Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Критичность информационного процесса (например, “обработка платежей”, “диспетчеризация”, “учёт и управление ресурсами”, “управление технологическим оборудованием”) определяется очень просто: если его сбой/остановка может привести к существенным негативным последствиям, то процесс считается критическим — и дальше уже смотрят, какие ИС/АСУ/сети обеспечивают этот процесс.

Что говорит законодательство

В правилах категорирования объектов КИИ (ПП РФ №127) “критические процессы” описаны как управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, а также последствиям для обороны страны, безопасности государства и правопорядка.

Там же закреплена логика работ: при категорировании нужно выявить такие критические процессы, а затем определить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) управляют/контролируют/мониторят эти процессы.

Как это работает на практике

Обычно делают так:

1. Описывают процесс: владелец, входы/выходы, какие ИТ-сервисы и данные нужны, какие внешние зависимости.
2. Моделируют “что будет, если процесс встанет/исказится”:
   • сколько времени простоя допустимо (минуты/часы/сутки);
   • какие последствия по людям/услугам/финансам/управлению/экологии/безопасности.
3. Сверяют последствия с “критериями значимости” из ПП №127: если последствия потенциально попадают в перечисленные “тяжёлые” виды (социальные, экономические, безопасность и т.д.), процесс фиксируется как критический.
4. Привязывают процесс к ИТ: какие конкретно ИС/АСУ/сети обеспечивают выполнение процесса — это кандидаты в объекты КИИ для дальнейшего категорирования.

Выводы и рекомендации

Критичность информационного процесса в логике КИИ определяется через последствия его нарушения/прекращения: если они могут быть существенными (социальными, экономическими, по безопасности государства и т.п.), процесс признаётся критическим, и под него дальше “поднимают” обеспечивающие системы как объекты КИИ.

Какие виды отчётности по КИИ нужно предоставлять?

Под «отчётностью по КИИ» обычно понимают какие сведения и куда организация обязана направлять государству в рамках 187-ФЗ. На практике это три ключевых потока:

1. В ФСТЭК — сообщить, какие у вас есть объекты КИИ и чем закончилась процедура категорирования (категория / незначимый).
2. Периодически обновлять эти сведения при пересмотре/изменениях.
3. В ФСБ (НКЦКИ / ГосСОПКА) — сообщать о компьютерных инцидентах (в установленные сроки и формате).

Что говорит законодательство

2.1. Сведения в уполномоченный орган (ФСТЭК) по результатам категорирования

По Правилам категорирования (ПП РФ № 127):

• Перечень объектов КИИ, подлежащих категорированию, после утверждения направляется в уполномоченный федеральный орган в течение 5 рабочих дней.
• Сведения о результатах присвоения категории значимости / об отсутствии необходимости присвоения направляются в течение 10 дней со дня утверждения акта категорирования.
• Не реже 1 раза в 5 лет субъект КИИ обязан пересматривать категорию значимости, и при изменении — направлять сведения о результатах пересмотра в уполномоченный орган.

Форма, по которой направляются «сведения о результатах…», утверждена приказом ФСТЭК № 236 (и актуализируется изменениями, в т.ч. приказом ФСТЭК № 247 от 11.07.2025).

2.2. Информирование о компьютерных инцидентах (линия ФСБ / НКЦКИ / ГосСОПКА)

Для значимых объектов КИИ порядок информирования и реагирования закреплён приказом ФСБ № 282 (с изменениями): субъект КИИ информирует НКЦКИ о компьютерных инцидентах в установленном порядке и сроках (в т.ч. применяется правило «не позднее 24 часов с момента обнаружения» в практической реализации и разъяснениях на ресурсе НКЦКИ).

Состав (перечень) информации, которая представляется в ГосСОПКА, установлен приказом ФСБ № 367.

Как это работает на практике

Что обычно «сдают/направляют» субъекты КИИ (простым языком)

1. A) После старта работ по категорированию

• Утверждаете у себя перечень объектов КИИ, подлежащих категорированию → отправляете его в ФСТЭК в срок (5 рабочих дней).

1. B) После завершения категорирования каждого объекта

• Комиссия оформляет акт категорирования, руководитель утверждает.
• Затем вы направляете в ФСТЭК «Сведения о результатах…» (категория 1/2/3 или «категория не присваивается») в течение 10 дней, строго по форме ФСТЭК.

1. C) Когда что-то меняется

• Если меняются условия, влияющие на значимость/категорию, вы проводите пересмотр.
• Планово — минимум раз в 5 лет.
• Если категория изменилась — направляете обновлённые сведения в ФСТЭК.

1. D) Когда случается компьютерный инцидент

• Внутри — регистрируете, локализуете, расследуете, восстанавливаете.
• Наружу — по требованиям ФСБ/НКЦКИ: направляете сообщение об инциденте в установленном формате и сроке, а также предоставляете набор данных по приказу № 367.

Выводы и рекомендации

Минимальный «набор отчётности» субъекта КИИ обычно сводится к двум направлениям:

1. ФСТЭК:
   • перечень объектов (5 рабочих дней);
   • результаты категорирования (10 дней после акта) по форме ФСТЭК;
   • пересмотр категории не реже чем раз в 5 лет и уведомление при изменениях.
2. ФСБ / НКЦКИ / ГосСОПКА:
   • информирование о компьютерных инцидентах и состав передаваемых данных по приказам № 282 и № 367.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге