ГрамотаИБ ГрамотаИБ

Приказ ФСТЭК № 236: форма сведений о результатах категорирования КИИ — что заполнять по разделам

Редакция ГрамотаИБ · Опубликовано 12.07.2026

Подробный разбор формы направления сведений о результатах категорирования объекта КИИ (приказ ФСТЭК России № 236 в редакции № 247 от 11.07.2025): все девять разделов формы, что вносить в каждый пункт, нюансы заполнения для распределённых объектов и эксплуатирующих лиц, обоснование неприменимости показателей значимости, порядок и сроки направления сведений во ФСТЭК России.

После утверждения акта категорирования субъект КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. обязан направить во ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России сведения о результатах — присвоенной категории значимости либо об отсутствии необходимости её присвоения. Делается это по форме, утверждённой приказом ФСТЭК России от 22.12.2017 № 236. Ниже — разбор действующей редакции формы (с учётом изменений приказа ФСТЭК России от 11.07.2025 № 247) по разделам: что вносить в каждый пункт и на что обратить внимание.

Материал продолжает статью о пошаговом категорировании объектов КИИ: категорирование заканчивается актом, а форма № 236 — это то, что уходит регулятору по его итогам.

Когда и как направляются сведения

Основание для приказа — пункт 3 части 3 статьи 6 Федерального закона № 187-ФЗ. Ключевые правила направления:

  • сведения направляются в течение 10 рабочих дней со дня утверждения акта категорирования;
  • форма направляется в печатном и электронном виде;
  • сведения подписывает руководитель субъекта КИИ или уполномоченное им лицо, проставляется печать (при наличии);
  • при работе с информацией ограниченного доступа на форме проставляется ограничительная пометка или гриф секретности;
  • форма заполняется по каждому объекту, в отношении которого проведено категорирование, — в том числе по объектам, которым категория не присвоена.

Важно: сведения направляются и тогда, когда объект признан не подлежащим отнесению к значимым. Отсутствие необходимости присвоения категории — это тоже результат категорирования, который отражается в форме.

Что вносится в форму по разделам

Актуальная редакция формы содержит девять разделов. Разберём каждый.

Раздел 1. Сведения об объекте КИИ

Идентификация объекта: наименование; адреса размещения, включая адреса обособленных подразделений, где размещаются сегменты распределённого объекта; сфера деятельности по пункту 8 статьи 2 187-ФЗ; назначение и тип объекта (информационная система, АСУ или информационно-телекоммуникационная сеть); архитектура (одноранговая, клиент-серверная, тонкий клиент, сеть передачи данных, система диспетчерского управления и контроля, распределённая система управления, иная). Редакция № 247 добавила сюда два поля: наименование типового отраслевого объекта КИИ, которому соответствует объект (из перечней типовых отраслевых объектов), и доменное имя и внешний сетевой адрес информационных ресурсов.

Раздел 2. Сведения о субъекте КИИ

Наименование и адрес субъекта; должность и Ф.И.О. руководителя; должностное лицо, на которое возложены функции обеспечения безопасности значимых объектов (а если такого лица нет — руководитель); структурное подразделение или специалист по безопасности значимых объектов с телефоном и адресом электронной почты; ИНН субъекта и КПП обособленных подразделений, где размещаются сегменты распределённого объекта. Обратите внимание: форма запрашивает именно ИНН и КПП, а не ОГРН.

Раздел 3. Взаимодействие объекта с сетями электросвязи

Категория сети электросвязи (общего пользования, выделенная, технологическая, присоединённая к сети общего пользования, специального назначения, другая) либо запись об отсутствии взаимодействия с сетями связи; наименование оператора связи и (или) провайдера хостинга; цель взаимодействия (передача и приём информации, оказание услуг, управление и контроль за оборудованием, иная цель); способ взаимодействия с указанием типа доступа (проводной, беспроводный) и протоколов.

Раздел 4. Лицо, эксплуатирующее объект

Заполняется, если объект эксплуатирует лицо, отличное от субъекта КИИ (например, подрядчик, оператор ЦОД). Указываются наименование юрлица или Ф.И.О. индивидуального предпринимателя, адрес, элемент (компонент) объекта, который эксплуатируется этим лицом (объект в целом, ЦОД, серверное оборудование, технологическое оборудование, иные компоненты), а также ИНН и КПП. Здесь ИП фигурирует только как эксплуатирующее объект лицо: субъектом КИИ индивидуальный предприниматель с 1 сентября 2025 года не является (Федеральный закон от 07.04.2025 № 58-ФЗ). Если объект целиком эксплуатирует сам субъект — раздел отражает это.

Раздел 5. Программные и программно-аппаратные средства

Один из самых объёмных разделов: наименования программно-аппаратных средств (модели и производители компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа) с указанием количества; общесистемное ПО (клиентские и серверные ОС, средства виртуализации); прикладные программы, обеспечивающие функции объекта; применяемые средства защиты информации с указанием моделей, производителей и реквизитов сертификатов соответствия (или иных документов оценки соответствия) либо сведения об их отсутствии.

Раздел 6. Угрозы безопасности информации и категории нарушителей

Категория нарушителя (внешний или внутренний) и краткая характеристика его возможностей (оснащённость, знания, мотивация) либо обоснование невозможности реализовать угрозы; основные угрозы безопасности информации или обоснование их неактуальности. Раздел опирается на модель угроз объекта.

Раздел 7. Возможные последствия компьютерных инцидентов

Типы компьютерных инцидентов, которые могут произойти в результате реализации угроз, в том числе целенаправленных атак: отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация (подмена) данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов — либо обоснование невозможности наступления инцидентов.

Раздел 8. Категория значимости и результаты оценки показателей

Ядро формы. В подпункте 8.1 указывается присвоенная категория (первая, вторая или третья) либо запись о неприсвоении. В подпункте 8.2 — полученные значения по каждому показателю критериев значимости или информация о неприменимости показателя. В подпункте 8.3 — обоснование значений или обоснование неприменимости. По экономическим показателям (№ 8 — ущерб субъекту, № 9 — ущерб бюджетам, № 10 — прекращение финансовых операций) в обосновании приводится краткое описание расчёта; как его выполнить, разобрано в статье «Оценка экономического ущерба при категорировании КИИ», а прикинуть значения помогают калькулятор категорирования и калькулятор экономического ущерба.

Раздел 9. Меры обеспечения безопасности

Организационные меры (установление контролируемой зоны, контроль физического доступа, разработка регламентов, инструкций и руководств) и технические меры (идентификация и аутентификация, управление доступом, ограничение программной среды, антивирусная защита и иные) в соответствии с требованиями приказа ФСТЭК России № 239 — либо сведения об отсутствии необходимости их применения (для объектов без категории значимости).

Нюансы, из-за которых сведения возвращают на доработку

  • Оценка по наихудшему сценарию. Показатели значимости (раздел 8) оцениваются исходя из максимально возможного ущерба по наихудшему сценарию атаки (ПП-127); в качестве снижающих ущерб компенсирующих мер допускается учитывать только те, реализация которых не может быть нарушена самой атакой.
  • Обоснование неприменимости. Если показатель к объекту неприменим, недостаточно поставить прочерк — нужно указать причину (например, субъект не относится к типам организаций показателя № 8 или не осуществляет выплат в бюджеты по показателю № 9).
  • Распределённый объект. Для объекта с сегментами в разных местах в разделах 1 и 2 указываются адреса обособленных подразделений и КПП по каждому из них.
  • Реквизиты СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК.. В разделе 5 по средствам защиты информации приводятся реквизиты сертификатов соответствия; отсутствие оценки соответствия также фиксируется.
  • Актуальная редакция. Используйте форму в редакции приказа № 247 от 11.07.2025 — прежние бланки без полей о типовом отраслевом объекте и сетевых реквизитах устарели.
  • Подпись и печать. Форму подписывает руководитель субъекта или уполномоченное им лицо; при наличии печати она проставляется.

Что происходит после направления

ФСТЭК России проверяет представленные сведения. Значимые объекты вносятся в реестр значимых объектов КИИ; при замечаниях материалы возвращаются на доработку с указанием недостатков. После устранения замечаний сведения направляются повторно.

Главное

Форма приказа № 236 — итоговый документ категорирования, который субъект КИИ направляет во ФСТЭК России по каждому объекту в течение 10 рабочих дней после утверждения акта. Действующая редакция (№ 247 от 11.07.2025) состоит из девяти разделов: от идентификации объекта и субъекта до угроз, последствий инцидентов, результатов оценки показателей значимости и мер защиты. Типичные причины возврата — прочерки вместо обоснования неприменимости показателей, устаревший бланк и неполные сведения о распределённых сегментах и средствах защиты. Подготовить перечень объектов, акт категорирования и сведения по форме № 236 можно в сервисе ГрамотаИБ.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Оценка экономического ущерба при категорировании КИИ: показатели № 8, № 9, № 10 и проект методики ФСТЭК

Как субъекту КИИ оценить экономический ущерб при категорировании: показатели экономической значимости № 8 (ущерб субъекту КИИ), № 9 (ущерб бюджетам РФ) и № 10 (прекращение финансовых операций) перечня ПП-127, расчётные соотношения проекта методического документа ФСТЭК, наихудший сценарий и составляющие ущерба, экспертный метод и состав экспертной группы. Почему методика ФСТЭК остаётся проектом, чем руководствоваться до её утверждения и как комиссия по категорированию может правомерно применить расчётные соотношения проекта.

Пакет документов для значимого объекта КИИ: что проверяет ФСТЭК

Полный перечень документов для значимого объекта критической информационной инфраструктуры (К1-К3), когда объект не является одновременно ИСПДн или ГИС. Правовая рамка (187-ФЗ, ПП-127, приказы ФСТЭК №235 и №239), порядок проверки ФСТЭК по ПП-162 и что именно смотрит регулятор, пять блоков обязательных документов, чего в пакете быть не должно и ответственность за нарушения.

Импортозамещение СЗИ и ПО: запрет иностранного, реестр отечественного и что делать оператору

Кого и с каких сроков касается запрет иностранных средств защиты информации и программного обеспечения: Указ Президента №250 (СЗИ из недружественных государств), Указ №166 и 187-ФЗ (иностранное ПО на значимых объектах КИИ), реестр российского ПО и госзакупки. Практические шаги для оператора по переходу на отечественные сертифицированные решения.

Квалификационные требования к специалистам по информационной безопасности (Указ №250, КИИ)

Какие требования к квалификации предъявляются к сотрудникам по информационной безопасности: профстандарты, лицензионные требования, силы безопасности значимых объектов КИИ (приказ ФСТЭК №235) и Указ Президента №250 с типовым положением (ПП №1272). Какое образование нужно заместителю руководителя по ИБ и работникам подразделения, зачем нужны профессиональная переподготовка и повышение квалификации и при чём здесь перечень программ, согласованных с ФСТЭК.