ГрамотаИБ ГрамотаИБ

FAQ по КИИ: частые вопросы о 187-ФЗ и категорировании

Короткие ответы на частые вопросы о безопасности критической информационной инфраструктуры (187-ФЗ) со ссылками на подробные разборы. Материалы вычитываем на соответствие действующим НПА.

Кто такой субъект КИИ?

Субъект КИИ — государственный орган, государственное учреждение или российское юридическое лицо, которому на праве собственности, аренды или ином законном основании принадлежат информационные системы, сети или АСУ, функционирующие в одной из значимых сфер (здравоохранение, наука, транспорт, связь, энергетика, банки и финансовый рынок, ТЭК, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и др.). Статус определяется сферой деятельности, а не размером бизнеса. С 1 сентября 2025 года (58-ФЗ) индивидуальные предприниматели субъектами КИИ не признаются.

Субъект КИИ: касается ли вас 187-ФЗ →

Что такое категорирование объекта КИИ?

Это процедура по ПП РФ №127: субъект выявляет объекты КИИ, оценивает возможные последствия компьютерной атаки по показателям значимости и присваивает объекту категорию К1, К2 или К3 либо фиксирует отсутствие категории. Категорирование проводит постоянно действующая комиссия.

Категорирование объекта КИИ по ПП-127 →

Какие категории значимости объектов КИИ бывают?

Три категории: К1 (высшая), К2 и К3. Категория присваивается по наивысшему достигнутому показателю значимости (социальному, политическому, экономическому, экологическому или в области обороны и безопасности). Если ни один показатель не достигнут, объект остаётся КИИ, но без категории (незначимый).

Калькулятор категорирования КИИ →

Учитываются ли уже внедрённые средства защиты при категорировании?

Нет. Масштаб последствий оценивается по наихудшему сценарию (пункт 14(1) ПП-127): предполагается успешная целенаправленная атака с максимальным ущербом. Поэтому эффективность уже реализованных средств защиты на категорию не влияет — оценивается сам масштаб возможных последствий.

Категорирование объекта КИИ по ПП-127 →

В какие сроки направлять сведения во ФСТЭК?

Перечень объектов, подлежащих категорированию, направляется во ФСТЭК в течение 5 рабочих дней после утверждения; само категорирование проводится не дольше 1 года со дня утверждения перечня; сведения о результатах — в течение 10 рабочих дней после утверждения акта (по форме приказа ФСТЭК №236).

ПП РФ №127 (категорирование КИИ) →

Какие документы нужны значимому объекту КИИ?

Для объектов категорий К1–К3: документы категорирования (ПП-127), организационная система безопасности (приказ ФСТЭК №235), проектная и эксплуатационная документация и меры защиты (приказ ФСТЭК №239), а также порядок взаимодействия с ГосСОПКА. Для объекта без категории требования №235/№239 не применяются, но остаются общие обязанности субъекта КИИ: категорирование и его пересмотр, информирование о компьютерных инцидентах и взаимодействие с ГосСОПКА.

Пакет документов для значимого объекта КИИ →

Что такое ГосСОПКА и когда к ней подключаться?

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (курирует ФСБ России через НКЦКИ). Информировать НКЦКИ о компьютерных инцидентах на объектах КИИ обязаны все субъекты КИИ; для владельцев значимых объектов дополнительно установлено взаимодействие с ГосСОПКА в непрерывном режиме.

ГосСОПКА и приказы ФСБ →

Какая ответственность за нарушения по КИИ?

За нарушение требований к безопасности значимых объектов КИИ — административная ответственность по статье 13.12.1 КоАП РФ (штрафы для юрлиц; за нарушение порядка информирования о компьютерных инцидентах и реагирования — до 500 000 рублей), а за неправомерное воздействие на КИИ — уголовная по статье 274.1 УК РФ. Контроль ведёт ФСТЭК по ПП РФ №162.

Пакет документов для значимого объекта КИИ →

Нужен полный разбор под вашу организацию? Зарегистрируйтесь в ГрамотаИБ → — профиль обработки, список мер, документы и готовность к проверке.