8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Критическая информационная инфраструктура » Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

Узнать больше

Мы предлагаем:

  • Предпроектное обследование с целью сбора данных об объектах КИИ, подлежащих категорированию;
  • Определение критических процессов и для каждого критического процесса ИС, АСУ ИТКС, обеспечивающие его функционирование;
  • Разработку всей необходимой документации, в том числе и сопроводительного письма для отправки во ФСТЭК;
  • Проведение оценки масштаба возможных последствий, в случаях инцидентов;
  • Составление проектов Актов категорирования;
  • Проектирование с учетом требований Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»

Почему мы:

  • Нашими клиентами являются крупные промышленные предприятия, являющиеся субъектами КИИ.
    У нас есть лицензия ФСТЭК на ТЗКИ.
  • Наши специалисты имеют огромный опыт в категорировании объектов КИИ различных масштабов.

Важно:

Сроков проведения работ по категорированию КИИ нормативными актами не установлено. Однако регулятор практикует применение понятия «разумный срок» и применяет его к тем организациям, которые не провели категорирование.

Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ - услуги RTM Group
Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ - от RTM Group
Узнать стоимость?
Перейти

Эксперты по категорированию объектов КИИ

Эксперт по категорированию объектов КИИ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по категорированию объектов КИИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по категорированию объектов КИИ Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты

Для чего необходима экспертиза проведенных работ по КИИ?

Заключение может использоваться:

  • На этапе приемки результата выполненных подрядчиком работ;
  • В качестве обоснования корректности проведенных подрядчиком работ;
  • В качестве подтверждения корректности выполненных работ для регулятора;
  • При принятии решения об отправке сведений во ФСТЭК России.

 

Этапы по категорированию объектов критической информационной инфраструктуры

Согласно внутреннему подходу RTM Group, работы по категорированию объектов критической информационной инфраструктуры (далее — КИИ/критическая информационная инфраструктура) включают в себя 8 этапов, а также этап итоговой независимой экспертизы по КИИ.

Последовательность выполнения этапов:

План работ по категорированию КИИ

Описание этапов работ:

 

Этап 1. Создание комиссии по категорированию объектов КИИ

На данном этапе готовится Приказ о создании комиссии по категорированию КИИ.

В состав комиссии необходимо включить:

  • генерального директора или уполномоченное им лицо;
  • специалистов производства;
  • специалистов промышленной безопасности;
  • специалистов отдела АСУ ТП;
  • специалистов отдела информационных технологий;
  • ответственных за обеспечения безопасности в АСУ ТП;
  • работников подразделения по защите государственной тайны;
  • специалистов по промышленной безопасности, по гражданской обороне и защите от чрезвычайных ситуаций.

В состав комиссии могут включаться представители отраслевого регулятора.

Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ

Пример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИПример приказа О создании комиссии (наименование организации, учреждения) по категорированию объектов КИИ 2

Скачать Приказ о создании комиссии (наименование организации, учреждения)

по категорированию объектов КИИ в формате MS Word.

 

Основание проведения работ: ПП РФ №127, п. 11-13.

 


ПОЛУЧИТЕ ДОКУМЕНТЫ ПО КАТЕГОРИРОВАНИЮ КИИ НА MEDOED БЕСПЛАТНО
ПЕРЕЙТИ

Этап 2. Составление перечня объектов КИИ

На данном этапе необходимо разработать:

  • Протокол заседания комиссии;
  • Перечень объектов КИИ (приложение к протоколу).

Для разработки документов необходимо осуществить:

  1. а) определение процессов, в рамках осуществления видов деятельности субъекта КИИ;
  2. б) выявление процессов, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее — критические процессы);
  3. в) определение ИС (объектов КИИ), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
  4. г) формирование перечня объектов КИИ, подлежащих категорированию (далее — перечень объектов)
    Основание проведения работ: ПП РФ №127, п. 14.

ФСТЭК России опубликовала информационное сообщение от 24 августа 2018 г. N 240/25/3752, в котором содержится рекомендуемая форма перечня объектов КИИ, подлежащих категорированию.

Перечень объектов КИИ оформляется в виде таблицы следующего содержания:

Таблица перечня объектов КИИ

Перечень утверждается руководителем субъекта КИИ или уполномоченным лицом. Обязательно указывается дата утверждения перечня.

    Нужна консультация?
    Задать вопрос

    Этап 3. Согласование перечня объектов КИИ

    На данном этапе Перечень объектов КИИ согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.).

    Результатом данного этапа является: Согласованный Перечень объектов КИИ.
    Основание проведения работ: ПП РФ №127, п. 15.

     

    Этап 4. Отправка перечня объектов во ФСТЭК

    На данном этапе готовится уведомление во ФСТЭК.

    Основание проведения работ: ПП РФ №127, п. 15.

     

    Этап 5. Сбор исходных данных для категорирования объектов КИИ

    На данном этапе проводится обследование потенциальных объектов КИИ и готовится Отчет об обследовании.

    Полученные данные являются исходными данными, для категорирования объектов КИИ. Отчет об обследовании включает в себя:

    1. а) сведения об объекте КИИ (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
    2. б) описание процессов, автоматизируемых с помощью объекта КИИ;
    3. в) состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
    4. г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
    5. д) сведения о взаимодействии объекта КИИ с другими объектами КИИ и (или) о зависимости функционирования объекта КИИ от других таких объектов.
      Основание проведения работ: ПП РФ №127, п.16.

     

     

    Этап 6. Анализ угроз безопасности

    В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru).

    Анализ угроз включает:

    1. а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
    2. б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
    3. в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
    4. г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

    В качестве результата работ по этапу разрабатывается Модель угроз безопасности.
    Основание проведения работ: Приказ ФСТЭК № 239, п. 11.1.

     

    Этап 7. Категорирование объектов КИИ

    Решение комиссии по категорированию оформляется актом, который подписывается членами комиссии по категорированию и утверждается генеральным директором. Акт составляется по утвержденной ФСТЭК форме направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категории.
    Результатом работ по данному этапу является:

    • Акты категорирования объектов КИИ.

    Основание проведения работ: ПП РФ №127, п.16.

     

    Этап 8. Отправка сведений о категорировании во ФСТЭК

    Сведения о результатах присвоения объекту категории КИИ либо об отсутствии необходимости присвоения ему одной из таких категорий направляются во ФСТЭК России по утвержденной ФСТЭК России форме.
    Основание проведения работ: Федеральный закон №187-ФЗ, ст. 7, п. 5; ПП РФ № 127, п. 17-18.
    После проверки сведений о результатах присвоения категорий значимости, ФСТЭК России уведомляет субъекта КИИ о внесении его объектов в Реестр КИИ.

    Работы, после получения уведомления о внесении объектов в Реестр КИИ, включают в себя следующие этапы:

    1. Формирование требований к обеспечению безопасности значимого объекта;
    2. Уточнение модели угроз безопасности информации;
    3. Разработка рекомендаций по нейтрализации отдельных угроз;
    4. Проектирование СОИБ АСУ ТП;
    5. Разработка рабочей (эксплуатационной) документации;
    6. Установка и настройка СЗИ;
    7. Разработка организационно-распорядительных документов по обеспечению безопасности АСУ ТП;
    8. Предварительные испытания СОИБ АСУ ТП;
    9. Методическая помощь в опытной эксплуатации СОИБ АСУ ТП;
    10. Анализ уязвимостей и принятие мер по их устранению;
    11. Методическая помощь в приемочных испытаниях СОИБ АСУ ТП;
    12. Пересмотр установленной категории значимости АСУ ТП.

    Перечисленные выше работы включены в отдельную услугу

      Нужна консультация?
      Задать вопрос

      Итоговый этап. Независимая экспертиза работ по КИИ

      Итоговым этапом проведенных работ по защите критической информационной инфраструктуры является проведение независимой экспертизы. Экспертиза проводится в соответствии с требованиями 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».

      Цели и задачи экспертизы:

      • Установление факта, что работы произведены в соответствии с действующим законодательством, подзаконными актами и требованиями регуляторов;
      • Выявление ошибок при проведении работ, либо установление, что ошибок не было;
      • Установление технической реализуемости проекта;
      • Подтверждение факта корректного подбора и внедрения технических средств и организационных мер;
      • Подтверждение функционирования СОИБ АСУ ТП.

      В группу экспертиза по КИИ входят:

      • Экспертиза проектной документации по защите КИИ;
      • Экспертиза качества проведенных работ по защите КИИ;
      • Экспертиза соответствия результата выполненных работ требованиям договора и технического задания.

      Ключевыми критериями для экспертизы являются следующие нормативно-правовые акты:

      В зависимости от целей и задач,  а также поставленных вопросов, критерии могут быть иными.

      В ходе проведения экспертизы готовится мотивированное экспертное заключение с ответами на вопросы, поставленные перед экспертами. Вопросы определяются в зависимости от целей и задач конкретной экспертизы.

       

      Ответственность по тематике КИИ

      Федеральным законом от 26.05.2021 N 141-ФЗ внесены изменения в КоАП РФ, касающиеся правонарушений в деятельности субъектов КИИ.

      Презентация Евгения Царева на тему:
      Перспективы привлечения к ответственности по тематике КИИ (12.12.2019)

      RTM Group - Ответственность по КИИ

       

      Почему RTM Group?

      • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
      • Проведение работ по категорированию и защите объектов КИИ проводятся экспертами обладающими большим опытом построения комплексных систем обеспечения информационной безопасности по требованиям ФСТЭК России
      • Сроки проведения оценки соответствия от 1 до 3 месяцев (в зависимости от сложности объекта)
      • Мы обладаем лицензиями ФСТЭК России и ФСБ России:
        • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
        • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
        • Лицензия ФСБ России на работу со средствами криптозащиты

      Лицензии RTM Group

      Заказать работы по КИИ

      Для уточнения стоимости и сроков звоните или пишите нам:

      Тел: 8 800 201-20-70 (Звонок по России бесплатный)
      email: info@rtmtech.ru




      Оглавление:

      Этапы по категорированию Этап 1. Создание комиссии по категорированию объектов КИИ Этап 2. Составление перечня объектов КИИ Этап 3. Согласование перечня объектов КИИ Этап 4. Отправка перечня объектов во ФСТЭК Этап 5. Сбор исходных данных для категорирования объектов КИИ Этап 6. Анализ угроз безопасности Этап 7. Категорирование объектов КИИ Этап 8. Отправка сведений о категорировании во ФСТЭК10  Итоговый этап. Независимая экспертиза работ по КИИ11  Почему RTM Group?12  Заказать работы по КИИ и/или экспертизу проведенных по КИИ работ


      Видео по категорированию объектов КИИ

      Почему RTM Group

      RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

      В списке SWIFT Directory of CSP assessment providers

      В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      Сайт RTM Group входит в тройку лучших юридических сайтов России

      В составе ТК №122

      Цены на услуги по категорированию объектов КИИ

      Обратите внимание!
      Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наименование услуги Стоимость

      Помощь MEDOED

      Автоматизированная система для обеспечения соответствия законодательству РФ. Пройти все этапы категорирования и получить документы для отправки отраслевому регулятору и ФСТЭК.

      Бесплатно

      Регистрация

      Консультация

      Бесплатно

      Категорирование объектов КИИ

      от 100 000 руб.

      Экспертиза проведенных работ по КИИ

      Объекты экспертизы уточняются отдельно.
      При запросе просим указать на наличие значимых объектов. Работы могут проводиться на месте или удаленно (только при исследовании документов).

      от 90 000 руб.

      Экспресс-категорирование объектов КИИ

      от 90 000 руб.

      Проектирование системы безопасности объекта КИИ

      С учетом изменений, связанных с Указом Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»

      по запросу

      Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наши преимущества

      3 лицензии

      ФСТЭК России и ФСБ России

      100% удовлетворенность заказчиков

      Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

      2800+ аудитов и экспертиз

      Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

      Наши отзывы по категорированию объектов КИИ

      Благодарность от ПАО "ТРАНСКАПИТАЛБАНК"
      26.08.2019
      Специалисты ООО «РТМ ТЕХНОЛОГИИ» оказали комплекс услуг по проведению аудита безопасности объектов критической информационной инфраструктуры, а также провели нормативное исследование (экспертизу) функционирования системы ДБО. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Надеемся на сохранение сложившихся позитивных деловых отношений для реализации совместных проектов по информационной безопасности в будущем. С уважением, Начальник департамента информационной безопасности Курило П.А.
      Благодарность RTM Group от ТК «МАРК-ИТТ»
      12.11.2021
      ООО ТК "МАРК-ИТТ" выражает благодарность за оказанную помощь в проведении категорирования объектов критической информационной инфраструктуры. По результатам работ эксперты RTM Group предоставили заключение, которое помогло закрыть все вопросы от регулятора – ФСТЭК. Хотим выразить благодарность сотрудникам компании, в частности: Анне Жиляковой (за консультации по заполнению шаблонных форм), Фёдору Мартынову (за контроль сроков и координацию всего процесса), Фёдору Музалевскому (за экспертные консультации). А также – благодарность всей команде RTM Group за оказанную услугу, высокое качество работы, оперативность и своевременную помощь по запросам. Успешная реализация проекта была бы невозможна без вашего участия. Желаем всему коллективу RTM Group здоровья, интересных замыслов, их благополучных воплощений и хороших клиентов. Благодарим сотрудников за профессиональный подход и рекомендуем компанию как надёжного партнёра! Директор ООО «ТК «Марк-ИТТ» А.А. Кошкин
      Благодарность от АО "Русская Медиагруппа"
      01.06.2022
      За профессиональную помощь в подготовке документации для дальнейшего категорирования объектов КИИ АО «Русская Медиагруппа» выражает признательность ООО «РТМ ТЕХНОЛОГИИ». Компанию, которая является для нас надежным отзывчивым и гибким партнером. Поставщик услуг на всех уровнях, всегда оперативно реагирует на наши запросы, предоставляя точные ответы в кратчайшие сроки. Также, спасибо Жиляковой Анне, за активное участие, консультирование, отзывчивость и профессионализм. Высокую квалификацию, коммуникабельность и компетентность сотрудников RTM Group хочется отметить отдельно. А также внимательность и проявление эмпатии к своим клиентам. Желаем компании интересных и амбициозных проектов и планируем и дальше продолжить наше сотрудничество в области обеспечения информационной безопасности. Успехов!   Директор ИТ департамента АО "Русская Медиагруппа" Лукьяненко Р.В.  
      Благодарность от Страховой компании "АСКОР"
      13.03.2023
      Благодарственное письмо ООО Страховая компания "АСКОР" выражает благодарность Вам и Вашим сотрудникам за качественное оказание консультационных услуг. С полной уверенностью можно сказать, что в ООО "РТМ ТЕХНОЛОГИИ" работают высококвалифицированные сотрудники, основным приоритетом которых является соблюдение интересов клиентов.   Генеральный директор А.А. Ефремов
      Отзыв от Николая З.
      11.10.2023
      Заказывали работы под ключ по КИИ. Ничего не понимали, пробовали разобраться сами но там сложно, кто пробовал поймëт. Ребята компетентные и очень отзывчивые, всë доходчиво обьяснили и разложили по полочкам. Были доступны в любое время и помогли решить все вопросы с ФСТЭК, очень благодарен, спасибо)
      Отзыв от Владимира Ч.
      28.01.2025
      Используем бесплатную версию Медоеда для КИИ и персданных. Удобная платформа, есть разные подсказки. В техподдержку не писали. Спасибо спецам за такой софт. Знающие в курсе, что аналогов по факту никаких.
      Отзыв от ​Марии К.
      18.04.2025
      Я наткнулась на вебинар по КИИ, искала, где можно сделать документы, цены в компаниях огромные на это, но через ролик узнала про медоед (это такой сайт), перешла по ссылке в описании. Сначала думала, что не смогу разобраться, в итоге нашла видеоинструкции и в целом, если посмотреть их, то все становится прям очень понятно, еще писала в телеграме, задавала вопросы. В итоге за два часа сделала себе комплект документов по КИИ, решила написать отзыв, потому что очень благодарна за то, что это бесплатно. Для маленького бизнеса спасение.
      Отзыв от Павла Ж.
      18.08.2025
      Участвовали в конкурсе с государственным заказчиком по поставке, понадобилось доказать, что у нас есть защита КИИ. Без бумажки как известно... Отдельная история, как подтверждать, ФСТЭК заключений не дает. В ходе проекта подсказали, что и как оформить, сделали модель угроз, помогли с категорированием, доки вплоть до Реестра!! Всё приняли без правок. Уже порекомендовал знакомым.

      Наши кейсы

      Соблюдение правил категорирования для объектов КИИ

      Заказчик остался недоволен замечаниями ФСТЭК касательно статуса объектов КИИ, находящихся в его владении. Эксперты RTM Group рассмотрели ситуацию.

      Услуги для вас

      Услуга Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

      Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

      — Для чего необходимы работы по обеспечению безопасности
      — Результат работ
      — Основные этапы выполнения работ
      — Описание этапов работ
      — Начало работ и взаимодействие
      Услуга Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры)

      Экспресс-категорирование объектов КИИ (критической информационной инфраструктуры)

      - Для каких предприятий подойдет экспресс-категорирование объектов КИИ?
      - В чем отличие от стандартной услуги по категорированию?
      - Этапы работы
      - Ограничения и преимущества

      Продукты и решения для вас

      Anti-DDoS и WAF

      Anti-DDoS и WAF

      Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.

      Security Awareness

      Security Awareness

      Security Awareness — это категория продуктов и решений, направленных на формирование киберграмотности и повышение осведомленности сотрудников о потенциальных угрозах. Человеческий фактор остаётся одним из ключевых векторов атак, поскольку ошибки, невнимательность или недостаток знаний могут привести к утечке данных, успешным фишинговым атакам и другим инцидентам.

      Менеджер паролей

      Менеджер паролей

      Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.

      Многофакторная аутентификация

      Многофакторная аутентификация

      Пароли уже не обеспечивают достаточного уровня безопасности, поскольку их можно украсть, подобрать или перехватить. Именно поэтому многие компании и сервисы внедряют многофакторную аутентификацию (MFA), позволяющую значительно усложнить несанкционированный доступ к учётным записям.

      МФУ и печатная техника

      МФУ и печатная техника

      МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.

      Офисный пакет

      Офисный пакет

      Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.

      ПК (АРМ)

      ПК (АРМ)

      ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.

      Сервер

      Сервер

      Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.

      Система инвентаризации

      Система инвентаризации

      Система инвентаризации — это средство учёта и контроля ИТ-активов и средств защиты: какие устройства, ПО, учетные записи, сервисы и компоненты инфраструктуры существуют, где они находятся, кому принадлежат и в каком они состоянии. Она дает помогает управлять обновлениями, контролировать соответствие требованиям.

      Системы защиты информации

      Системы защиты информации

      Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.

      СХД

      СХД

      Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.

      Удаленный доступ и управление конфигурациями устройств

      Удаленный доступ и управление конфигурациями устройств

      UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.

      DLP

      DLP

      DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.

      SIEM

      SIEM

      SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

      Межсетевые экраны

      Межсетевые экраны

      Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.

      Управление уязвимостями

      Управление уязвимостями

      Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

      Антивирусы

      Антивирусы

      Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.

      Цифровая криминалистика

      Цифровая криминалистика

      Операционные системы

      Операционные системы

      Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

      Информационная безопасность

      Информационная безопасность

      Нам доверяют

      Полезные статьи

      Статья Критическая информационная инфраструктура 2026 год

      Критическая информационная инфраструктура 2026 год

      - Что такое критическая информационная инфраструктура?
      - О чем говорит 187-ФЗ «О безопасности критической информационной инфраструктуры»?
      - Что такое ГосСОПКА?
      - Что такое НКЦКИ?
      - Какие работы необходимо провести для обеспечения безопасности КИИ?
      - Какие нормативные документы по КИИ есть в настоящий момент?
      Статья Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

      Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

      — Что является «объектом КИИ», а что «субъектом»?
      — Какие объекты КИИ подлежат категорированию?
      — Пошаговый рабочий алгоритм категорирования объектов
      — Какая информация понадобится для подачи во ФСТЭК?
      — Как определиться по срокам?
      — Практические примеры по конкретным отраслям и организациям
      Статья Аттестация ГИС, АИС, помещений и АРМ на соответствие требованиям безопасности информации

      Аттестация ГИС, АИС, помещений и АРМ на соответствие требованиям безопасности информации

      Рассказываем про особенности аттестации ГИС, АИС, АРМ и помещений. В статье также приведены ссылки на все актуальные НПА.
      Статья На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

      На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

      В данной статье рассмотрен новый порядок такого перехода и описаны потенциальные сложности, с которыми могут столкнуться как государственные учреждения, так и коммерческие компании.
      Статья Моделирование угроз на предприятии

      Моделирование угроз на предприятии

      Особенности процессов моделирования угроз и расчета рисков, их взаимосвязи и рекомендации к их составлению для тех, на кого распространяются требования к моделированию угроз (операторы ПДн, субъекты КИИ и т.д.) и оценка рисков (кредитные и некредитные финансовые организации).
      Статья Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

      Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

      ФСТЭК России предоставила предварительные проекты национальных стандартов, касающихся обеспечения безопасности КИИ.
      Статья Методы и проектирование значимых объектов КИИ

      Методы и проектирование значимых объектов КИИ

      Все субъекты критической информационной инфраструктуры проводят категорирование своих объектов по постановлению правительства №127. Некоторые организации в процессе определения показателей значимости для объектов могут выявить, что для одного из них превышается пороговое значение для 3 или выше категории, отчего он становится значимым.

      Статья Что такое SGRC (Security Governance, Risk Management, Compliance)?

      Что такое SGRC (Security Governance, Risk Management, Compliance)?

      SGRC-системы помогают автоматизировать информационную безопасность, управление рисками и выполнение законодательных требований, обеспечивая комплексный подход и оптимизацию процессов.
      Статья LMS — системы управления обучением

      LMS — системы управления обучением

      LMS (Learning Management System) — это программная платформа, которая помогает организовывать, проводить и контролировать обучение сотрудников или студентов.
      Статья IRP и SOAR – что могут и чем отличаются?

      IRP и SOAR – что могут и чем отличаются?

      Системы для управления инцидентами и автоматизации работы с ними применяются не только SOC-ами крупных компаний, но и все большую нишу занимают для среднего и малого бизнеса – ведь число инцидентов растет существенно быстрее, чем количество специалистов по работе с ними.
      Статья Новые правила для КИИ с 1 сентября: что именно становится обязательным

      Новые правила для КИИ с 1 сентября: что именно становится обязательным

      С 1 сентября 2025 года в российском регулировании критической информационной инфраструктуры (КИИ) наступает важный этап — в силу вступают ключевые поправки в федеральном законодательстве, которые напрямую меняют правовой статус и обязанности субъектов КИИ.

      FAQ: Часто задаваемые вопросы

      Относится ли школа доп. образования к объектам КИИ?

      Согласно Федеральному закону № 187 объектами КИИ являются:
      — ИС (информационная система)
      — АСУ ТП (автоматизированная система управления технологическим процессом)
      — ИТКС (информационно-телекоммуникационная сеть).
      Т.е. школа дополнительного образования не является объектом КИИ, но может являться субъектом КИИ.
      Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:
      — здравоохранение
      — наука
      — транспорт
      — связь
      — энергетика
      — банковская сфера и иных сферах финансового рынка
      — топливно-энергетический комплекс
      — атомная сфера
      — сфера обороны
      — ракетно-космическая
      — горнодобывающая промышленность
      — металлургическая промышленность
      — химическая промышленность.
      Т.е. школа дополнительного образования не будет являться объектом КИИ и не имеет отношения к субъектам КИИ, т.к. осуществляет свою деятельность в сфере образования.

      Добрый день! Подскажите, относятся ли речные Порты к субъектам КИИ??

      Добрый день.

      Да, речные порты являются субъектами КИИ — как относящиеся к транспортной отрасли.

      Здравствуйте, объясните, если организация еще не прошла процедуру категорирования или это новая организация которой нужно пройти эту процедуру до какого числа, года нужно все это сделать? Во всех источниках указывают дату «до 01.09.2019», но если например организация только начала свою деятельность в 2020 году, как быть?

      Добрый день.

      Срок до 01.09.2019 установлен для госорганизаций, являющихся субъектами КИИ, как обязательный. Для прочих субъектов КИИ — как рекомендательный.

      Для госорганизаций, начавших свою деятельность после данной даты, либо коммерческих (частных) организаций, требований по срокам нет.

      Согласно комментариям ФСТЭК России — «в разумные сроки». На практике — до одного года с момента получения статуса субъекта КИИ.

      Доброго дня!
      Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
      Спасибо!

      Добрый день.

      Согласно п.8 ст.2 187-ФЗ:
      субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

      Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

      В случае категорирования КИИ в банке, расположенном в Самаре, куда следует направлять на согласование предварительный перечень объектов под категорирование?

      Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59. На 16.04.2020 экспедиция работает в штатном режиме, не смотря на пандемию.
      Регионаьных отделений ФСТЭК для направления подобной информации не предусмотрено.
      Также в соответствии с письмом Банка России №56-ОЭ/22253 от 15.08.2018 необходимости направлять перечень объектов КИИ в ЦБ нет.

      ООО оказывает услуги связи (телефония) и Интернет. Будет ли является субъектом КИИ?

      Добрый день.

      Да, все операторы связи являются субъектами КИИ.

      Подскажите, пожалуйста: что необходимо иметь к прокурорской проверке по вопросу о безопасности КИИ?

      Проверка по КИИ может различаться по наличию значимых объектов.

      При их отсутствии необходимо иметь только результаты категорирования и документы, подтверждающие их отправку во ФСТЭК и регулятору (для провайдера связи это Минкомсвязи)

      При наличии значимых объектов необходимо иметь подтверждение исполнения многочисленных требований по обеспечению их безопасности.

      При составлении перечня объекта КИИ, кто является ответственным за ИС?

      Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.

      Что может являться примером модернизации объектов информационной инфраструктуры?

      Примером модернизации объектов информационной инфраструктуры является, например, переход с одной АБС на другую, внедрение в банковскую систему, например, антифрода, или же внедрение СВТ, участвующего в процессе перевода денежных средств.

      Что такое объект информационной инфраструктуры?

      Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, которое используется для осуществления переводов денежных средств.

      Добрый день! Надо ли подавать информацию во ФСТЭК при измененном / модернизированном объекте КИИ? В объекте КИИ добавлены новые информационные системы и была доработка старых информационных систем. В нормативных документах такой информации не нашел.

      Добрый день.
      Случаями подачи информации во ФСТЭК являются:
      — плановый пересмотр объектов КИИ, не реже чем один раз в 5 лет
      — при изменениях состава объектов КИИ
      — изменение показателей критериев значимости объектов КИИ или их значений.
      В данных случаях проводится повторное категорирование (п. 21 приложения к Постановлению правительства РФ от 8 февраля 2018 г. N 127) и сведения направляются во ФСТЭК, а также в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
      Также, исходя из Приказа № 75 от 28.05.2020 г., во ФСТЭК направляется информация при подключении значимого объекта КИИ к сети общего пользования.
      Следовательно, в Вашем случае при измененном / модернизированном объекте КИИ проводится повторное категорирование объектов и ,если объекты значимы и подключены к  сети общего пользования, необходимо провести процедуру согласования со ФСТЭК.

      Подскажите, к объектам КИИ относятся станки с числовым программным управлением (ЧПУ)?

      Если не относятся, то нужно ли все равно проводить процедуру категорирования, даже если нет объектов КИИ.

      Предприятие работает в области машиностроения, выполняет гособоронзаказ (ГОЗ).

      Исходя из рекомендаций ФСТЭК, станки ЧПУ рекомендовано относить к объектам КИИ типа АСУ в следующих случаях:

      1. Выход из строя устройства несет последствия по показателям значимости (учитывая выполнение гособоронзаказа – это затрагивает показатель по обеспечению обороны страны, безопасности государства и правопорядка и экономический показатель);
      2. Наличие компьютерного (сетевого) порта управления устройством;
      3. Нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства;
      4. Если станок с ЧПУ является частью АСУ ТП (не Ваш случай).

      Здравствуйте! Скажите, пожалуйста, медицинскому колледжу необходимо проходить процедуру КИИ?

      Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:

      • здравоохранение;
      • наука;
      • транспорт;
      • связь;
      • энергетика;
      • банковская сфера и иных сферах финансового рынка;
      • топливно-энергетический комплекс;
      • атомная сфера;
      • сфера обороны;
      • ракетно-космическая;
      • горнодобывающая промышленность;
      • металлургическая промышленность;
      • химическая промышленность.

      Т.е. образовательные учреждения (д/с, школы, колледжи и т.д.) не будут являться субъектом КИИ и не имеют отношения к КИИ, т.к. осуществляет свою деятельность в сфере образования.

      Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

        1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
        2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
        3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
        4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
          • Создать систему безопасности для значимых объектов КИИ
          • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
            прав и нарушителя)
          • Осуществить подключение к ГосСОПКа
          • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

      Прошу Вас направить содержание документа «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» (или АКТ внутреннего аудита безопасности).

      Этот акт для ЗО КИИ должен делаться ежегодно. Больше всего интересует оформление и мероприятия, указанные в данном акте. Ни где не могу найти информацию о составе данного акта.

      «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» содержит следующее:

      1) Проверка состава ЗО КИИ (что-то добавилось, что-то выведено из эксплуатации)
      2) Проверка выполнения требований по защите по пунктам:
      — подтверждение актуальности МУ
      — подтверждение выполнения технических требований
      — подтверждение организационных требований (в том числе планов)
      — проверка обучения
      3) Контроль обработки инцидентов
      4) Подтверждение состава комиссии по категорированию и ответственных сотрудников за защиту и реагирование на инциденты.

      В общем, это всё. Второй пункт можно детализировать до требований 239 приказа.

      Подскажите, следует ли категорировать Систему обработки вызовов экстренных оперативных служб (Систему-112)? Если следует, к какому пункту перечня её отнести?

      Всё зависит от архитектуры системы. Если в составе системы имеется полноценная АТС, есть основания отнести её к объекту категории ИС (п. 3 типового перечня).

      У нас незначимый объект КИИ, ФСТЭК признал это письмом. Если в составе этого незначимого объекта изменился адрес (добавилось рабочее место) — необходимо ли уведомлять ФСТЭК?

      Да, уведомить ФСТЭК в данном случае необходимо — в соответствии с п. 19-1 Постановления Правительства РФ № 127.

      Если объект ЗОКИИ законсервирован, а АРМы демонтированы — какие сведения о ЗОКИИ необходимо предоставлять: по проекту или фактически?

      Категорирование проводится и сведения подаются только в отношении эксплуатируемых объектов. Если объект ЗОКИИ выведен из эксплуатации, рекомендуем зафиксировать этот факт актом и при подаче новых сведений приложить данный акт в качестве обоснования исключения объекта из перечня.

      Если ранее категорирование не проводилось — какие сроки установлены? Год на проведение категорирования из ПП № 127 убрали. Также непонятна ситуация с 20-дневным сроком уведомления об изменениях в реестре, ведь фактически объект в реестре ещё отсутствует.

      Если категорирование до сих пор не проводилось, субъект фактически нарушает требования законодательства. Рекомендуем приступить к проведению работ в кратчайшие сроки.

      Подскажите, пожалуйста, как правильно ориентироваться в ОКВЭДах при отнесении к КИИ? Ситуации:
      1) Написан код 63 — распространяется ли он на все подкоды? Если у организации ОКВЭД 63.11, попадает ли она под действие?
      2) Написан код 84.11, а у ОИВ код 84.1 — подпадает ли он, поскольку 84.1 включает деятельность по 84.11?

      Под действие попадают все ОКВЭДы групп 63 и 84, однако необходимо учитывать сферу деятельности, в которую они входят. В столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» уточняется, в рамках каких процессов и систем рассматривается данный ОКВЭД. Одним из дополнительных определяющих факторов в этом направлении является наличие лицензии Минцифры.

      Дайте, пожалуйста, рекомендацию по ситуации, вызывающей у нас путаницу (с точки зрения оператора ЦОД).

      Для типовой ИС и ЦОДа, предоставившего ей мощности, указаны коды 63.11 и 63.11.1. Если ИС не принадлежит оператору ЦОДа, а принадлежит только ЦОД — применяется код 63.11 («Деятельность по обработке данных, предоставление услуг по размещению информации»), и ЦОД является объектом КИИ. Это понятно.

      Но если и ИС, и ЦОД принадлежат одному оператору — для ИС работает код 63.11.1 («Деятельность по созданию и использованию баз данных»), и ИС является КИИ. Будет ли в таком случае ЦОД также являться объектом КИИ? Можно ли считать, что код 63.11 не применяется, поскольку оператор никому не «предоставляет услуг», а размещает свою ИС на собственных мощностях?

      Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая ЦОД), являются критическими.

      Формально в столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» указаны функции, которые может исполнять типовой объект. Многие формулировки свидетельствуют о том, что ЦОД такие функции исполняет и является объектом, поскольку его мощности и оборудование составляют части облачных ИС субъектов КИИ.

      Таким образом, есть основания признавать любой ЦОД субъектом КИИ, а его системы — объектами, с уточнением: «ИС, АСУ, ИТКС, размещённые в ЦОД и обеспечивающие предоставление информационных, вычислительных и телекоммуникационных ресурсов для функционирования ЗОКИИ». То есть если в ЦОД размещается ЗОКИИ — ЦОД является объектом КИИ. Практика по данному вопросу пока формируется.

      Чья ответственность за размещение ИС в ЦОДе, который также может быть признан объектом КИИ (например, в сфере медицины)? Оператор ЦОДа должен самостоятельно провести категорирование, или его об этом должен уведомить владелец размещённой ИС?

      Каждый субъект несёт ответственность за категорирование и обеспечение безопасности собственных систем. Если, например, больница разместила свою МИС-ЗОКИИ в вашем ЦОДе, но не уведомила вас об этом, ответственность лежит на больнице.
      Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая ЦОД), являются критическими.

      Добрый день! Отменяются ли отраслевые перечни министерств с изданием Распоряжения № 360-р?

      Да, отраслевые перечни министерств отменяются.

      Являются ли технологические компоненты (контроллер домена, DNS, прокси-сервер, файловые серверы и т. д.) информационными системами и подлежат ли они категорированию?

      Данное программное обеспечение является частью ИС (общесистемным или прикладным ПО, ПО для обеспечения функционирования). Если ИС, в состав которой они входят, обладает признаками объекта КИИ, то и эти компоненты, как её составные части, также будут являться частью данного объекта.

      Если у организации несколько ОКВЭДов, нужно ориентироваться только на основной вид деятельности или учитывать также дополнительные?

      При отнесении к субъектам КИИ учитываются все виды деятельности организации, в том числе дополнительные ОКВЭДы.

      После ноябрьского изменения ПП № 127 при заполнении формы направления сведений во ФСТЭК мы использовали данные по бюджету РФ и прочие показатели за 2024 год, поскольку категорирование проводилось в 2025 году. Теперь, при следующем представлении сведений, необходимо использовать данные уже за 2025 год?

      Формально — да. На практике при ближайшем пересмотре объектов рекомендуем использовать актуальные данные. Такой пересмотр рекомендуем проводить не реже одного раза в год.

      Если субъект КИИ работает в области оборонной промышленности и является головным исполнителем по ГОЗ — будет ли ИС, предназначенная для ведения бухгалтерского учёта, являться значимым объектом КИИ по критерию 13(1), если она непосредственно не участвует в выполнении ГОЗ?

      Системы бухгалтерского учёта (например, 1С) на практике редко признаются объектами КИИ. Встречаются случаи присвоения такому объекту категории значимости, однако данный вопрос неоднозначен: существуют как нормативные основания, так и различные позиции сотрудников ФСТЭК. Необходимо рассматривать каждый конкретный случай в отдельности. Если рассуждать теоретически, то скорее всего, такая система объектом КИИ не является.

      Если по критерию 13.1 объекту присваивается 1-я категория значимости, нужно ли при этом рассматривать остальные критерии для организации, выполняющей ГОЗ?

      Да, такое допущение предусмотрено Постановлением Правительства РФ № 127. Рассматривать остальные критерии в этом случае не обязательно.

      К какому номеру типового перечня КИИ следует относить шлюзы ДБО (например, «Фактура»)?

      Шлюзы ДБО следует рассматривать применительно к позициям № 112 и № 125 типового перечня объектов КИИ.

      Если ИС внутри организации называется «АБС» — нужно ли в форме приказа № 236 указывать только «типовое» наименование из Распоряжения № 360-р?

      Необходимо указывать ссылку на типовой объект из перечня, наиболее соответствующий фактическому типу информационной системы.

      Правильно ли я понимаю: если объект есть в типовом перечне и категорирование по нему уже проводилось ранее, необходимо пройти полный цикл перекатегорирования или достаточно направить обновлённые сведения с прежними данными, дополнив их ссылкой на типовой объект?

      Данные необходимо обновить в том случае, если они устарели. Если же данные актуальны, достаточно дополнить сведения ссылкой на соответствующий типовой объект.

      Здравствуйте! Мы — субъект КИИ в отрасли связи. Категорирование провели в начале 2025 года. Правильно ли я понимаю, что в настоящее время нам ничего переделывать не нужно и следует дождаться публикации отраслевых особенностей категорирования и перечня типовых объектов для сферы связи от Минцифры?

      Да, после утверждения отраслевых особенностей потребуется пересмотр результатов категорирования. Предполагается, что они будут утверждены в ближайшее время — ряд особенностей уже опубликован. Ожидание их выхода перед пересмотром сведений является обоснованным решением.

      Не совсем понял ситуацию с ЦОДами. Почему ИТКС ЦОДа, в котором субъект КИИ разместил свои объекты, становится объектом КИИ? И если ИТКС такого ЦОДа признаётся объектом — становится ли юридическое лицо, владеющее ЦОДом и оказывающее услуги, субъектом КИИ?

      Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая услуги ЦОД), являются критическими.

      Формально в столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» указаны функции типового объекта. Многие формулировки свидетельствуют о том, что ЦОД такие функции исполняет и является объектом, так как его мощности и оборудование составляют части облачных ИС субъектов КИИ.

      Таким образом, есть основания признавать любой ЦОД субъектом КИИ, а его системы — объектами, с уточнением: «ИС, АСУ, ИТКС, размещённые в ЦОД и обеспечивающие предоставление информационных, вычислительных и телекоммуникационных ресурсов для функционирования ЗОКИИ». То есть если в ЦОД размещается ЗОКИИ — ЦОД является объектом КИИ. Практика по данному вопросу пока формируется.

      Наша организация включена в реестр ОПК, однако фактически ни одна из наших систем не может оказать влияние на безопасность государства или граждан. Наша позиция — объектов КИИ у нас нет, и категорировать нечего. Есть ли шансы отстоять эту позицию перед ФСТЭК и прокуратурой?

      Шансы маловероятны. Ключевым является вопрос о применимости показателей 13 и 13.1: важно, исполняете ли вы государственный оборонзаказ. Деятельность в рамках ОПК и исполнение ГОЗ фактически означают участие в обеспечении обороноспособности страны, что является одним из ключевых критериев значимости.

      В сфере здравоохранения типовой перечень содержит только ИС — АСУ как таковые в нём не описаны. Получается, что аппарат УЗИ сам по себе объектом КИИ не является, но может им стать в составе МИС. Должны ли мы подавать такое медицинское оборудование как системы автоматизации медицинской деятельности?

      Данный вопрос в настоящее время изучается на практике. Программируемое медицинское оборудование ранее лишь частично входило в область регулирования КИИ. Предварительно: такое оборудование может либо не учитываться в типовом перечне, либо подпадать под п. 3 или пп. 7–12 перечня. До получения официальных разъяснений рекомендуем исходить из того, что оно по-прежнему подлежит категорированию.

      Ранее в сфере здравоохранения под категорирование подпадали АСУ, однако в новом отраслевом перечне указаны только ИС. Следует ли теперь исключить АСУ из состава объектов КИИ?

      Данный вопрос в настоящее время изучается на практике. Программируемое медицинское оборудование ранее лишь частично входило в область регулирования КИИ. Предварительно: такое оборудование может либо не учитываться в типовом перечне, либо подпадать под п. 3 или пп. 7–12. До получения официальных разъяснений рекомендуем исходить из того, что оно по-прежнему подлежит категорированию.

      Что делать, если объект ранее признавался объектом КИИ, а теперь он отсутствует в актуальных перечнях? Следует ли его исключить?

      Вывод объекта из перечня маловероятно будет принят регулятором без надлежащего обоснования. Необходимо провести анализ реального влияния данного объекта на критические процессы и, при наличии оснований для исключения, подготовить развёрнутое обоснование для ФСТЭК.

      Как организовать в организации сбор сведений обо всех объектах КИИ, принадлежащих ей на законном основании?

      Рекомендуем вести реестр информационных систем и перечень оборудования в электронном виде с регулярным обновлением.

      Мы — субъект КИИ, однако домен является общим, а ответственность за информационную безопасность возложена на головную компанию (холдинг). Должна ли головная компания иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ)? При этом ответственность за ЗОКИИ несут сотрудники на местах.

      Вопрос комплексный и содержит существенную юридическую составляющую. Предварительно: в подобных случаях, как правило, существуют основания для требования наличия у головной компании лицензии на ТЗКИ.

      Если несколько типовых объектов можно объединить — допустимо ли это? Например, СКУД и СХД в составе локально-вычислительной сети?

      Определённая гибкость в данном вопросе допустима, и претензий, как правило, не возникает. Однако не рекомендуем объединять другие объекты с ЛВС, так как она зачастую получает самостоятельную категорию значимости.

      В какие сроки необходимо перекатегорировать объекты финансовой организации, если отраслевые особенности утверждены 06.02.2026, а типовой перечень — 26.02.2026?

      Необходимо обновить сведения о соответствии объекта типовому в соответствии с п. 19-1 Постановления Правительства РФ № 127 в течение 20 рабочих дней — то есть не позднее 26 марта 2026 года.

      Категорирование проводилось уже после изменений в ПП № 127. ИС и ИТКС не выполняют ГОЗ и потому признаны незначимыми объектами. Требуется ли тем не менее проводить их категорирование по показателю 13.1?

      Если категорирование проводилось до введения показателя 13.1, то необходимо провести повторное категорирование.

      Являются ли объекты кредитной организации, осуществляющие обмен с платёжной системой Банка России (АРМ КБР-Н), объектами КИИ?

      Да, АРМ КБР-Н являются объектами КИИ.

      Если в ЦОД используется только услуга colocation собственного оборудования — необходимо ли учитывать ЦОД при проведении категорирования?

      Да, сведения о ЦОД необходимо учитывать. В форме сведений об объектах КИИ предусмотрен ряд полей, в которых указываются данные о ЦОД: сведения об эксплуатируемых каналах связи, операторе связи, адресе размещения оборудования и, вероятно, самом оборудовании.

      Допускается ли объединение нескольких автоматизированных систем (АС) в один объект КИИ?

      Да, объединение нескольких автоматизированных систем в один объект КИИ допускается.

      Добрый день! А если обратная ситуация: согласно типовому перечню, наши ранее незначимые объекты КИИ теперь вовсе перестают быть объектами КИИ (сфера науки) — как правильно оформить документы для ФСТЭК, чтобы вывести эти объекты из-под регулирования КИИ? Нужно ли провести перекатегорирование и составить акт о том, что согласно перечню они не являются объектами КИИ?

      Если вы планируете вывести объект из перечня, рекомендуем подготовить развёрнутое сопроводительное письмо с подробным описанием причин, факторов и выводов, послуживших основанием для этого решения. В рамках данной процедуры необходимо убедить ФСТЭК в обоснованности вывода — регулятор, как правило, запрашивает детальные разъяснения.

      В типовом перечне указаны «информационные системы, предназначенные для обеспечения управления оборудованием лучевой терапии». Означает ли это, что рентгеновский аппарат теперь не является АСУ? Необходимо ли его перекатегорировать?

      Вопрос касается классификации объектов. Если это единственное изменение, затрагивающее данный объект, рекомендуем рассмотреть его при ближайшем плановом пересмотре сведений.

      Если объекты попадают под п. 13.1, являются ли они ЗОКИИ, при условии что п. 13.1 является подпунктом п. 13 и доказано отсутствие снижения показателей по п. 13?

      Показатели 13.1 и 13 являются самостоятельными и применяются независимо друг от друга — описанной зависимости между ними нет. Вместе с тем, если организация фактически не исполняет ГОЗ и не имеет планов по его исполнению, это может служить основанием для признания показателя 13.1 неактуальным.