Какие полномочия имеет ФСТЭК в сфере КИИ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Если совсем по-человечески: ФСТЭК – это “главный регулятор и проверяющий” по безопасности КИИ (именно по линии 187-ФЗ). Он устанавливает, как защищать значимые объекты, принимает от компаний результаты категорирования, проверяет их, ведёт реестр значимых объектов и может прийти с проверкой, если объект значимый.

Что говорит законодательство

Полномочия уполномоченного органа в сфере безопасности КИИ (эту роль выполняет ФСТЭК) прямо перечислены в ст. 6 187-ФЗ. Ключевые из них:

• утверждать порядок ведения и вести реестр значимых объектов КИИ;
• утверждать форму направления сведений о результатах категорирования;
• устанавливать требования по обеспечению безопасности значимых объектов и требования к созданию систем безопасности и их функционированию (для ИТКС – по согласованию с органом в сфере связи; для финрынка – по согласованию с Банком России);
• осуществлять госконтроль (надзор) за безопасностью значимых объектов и утверждать форму акта проверки.

Также ст. 7 187-ФЗ закрепляет “операционную” часть полномочий: ФСТЭК получает сведения о категорировании, проверяет соблюдение порядка и корректность категории, вносит объект в реестр либо возвращает сведения с мотивировкой.

Отдельно: в “Положении о ФСТЭК” (утв. Указом Президента РФ №1085) прямо указано, что ФСТЭК осуществляет функции по обеспечению безопасности КИИ, включая госконтроль по значимым объектам и нормативное регулирование в этой части.

Подзаконные акты, которыми ФСТЭК реализует эти полномочия, на практике чаще всего “узнаваемы” по номерам:

• Приказ №239 – требования по обеспечению безопасности значимых объектов КИИ;
• Приказ №235 – требования к созданию систем безопасности значимых объектов и обеспечению их функционирования;
• Приказ №227 – порядок ведения реестра значимых объектов (с актуальными изменениями, напр. приказ №254, вступает в силу с 01.09.2025);
• Приказ №236 – форма направления сведений о результатах категорирования (обновления, напр. приказ №247, вступает в силу с 01.09.2025).
• ПП РФ №162 – правила осуществления госконтроля (надзора) в области безопасности значимых объектов КИИ.

Как это работает на практике

Обычно взаимодействие с ФСТЭК у субъекта КИИ выглядит так:

1. Категорировали объект → в течение 10 дней направили в ФСТЭК сведения по утверждённой форме.
2. ФСТЭК в течение 30 дней проверяет: соблюдён ли порядок категорирования и правильно ли присвоена категория / обоснованно ли “без категории”.
3. Если всё корректно – объект с категорией попадает в реестр значимых объектов; если нет – сведения возвращают с мотивировкой для исправления и повторной отправки.
4. Если объект значимый, то дальше включается “надзорная” часть: ФСТЭК вправе проводить госконтроль по правилам ПП №162, а соответствие мерам/процессам обычно сверяется с требованиями №239 и №235.

Выводы и рекомендации

ФСТЭК в КИИ – это одновременно:

• нормотворец по требованиям безопасности значимых объектов,
• администратор реестра,
• орган, который проверяет результаты категорирования,
• контролёр (надзор) по значимым объектам.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге