Как определить КИИ: объекты, субъекты и категории значимости

Что такое КИИ

Критическая информационная инфраструктура (КИИ) — это совокупность информационных систем (ИС), информационно-телекоммуникационных сетей (ИТС) и автоматизированных систем управления (АСУ), нарушение работы или компрометация которых может привести к существенным последствиям: остановке значимых процессов, невозможности оказания услуг, ущербу экономике, риску для безопасности государства либо угрозе жизни и здоровью граждан.

Простыми словами: КИИ — это IT‐инфраструктура, без которой организация или целая отрасль не сможет работать.

На практике вопрос не сводится к наличию серверов, рабочих станций или корпоративной сети. Важна связь ИТ-системы с процессом, который нельзя остановить без ущерба для людей, производства, услуг или обязательств перед государством.

Файловый сервер сам по себе редко становится критичным. Но если через него передаются задания для производственной линии, результаты лабораторных исследований или сведения диспетчерской службы, его роль уже оценивают иначе.

Федеральный закон № 187-ФЗ — основной нормативный документ в сфере защиты КИИ. Его применяют не по виду формы собственности, а по роли организации и её систем: если они работают в значимых отраслях, компанию проверяют на признаки субъекта КИИ.

Объекты КИИ

Объект КИИ — это отдельная ИС, АСУ или ИТС, которая принадлежит или находится в аренде у субъекта КИИ. Например:

• АСУ технологическими процессами (АСУ ТП) на заводе.
• Банковские платформы.
• Медицинские ИС.
• Системы диспетчеризации аэропорта.
• Оборудование, подключённое к сети и участвующее в передаче или обработке данных, например аппарат искусственной вентиляции лёгких (ИВЛ) или магнитно-резонансный томограф (МРТ).

Значимый объект КИИ — это объект, которому по результатам категорирования присвоена категория значимости. Причина такого статуса — возможные последствия инцидента: вред людям, экономике, экологии, государственным интересам или обороне страны. Эти последствия оценивают по критериям Постановления Правительства РФ № 127. Если объект проходит установленные пороговые значения, сведения о нём направляют во ФСТЭК России.

ФСТЭК требует провести категорирование и отчитаться о результатах, особенно, по значимым объектам.

Субъекты КИИ

Субъект КИИ — это организация, которая имеет во владении или аренде объекты КИИ. Это могут быть:

• Государственные структуры (федеральные и региональные органы власти, госкорпорации)
• Коммерческие компании из отраслей, перечисленных в законе № 187‐ФЗ. Индивидуальные предприниматели (ИП) с 2025 года не входят в список субъектов

Фактически статус субъекта КИИ связан не только с отраслью. Важно, есть ли ИС, ИТС или АСУ, которые поддерживают процессы из регулируемых сфер.

Если организация относится к субъектам КИИ, она отвечает за:

• категорирование объектов
• направление сведений во ФСТЭК России
• выполнение требований по защите значимых объектов
• уведомление ФСБ России о компьютерных инцидентах и подключение значимых объектов к ГосСОПКА.

Что относится к объектам КИИ

Закон выделяет 3 типа систем, которые проверяют при выявлении объектов КИИ:

• Информационные системы:
  • ERP-системы;
  • CRM;
  • биллинговые платформы;
  • медицинские ИС;
  • банковские системы;
  • системы электронного документооборота;
  • базы данных клиентов;
  • корпоративные порталы;
• Информационно-телекоммуникационные сети:
  • корпоративные сети;
  • центры обработки данных;
  • узлы связи;
  • сетевое оборудование;
  • каналы передачи данных;
  • инфраструктура удалённого доступа;
  • сети филиалов.
• Автоматизированные системы управления:
  • АСУ технологическим процессом;
  • SCADA-системы;
  • диспетчерские комплексы;
  • системы управления производственными линиями;
  • системы управления инженерной инфраструктурой;
  • автоматизированные комплексы на транспорте и объектах ЖКХ.

При этом, объектом КИИ становится не любая техника и не каждая программа в организации. Важно понять, какую функцию система выполняет, с каким процессом связана и что изменится при её отказе.

Например, в больнице для анализа важна не сама по себе медицинская техника, а её роль в оказании помощи. Система, от которой зависит работа реанимации, диагностики или передача медицинских данных, может рассматриваться как объект КИИ.

Аппарат ИВЛ или МРТ оценивают не по названию, а по контексту: подключён ли он к сети, передаёт ли данные в медицинскую информационную систему (МИС), есть ли обходной порядок работы и повлияет ли отказ на лечение пациентов.

Один и тот же тип системы в разных организациях может иметь разный статус. CRM в торговой компании отвечает за продажи и коммуникации с клиентами. Но похожая по архитектуре система в организации связи, банке или транспортной компании может участвовать в процессе, который влияет на оказание обязательных услуг. Поэтому при категорировании смотрят не на название системы, а на её функцию в конкретной организации.

Что такое категория значимости и для чего она нужна

Категория значимости отражает последствия, которые могут возникнуть при нарушении работоспособности объекта КИИ. От неё напрямую зависит объём требований по ИБ.

ПП РФ от 8 февраля 2018 г. No 127 предусмотрено 3 категории:

• III категория — объекты с умеренной степенью значимости. Нарушение их работы способно вызвать негативные последствия, однако их масштаб ограничен.
• II категория — объекты высокой значимости. Инциденты на таких объектах могут привести к существенному экономическому ущербу, социальным последствиям или возникновению ЧС регионального уровня.
• I категория — наиболее значимые объекты КИИ. Сбои в их работе потенциально способны вызвать чрезвычайные ситуации федерального масштаба, привести к человеческим жертвам, крупным финансовым потерям либо оказать влияние на обороноспособность и безопасность страны.

Присвоенная категория устанавливает обязательные действия по защите. Чем выше уровень значимости объекта, тем более жёсткие требования предъявляются к организационным процессам, документации, средствам ИБ, используемому оборудованию и квалификации сотрудников.

Кроме того, категория влияет на порядок взаимодействия с государственными регуляторами. Значимые объекты КИИ подлежат включению в реестр ФСТЭК России и могут становиться предметом плановых контрольных мероприятий.

Как определить, относится ли организация к субъектам КИИ

Шаг 1. Сопоставьте деятельность компании с перечнем отраслей из 187-ФЗ

Федеральный закон № 187-ФЗ определяет перечень отраслей, организации из которых могут являться субъектами КИИ. В этот список входят учреждения здравоохранения и науки, предприятия транспорта и связи, организации энергетического сектора, банки и участники финансового рынка, компании ТЭК, атомной, оборонной и ракетно-космической отраслей, а также предприятия металлургии, химической и добывающей промышленности.

Если организация не ведёт деятельность ни в одной из перечисленных сфер, вероятность её отнесения к субъектам КИИ мала. Исключение: организации, которые разрабатывают программное обеспечение, оказывают техническое сопровождение или иные услуги предприятиям из указанных отраслей, также могут столкнуться с требованиями законодательства о КИИ в рамках исполнения обязательств перед своими заказчиками.

Шаг 2. Проверьте участие объекта в критических процессах

Даже если организация формально работает в одной из перечисленных отраслей, это ещё не означает автоматического признания субъектом КИИ. Убедитесь, что в организации есть ИС, АСУ ТП или сети, обеспечивающие выполнение критически важных функций в этой отрасли.

Например, медицинская клиника, ведущая только электронные карты пациентов, может иметь иной статус, чем крупный региональный медицинский центр с системами жизнеобеспечения и реанимационным оборудованием, управляемым через АСУ.

Практичный способ проверки — задать по каждой системе несколько вопросов. Что остановится, если она будет недоступна один час, один день, несколько суток? Есть ли ручной обходной порядок? Кто пострадает: только сотрудники организации или ещё пациенты, пассажиры, потребители услуг, контрагенты, органы власти? Ответы сразу показывают, какие системы требуют более внимательного анализа.

Шаг 3. Оцените правовую форму и связь с государственными структурами

Государственные органы и учреждения, а также организации, выполняющие государственные функции в стратегических отраслях, как правило, относятся к субъектам КИИ. Для них вопрос стоит не «являемся ли мы субъектом», а «какие объекты нужно категорировать».

Отдельно стоит проверить организации, которые работают в оборонной промышленности, участвуют в исполнении государственного оборонного заказа или входят в кооперацию по таким контрактам. Сам факт участия в закупке или торгах ещё не означает автоматического признания субъектом КИИ.

Но если для выполнения работ используются информационные системы, производственные комплексы, сети или автоматизированные системы управления, от которых зависит выполнение оборонного заказа, такие системы нужно анализировать как потенциальные объекты КИИ.

На практике важно смотреть не только на договор или закупочную процедуру, а на фактическую роль организации: что она производит, какие работы выполняет, какие данные обрабатывает, какие системы поддерживают этот процесс и что произойдёт при их отказе.

Шаг 4. Проконсультируйтесь с регулятором или экспертами

Если после самостоятельного анализа ответ остаётся неоднозначным, направьте запрос во ФСТЭК или обратиться к специализированным компаниям в сфере ИБ.

Самостоятельное и ошибочное признание себя «несубъектом» может обернуться более серьёзными проблемами, чем своевременное выяснение ситуации.

Ошибки на этапе категорирования приводят к штрафам, предписаниям и реальным рискам для бизнеса. Поэтому важно подходить к процессу системно: с анализом, документированием и при необходимости — с привлечением экспертов.

Как проводится категорирование

Категорирование — это процедура оценки объектов КИИ, которую субъект КИИ проводит самостоятельно для определения их категории значимости. Правила выполнения процедуры закреплены ПП РФ No 127.

Необходимые документы:

• перечень объектов КИИ, подлежащих категорированию;
• сведения об объектах (технические характеристики, выполняемые функции, состав обрабатываемой информации);
• акт категорирования по каждому объекту;
• сведения о результатах категорирования для направления во ФСТЭК.

Формальный пакет документов сам по себе не гарантирует качественное категорирование. Важно, чтобы перечень объектов был связан с реальными процессами, а акт содержал понятную логику оценки. Если в документах есть только названия систем и общие выводы, без сценариев отказа и обоснования последствий, такие материалы сложнее защищать при проверке.

Кто проводит: категорирование проводит сама организация — субъект КИИ. Для этого создаётся специальная комиссия из сотрудников, которые знают технологические и бизнес процессы. В комиссию рекомендуется включать технических экспертов, представителей службы ИБ и руководство.

Кто проверяет: результаты категорирования направляются во ФСТЭК России (Федеральную службу по техническому и экспортному контролю). Ведомство проверяет корректность оценки и вносит сведения о значимых объектах в реестр. Если ФСТЭК не согласна с присвоенной категорией, организация получает предписание пересмотреть результаты.

Сроки: первичное категорирование должно быть проведено с момента утверждения перечня объектов. Сведения направляются во ФСТЭК в течение 10 рабочих дней после завершения работы комиссии. Периодическое пересмотр категорий проводится не реже одного раза в 5 лет, а также при существенных изменениях в инфраструктуре объекта.

Как определить категорию значимости объекта КИИ

Определение категории значимости — это пошаговая оценка потенциального ущерба. В его основе лежат показатели критериев значимости, установленные Постановлением № 127.

Шаг 1. Определить критические процессы и составить перечень объектов КИИ

Для определения критических процессов анализируют деятельность компании и выделяют процессы, от которых зависит производство, оказание услуг, технологическое управление, финансовая устойчивость, безопасность людей или работа инфраструктуры.

Далее инвентаризируют все ИС, АСУ и сети организации. На этом этапе важно не упустить ничего: ни производственные системы, ни корпоративные платформы, если они задействованы в критических процессах.

Шаг 2. Определить управленческие и технологические процессы

Для каждого объекта необходимо описать, какие технологические или бизнес-процессы он поддерживает. Это поможет понять, что произойдёт, если система выйдет из строя или будет скомпрометирована.

Шаг 3. Оценить возможные последствия инцидентов

На этом этапе комиссия оценивает последствия по каждому из критериев значимости:

• Социальный — сколько людей пострадает, возникнет ли угроза жизни и здоровью, будет ли нарушено жизнеобеспечение населённых пунктов.
• Политический — будет ли нанесён ущерб интересам государства, международному авторитету России.
• Экономический — каков возможный прямой и косвенный финансовый ущерб для организации, отрасли, государства.
• Экологический — может ли инцидент привести к загрязнению окружающей среды.
• Оборонный — будет ли нарушена боеспособность вооружённых сил или иных структур, обеспечивающих безопасность государства.

Шаг 4. Сопоставить с пороговыми значениями

По каждому критерию существуют конкретные количественные показатели: число пострадавших людей, размер ущерба в рублях, площадь экологического загрязнения и т. д. Комиссия определяет, каким пороговым значениям соответствуют оценённые последствия — первой, второй или третьей категории.

Типичная ошибка — оценивать последствия «на глаз» и сразу выбрать категорию. Корректнее зафиксировать сценарий инцидента: какая система недоступна, сколько длится простой, какие подразделения затронуты, есть ли обходной порядок работы, как быстро восстанавливаются данные.

После этого последствия сопоставляют с критериями из Постановления № 127. Такой разбор даёт более обоснованный результат, чем формальная таблица без пояснений.

Шаг 5. Присвоить категорию

После анализа критериев комиссия по категорированию, созданная субъектом КИИ, принимает решение о присвоении объекту категории значимости.

Итоговая категория объекта определяется по наиболее высокому показателю из всех критериев. То есть, если по экономическому критерию объект тянет на 3 категорию, а по социальному — на 1-ую, ему присваивается 1-ая.

Шаг 6. Оформить документы и направить во ФСТЭК

По результатам работы комиссии оформляется акт категорирования, который подписывается всеми членами комиссии и утверждается руководителем организации. Сведения по установленной форме направляются во ФСТЭК в течение 10 рабочих дней.

Ошибки на последнем этапе могут обернуться либо занижением категории (и, как следствие, недостаточной защитой), либо завышением (и, как следствие, избыточными затратами на безопасность).

ФСТЭК проверяет полученные документы и часто возвращает их на исправление без пояснений, в чем заключается ошибка.

Отдельная проблема — слабое обоснование категории. В акте может быть указано, что объект не значимый, но без описания критического процесса, сценария отказа и расчёта последствий такой вывод выглядит спорно.

При проверке регулятору важен не только итог, но и логика: почему объект включили в перечень, почему присвоили эту категорию или почему оставили его без категории.

Перед полноценным проектом полезно провести предварительный аудит. Она не заменяет категорирование, но помогает увидеть масштаб работ: сколько систем нужно рассматривать, какие подразделения подключать к комиссии, какие документы уже есть и где потребуется дополнительная информация от технологов, ИТ-службы, юристов или руководителей процессов.

Типичные ошибки при определении объектов КИИ

На практике категорирование нередко превращается в формальную процедуру, где главная цель — сдать документы во ФСТЭК, а не разобраться в устройстве инфраструктуры.

Здесь и возникают ошибки, которые затем оборачиваются возвращёнными документами на доработку, предписаниями, повторными проверками и незапланированными затратами.

1. Ориентация только на отрасль деятельности

Распространённая ошибка — считать, что если организация работает в сфере, указанной в Федеральном законе № 187-ФЗ, то все её ИС автоматически являются объектами КИИ.

На самом деле принадлежность к отрасли — отправная точка. Необходимо определить, какие системы обеспечивают выполнение критических процессов и влияют на деятельность организации при нарушении их работы.

2. Анализ только ИТ-инфраструктуры без бизнес-процессов

Нередко специалисты начинают работу с перечня серверов, программного обеспечения и сетевого оборудования, не анализируя процессы, которые они поддерживают.

Однако объект КИИ определяется не по типу технологии, а по его роли в деятельности организации. Одна и та же система может быть критичной в одной компании и не иметь отношения к КИИ в другой.

3. Исключение вспомогательных систем из анализа

Иногда в перечень объектов включают только производственные или технологические системы, забывая о системах, которые обеспечивают их функционирование.

Например, системы хранения данных, средства диспетчеризации, коммуникационные платформы или корпоративные сети могут напрямую влиять на работу критического процесса и также подлежать рассмотрению при определении объектов КИИ.

4. Объединение нескольких объектов в один

Для упрощения работы организации иногда рассматривают комплекс систем как единый объект КИИ.

Такой подход может привести к некорректной оценке последствий и ошибочному определению категории значимости. Каждый объект необходимо анализировать отдельно с учётом его функций и возможных последствий нарушения работы.

5. Игнорирование взаимодействия между системами

Некоторые системы сами по себе не выглядят критичными, однако участвуют в цепочке передачи сведений или управления.

Если не учитывать взаимосвязи между объектами, можно ошибочно признать систему незначимой, хотя её отказ приведёт к остановке критического процесса.

6. Формальный подход к оценке последствий

Ещё одна распространённая ошибка — определение значимости объекта без анализа реальных сценариев инцидентов.

Комиссия должна оценивать не абстрактный «выход системы из строя», а конкретные последствия: кого затронет инцидент, как долго будет продолжаться простой, существуют ли резервные механизмы работы и как быстро можно восстановить функционирование объекта.

7. Отрицание наличия объектов КИИ из-за масштаба организации

Небольшие организации часто считают, что требования по КИИ их не касаются: «у нас нет крупного производства, своего дата-центра и сложной ИТ-инфраструктуры». Это ошибка. Масштаб компании не заменяет анализ деятельности, процессов и систем.

Даже небольшая клиника, лаборатория, транспортная организация или подрядчик предприятия из регулируемой отрасли может использовать информационные системы, сети или оборудование, которые нужно проверить как потенциальные объекты КИИ.

Поэтому позицию «у нас нет объектов КИИ» нужно не просто заявлять, а обосновывать: показать, какие процессы есть в организации, какие системы их поддерживают и почему они не образуют объекты КИИ либо не относятся к значимым объектам.

Когда требуется пересматривать категорию значимости

Категория значимости объекта КИИ не фиксируется «навсегда». Правила категорирования, утверждённые ПП РФ № 127, предусматривают пересмотр результатов, если меняются условия, на которых строилась первоначальная оценка. Правила категорирования, утверждённые ПП РФ № 127, предусматривают пересмотр результатов, если меняются условия, на которых строилась первоначальная оценка.

1. Плановый пересмотр

Согласно требованиям законодательства, пересмотр результатов категорирования проводится не реже одного раза в пять лет. Это позволяет учесть изменения в деятельности организации, инфраструктуре и законодательстве.

2. Изменение состава или архитектуры объекта

Пересмотр требуется при существенной модернизации объекта КИИ, например:

• внедрении новых модулей или подсистем;
• переходе на новую технологическую платформу;
• изменении архитектуры сети;
• подключении дополнительных производственных площадок или филиалов;
• интеграции с внешними ИС.

3. Изменение критических процессов

Если объект начинает обеспечивать новые функции или участвовать в дополнительных критических процессах, ранее присвоенная категория может перестать соответствовать реальному уровню значимости. Например, ИС, ранее использовавшаяся только внутри организации, может начать обеспечивать оказание государственных услуг или управление технологическим оборудованием.

4. Изменение показателей критериев значимости

Пересмотр необходим, если изменились показатели, используемые для оценки последствий:

• увеличилось количество обслуживаемых пользователей;
• выросли объёмы производства;
• расширилась зона обслуживания;
• изменился размер потенциального экономического ущерба;
• появились новые риски для жизни и здоровья людей.

В таких случаях категория значимости может как повыситься, так и снизиться.

5. Получение предписания ФСТЭК России

Если в ходе проверки ФСТЭК выявит ошибки в категорировании или сочтёт оценку последствий недостаточно обоснованной, организация может получить предписание о повторном рассмотрении результатов категорирования. После устранения замечаний комиссия должна провести повторную оценку и направить обновлённые сведения в регулятор.

6. Реорганизация компании

Пересмотр также может потребоваться при слиянии компаний, выделении новых юридических лиц, изменении структуры управления или передаче объекта другому владельцу. В таких ситуациях меняются как процессы эксплуатации объекта, так и возможные последствия нарушения его работы.

Как категория значимости влияет на защиту объекта КИИ

После категорирования организация понимает не только уровень критичности объекта, но и объём дальнейших работ по его защите. Категория показывает, насколько серьёзными могут быть последствия сбоя, атаки или утечки, а значит — какой уровень контроля нужен вокруг системы.

Для объекта без категории, как правило, достаточно зафиксировать результаты оценки и обоснование вывода. Для значимого объекта подход уже другой: нужно выстроить защиту по требованиям ФСТЭК России, назначить ответственных, описать порядок эксплуатации, ограничить доступ, наладить регистрацию событий, резервное копирование, контроль вредоносного кода и реагирование на инциденты.

Приказы ФСТЭК России № 235 и № 239 задают не абстрактный перечень мер, а практическую рамку: что должно быть организовано вокруг значимого объекта КИИ, чтобы его работа оставалась устойчивой даже при техническом сбое или попытке атаки.

Чем выше категория, тем внимательнее приходится подходить к выбору средств защиты, настройке процессов, подготовке персонала и подтверждению того, что меры применяются.

Подключение к ГосСОПКА

Значимые объекты КИИ (все три категории) обязаны быть подключены к ГосСОПКА, которую координирует ФСБ России. При инцидентах организация обязана проинформировать НКЦКИ (Национальный координационный центр по компьютерным инцидентам).

Включение в реестр значимых объектов КИИ

влечёт за собой постоянный надзор: регулятор вправе проводить плановые и внеплановые проверки соответствия принятых мер установленным требованиям.

Требования к персоналу

На объектах первой и второй категории к специалистам по ИБ предъявляются повышенные квалификационные требования. Организации нередко обязаны обеспечить обучение и переподготовку сотрудников.

Требования к оборудованию и ПО

Для значимых объектов КИИ существуют ограничения на использование зарубежного программного обеспечения и оборудования. Переход на отечественные решения — отдельная и непростая задача, особенно для предприятий с унаследованной инфраструктурой.

Ответственность

Нарушение требований к значимым объектам КИИ влечёт административную ответственность по КоАП РФ (ст. 13.12.1, ст. 19.7.15) В случае умышленных действий, повлёкших сбои в работе КИИ, наступает уголовная ответственность вплоть до лишения свободы сроком до 10 лет (статья 274.1 УК РФ).