку значимости систем и определение возможных последствий компьютерных инцидентов
Проверьте, является ли ваша организация субъектом КИИ
3 ключевых вопроса — сразу определяют статус по 187-ФЗ

Зачем нужно категорирование объектов КИИ

Категорирование позволяет:

Определить, насколько критичен объект для бизнеса и государства;
Установить категорию значимости (I, II или III);
Выявить угрозы и уязвимости;
Понять необходимый уровень защиты;
Избежать штрафов и претензий регуляторов;
Подготовить организацию к проверке ФСТЭК.

Что мы предлагаем организациям, которым требуется категорирование объектов КИИ

Комплексное сопровождение «под ключ» — от анализа инфраструктуры до подачи документов в ФСТЭК России.

Определение, являетесь ли вы субъектом КИИ
Анализируем деятельность компании, документы, лицензии, отраслевую принадлежность
Формирование перечня объектов КИИ
Инвентаризация информационных систем, ИТКС, АСУ, выделение критических процессов
Оценка ущерба и присвоение категории значимости
Используем критерии Постановления №127, оформляем расчёты и обоснования
Подготовка Акта категорирования
Готовим документ по форме ФСТЭК с полным комплектом приложений
Направление сведений во ФСТЭК России
Заполняем формы, проверяем на соответствие приказам №236 и №239.
Рекомендации по защите и требованиям безопасности
Передаём чек-листы, планы мероприятий, рекомендации по дальнейшим действиям
Сопровождение проверок и консультации
Помогаем отвечать на требования регуляторов и устранять замечания

Что будет, если не провести категорирование объектов КИИ по 187-ФЗ

Категорирование — это обязательная процедура для субъектов критической информационной инфраструктуры.
Отсутствие категорирования = нарушение закона.
Административные штрафы
до 500 000 руб.
Претензии ФСТЭК
И риск внеплановых проверок
Предписания об устранении нарушений
Требующие срочных и затратных работ.
Рост риска киберинцидентов
Потому что критические процессы не идентифицированы и не защищены.
Остановка работы бизнес-процессов
При компьютерных атаках или сбоях.
Возможность уголовной ответственности
Для руководителей в особо тяжёлых случаях
Как мы работаем?
01
Анализ деятельности компании
Определяем, являетесь ли вы субъектом КИИ.
02
Объекты КИИ
Определение перечня объектов КИИ
03
Модель угроз
Анализ угроз, уязвимостей, критических процессов.
04
Создание комисии
Формирование комиссии по категорированию
05
Категорирование КИИ
Присвоение категории значимости.
06
Отправка сведений
Подготовка акта и отправка сведений в ФСТЭК

Отзывы наших клиентов

Официальные благодарственные письма от наших клиентов

Наша команда
Татьяна Цыхманова
Руководитель компании
Лидия Чернявская
Партнер, эксперт по персональным данным
Анна Чудинова
Руководитель отдела по работе с клиентами
Марина Дадашева
Ведущий специалист по работе с клиентами
Венера Хачатрян
Юрист по интеллектуальным правам
Анастасия Соловьева
Специалист по публикации сообщений
Часто задаваемые вопросы по категорированию КИИ
Как понять, что организация является субъектом КИИ?
Что включает в себя Акт категорирования объектов КИИ?
Какие сроки выполнения категорирования КИИ?
Как часто нужно пересматривать категории объектов КИИ?
Что будет, если не провести категорирование объектов КИИ?
Кто проводит категорирование КИИ?

Категорирование объектов КИИ: что это и зачем нужно?

Категорирование объектов критической информационной инфраструктуры (КИИ) — это обязательная процедура оценки важности информационных систем и сетей, ключевых для устойчивой работы страны. Закон №187-ФЗ «О безопасности КИИ» устанавливает, что субъекты КИИ (госорганы, компании в стратегических отраслях и др.) обязаны обеспечивать защиту своих систем, проходить категорирование и отчитываться перед регуляторами. Категорирование определяет уровень угроз и устанавливает необходимые меры защиты для каждого объекта.

Ключевые понятия: субъекты и объекты КИИ

Субъекты КИИ – организации, владеющие или эксплуатирующие критически важные ИТ-системы и сети. В эту категорию попадают государственные органы и крупные предприятия стратегических отраслей (энергетика, транспорт, связь, здравоохранение и пр.). (Например, владение электростанциями или крупными медицинскими комплексами делает компанию субъектом КИИ.)
Объекты КИИ – конкретные ИТ-ресурсы субъекта КИИ: информационные системы (ИС), информационно-телекоммуникационные сети (ИТС) и автоматизированные системы управления (АСУ). Это могут быть, например, системы управления энергосетями, сетевые узлы связи, банковские транзакционные платформы и другие критически важные решения.

Зачем нужно категорирование объектов КИИ

Категорирование КИИ – это процедура присвоения категории значимости каждому объекту КИИ. Её цель – оценить потенциальные последствия инцидентов и определить уровень мер защиты. Согласно закону, субъекты КИИ обязаны провести категорирование и оформить Акт категорирования объектов КИИ. Категории (I, II, III) отражают уровень риска: I категория – самая высокая (угроза здоровью людей или крупному ущербу), III – наиболее низкая.
  • Процедура включает анализ возможных инцидентов и присвоение категорий значимости на основе критериев (социальных, экономических, оборонных и т.д.)
  • По результатам составляется Акт категорирования, где перечислены все объекты КИИ и их категории. (В акте обычно фиксируют дату, место утверждения и подписи ответственных лиц.)
  • Акт категорирования утверждается внутри организации и в течение 10 дней после этого направляется во ФСТЭК России.
  • Присвоенные категории пересматриваются не реже одного раза в 5 лет или при значительных изменениях систем. (Этот срок прямо указан в нормативных документах.)

Этапы и алгоритм категорирования

Типовой пошаговый алгоритм категорирования объектов КИИ:
  1. Определите статус субъекта КИИ – проверьте, принадлежит ли ваша организация к одной из отраслей, перечисленных в ФЗ-187 (энергетика, транспорт, связь, здравоохранение и др.)
  2. Инвентаризируйте бизнес-процессы – зафиксируйте все ключевые процессы организации (управленческие, технологические, финансовые и т.д.).
  3. Выделите критические процессы – выберите те процессы, остановка которых приведет к серьёзным последствиям (например, прекращение подачи энергии или крупный финансовый сбой).
  4. Определите объекты КИИ – установите информационные системы и сети, участвующие в критических процессах; именно они подлежат категорированию
  5. Оцените категорию значимости – по таблицам критериев (ПП РФ №127) присвойте каждому объекту категорию I, II или III
  6. Оформите Акт категорирования – составьте документ с перечнем объектов КИИ и их категориями, утвердите его на комиссии организации.

Процедуру категорирования следует завершить в течение 1 года. После утверждения перечня объектов КИИ (исходный список) его направляют во ФСТЭК в течение 5 дней, а Акт категорирования – в течение 10 дней. (Обратите внимание: за несвоевременную подачу актов предусмотрены штрафные санкции.)

Категории значимости объектов КИИ

Значимые объекты КИИ делят на три категории: I, II, III. I категория – наивысшая: к ней относятся системы, сбой которых может повлечь смерть или массовый вред здоровью людей, значительный ущерб экономике или обороне. III категория – низшая, для объектов со сравнительно ограниченными последствиями. При категорировании оценивают масштаб последствий: например, если компьютерный инцидент может затронуть свыше 500 человек, объект получает I категорию. Категории помогают рационально распределять ресурсы на защиту систем.
Например:
  • Если инцидент может затронуть здоровье более 500 человек, объект классифицируют как I категорию.
  • Если же последствием сбоя станет недоступность услуг связи для нескольких тысяч абонентов, часто присваивают III категорию.

Ответственность и контроль

Категорирование КИИ – не формальность, а обязательное требование закона. Нарушение этой процедуры влечет строгую ответственность. Субъектам КИИ грозят штрафы до 500 000 руб. и административная ответственность за непредоставление или искажение данных. Кроме того, регуляторы (ФСТЭК, ФСБ) проводят проверки и могут выдать предписание об устранении нарушений, что влечёт дополнительные расходы. Поэтому организациям важно заранее подготовить всю необходимую документацию и точно выполнить алгоритм категорирования. Таким образом, своевременное категорирование объектов КИИ – это не только соблюдение требований закона, но и важный элемент обеспечения информационной безопасности организации.