ГрамотаИБ ГрамотаИБ

Пакет документов для значимого объекта КИИ: что проверяет ФСТЭК

Редакция ГрамотаИБ · Опубликовано 10.07.2026

Полный перечень документов для значимого объекта критической информационной инфраструктуры (К1-К3), когда объект не является одновременно ИСПДн или ГИС. Правовая рамка (187-ФЗ, ПП-127, приказы ФСТЭК №235 и №239), порядок проверки ФСТЭК по ПП-162 и что именно смотрит регулятор, пять блоков обязательных документов, чего в пакете быть не должно и ответственность за нарушения.

Когда объект отнесён к первой, второй или третьей категории значимости, у субъекта КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. появляется полноценный комплект организационно-распорядительной и проектной документации. Разберём его состав для случая, когда объект — только значимый объект КИИ и не является одновременно государственной информационной системой (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.) или информационной системой персональных данных (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.). Это важное уточнение: в «чистом» режиме КИИ пакет строится вокруг категорирования и мер приказа ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. № 239, без артефактов классификации и без документов по персональным данным.

Материал продолжает статьи о том, кого касается 187-ФЗ, и о пошаговом категорировании объектов КИИ. Здесь речь идёт о том, что должно быть на руках уже после присвоения категории значимости.

Правовая рамка: чем определяется состав

Единого нормативного перечня «столько-то документов для значимого объекта» не существует — состав субъект КИИ определяет сам, опираясь на четыре нормативных источника:

Разделение простое: приказ № 235 задаёт организационную рамку (кто отвечает за безопасность и по каким правилам работает), приказ № 239 — проектную и техническую часть (модель угроз, техническое задание, проект, меры защиты). Категорирование живёт в 187-ФЗ и ПП-127.

Как проходит проверка ФСТЭК и что смотрят

Государственный контроль за безопасностью значимых объектов КИИ ведёт ФСТЭК России в порядке, установленном постановлением Правительства РФ от 17.02.2018 № 162 (во исполнение статьи 13 187-ФЗ). Проверки — плановые и внеплановые, выездные. Основание плановой проверки — истечение 3 лет со дня внесения сведений об объекте в реестр значимых объектов КИИ либо со дня окончания предыдущей плановой проверки. Срок плановой проверки — не более 20 рабочих дней, внеплановой — не более 10.

По существу инспектор сверяет три пласта:

  • категорирование — полноту выявления объектов, обоснованность присвоенной категории и правильность расчёта показателей значимости, соблюдение сроков и форм направления сведений во ФСТЭК;
  • организационную систему безопасности по приказу № 235 — назначены ли ответственные (силы обеспечения безопасности), утверждены ли внутренние документы, ведётся ли информирование и обучение персонала;
  • техническую защиту по приказу № 239 — разработаны ли модель угроз и проектная документация, реализованы ли меры защиты, соответствующие категории, применяются ли средства защиты информации, прошедшие оценку соответствия.

Ключевой принцип проверки — документируемость. Отсутствие документа, подтверждающего выполнение требования, трактуется как невыполнение самого требования. Поэтому «бумажная» часть здесь не формальность, а предмет контроля.

Блок 1. Категорирование (ПП-127)

Фундамент пакета: именно эти документы обосновывают статус объекта и его категорию. Они обязательны для любого субъекта КИИ, но для значимого объекта проверяются особенно внимательно.

  • приказ о создании постоянно действующей комиссии по категорированию;
  • перечень объектов КИИ, подлежащих категорированию (направляется во ФСТЭК);
  • протокол(ы) заседания комиссии по категорированию;
  • акт категорирования объекта КИИ с расчётом показателей значимости и обоснованием присвоенной категории;
  • сведения о результатах присвоения категории значимости по форме приказа ФСТЭК России от 22.12.2017 № 236.

Категорию значимости пересматривают не реже одного раза в 5 лет, а также при изменениях, влияющих на показатели значимости, — соответствующие акты и приказы тоже хранятся в пакете.

Блок 2. Система безопасности: организационные документы (приказ № 235)

Приказ № 235 требует создать систему безопасности значимого объекта и закрепить её документально. Типовой организационный слой:

  • приказ о назначении сил обеспечения безопасности значимого объекта (ответственное подразделение или должностное лицо, руководитель, отвечающий за безопасность);
  • положение (правила и процедуры) обеспечения безопасности значимого объекта — базовый организационный документ, аналог политики защиты информации;
  • перечень лиц, имеющих доступ к значимому объекту, и порядок предоставления доступа;
  • порядок обеспечения безопасности помещений, в которых размещены компоненты значимого объекта;
  • план мероприятий по обеспечению безопасности значимого объекта (как правило, ежегодный);
  • порядок информирования и обучения персонала правилам безопасности;
  • порядок взаимодействия подразделений (работников) при обеспечении безопасности;
  • правила безопасной работы персонала на значимом объекте;
  • план развития (совершенствования) системы безопасности.

Блок 3. Реагирование на инциденты и взаимодействие с ГосСОПКА

Информирование о компьютерных инцидентах — обязанность любого субъекта КИИ по 187-ФЗ, и для значимого объекта она оформляется документально:

  • порядок взаимодействия субъекта КИИ с НКЦКИНациональный координационный центр по компьютерным инцидентам — Структура ФСБ, координирующая обнаружение и реагирование на компьютерные инциденты в рамках ГосСОПКА. (ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ.) при обмене информацией о компьютерных инцидентах;
  • план реагирования на компьютерные инциденты и порядок информирования;
  • регламент действий персонала при возникновении инцидентов и нештатных ситуаций.

Важно разграничить зоны контроля: техническое подключение к ГосСОПКА и сам обмен инцидентами с НКЦКИ курирует ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России (в порядке приказов ФСБ, в том числе № 282), а ФСТЭК при своей проверке смотрит организационно-техническую готовность — наличие порядка взаимодействия, планов реагирования и фактической реализации мер группы «Реагирование на компьютерные инциденты» приказа № 239. С 2025 года для субъектов со значимыми объектами закреплена обязанность непрерывного взаимодействия с ГосСОПКА, что усиливает роль этих документов.

Блок 4. Проектная и эксплуатационная документация (приказ № 239)

Приказ № 239 описывает жизненный цикл системы безопасности: установление требований, разработка организационных и технических мер (проектирование), их внедрение, обеспечение безопасности в ходе эксплуатации и при выводе из эксплуатации. Каждый этап оставляет документальный след:

  • модель угроз безопасности информации значимого объекта, разработанная по методике ФСТЭК на основе банка данных угроз (БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.);
  • техническое задание (частное техническое задание) на создание системы (подсистемы) безопасности;
  • технический проект (проектная документация) на систему безопасности;
  • эксплуатационная документация на средства защиты и порядок применения мер;
  • программа и методики предварительных и приёмочных испытаний;
  • протоколы (акты) испытаний, приёмки и оценки соответствия системы безопасности установленным требованиям.

Средства защиты информации должны пройти оценку соответствия (в форме испытаний, приёмки или сертификации в зависимости от категории). С учётом требований 2025 года по переходу на российское программное обеспечение и программно-аппаратные средства применение таких средств подтверждается документально — сведениями о включении в реестр российского ПО (радиоэлектронной продукции) либо обоснованием применимости переходных положений.

Блок 5. Документы по мерам защиты (приказ № 239)

Базовый набор мер защиты определяется категорией значимости объекта: чем выше категория, тем строже и шире набор. Приказ № 239 группирует меры по 17 направлениям, и каждое подкрепляется своими регламентами, инструкциями и журналами:

  • идентификация и аутентификация (ИАФИдентификация и аутентификация — Группа мер защиты: распознавание и подтверждение подлинности пользователей и устройств.), управление доступом (УПДУправление доступом — Группа мер защиты: разграничение и контроль доступа субъектов к объектам доступа.), ограничение программной среды (ОПС);
  • защита машинных носителей информации (ЗНИЗащита машинных носителей информации — Группа мер защиты: учёт, хранение и гарантированное затирание носителей с информацией.), аудит безопасности (АУДАудит безопасности — Группа мер защиты значимых объектов КИИ (приказ ФСТЭК №239): регистрация событий безопасности, мониторинг и анализ, в том числе анализ уязвимостей (мера АУД.2).), антивирусная защита (АВЗАнтивирусная защита — Меры и средства защиты от вредоносного программного обеспечения.);
  • обнаружение и предотвращение вторжений и компьютерных атак (СОВСистема обнаружения вторжений — Средство выявления компьютерных атак и подозрительной сетевой активности.), обеспечение целостности (ОЦЛОбеспечение целостности — Группа мер защиты: контроль целостности ПО и информации, защита от несанкционированных изменений.) и доступности (ОДТОбеспечение доступности — Группа мер защиты: резервное копирование и отказоустойчивость для доступности информации.);
  • защита технических средств (ЗТС) и защита информационной (автоматизированной) системы и её компонентов (ЗИСЗащита информационной системы, её средств и систем связи — Группа мер защиты по приказам ФСТЭК: межсетевое экранирование, сегментирование сети, защита каналов передачи данных.);
  • реагирование на компьютерные инциденты (ИНЦ), управление конфигурацией (УКФУправление конфигурацией — Группа мер защиты: контроль состава и настроек системы и средств защиты, управление обновлениями.), управление обновлениями программного обеспечения (ОПО);
  • планирование мероприятий по обеспечению безопасности (ПЛН), обеспечение действий в нештатных ситуациях (ДНС), информирование и обучение персонала (ИПО).

На практике реализацию мер подтверждают документы вроде порядка управления учётными записями и привилегиями, регламента защищённого удалённого доступа, порядка анализа уязвимостей и управления обновлениями, регламента аудита и регистрации событий безопасности, а также эксплуатационных журналов и должностных инструкций.

Чего в пакете быть не должно

Раз объект — только значимый объект КИИ и не является одновременно ГИС или ИСПДн, часть документов из «универсальных» шаблонов лишняя и только путает при проверке:

  • приказ и акт классификации информационной системы — это режим ГИС (приказ ФСТЭК № 117, действует с 01.03.2026, ранее № 17). В КИИ классификации нет: её роль выполняют приказ о комиссии по категорированию и акт категорирования;
  • документы по персональным данным — согласия субъектов, определение уровня защищённости по ПП-1119, приказ № 21 ФСТЭК, уведомление в Роскомнадзор. Они относятся к ИСПДн и в «чистом» КИИ-объекте не требуются.

Если же одна и та же система одновременно является и объектом КИИ, и ГИС или фактически обрабатывает персональные данные (а значит, является ИСПДн независимо от того, как её называют), действуют оба режима — тогда наборы складываются, но это отдельный случай. Сориентироваться в разграничении помогает обзор документов по режимам защиты информации и статья про аудит информационных систем.

Ответственность за отсутствие документов

Нарушение требований к безопасности значимых объектов КИИ — административное правонарушение по статье 13.12.1 КоАП РФ: для должностных лиц штраф от 10 000 до 50 000 рублей, для юридических — от 50 000 до 100 000 рублей; за нарушение порядка информирования о компьютерных инцидентах и реагирования на них — до 500 000 рублей для юридических лиц. Отдельно действует уголовная статья 274.1 УК РФ за неправомерное воздействие на КИИ. Поэтому отсутствие или неполнота документального комплекта — это не только замечание по итогам проверки, но и основание для санкций.

Главное

Для значимого объекта КИИ, который не является одновременно ГИС или ИСПДн, пакет строится из пяти блоков: категорирование (ПП-127), организационная система безопасности (приказ № 235), реагирование на инциденты и взаимодействие с ГосСОПКА, проектная и эксплуатационная документация (приказ № 239) и документы по мерам защиты, набор которых зависит от категории значимости. Проверку ФСТЭК проводит по ПП-162 — планово по истечении 3 лет со дня внесения объекта в реестр (либо окончания предыдущей проверки) — и оценивает полноту категорирования, организационные документы приказа № 235 и техническую защиту по приказу № 239. Классификацию и документы по персональным данным в такой пакет включать не нужно: это признаки других режимов защиты информации.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Модель угроз ФСТЭК и реальные угрозы малого бизнеса: как одно ложится на другое

Как формальная модель угроз по методике ФСТЭК 2021 года практически соотносится с типичными угрозами малого бизнеса — фишингом, вредоносными вложениями, шифровальщиками и кражей денег через клиент-банк. Разбираем, кто на самом деле нарушитель для небольшой организации, какие угрозы для неё актуальны и почему грамотная, пропорциональная масштабу модель угроз обосновывает тот же практичный минимум мер, а не бюрократию ради галочки.

Модель угроз ФСТЭК пошагово: как разработать по методике 2021 года

Пошаговый порядок разработки модели угроз безопасности информации по методике ФСТЭК России 2021 года: от определения негативных последствий и объектов воздействия к оценке нарушителей, способам и сценариям реализации угроз и определению их актуальности. Что использовать (Банк данных угроз, УБИ), как оформить и когда актуализировать модель.

Что такое СЗИ простыми словами: виды, классы и сертификация ФСТЭК

Простое объяснение, что такое средства защиты информации (СЗИ): чем они отличаются от криптосредств (СКЗИ), какие бывают виды (межсетевой экран, антивирус, система обнаружения вторжений, средство защиты от несанкционированного доступа), что такое сертификация и уровни доверия ФСТЭК и когда обязательно применять именно сертифицированные средства.

Управление уязвимостями по ФСТЭК: БДУ, процесс и почему обновление стало риском

Как построить процесс управления уязвимостями (vulnerability management) по требованиям ФСТЭК: анализ уязвимостей как мера защиты (АНЗ в приказе №21, АУД в приказе №239), Банк данных угроз (БДУ), методический документ ФСТЭК 2023 года. Пошаговый процесс — инвентаризация, мониторинг, оценка критичности, устранение и контроль — и почему в текущих условиях само обновление ПО стало отдельным риском.