Категорирование объектов КИИ
Категорирование объектов критической информационной инфраструктуры (ОКИИ) – комплекс мероприятий, включающий определение перечня объектов КИИ и присвоение каждому объекту КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им.
Порядок проведения мероприятий по категорированию:
-
Утверждение руководителем субъекта КИИ локального нормативного акта (приказа, распоряжения) о создании постоянно действующей комиссии по категорированию;
-
Выявление ИС[1], ИТКС[2], АСУ[3], которые соответствуют типовым объектам КИИ, включенным в перечень типовых отраслевых ОКИИ, утвержденный распоряжением Правительства РФ от 26.02.2026 N 360-р;
-
Оценка в соответствии с перечнем показателей критериев значимости, утвержденным постановлением Правительства РФ от 08.02.2018 N 127, возможных последствий от компьютерных инцидентов на объектах КИИ;
-
По результатам оценки, c учетом отраслевых особенностей категорирования, присвоение каждому объекту КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения;
-
Утверждение руководителем субъекта КИИ акта (актов) по результатам категорирования;
-
В течении 10 рабочих дней с даты утверждения акта направление в территориальное управление ФСТЭК России сведений о результатах категорирования по форме, утвержденной приказом ФСТЭК России от 22 декабря 2017 г. N 236.
Типовые трудности, с которыми сталкиваются субъекты КИИ:
-
Ошибки в документальном оформлении процедуры категорирования:
— разработаны не все необходимые документы;
— разработанные документы не соответствуют требованиям законодательства;
-
Ошибки в выявлении объектов КИИ:
— выявлены не все ИС, ИТКС, АСУ, являющиеся объектами КИИ;
— выявленные объекты не являются ИС, ИТКС, АСУ;
-
Ошибки в определении границ объекта КИИ:
— в состав объекта входят не связанные с целевым процессом элементы, из-за чего создание и поддержание системы защиты значительно выше, чем максимальный возможный ущерб;
— в состав объекта входят не все элементы, обеспечивающий целевой технологический процесс, из-за чего система защиты объекта становиться уязвима;
-
Ошибки в расчете показателей, приводящие к завышению или занижению категории, оба исхода негативно сказываются на субъекте КИИ: неэффективные затраты или неэффективная защита.
В ряде случаев после оценки возможных последствий от компьютерных инцидентов на объекте КИИ, следует оценить силы и средства необходимые для защиты объекта в соответствии с требованиями.
Если создание системы ЗИ и ее поддержание не реализуемо для субъекта КИИ, стоит рассмотреть модернизацию объекта с целью сокращения поверхности атак и отделения критического процесса от других процессов организации: сегментирование сети, изменение процесса и технологии обработки информации.
Компания «ИРС» помогает Компаниям эффективно решать задачи по категорированию объектов КИИ. Мы помогаем Компаниям принимать решения, которые позволяют долгосрочно поддерживать высокий уровень защищенности объектов КИИ с оптимальными затратами сил и средств.
Нормативная база:
-
Отраслевые особенности категорирования:
-
сфера атомной энергии –постановление Правительства РФ от 16.01.2026 N 4;
-
банковская сфера и иные сферы финансового рынка – постановление Правительства РФ от 06.02.2026 N 92;
-
сфера науки – постановление Правительства РФ от 07.03.2026 N 246;
-
сфера государственной регистрации прав на недвижимое имущество и сделок с ним – постановление Правительства РФ от 23.03.2026 N 303;
-
сфера здравоохранения – проект постановления;
-
сфера транспорта – проект постановления;
-
сфера связи – проект постановления;
-
cфера энергетики и ТЭК – проект постановления;
-
сфера ракетно-космической промышленности – проект постановления;
-
сфера оборонной промышленности – проект постановления;
-
сфера металлургической промышленности – проект постановления;
-
cфера горнодобывающей (в части руд, камней) промышленности – проект постановления;
-
сфера химической промышленности – проект постановления.