Категорирование объектов критической информационной инфраструктуры нужно не для формальной «галочки», а для определения, какие информационные системы, сети и автоматизированные системы управления действительно относятся к значимым объектам КИИ. От результата зависят документы во ФСТЭК, требования к защите, взаимодействие при компьютерных инцидентах и дальнейшая работа с ИБ-проектом.

В 2026 году процедуру нужно вести по 187-ФЗ о безопасности КИИ и ПП РФ №127 с учетом изменений, внесенных ПП РФ №1762 от 7 ноября 2025 года. Старые инструкции, где категорирование сводилось только к внутренней таблице систем и отправке письма, уже недостаточны: важны типовые отраслевые объекты, критерии значимости и корректная форма сведений.

Кто относится к субъектам КИИ

Субъект КИИ - это организация или ИП, которым на законном основании принадлежат информационные системы, информационно-телекоммуникационные сети или автоматизированные системы управления, работающие в сферах, перечисленных в 187-ФЗ. К таким сферам относятся, в частности, здравоохранение, наука, транспорт, связь, энергетика, топливно-энергетический комплекс, банковская и финансовая сфера, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.

Сам факт работы в одной из этих сфер еще не означает, что все ИТ-системы автоматически становятся значимыми объектами КИИ. Сначала субъект выявляет реальные объекты: информационные системы, сети и АСУ, которые обеспечивают критичные процессы. Затем комиссия оценивает последствия возможного компьютерного инцидента по показателям из ПП №127.

Что изменилось для категорирования в 2026 году

Ключевое изменение после ПП №1762 - более предметная привязка к типовым отраслевым объектам КИИ и отраслевым особенностям. На практике это означает, что субъекту КИИ нужно не просто перечислить серверы, базы данных и рабочие места, а показать, какой процесс поддерживает объект, к какому типовому объекту он относится и какие последствия возникнут при нарушении его работы.

Для компаний с несколькими площадками, филиалами, производственными линиями или распределенными ИТ-контурами это особенно важно. Одна ERP-система, АСУ ТП, диспетчерская система или медицинская информационная система может обслуживать разные процессы, а значит, нуждается в аккуратном описании границ объекта, владельцев, связей и возможного ущерба.

Этапы категорирования объектов КИИ

  1. Определить статус субъекта КИИ. Проверяют сферу деятельности, законное владение системами, сетями или АСУ и связь этих объектов с критичными процессами.
  2. Создать комиссию. В нее обычно включают представителей ИТ, информационной безопасности, производственных или профильных подразделений, юристов и владельцев процессов.
  3. Сформировать перечень объектов. В перечень включают не все активы подряд, а объекты КИИ: ИС, ИТКС и АСУ, которые обеспечивают значимые процессы.
  4. Сопоставить объекты с типовыми отраслевыми объектами. Этот шаг стал особенно важным после изменений 2025 года.
  5. Рассчитать показатели значимости. Комиссия оценивает возможные социальные, политические, экономические, экологические и оборонные последствия компьютерного инцидента.
  6. Принять решение по категории. Объекту присваивают первую, вторую или третью категорию значимости либо фиксируют отсутствие необходимости присвоения категории.
  7. Направить сведения во ФСТЭК. Сведения оформляют по установленной форме и направляют регулятору.

Какие документы готовят

Минимальный комплект обычно включает приказ о создании комиссии, положение или регламент ее работы, перечень объектов КИИ, материалы обследования, описание границ объектов, расчет показателей значимости, протоколы заседаний, акт категорирования и сведения для направления во ФСТЭК. Для распределенных систем дополнительно фиксируют площадки, каналы связи, зависимые сервисы и владельцев процессов.

Форма сведений о результатах присвоения категории значимости или об отсутствии необходимости присвоения категории утверждена приказом ФСТЭК России №236. Для значимых объектов дальше применяются требования по защите, утвержденные приказом ФСТЭК России №239.

Категории значимости: первая, вторая и третья

ПП №127 предусматривает три категории значимости. Первая категория применяется к наиболее критичным объектам, где последствия компьютерного инцидента достигают самых высоких порогов. Вторая и третья категории отражают меньший, но все равно значимый уровень последствий. Если показатели не достигают пороговых значений, объект не включается в число значимых, но результат категорирования все равно документируется.

Категория определяется не «на глаз» и не по размеру компании. Комиссия анализирует конкретный объект, его роль в процессе, возможные последствия отказа, нарушение управления, влияние на услуги, производство, финансы, безопасность людей и другие показатели из правил категорирования.

Сроки и актуализация

По ПП №127 срок категорирования ограничен: процедура не должна растягиваться дольше установленного периода после утверждения перечня объектов. На практике срок зависит от количества систем, готовности инвентаризации, качества описания процессов и того, насколько быстро владельцы объектов дают исходные данные.

После первичного категорирования работа не заканчивается. Сведения нужно актуализировать при существенных изменениях объекта, архитектуры, процессов, показателей значимости или правового статуса субъекта. Например, модернизация АСУ ТП, перенос части инфраструктуры, появление новой производственной линии или изменение критичного процесса могут потребовать повторной оценки.

Импортозамещение и КИИ: где граница

Категорирование и импортозамещение - разные блоки регулирования. Категорирование отвечает на вопрос, является ли объект значимым и какая у него категория. Вопросы использования иностранного программного обеспечения, программно-аппаратных комплексов и доверенных решений проверяют отдельно по указам, постановлениям, требованиям заказчика и документам по конкретному объекту.

Поэтому в документах лучше разделять три уровня: результат категорирования, требования безопасности значимого объекта и план перехода на допустимые решения. Для закупок и замены ПО могут понадобиться реестр российского ПО, реестр доверенного ПО, сведения о ПАК, сертификаты ФСТЭК или ФСБ и отдельное обоснование совместимости. Эти документы не заменяют акт категорирования.

Типичные ошибки при подготовке

Официальные источники для проверки

FAQ

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Кому нужно проводить категорирование объектов КИИ?

Категорирование проводят субъекты КИИ: организации и ИП, у которых есть информационные системы, сети или АСУ в сферах, перечисленных в 187-ФЗ. Проверка начинается с определения статуса субъекта и перечня фактических объектов.

Все ИТ-системы субъекта КИИ становятся значимыми объектами?

Нет. Комиссия выявляет объекты КИИ и рассчитывает показатели значимости. Часть объектов может получить первую, вторую или третью категорию, а по части объектов может быть зафиксировано отсутствие необходимости присвоения категории.

Что направляют во ФСТЭК после категорирования?

Во ФСТЭК направляют сведения о результатах присвоения категории значимости или об отсутствии необходимости присвоения категории. Форма сведений установлена приказом ФСТЭК России №236.

Сколько времени занимает категорирование?

Предельный срок установлен правилами ПП №127, но фактическая длительность зависит от количества объектов, зрелости инвентаризации и готовности владельцев процессов к расчету последствий. Чем слабее описание систем и процессов, тем больше уточнений возникает.

Нужно ли пересматривать категорию после изменений в системе?

Да, если меняются границы объекта, архитектура, критичный процесс, показатели последствий или правовой статус субъекта. Модернизация АСУ, перенос инфраструктуры или запуск новой площадки могут повлиять на результаты категорирования.

Категорирование заменяет сертификацию средств защиты?

Нет. Категорирование определяет статус и категорию объекта. Выбор, внедрение и подтверждение средств защиты выполняются отдельно по требованиям к значимым объектам КИИ и модели угроз.