Категорирование объектов КИИ

Данный вид услуги представляет собой мини-аудит с целью установления соответствия объектов КИИ критериям значимости и показателям их значений, присвоения им одной из категорий значимости (либо принятия решения о неприсвоении категории значимости), который проводится командой квалифицированных специалистов с профильным высшим образованием по защите информации, действующих от лица лицензиата ФСТЭК России, и предназначен для компаний, являющихся субъектами КИИ.

Категорирование осуществляется в соответствии с Постановлением Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП РФ № 127). Процесс категорирования в общем случае состоит из следующих этапов:

Процесс_категорирования_КИИ_2025_Альтирикс_2

Почему это актуально?

С каждым годом требования к безопасности значимых объектов КИИ становятся строже, а риски для их владельцев — все выше. Игнорирование или формальный подход к созданию системы безопасности приводит не только к финансовым, но и к уголовным последствиям.

Ключевые причины категорировать объекты КИИ с привлечением экспертов:

Особенности законодательства — существуют сложности в понимании и трактовании положений нормативно-правовых актов, которые могут трактоваться контролирующими органами не в пользу компании или ее сотрудников
Сложность в соотнесении видов деятельности с реальными бизнес-процессами и применяемыми информационными технологиями
Сложность в оценке возможных ущербов от кибератак
Масштабная инфраструктура — необходимость дополнительной инвентаризации
Трудоемкость задач — нехватка персонала и необходимость привлечения внешних экспертов
Возросшая ответственность за несоблюдение требований по защите информации, в том числе риск уголовной ответственности
Ежегодный рост количества кибератак и мошенничества
Появление судебной практики за последние 5 лет, рост количества административных и уголовных наказаний за неисполнение 187-ФЗ

По состоянию на 2025 год вышли сроки, отведенные на категорирование объектов КИИ в соответствии с ПП РФ № 127. Дальнейшее промедление чревато повышенными рисками административной и уголовной ответственности.

Вы получаете

Пакет юридически значимых документов о создании комиссии и рекомендации по составу комиссии

Комплект отчетной документации с экспертным анализом лицензиата ФСТЭК России

12 месяцев гарантии и согласование документов с ФСТЭК России на случай замечаний от регулятора

20 часов консультационных услуг наших специалистов по вопросам защиты КИИ и импортозамещения

Фиксированная стоимость услуги на 2025 год

Воспользуйтесь нашим готовым предложением или выполните работы самостоятельно, используя материалы из нашего Блога

Категорирование

241 500 ₽
Включено:
- обследование и инвентаризация объектов КИИ не более 1 (одного) юридического лица в любой точке Российской Федерации
- не более 10 (десяти) эксплуатирующихся ИС/АСУ/ИТС (объектов КИИ)
- документирование деятельности комиссии по категорированию
- отчет об обследовании объектов КИИ
- комплект документов для ФСТЭК России
- консультации наших специалистов в объёме 20 часов
- 12 месяцев гарантии и согласование с ФСТЭК России в случае замечаний
Длительность проекта: 60 рабочих дней

Формат проекта: дистанционно
Заказать
Пакет расширения

79 800 ₽
Приобретается только дополнительно к тарифу «Категорирование». Количество не ограниченно.

Включено дополнительно:
- не более 10 (десяти) эксплуатирующихся ИС/АСУ/ИТС (объектов КИИ)
- документирование деятельности комиссий по категорированию
- отчет об обследовании объектов КИИ
- комплект документов для ФСТЭК России
- 12 месяцев гарантии и согласование с ФСТЭК России в случае замечаний
Длительность проекта: +10 рабочих дней к тарифу «Категорирование»

Формат проекта: дистанционно
Заказать
Ваш проект

По запросу
Преимущества:
- без ограничений по количеству юридических лиц
- без ограничений по количеству эксплуатирующихся ИС/АСУ/ИТС (объектов КИИ)
- возможность посещения организаций нашими специалистами с целью интервью и проведения заседаний комиссии
- существенные скидки за большие объемы работ
- опциональная разработка дополнительных документов и (или) предоставления услуг
- различные варианты длительности проекта
- расширенная гарантия, в том числе помощь при выездных плановых и внеплановых проверках регуляторов
Заказать

ИС — информационная система; АСУ — автоматизированная система управления; ИТС — информационно-телекоммуникационная сеть

Как выполняется проект?

Инициализация проекта	После заключения договора и формирования состава проектной команды инициируется установочная встреча в формате видео-конференц-связи, на которой специалисты Альтирикс Групп знакомятся с проектной командой Заказчика и подробно рассказывают о порядке действий в ходе реализации проекта. На каждый проект назначается архитектор проекта, обеспечивающий его качественную реализацию. В обязанности архитектора в том числе входят: организация коммуникаций, постановка задач специалистам, оформление итоговой документации и согласование ее с Заказчиком. На установочной встрече обсуждаются: этапы проекта и сроки; зоны ответственности Альтирикс Групп и Заказчика; форматы взаимодействия и обмена конфиденциальной информацией; другие организационные вопросы в зависимости от специфики проекта и Заказчика.
Сбор данных	Специалисты Альтирикс Групп: разрабатывают и согласовывают с Заказчиком Программу аудита, содержащую опросные листы и чек-листы; разрабатывают и направляют Заказчику адаптированные формы документов для создания комиссии и других необходимых мероприятий; согласовывают перечень лиц и структурных подразделений Заказчика для интервью; проводят интервью и агрегируют полученные данные из других источников.
Завершение проекта	Специалисты Альтирикс Групп анализируют полученные данные, разрабатывают и согласовывают с Заказчиком итоговые документы по проекту, включая Отчет об обследовании объектов КИИ, Акты категорирования и Формы направления сведений об объектах КИИ. Заказчику направляются электронные и бумажные версии документов для ответственного хранения, которые приобщаются к общему комплекту документов комиссии.
Гарантийная поддержка	В течение срока гарантийной поддержки специалисты Альтирикс Групп отвечают на запросы Заказчика, связанные с: внесением корректировок в согласованные ранее документы по замечаниям регуляторов; поступлением вопросов/запросов со стороны регулирующих органов (включая подготовку шаблонов ответов); другими вопросам по КИИ при наличии расширенной гарантии.

Методология работ

Для анализа возможных нарушителей мы используем Методический документ «Методика оценки угроз безопасности информации» (утв. ФСТЭК России 5 февраля 2021 года), а также учитываем структурно-функциональные характеристики объектов КИИ и применяемые технологии

Для анализа возможных УБИ и сценариев атак мы используем БДУ ФСТЭК России и Mitre ATT&CK Matrix

Для анализа возможных последствий от реализации компьютерных атак и дальнейшей оценки их масштабов мы используем:

Технические задания на создание объектов КИИ,
Договоры на оказание услуг в отношение объектов КИИ,
Экспертную оценку эксплуатирующих подразделений,
Отраслевые перечни объектов КИИ и методики категорирования,
Результаты категорирования объектов транспортной инфраструктуры,
Декларации промышленной безопасности и Планы ликвидаций последствий аварий,
Декларации безопасности гидротехнических сооружений,
Паспорта безопасности объектов ТЭК,
Паспорта безопасности ОПО,
Результаты категорирования экологически опасных объектов,
Результаты классификации сетей электросвязи,
Реализованные кибератаки на аналогичные объекты и их последствия,
И другое (в зависимости от особенностей объекта КИИ).

Методологию работ можно схематично представить следующим образом:

Интересные референсы

Специалистами Альтирикс Групп было проанализировано 176 информационных и автоматизированных систем управления в сфере здравоохранения на предмет отнесения данных систем к объектам КИИ. По результатам анализа было проведено категорирование в отношении 21 объекта КИИ, в число которых вошли, в том числе, рентгеновские аппараты, аппараты УЗИ, аппараты ЭКГ, ЭЭГ и ЭМГ, аппараты КТ и МРТ.

Специалисты Альтирикс Групп выполнили обследование более 300 объектов КИИ (ИС, ИТС, АСУ ТП) крупного холдинга в сфере ТЭК, в том числе приняли участие в категорировании строящихся АСУ ТП и координировали работы между разными поставщиками АСУ ТП. Более 100 объектов КИИ были категорированы, данные успешно приняты ФСТЭК России.

Специалистами Альтирикс Групп было выявлено, что 56 информационных ресурсов, которым организация с сфере оборонной промышленности присвоила статус ИС или АСУ, в действительности не соответствуют определению объектов КИИ. Таким образом, проведенный детальный анализ характеристик информационных ресурсов позволил уменьшить трудозатраты, необходимые для категорирования объектов КИИ и существенно оптимизировать бюджет для создания системы безопасности.

Не нашли нужное направление? Напишите нам

Частые вопросы и ответы

Сколько категорий значимости объекта КИИ установлено?

Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Можно ли пересмотреть категорию значимости объекта КИИ и в каких случаях?

В соответствии с Правилами категорирования объектов КИИ (утв. ПП РФ № 127), субъект КИИ не реже одного раза в 5 лет и в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости установления категорий значимости объектам КИИ (п. 21 Правил категорирования объектов КИИ). Также пересмотр категории значимости можно провести в случае изменения структуры объекта КИИ, изменения сведений, указанных в п. 17 Правил категорирования и изменения перечня актуальных угроз безопасности информации. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

Как именно определяется принадлежность той или иной ИС/АСУ/ИТС к конкретной сфере 187-ФЗ?

Мы учитываем несколько критериев: 1) соответствие архитектуры ИС/АСУ/ИТС терминологии (определению) в законодательстве и стандартах Российской Федерации; 2) наличие конкретного функционала, который можно отнести к одной из сфер 187-ФЗ; 3) влияние ИС/АСУ/ИТС на процессы или функционирование других ИС/АСУ/ИТС, которые уже отнесены к функционирующим в сферах; 4) наличие ИС/АСУ/ИТС в Перечне типовых отраслевых объектов критической информационной инфраструктуры.

Какой пакет документов необходимо подготовить комиссии по категорированию?

Минимально необходимый пакет документов: Акт о категорировании, содержащий перечень информации о субъекте и объектах КИИ (определяется п. 17 Правил категорирования) и Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, данные сведения оформляются в соответствии с приказом ФСТЭК России от 22.12.2017 № 236 и направляются во ФСТЭК России в течение 10 дней со дня утверждения акта. Дополнительно Альтирикс Групп рекомендует разрабатывать Отчет об обследовании объектов КИИ, позволяющий принимать более взвешенные решения, так как наличие подробного отчета, описывающего структурно-функциональные характеристики объектов КИИ, придает юридическую значимость при принятии решений и обеспечивает прозрачность отнесения ИС, АСУ, ИТС к объектам КИИ и определения категории значимости для всех членов комиссии по категорированию.

Какой комплект документов мы разрабатываем для организации деятельности комиссии?

Для организации деятельности постоянно действующей комиссии по категорированию специалисты Альтирикс Групп разрабатывают Приказ о создании комиссии по категорированию, положение о постоянно действующей комиссии по категорированию, описывающее порядок функционирование комиссии, а также права и обязанности членов комиссии при проведении категорирования, протоколы заседания комиссии по категорированию, включая протоколы, связанные с определением статуса субъекта КИИ, определением критических процессов и принятием решения о присвоении или об отсутствии необходимости присвоения одной из категории значимости объекту КИИ, приложения к протоколам заседания комиссии, включая Акт о категорировании и сопроводительные письма во ФСТЭК России.

Обязательно ли направлять перечень объектов КИИ, подлежащих категорированию, в ФСТЭК России?

Постановлением Правительства Российской Федерации от 19.09.2024 № 1281 в ПП РФ № 127 были внесены изменения, в связи с которыми больше нет необходимости формировать перечень объектов КИИ, подлежащих категорированию, согласовывать его с головной структурой (для подведомственных организаций) и отправлять во ФСТЭК России

Какие показатели категорирования наиболее распространены? По каким показателям чаще всего устанавливается категория значимости?

Наиболее распространенные показатели для установления категории значимости зависят от сферы функционирования субъекта КИИ. Например, для топливно-энергетического комплекса, где часто эксплуатируются производственно-опасные объекты, актуальны будут показатели № 1, № 9 и № 11. Для субъектов КИИ, являющихся операторами связи, наиболее актуальным будет показатель № 4. Поэтому при расчете показателей следует анализировать сферы, в которых функционируют объекты КИИ.

При расчете показателя № 9 Правил категорирования учитывается только ущерб федеральному бюджету? Или также и региональным бюджетам и внебюджетным фондам, например, ПФР?

К бюджетам Российской Федерации относятся: федеральный бюджет, бюджеты государственных внебюджетных фондов (Пенсионный фонд, Фонд обязательного медицинского страхования, Фонд социального страхования), бюджеты субъектов Российской Федерации и местные бюджеты (бюджеты муниципальных образований). При этом при расчете 9 показателя Правил категорирования необходимо использовать основные характеристики федерального бюджета на трехлетний период (включая год, в котором проводится процедура категорирования и следующие 2 года). Основные характеристики федерального бюджета ежегодно публикуются на официальном сайте Минфина России.

Можно ли снизить фиксированную стоимость за услугу при условии, что в нашей компании меньше информационных систем?

Нет, стоимость является фиксированной, т.к. системы могут функционировать в разных сферах, быть разного масштаба и разной архитектуры, т.е. анализ 10 систем в некоторых случаях может оказаться более трудоемким, чем 30 систем — поэтому в услуге учтены средние параметры систем.

Что если в ходе аудита выявлено больше систем, чем указано в пакете услуг?

Мы всегда идем навстречу нашим Заказчикам и допускаем увеличение границ проекта в пределах 10% без увеличения стоимости. Например, если вы выбрали пакет услуг на 30 систем, а после аудита мы обнаружили 33 системы, то дополнительные 3 системы мы включим в объем работ бесплатно.

Какая ответственность грозит при отказе от проведения процедуры категорирования?

Ответственность за непредоставление сведений о результатах категорирования закреплена в КоАП РФ ст. 19.7.15, в соответствии с которой данное правонарушение влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц — от пятидесяти тысяч до ста тысяч рублей, а в случае повторного нарушения на должностных лиц в размере от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста тысяч до двухсот тысяч рублей.