Алексей Ветров
Эксперт по защите данных IC-TECH
У субъекта КИИ нет “волшебной папки из 5 документов”, которую закон прямо перечисляет. Логика такая: какие обязанности у вас возникают – такие документы и должны быть.
Документальный минимум почти всегда делится на 2 части:
• Категорирование (для всех субъектов КИИ): комиссия, материалы оценки, акт, и отправка сведений регулятору.
• Безопасность значимых объектов (если объект стал значимым): документы по созданию и работе системы безопасности + порядок реагирования/уведомлений об инцидентах.
Документальный минимум почти всегда делится на 2 части:
• Категорирование (для всех субъектов КИИ): комиссия, материалы оценки, акт, и отправка сведений регулятору.
• Безопасность значимых объектов (если объект стал значимым): документы по созданию и работе системы безопасности + порядок реагирования/уведомлений об инцидентах.
Что говорит законодательство
Нормативная база, из которой “вытекают” документы субъекта КИИ:
- Правила категорирования (ПП РФ №127): требуют создать комиссию по категорированию и оформить результаты категорирования (акт и др.).
- Форма направления сведений о результатах категорирования – утверждается ФСТЭК (приказ №236 и актуальные изменения к форме, например №247 от 11.07.2025).
- Реестр значимых объектов ведётся по порядку ФСТЭК (приказ №227).
- Если объект значимый, то требования к созданию системы безопасности (приказ ФСТЭК №235) и к обеспечению безопасности значимого объекта (приказ ФСТЭК №239) прямо предполагают наличие и ведение организационно-распорядительной и эксплуатационной документации по безопасности.
- По инцидентам/обмену: порядок информирования и реагирования для значимых объектов (приказ ФСБ №282) и состав/порядок представления информации в ГосСОПКА (приказ ФСБ №367).
Как это работает на практике
Ниже – универсальный “законодательно обусловленный” комплект, который обычно должен быть у субъекта КИИ.
A) Документы по категорированию (как минимум)
- Распоряжение/приказ руководителя о создании комиссии по категорированию (с составом комиссии).
- Перечень (реестр) рассматриваемых объектов КИИ (ИС/сети/АСУ) и материалы, подтверждающие, что они обеспечивают процессы в вашей сфере деятельности.
- Материалы обоснования: описание критических процессов, границ объекта, зависимости, оценка последствий по критериям ПП №127 (как “расчётная часть” категорирования).
- Акт категорирования объекта КИИ (оформление результата; примерная форма привязана к ПП №127).
- Сведения о результатах категорирования, направленные в ФСТЭК по форме (приказ №236 / актуальная редакция формы) + подтверждение отправки/регистрации.
B) Если объект стал значимым – документы по системе безопасности
- Комплект документов по созданию и функционированию системы безопасности значимого объекта (по требованиям ФСТЭК №235).
- Документы, подтверждающие выполнение требований ФСТЭК №239: организационно-распорядительные документы (политики/регламенты/инструкции), эксплуатационная документация и доказательства реализации мер.
- План(ы) реагирования на компьютерные инциденты и порядок информирования/взаимодействия (приказ ФСБ №282).
C) Документы по инцидентам и обмену (для значимых объектов – обязательно)
- Порядок/регламент передачи информации в НКЦКИ (ГосСОПКА) и фактические уведомления/журнал учёта инцидентов (в пределах требований приказов ФСБ №282 и №367).
Выводы и рекомендации
Закон не даёт “одного списка документов на все случаи”, но обязанности по ПП №127 + приказы ФСТЭК/ФСБ делают набор документов фактически обязательным.
Практичная рекомендация: держите две папки:
-
- “Категорирование” (приказ о комиссии, материалы, акт, отправка сведений по форме),
- “Значимый объект” (№235/№239 + №282/№367), если значимость подтверждена.
Следите за актуальностью форм и редакций (например, обновления формы сведений по приказу ФСТЭК №247).
Возникли трудности с категорированием КИИ?
Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.
