Значимый объект КИИ – это тот же объект КИИ, но “повышенной важности”: ему официально присвоили категорию значимости (1, 2 или 3) и его внесли в реестр значимых объектов.
Простая аналогия: все объекты КИИ = весь список, а значимые объекты = те, которые прошли “отбор по последствиям” и попали в реестр.
Что говорит законодательство
В 187-ФЗ закреплены ключевые определения:
- Объекты КИИ – это информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ.
- Значимый объект КИИ – это объект КИИ, которому присвоена одна из категорий значимости и который включён в реестр значимых объектов КИИ.
Категория присваивается по процедуре категорирования по правилам Правительства РФ (ПП №127).
Реестр значимых объектов ведётся по порядку ФСТЭК (приказ №227 и его актуальные изменения, например №254).
Как это работает на практике
1) Сначала вы определяете “просто объект КИИ”
Выявляете у себя ИС/сети/АСУ, которые подпадают под КИИ (по типам из закона).
2) Потом решаете, станет ли он “значимым”
Проводите категорирование по ПП №127: оцениваете последствия по критериям/показателям и либо присваиваете категорию (1/2/3), либо обосновываете отсутствие категории.
3) Если присвоили категорию – объект становится “значимым” только после реестра
То есть важны оба признака: категория + включение в реестр.
(С учётом изменений 2025 года ФСТЭК также проверяет корректность категорирования и затем вносит сведения в реестр.)
4) В чём практическая разница по обязанностям
- Для значимых объектов обязательны требования ФСТЭК по построению/функционированию системы безопасности (№235) и по мерам защиты (№239) – они привязаны к категории значимости.
- Для не-значимых объектов КИИ этих “категорийных” требований (№235/№239) в таком виде нет, но обязанность корректно провести категорирование и оформить результат – остаётся.
Выводы и рекомендации
Объект КИИ = ИС/сеть/АСУ субъекта КИИ.
Значимый объект КИИ = объект КИИ, которому присвоили категорию (1–3) и внесли в реестр.
