Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК.
ФСТЭК уполномочен осуществлять государственный контроль в виде проверок.
Проверки осуществляются в случаях:
спустя три года после внесения данных в реестр ФСТЭК об объектах КИИ от организации;
спустя три года после внеплановой проверки ФСТЭК.
Внеплановая проверка может быть в случаях:
по истечению срока выполнения субъектом КИИ предписания об устранении выявленного нарушения;
возникновения компьютерного инцидента, повлекшего негативные последствия;
по поручению Президента РФ или Правительства РФ, либо на основании требования Прокуратуры РФ.
Если в ходе проверок ФСТЭК выявит какие-либо нарушения или несоответствия, то будет выдвинуто предписание с конкретным сроком устранения правонарушений, как и, например, при неправильно проведенном категорировании объектов критической информационной инфраструктуры.
Совсем недавно были внесены изменения в 141-ФЗ «О внесении изменений в кодекс Российской Федерации об административных правонарушения», согласно которому организации несут ответственность за невыполнение требований области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (Статья 13.12.1.).
Результат работ
В результате Заказчик (субъект КИИ) получает большой и детализированный пакет ОРД на организацию безопасности значимых объектов критической информационной инфраструктуры, выполнение и соответствие требований ФСТЭК и ФСБ России, а также рекомендации по повышению обеспечения защиты значимых объектов КИИ.
ПОЛУЧИТЕ ПАКЕТ ДОКУМЕНТОВ ПО КАТЕГОРИРОВАНИЮ КИИ НА MEDOED БЕСПЛАТНО
Проектирование и внедрение технических систем защиты в разрезе системы безопасности
Организацию взаимодействия с НКЦКИ
Разработку внутренней документации и многое другое
В процессе проектных работ наша компания будет производить такие работы, сопровождать внедрение технических средств и сопровождать реализацию проекта в целом.
Описание этапов работ
Этап 1. Предпроектное исследование На данном этапе сотрудники RTM Group осуществляют интервьюирование сотрудников заказчика с целью сбора исходных данных об объектах критической информационной инфраструктуры, о категорировании и т.д.
Этап 2. Разработка Модели угроз и нарушителей безопасности значимых объектов КИИ На данном этапе осуществляется разработка или доработка Модели угроз и нарушителей безопасности значимых объектов критической информационной инфраструктуры.
Для осуществления данного этапа необходимо:
Выявить источники угроз и оценка возможных нарушителей
Оценка возможных сценариев и последствий от угроз
Основание проведения работ: п.11.1 раздел 2 Приказа №239, п.12.6 раздела 2 Приказа №239
Этап 3. Разработка ТЗ на создание системы безопасности значимых объектов КИИ
На данном этапе выполняется следующее:
Разработка Технического задания (ТЗ) на создание системы безопасности значимых объектов критической информационной инфраструктуры
Определить типы объектов защиты
Определить требования к организационным и техническим мерам
Определение требований к информационному взаимодействию значимого объекта с иными ОКИИ (если таковые имеются)
Основание проведения работ: ч.1 ст.10 187-ФЗ, раздел 2 Приказа № 235, п.11.1-11.3 раздел 2 Приказа №239, п.10 раздел 2 Приказа №239
Этап 4. Разработка ОРД по обеспечению безопасности значимых объектов КИИ и проектирование системы безопасности На данном этапе осуществляется разработка Организационно-распорядительной документации (ОРД) с правилами и процедурами обеспечения безопасности в зависимости от имеющейся документации и требований к защите значимых объектов критической информационной инфраструктуры.
Результатом же будет Пакет ОРД (например, Положение по обеспечению безопасности объектов КИИ, План ОНиВД и т.д.). Также на данном этапе производится проектирование системы обеспечения безопасности значимых объектов, включая разработку проектов внедрения систем защиты и сопровождение проекта
Основание проведения работ: п.12.2 раздел 2 Приказа №239, п.12.3 раздел 2 Приказа № 239. п. 11.1 – п.11.3 Приказа №239.
Этап 5. Взаимодействие (подключение) с ГосСОпКа На данном этапе осуществляется следующее:
Подготовка заявки на подключение к НКЦКИ с информацией о значимых объектах критической информационной инфраструктуры
Создание собственного ведомственного (корпоративного) центра (сегмента) ГосСОПКА
После получения Регламента взаимодействия при обмене информации с НКЦКИ, разработка пакета ОРД о реагировании на компьютерные инциденты и принятии мер по ликвидации последствий.
Выбор способа связи для передачи информации о компьютерных инцидентах
Заключение соглашения для передачи информации о компьютерных инцидентах с НКЦКИ
Основание проведения работ: Приказ ФСБ России от 24.07.2018 № 366, Приказ ФСБ от 24.07.2018 № 367, Приказ ФСБ России от 24 июля 2018 г. № 368, Приказ ФСБ России от 6 мая 2019 г. N 196, Приказ ФСБ России от 19 июня 2019 г. N 281, Приказ ФСБ России от 19 июня 2019 г. N 282
Начало работ и взаимодействие
Перед тем как приступить к проведению работ, RTM Group направляет опросный лист для определения у заказчика того, что есть в данный момент (какие объекты КИИ, что используют для защиты, какая документация имеется и т.д.).
После получения и анализа опросного листа, RTM Group дает обратную связь с заказчиком для уточнения деталей и обсуждения финального результата.
Почему RTM Group?
Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
Проведение работ по категорированию и защите объектов КИИ проводятся экспертами обладающими большим опытом построения комплексных систем обеспечения информационной безопасности по требованиям ФСТЭК России
Сроки проведения работ по обеспечению безопасности от 2 недель до 3 месяцев (в зависимости от сложности объекта)
Мы обладаем лицензиями ФСТЭК России и ФСБ России:
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
Лицензия ФСБ России на работу со средствами криптозащиты
Заказать услуги по по обеспечению безопасности ЗОКИИ
Для уточнения стоимости и сроков звоните или пишите нам:
RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций
В списке SWIFT Directory of CSP assessment providers
В реестре надежных партнеров торгово-промышленной палаты Российской Федерации
Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)
Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика
Сайт RTM Group входит в тройку лучших юридических сайтов России
В составе ТК №122
Цены на услуги по
по обеспечению безопасности ЗОКИИ
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наименование услуги
Стоимость
Консультация
Бесплатно
Разработка Модели угроз и нарушителей безопасности ЗОКИИ
Срок — от 3 недель
от
300 000 руб.
Разработка ТЗ на создание системы безопасности ЗОКИИ
Срок — от 2 недель
от
200 000 руб.
Разработка ОРД по обеспечению безопасности ЗОКИИ
Срок — от 2 недель
от
200 000 руб.
Взаимодействие (подключение) с ГосСОПКа
Срок — от 3 недель
от
300 000 руб.
Проектирование системы безопасности объекта КИИ
С учетом изменений, связанных с Указом Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»
по запросу
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наши преимущества
3 лицензии
ФСТЭК России и ФСБ России
100% удовлетворенность заказчиков
Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"
2800+ аудитов и экспертиз
Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз
Относится ли школа доп. образования к объектам КИИ?
Елена
Согласно Федеральному закону № 187 объектами КИИ являются:
— ИС (информационная система)
— АСУ ТП (автоматизированная система управления технологическим процессом)
— ИТКС (информационно-телекоммуникационная сеть).
Т.е. школа дополнительного образования не является объектом КИИ, но может являться субъектом КИИ.
Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:
— здравоохранение
— наука
— транспорт
— связь
— энергетика
— банковская сфера и иных сферах финансового рынка
— топливно-энергетический комплекс
— атомная сфера
— сфера обороны
— ракетно-космическая
— горнодобывающая промышленность
— металлургическая промышленность
— химическая промышленность.
Т.е. школа дополнительного образования не будет являться объектом КИИ и не имеет отношения к субъектам КИИ, т.к. осуществляет свою деятельность в сфере образования.
Жилякова Анна Сергеевна
04.08.2020
Добрый день! Подскажите, относятся ли речные Порты к субъектам КИИ??
Мария
Добрый день.
Да, речные порты являются субъектами КИИ — как относящиеся к транспортной отрасли.
Музалевский Федор Александрович
13.02.2020
Здравствуйте, объясните, если организация еще не прошла процедуру категорирования или это новая организация которой нужно пройти эту процедуру до какого числа, года нужно все это сделать? Во всех источниках указывают дату «до 01.09.2019», но если например организация только начала свою деятельность в 2020 году, как быть?
Любовь
Добрый день.
Срок до 01.09.2019 установлен для госорганизаций, являющихся субъектами КИИ, как обязательный. Для прочих субъектов КИИ — как рекомендательный.
Для госорганизаций, начавших свою деятельность после данной даты, либо коммерческих (частных) организаций, требований по срокам нет.
Согласно комментариям ФСТЭК России — «в разумные сроки». На практике — до одного года с момента получения статуса субъекта КИИ.
Музалевский Федор Александрович
10.02.2020
Доброго дня!
Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
Спасибо!
Яна
Добрый день.
Согласно п.8 ст.2 187-ФЗ: субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.
Музалевский Федор Александрович
29.01.2020
В случае категорирования КИИ в банке, расположенном в Самаре, куда следует направлять на согласование предварительный перечень объектов под категорирование?
Валентин
Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59. На 16.04.2020 экспедиция работает в штатном режиме, не смотря на пандемию.
Регионаьных отделений ФСТЭК для направления подобной информации не предусмотрено.
Также в соответствии с письмом Банка России №56-ОЭ/22253 от 15.08.2018 необходимости направлять перечень объектов КИИ в ЦБ нет.
Жилякова Анна Сергеевна
30.09.2020
ООО оказывает услуги связи (телефония) и Интернет. Будет ли является субъектом КИИ?
Ольга
Добрый день.
Да, все операторы связи являются субъектами КИИ.
Музалевский Федор Александрович
30.01.2020
Подскажите, пожалуйста: что необходимо иметь к прокурорской проверке по вопросу о безопасности КИИ?
Ольга
Проверка по КИИ может различаться по наличию значимых объектов.
При их отсутствии необходимо иметь только результаты категорирования и документы, подтверждающие их отправку во ФСТЭК и регулятору (для провайдера связи это Минкомсвязи)
При наличии значимых объектов необходимо иметь подтверждение исполнения многочисленных требований по обеспечению их безопасности.
Музалевский Федор Александрович
10.02.2020
При составлении перечня объекта КИИ, кто является ответственным за ИС?
Екатерина
Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.
Музалевский Федор Александрович
10.09.2020
Что может являться примером модернизации объектов информационной инфраструктуры?
Александр
Примером модернизации объектов информационной инфраструктуры является, например, переход с одной АБС на другую, внедрение в банковскую систему, например, антифрода, или же внедрение СВТ, участвующего в процессе перевода денежных средств.
Федюнина Анастасия Валерьевна
16.09.2020
Что такое объект информационной инфраструктуры?
Дмитрий
Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, которое используется для осуществления переводов денежных средств.
Федюнина Анастасия Валерьевна
16.09.2020
Добрый день! Надо ли подавать информацию во ФСТЭК при измененном / модернизированном объекте КИИ? В объекте КИИ добавлены новые информационные системы и была доработка старых информационных систем. В нормативных документах такой информации не нашел.
Евгений
Добрый день.
Случаями подачи информации во ФСТЭК являются:
— плановый пересмотр объектов КИИ, не реже чем один раз в 5 лет
— при изменениях состава объектов КИИ
— изменение показателей критериев значимости объектов КИИ или их значений.
В данных случаях проводится повторное категорирование (п. 21 приложения к Постановлению правительства РФ от 8 февраля 2018 г. N 127) и сведения направляются во ФСТЭК, а также в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Также, исходя из Приказа № 75 от 28.05.2020 г., во ФСТЭК направляется информация при подключении значимого объекта КИИ к сети общего пользования.
Следовательно, в Вашем случае при измененном / модернизированном объекте КИИ проводится повторное категорирование объектов и ,если объекты значимы и подключены к сети общего пользования, необходимо провести процедуру согласования со ФСТЭК.
Жилякова Анна Сергеевна
18.12.2020
Подскажите, к объектам КИИ относятся станки с числовым программным управлением (ЧПУ)?
Если не относятся, то нужно ли все равно проводить процедуру категорирования, даже если нет объектов КИИ.
Предприятие работает в области машиностроения, выполняет гособоронзаказ (ГОЗ).
Владислав
Исходя из рекомендаций ФСТЭК, станки ЧПУ рекомендовано относить к объектам КИИ типа АСУ в следующих случаях:
Выход из строя устройства несет последствия по показателям значимости (учитывая выполнение гособоронзаказа – это затрагивает показатель по обеспечению обороны страны, безопасности государства и правопорядка и экономический показатель);
Наличие компьютерного (сетевого) порта управления устройством;
Нарушитель имеет возможность изменить вшитое программное обеспечение, влияющее на работоспособность устройства;
Если станок с ЧПУ является частью АСУ ТП (не Ваш случай).
Жилякова Анна Сергеевна
30.04.2021
Здравствуйте! Скажите, пожалуйста, медицинскому колледжу необходимо проходить процедуру КИИ?
Татьяна
Согласно Федеральному закону № 187, субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, функционирующие в критически важных сферах:
здравоохранение;
наука;
транспорт;
связь;
энергетика;
банковская сфера и иных сферах финансового рынка;
топливно-энергетический комплекс;
атомная сфера;
сфера обороны;
ракетно-космическая;
горнодобывающая промышленность;
металлургическая промышленность;
химическая промышленность.
Т.е. образовательные учреждения (д/с, школы, колледжи и т.д.) не будут являться субъектом КИИ и не имеют отношения к КИИ, т.к. осуществляет свою деятельность в сфере образования.
Жилякова Анна Сергеевна
09.09.2022
Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?
Андрей
Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
Создать систему безопасности для значимых объектов КИИ
Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
прав и нарушителя)
Осуществить подключение к ГосСОПКа
Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138
Торговый дом «Антарес»
Прошу Вас направить содержание документа «Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» (или АКТ внутреннего аудита безопасности).
Этот акт для ЗО КИИ должен делаться ежегодно. Больше всего интересует оформление и мероприятия, указанные в данном акте. Ни где не могу найти информацию о составе данного акта.
Николай
«Акт внутреннего контроля эффективности выполнения требований в области защиты информации ЗО КИИ» содержит следующее:
1) Проверка состава ЗО КИИ (что-то добавилось, что-то выведено из эксплуатации)
2) Проверка выполнения требований по защите по пунктам:
— подтверждение актуальности МУ
— подтверждение выполнения технических требований
— подтверждение организационных требований (в том числе планов)
— проверка обучения
3) Контроль обработки инцидентов
4) Подтверждение состава комиссии по категорированию и ответственных сотрудников за защиту и реагирование на инциденты.
В общем, это всё. Второй пункт можно детализировать до требований 239 приказа.
Музалевский Федор Александрович
12.12.2023
Подскажите, следует ли категорировать Систему обработки вызовов экстренных оперативных служб (Систему-112)? Если следует, к какому пункту перечня её отнести?
Елена
Всё зависит от архитектуры системы. Если в составе системы имеется полноценная АТС, есть основания отнести её к объекту категории ИС (п. 3 типового перечня).
Музалевский Федор Александрович
05.03.2026
У нас незначимый объект КИИ, ФСТЭК признал это письмом. Если в составе этого незначимого объекта изменился адрес (добавилось рабочее место) — необходимо ли уведомлять ФСТЭК?
silver-eva
Да, уведомить ФСТЭК в данном случае необходимо — в соответствии с п. 19-1 Постановления Правительства РФ № 127.
Музалевский Федор Александрович
05.03.2026
Если объект ЗОКИИ законсервирован, а АРМы демонтированы — какие сведения о ЗОКИИ необходимо предоставлять: по проекту или фактически?
Александр
Категорирование проводится и сведения подаются только в отношении эксплуатируемых объектов. Если объект ЗОКИИ выведен из эксплуатации, рекомендуем зафиксировать этот факт актом и при подаче новых сведений приложить данный акт в качестве обоснования исключения объекта из перечня.
Музалевский Федор Александрович
05.03.2026
Если ранее категорирование не проводилось — какие сроки установлены? Год на проведение категорирования из ПП № 127 убрали. Также непонятна ситуация с 20-дневным сроком уведомления об изменениях в реестре, ведь фактически объект в реестре ещё отсутствует.
Алексей
Если категорирование до сих пор не проводилось, субъект фактически нарушает требования законодательства. Рекомендуем приступить к проведению работ в кратчайшие сроки.
Музалевский Федор Александрович
05.03.2026
Подскажите, пожалуйста, как правильно ориентироваться в ОКВЭДах при отнесении к КИИ? Ситуации:
1) Написан код 63 — распространяется ли он на все подкоды? Если у организации ОКВЭД 63.11, попадает ли она под действие?
2) Написан код 84.11, а у ОИВ код 84.1 — подпадает ли он, поскольку 84.1 включает деятельность по 84.11?
Алена
Под действие попадают все ОКВЭДы групп 63 и 84, однако необходимо учитывать сферу деятельности, в которую они входят. В столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» уточняется, в рамках каких процессов и систем рассматривается данный ОКВЭД. Одним из дополнительных определяющих факторов в этом направлении является наличие лицензии Минцифры.
Музалевский Федор Александрович
05.03.2026
Дайте, пожалуйста, рекомендацию по ситуации, вызывающей у нас путаницу (с точки зрения оператора ЦОД).
Для типовой ИС и ЦОДа, предоставившего ей мощности, указаны коды 63.11 и 63.11.1. Если ИС не принадлежит оператору ЦОДа, а принадлежит только ЦОД — применяется код 63.11 («Деятельность по обработке данных, предоставление услуг по размещению информации»), и ЦОД является объектом КИИ. Это понятно.
Но если и ИС, и ЦОД принадлежат одному оператору — для ИС работает код 63.11.1 («Деятельность по созданию и использованию баз данных»), и ИС является КИИ. Будет ли в таком случае ЦОД также являться объектом КИИ? Можно ли считать, что код 63.11 не применяется, поскольку оператор никому не «предоставляет услуг», а размещает свою ИС на собственных мощностях?
Алена
Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая ЦОД), являются критическими.
Формально в столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» указаны функции, которые может исполнять типовой объект. Многие формулировки свидетельствуют о том, что ЦОД такие функции исполняет и является объектом, поскольку его мощности и оборудование составляют части облачных ИС субъектов КИИ.
Таким образом, есть основания признавать любой ЦОД субъектом КИИ, а его системы — объектами, с уточнением: «ИС, АСУ, ИТКС, размещённые в ЦОД и обеспечивающие предоставление информационных, вычислительных и телекоммуникационных ресурсов для функционирования ЗОКИИ». То есть если в ЦОД размещается ЗОКИИ — ЦОД является объектом КИИ. Практика по данному вопросу пока формируется.
Музалевский Федор Александрович
05.03.2026
Чья ответственность за размещение ИС в ЦОДе, который также может быть признан объектом КИИ (например, в сфере медицины)? Оператор ЦОДа должен самостоятельно провести категорирование, или его об этом должен уведомить владелец размещённой ИС?
Алена
Каждый субъект несёт ответственность за категорирование и обеспечение безопасности собственных систем. Если, например, больница разместила свою МИС-ЗОКИИ в вашем ЦОДе, но не уведомила вас об этом, ответственность лежит на больнице.
Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая ЦОД), являются критическими.
Музалевский Федор Александрович
05.03.2026
Добрый день! Отменяются ли отраслевые перечни министерств с изданием Распоряжения № 360-р?
Анна
Да, отраслевые перечни министерств отменяются.
Музалевский Федор Александрович
05.03.2026
Являются ли технологические компоненты (контроллер домена, DNS, прокси-сервер, файловые серверы и т. д.) информационными системами и подлежат ли они категорированию?
Артём
Данное программное обеспечение является частью ИС (общесистемным или прикладным ПО, ПО для обеспечения функционирования). Если ИС, в состав которой они входят, обладает признаками объекта КИИ, то и эти компоненты, как её составные части, также будут являться частью данного объекта.
Музалевский Федор Александрович
05.03.2026
Если у организации несколько ОКВЭДов, нужно ориентироваться только на основной вид деятельности или учитывать также дополнительные?
Виктория
При отнесении к субъектам КИИ учитываются все виды деятельности организации, в том числе дополнительные ОКВЭДы.
Музалевский Федор Александрович
05.03.2026
После ноябрьского изменения ПП № 127 при заполнении формы направления сведений во ФСТЭК мы использовали данные по бюджету РФ и прочие показатели за 2024 год, поскольку категорирование проводилось в 2025 году. Теперь, при следующем представлении сведений, необходимо использовать данные уже за 2025 год?
Геннадий
Формально — да. На практике при ближайшем пересмотре объектов рекомендуем использовать актуальные данные. Такой пересмотр рекомендуем проводить не реже одного раза в год.
Музалевский Федор Александрович
05.03.2026
Если субъект КИИ работает в области оборонной промышленности и является головным исполнителем по ГОЗ — будет ли ИС, предназначенная для ведения бухгалтерского учёта, являться значимым объектом КИИ по критерию 13(1), если она непосредственно не участвует в выполнении ГОЗ?
Дмитрий
Системы бухгалтерского учёта (например, 1С) на практике редко признаются объектами КИИ. Встречаются случаи присвоения такому объекту категории значимости, однако данный вопрос неоднозначен: существуют как нормативные основания, так и различные позиции сотрудников ФСТЭК. Необходимо рассматривать каждый конкретный случай в отдельности. Если рассуждать теоретически, то скорее всего, такая система объектом КИИ не является.
Музалевский Федор Александрович
05.03.2026
Если по критерию 13.1 объекту присваивается 1-я категория значимости, нужно ли при этом рассматривать остальные критерии для организации, выполняющей ГОЗ?
Дмитрий
Да, такое допущение предусмотрено Постановлением Правительства РФ № 127. Рассматривать остальные критерии в этом случае не обязательно.
Музалевский Федор Александрович
05.03.2026
К какому номеру типового перечня КИИ следует относить шлюзы ДБО (например, «Фактура»)?
Дмитрий
Шлюзы ДБО следует рассматривать применительно к позициям № 112 и № 125 типового перечня объектов КИИ.
Музалевский Федор Александрович
05.03.2026
Если ИС внутри организации называется «АБС» — нужно ли в форме приказа № 236 указывать только «типовое» наименование из Распоряжения № 360-р?
Дмитрий
Необходимо указывать ссылку на типовой объект из перечня, наиболее соответствующий фактическому типу информационной системы.
Музалевский Федор Александрович
05.03.2026
Правильно ли я понимаю: если объект есть в типовом перечне и категорирование по нему уже проводилось ранее, необходимо пройти полный цикл перекатегорирования или достаточно направить обновлённые сведения с прежними данными, дополнив их ссылкой на типовой объект?
Екатерина
Данные необходимо обновить в том случае, если они устарели. Если же данные актуальны, достаточно дополнить сведения ссылкой на соответствующий типовой объект.
Музалевский Федор Александрович
05.03.2026
Здравствуйте! Мы — субъект КИИ в отрасли связи. Категорирование провели в начале 2025 года. Правильно ли я понимаю, что в настоящее время нам ничего переделывать не нужно и следует дождаться публикации отраслевых особенностей категорирования и перечня типовых объектов для сферы связи от Минцифры?
Иван
Да, после утверждения отраслевых особенностей потребуется пересмотр результатов категорирования. Предполагается, что они будут утверждены в ближайшее время — ряд особенностей уже опубликован. Ожидание их выхода перед пересмотром сведений является обоснованным решением.
Музалевский Федор Александрович
05.03.2026
Не совсем понял ситуацию с ЦОДами. Почему ИТКС ЦОДа, в котором субъект КИИ разместил свои объекты, становится объектом КИИ? И если ИТКС такого ЦОДа признаётся объектом — становится ли юридическое лицо, владеющее ЦОДом и оказывающее услуги, субъектом КИИ?
Иван
Как минимум, системы, используемые для предоставления услуг связи и иных лицензируемых услуг (включая услуги ЦОД), являются критическими.
Формально в столбце «Типовые процессы (функции), выполняемые типовым объектом КИИ» указаны функции типового объекта. Многие формулировки свидетельствуют о том, что ЦОД такие функции исполняет и является объектом, так как его мощности и оборудование составляют части облачных ИС субъектов КИИ.
Таким образом, есть основания признавать любой ЦОД субъектом КИИ, а его системы — объектами, с уточнением: «ИС, АСУ, ИТКС, размещённые в ЦОД и обеспечивающие предоставление информационных, вычислительных и телекоммуникационных ресурсов для функционирования ЗОКИИ». То есть если в ЦОД размещается ЗОКИИ — ЦОД является объектом КИИ. Практика по данному вопросу пока формируется.
Музалевский Федор Александрович
05.03.2026
Необходимо ли отдельно категорировать систему хранения данных (СХД), входящую в состав локальной сети, которая уже прошла категорирование?
Игорь
Предпочтительнее включить СХД в состав перечня ПО и программно-аппаратных комплексов (ПАК) других объектов КИИ. Допускается также вынести её в отдельный объект — это не является нарушением.
Музалевский Федор Александрович
05.03.2026
Какие последствия возможны, если не уложиться в 20-дневный срок при перекатегорировании ОКИИ?
Игорь
На данный момент практика привлечения к ответственности за такое нарушение не сложилась. Как правило, регулятор выдаёт предписание с требованием провести категорирование в срок около 1–2 месяцев.
Музалевский Федор Александрович
05.03.2026
Согласно типовому перечню, такие системы, как СКУД, пожарная и охранная сигнализация, система оповещения территориального уровня и система управления беспилотными воздушными судами, могут являться ЗОКИИ. Если эти системы не имеют системы управления и лишь принимают сигналы оповещения — будут ли они всё равно признаваться объектами ЗОКИИ?
Илья
Отнесение таких систем к объектам КИИ определяется индивидуально с учётом степени автоматизации, категорий опасности объектов и иных факторов. Если речь идёт исключительно о пассивных датчиках (например, датчиках задымления без системы управления) — вероятнее всего, они объектами КИИ не являются.
Музалевский Федор Александрович
05.03.2026
Если организация является головным исполнителем поставок продукции, работ и услуг по государственному оборонному заказу — присваивается ли ей 1-я категория значимости по п. 13.1 Перечня показателей критериев значимости? Если да — присваивается ли она всем объектам организации?
Ираида
Категория значимости присваивается конкретным объектам КИИ, а не организации в целом. Если объект непосредственно участвует в исполнении ГОЗ (напрямую или в качестве обеспечивающей системы) — он подпадает под показатель 13.1. Если нет — не подпадает.
Возможны коллизии с позицией ФСТЭК: данный вопрос был дискуссионным ещё до введения показателя 13.1 (применительно к показателю 13). Формально, не все системы организации подпадают под критерий 13.1.
Музалевский Федор Александрович
05.03.2026
Если организация является субъектом КИИ по 187-ФЗ, но ни одна из её ИС/ИТКС не соответствует объектам из Типового перечня и при этом нет новых создаваемых систем, подлежащих включению в перечень — требуются ли от такой организации какие-либо действия? Получается, что объектов для категорирования нет?
Кирилл
Если объектов КИИ не выявлено, рекомендуем задокументировать факт рассмотрения типового перечня, провести сопоставление с собственными системами и зафиксировать сделанные выводы.
Вместе с тем, если в типовом перечне отсутствует объект, аналогичный имеющемуся у субъекта, субъект обязан самостоятельно определить такие объекты и направить предложения во ФСТЭК о расширении перечня.
Музалевский Федор Александрович
05.03.2026
Согласно п. 3 Постановления № 127, категорированию подлежат объекты КИИ, соответствующие типам, включённым в отраслевые перечни. Какие объекты КИИ целесообразно относить к информационно-телекоммуникационным сетям, используемым кредитными организациями в целях обеспечения переводов денежных средств на платёжном участке Банка России?
Людмила
К ИТКС в общем случае относятся все сегменты сети и сетевое оборудование, находящееся в зоне ответственности субъекта КИИ: локальная вычислительная сеть (ЛВС), демилитаризованная зона (ДМЗ) и иные аналогичные компоненты.
Музалевский Федор Александрович
05.03.2026
Если мы используем информационную систему сторонней организации для осуществления вида деятельности, делающего нас субъектом КИИ, — кто должен проводить категорирование данной ИС?
Максим
Каждый субъект категорирует ту часть ИС, которая находится в его зоне ответственности, — вплоть до одного автоматизированного рабочего места (АРМ), с которого осуществляется доступ к системе.
Музалевский Федор Александрович
05.03.2026
Наша организация включена в реестр ОПК, однако фактически ни одна из наших систем не может оказать влияние на безопасность государства или граждан. Наша позиция — объектов КИИ у нас нет, и категорировать нечего. Есть ли шансы отстоять эту позицию перед ФСТЭК и прокуратурой?
Маргарита
Шансы маловероятны. Ключевым является вопрос о применимости показателей 13 и 13.1: важно, исполняете ли вы государственный оборонзаказ. Деятельность в рамках ОПК и исполнение ГОЗ фактически означают участие в обеспечении обороноспособности страны, что является одним из ключевых критериев значимости.
Музалевский Федор Александрович
05.03.2026
В сфере здравоохранения типовой перечень содержит только ИС — АСУ как таковые в нём не описаны. Получается, что аппарат УЗИ сам по себе объектом КИИ не является, но может им стать в составе МИС. Должны ли мы подавать такое медицинское оборудование как системы автоматизации медицинской деятельности?
Михаил
Данный вопрос в настоящее время изучается на практике. Программируемое медицинское оборудование ранее лишь частично входило в область регулирования КИИ. Предварительно: такое оборудование может либо не учитываться в типовом перечне, либо подпадать под п. 3 или пп. 7–12 перечня. До получения официальных разъяснений рекомендуем исходить из того, что оно по-прежнему подлежит категорированию.
Музалевский Федор Александрович
05.03.2026
Ранее в сфере здравоохранения под категорирование подпадали АСУ, однако в новом отраслевом перечне указаны только ИС. Следует ли теперь исключить АСУ из состава объектов КИИ?
Наталия
Данный вопрос в настоящее время изучается на практике. Программируемое медицинское оборудование ранее лишь частично входило в область регулирования КИИ. Предварительно: такое оборудование может либо не учитываться в типовом перечне, либо подпадать под п. 3 или пп. 7–12. До получения официальных разъяснений рекомендуем исходить из того, что оно по-прежнему подлежит категорированию.
Музалевский Федор Александрович
05.03.2026
Что делать, если объект ранее признавался объектом КИИ, а теперь он отсутствует в актуальных перечнях? Следует ли его исключить?
Павел
Вывод объекта из перечня маловероятно будет принят регулятором без надлежащего обоснования. Необходимо провести анализ реального влияния данного объекта на критические процессы и, при наличии оснований для исключения, подготовить развёрнутое обоснование для ФСТЭК.
Музалевский Федор Александрович
05.03.2026
Как организовать в организации сбор сведений обо всех объектах КИИ, принадлежащих ей на законном основании?
Руслан
Рекомендуем вести реестр информационных систем и перечень оборудования в электронном виде с регулярным обновлением.
Музалевский Федор Александрович
05.03.2026
Мы — субъект КИИ, однако домен является общим, а ответственность за информационную безопасность возложена на головную компанию (холдинг). Должна ли головная компания иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ)? При этом ответственность за ЗОКИИ несут сотрудники на местах.
Сергей
Вопрос комплексный и содержит существенную юридическую составляющую. Предварительно: в подобных случаях, как правило, существуют основания для требования наличия у головной компании лицензии на ТЗКИ.
Музалевский Федор Александрович
05.03.2026
Если несколько типовых объектов можно объединить — допустимо ли это? Например, СКУД и СХД в составе локально-вычислительной сети?
Сергей
Определённая гибкость в данном вопросе допустима, и претензий, как правило, не возникает. Однако не рекомендуем объединять другие объекты с ЛВС, так как она зачастую получает самостоятельную категорию значимости.
Музалевский Федор Александрович
05.03.2026
В какие сроки необходимо перекатегорировать объекты финансовой организации, если отраслевые особенности утверждены 06.02.2026, а типовой перечень — 26.02.2026?
Татьяна
Необходимо обновить сведения о соответствии объекта типовому в соответствии с п. 19-1 Постановления Правительства РФ № 127 в течение 20 рабочих дней — то есть не позднее 26 марта 2026 года.
Музалевский Федор Александрович
05.03.2026
Категорирование проводилось уже после изменений в ПП № 127. ИС и ИТКС не выполняют ГОЗ и потому признаны незначимыми объектами. Требуется ли тем не менее проводить их категорирование по показателю 13.1?
Татьяна
Если категорирование проводилось до введения показателя 13.1, то необходимо провести повторное категорирование.
Музалевский Федор Александрович
05.03.2026
Являются ли объекты кредитной организации, осуществляющие обмен с платёжной системой Банка России (АРМ КБР-Н), объектами КИИ?
Игорь
Да, АРМ КБР-Н являются объектами КИИ.
Музалевский Федор Александрович
05.03.2026
Если в ЦОД используется только услуга colocation собственного оборудования — необходимо ли учитывать ЦОД при проведении категорирования?
Игорь
Да, сведения о ЦОД необходимо учитывать. В форме сведений об объектах КИИ предусмотрен ряд полей, в которых указываются данные о ЦОД: сведения об эксплуатируемых каналах связи, операторе связи, адресе размещения оборудования и, вероятно, самом оборудовании.
Музалевский Федор Александрович
05.03.2026
Допускается ли объединение нескольких автоматизированных систем (АС) в один объект КИИ?
Игорь
Да, объединение нескольких автоматизированных систем в один объект КИИ допускается.
Музалевский Федор Александрович
05.03.2026
Добрый день! А если обратная ситуация: согласно типовому перечню, наши ранее незначимые объекты КИИ теперь вовсе перестают быть объектами КИИ (сфера науки) — как правильно оформить документы для ФСТЭК, чтобы вывести эти объекты из-под регулирования КИИ? Нужно ли провести перекатегорирование и составить акт о том, что согласно перечню они не являются объектами КИИ?
ФГБНУ ВНИИТТИ
Если вы планируете вывести объект из перечня, рекомендуем подготовить развёрнутое сопроводительное письмо с подробным описанием причин, факторов и выводов, послуживших основанием для этого решения. В рамках данной процедуры необходимо убедить ФСТЭК в обоснованности вывода — регулятор, как правило, запрашивает детальные разъяснения.
Музалевский Федор Александрович
05.03.2026
В типовом перечне указаны «информационные системы, предназначенные для обеспечения управления оборудованием лучевой терапии». Означает ли это, что рентгеновский аппарат теперь не является АСУ? Необходимо ли его перекатегорировать?
Наталья
Вопрос касается классификации объектов. Если это единственное изменение, затрагивающее данный объект, рекомендуем рассмотреть его при ближайшем плановом пересмотре сведений.
Музалевский Федор Александрович
05.03.2026
Если объекты попадают под п. 13.1, являются ли они ЗОКИИ, при условии что п. 13.1 является подпунктом п. 13 и доказано отсутствие снижения показателей по п. 13?
Юлия
Показатели 13.1 и 13 являются самостоятельными и применяются независимо друг от друга — описанной зависимости между ними нет. Вместе с тем, если организация фактически не исполняет ГОЗ и не имеет планов по его исполнению, это может служить основанием для признания показателя 13.1 неактуальным.
