Практическая методика для организаций
Категорирование объектов критической информационной инфраструктуры (КИИ) — ключевая обязанность субъектов КИИ по Федеральному закону №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
На практике многие проводят категорирование «по шаблону»: описали систему, заполнили показатели значимости и отправили материалы. Но после появления типовых отраслевых перечней объектов КИИ, уточнений по методологии и роста требований к обоснованиям подход стал заметно более структурированным.
Сегодня категорирование фактически опирается на три уровня источников (и их нужно учитывать одновременно), иначе риск ошибки резко растёт:
1. Федеральное регулирование (187-ФЗ, ПП РФ №127, методические материалы ФСТЭК России)
2. Отраслевые типовые перечни объектов КИИ
3. Методические рекомендации и разъяснения профильных отраслевых регуляторов
Ниже — практическая методика, которую используют в реальных проектах.
1) Нормативная основа: что важно понимать сразу
Категорирование выполняется на основании:
● 187-ФЗ «О безопасности КИИ»
● ПП РФ №127 (показатели значимости, пороги и категории)
● методических материалов/рекомендаций ФСТЭК России
● типовых отраслевых перечней объектов КИИ
● разъяснений и методических рекомендаций отраслевых регуляторов
Ключевой принцип:
Категорирование начинается не с расчёта показателей, а с корректного выделения объектов КИИ.
И именно здесь чаще всего закладывается ошибка, которую потом невозможно «исправить цифрами».
2) Шаг 1. Подтвердить статус субъекта КИИ
Сначала нужно определить, относится ли организация к субъектам КИИ. В логике 187-ФЗ субъектами КИИ являются организации, действующие в критических сферах (например):
● государственное управление
● здравоохранение
● транспорт
● связь
● энергетика / топливно-энергетический комплекс
● банковская сфера / финансовый рынок
● оборонная промышленность
● ракетно-космическая отрасль
● атомная энергетика
● и другие критические отрасли
Практический вывод: если организация работает в одной из таких сфер — она потенциально субъект КИИ, и дальше нужно переходить к объектам, а не ограничиваться «самооценкой на словах».
3) Шаг 2. Поднять отраслевой типовой перечень
После подтверждения сферы деятельности нужно открыть типовой отраслевой перечень объектов КИИ (он задаёт рамку поиска). Перечни обычно фиксируют:
● какие процессы считаются критическими;
● какие информационные/технологические системы могут быть объектами КИИ;
● какие технологические процессы относятся к критической инфраструктуре.
Примеры логики (по сути, «куда смотреть»):
● энергетика — системы управления технологическими процессами (АСУ ТП)
● транспорт — системы диспетчеризации и управления движением
● здравоохранение — информационные системы медицинских организаций
● банковская сфера — системы обработки платежей
Важный принцип:
Если система/процесс прямо попадает в отраслевой перечень — её нельзя игнорировать. Она должна рассматриваться как кандидат в объект КИИ, а не «по желанию ИТ-службы».
4) Шаг 3. Выделить конкретные объекты КИИ (границы категорирования)
Объектами КИИ могут быть:
● информационные системы;
● автоматизированные системы управления;
● информационно-телекоммуникационные сети;
● технологические системы.
На практике объектами категорирования чаще всего становятся:
● корпоративные информационные системы (если они обеспечивают критический процесс);
● системы управления производством/технологией;
● системы диспетчеризации;
● финансовые системы;
● отраслевые технологические платформы.
Важно помнить:
Категорируется не организация, а конкретный объект КИИ.
И нельзя «склеивать» всю инфраструктуру в один объект только потому, что так проще заполнить документы.
5) Шаг 4. Сформировать комиссию по категорированию
Согласно ПП РФ №127 субъект КИИ создаёт комиссию по категорированию. Обычно в состав включают:
● руководителя организации (или представителя)
● специалиста по информационной безопасности
● представителей ИТ-подразделения
● представителей технологических подразделений
● специалистов эксплуатации объекта
Задача комиссии:
● определить перечень объектов КИИ;
● рассчитать показатели значимости;
● установить категорию значимости;
● оформить решение и обоснования.
6) Шаг 5. Определить последствия инцидентов (сначала смысл, потом цифры)
Сердце категорирования — не «технический сбой», а последствия для общества, экономики и государства при нарушении работы объекта.
Оцениваются последствия:
● социальные
● экономические
● экологические
● для обороны и безопасности государства
Комиссия рассматривает наихудшие реалистичные сценарии, например:
● остановка технологического процесса;
● прекращение оказания жизненно важной услуги;
● нарушение функционирования отрасли/территории;
● массовые социальные последствия.
Ключевой фокус:
Рассматриваются не «падение сервера» и не «ошибка в БД», а то, что это вызывает: остановка процесса, срыв услуги, ущерб, риск для людей.
7) Шаг 6. Рассчитать показатели значимости по ПП РФ №127
После сценариев считаются показатели значимости, предусмотренные ПП РФ №127. Обычно это:
● количество граждан, затронутых инцидентом;
● экономический ущерб;
● масштаб нарушения функционирования отрасли/территории;
● влияние на оборону и безопасность государства.
Далее показатели сравниваются с пороговыми значениями и определяется категория:
● I категория — наибольшая значимость
● II категория — значимая
● III категория — умеренная
Если показатели не достигают минимальных порогов, объект может быть признан незначимым.
8) Шаг 7. Учесть методические рекомендации отраслевых регуляторов
Практика последних лет показывает: отраслевые регуляторы часто дают дополнительные уточнения, которые критично влияют на категорирование. Обычно они фиксируют:
● какие системы «точно» относятся к объектам КИИ;
● какие сценарии необходимо рассматривать обязательно;
● какие показатели и подходы к оценке применять.
Примеры по смыслу:
● энергетика — сценарии нарушения энергоснабжения;
● транспорт — остановка/срыв работы транспортной инфраструктуры;
● здравоохранение — прекращение оказания медицинской помощи.
Вывод простой:
Нельзя проводить категорирование «только по ПП №127» и игнорировать отраслевые документы — это прямой путь к спорным выводам и вопросам со стороны регулятора.
9) Шаг 8. Оформить материалы категорирования
По итогам работы комиссии обычно формируется пакет материалов:
1. акт категорирования;
2. описание объекта КИИ (границы, назначение, роль в процессе);
3. расчёт показателей значимости;
4. обоснование выбранной категории (логика «сценарий → последствия → показатели → категория»);
5. решение комиссии.
Материалы направляются в ФСТЭК России в установленном порядке.
10) Типовые ошибки (которые ломают результат)
Чаще всего встречается:
● ❌ игнорирование отраслевых перечней
● ❌ формальное описание объекта без привязки к критическим процессам
● ❌ неверный выбор «наихудшего сценария» (слишком мягкий или нереалистичный)
● ❌ занижение показателей значимости без доказательной базы
● ❌ категорирование всей инфраструктуры «как одного объекта»
● ❌ проведение работ силами одной ИТ-службы без технологов/эксплуатации (в итоге неверная оценка последствий)
Вместо вывода
Категорирование объектов КИИ — это не «таблица по показателям». Это инженерно-управленческий разбор: какие процессы критичны, какие объекты их обеспечивают, что произойдёт при нарушении работы и почему выбранная категория обоснована.
Корректная методика должна учитывать одновременно:
● требования законодательства;
● отраслевые типовые перечни объектов КИИ;
● методические рекомендации и разъяснения профильных регуляторов;
● реальные технологические процессы организации.
Именно такой подход позволяет правильно определить категорию значимости и снижает риск проблем при проверках и согласовании материалов.
©Автор-эксперт: Владислав Халяпин