Какие последствия наступают при присвоении объекту категории значимости?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Если объекту КИИ присвоили категорию значимости (1/2/3), это означает, что он становится значимым объектом КИИ. С этого момента у организации появляются дополнительные обязательства: нужно официально уведомить ФСТЭК о результатах категорирования, далее — выполнять обязательные требования по защите (набор мер зависит от категории), а также быть готовыми к госконтролю/проверкам и к более формализованной работе с инцидентами.

Что говорит законодательство

Нужно направить результаты категорирования в уполномоченный орган (ФСТЭК)

После утверждения акта категорирования субъект КИИ обязан в течение 10 рабочих дней направить в уполномоченный орган сведения о присвоенной категории (или об отсутствии необходимости присваивать категорию), включая сведения об объекте, угрозах, возможных последствиях, применяемых мерах защиты и др.

Также предусмотрен пересмотр установленной значимости не реже 1 раза в 5 лет (и при изменениях, влияющих на значимость/показатели) с направлением обновлённых сведений при изменении категории.

Включение сведений о значимом объекте в реестр

ФСТЭК ведёт реестр значимых объектов КИИ; порядок ведения реестра утверждён приказом ФСТЭК (и актуализируется — например, приказом ФСТЭК №254 с 01.09.2025).

Начинают действовать обязательные требования по защите значимого объекта

Для значимых объектов КИИ действуют обязательные требования по обеспечению безопасности (приказ ФСТЭК №239), причём состав мер зависит от категории значимости (1/2/3).
Параллельно закреплены требования к созданию системы безопасности значимого объекта и обеспечению её функционирования (приказ ФСТЭК №235).

2.4. Возможны проверки в рамках госконтроля

Для значимых объектов предусмотрен государственный контроль в области обеспечения безопасности (ПП РФ №162).

Более формализованная работа с инцидентами и взаимодействие с ГосСОПКА

Порядок информирования и реагирования по компьютерным инцидентам (в т.ч. для значимых объектов) регулируется актами ФСБ, в частности приказом №282: он описывает информирование через НКЦКИ и необходимость планов реагирования для значимых объектов.

Как это работает на практике

Обычно “последствия” присвоения категории выглядят так:

1. Документы и коммуникации с ФСТЭК
   Акт категорирования утверждён → в течение 10 рабочих дней отправляются сведения по объекту и результатам категорирования.
2. Объект попадает в “контур значимых”
   Дальше объект учитывается в рамках реестра значимых объектов и сопровождается по правилам ФСТЭК (включая актуализацию сведений при изменениях).
3. Нужно “достроить” безопасность до обязательного уровня
   Появляется обязанность выстроить/подтвердить систему безопасности и внедрить набор организационных и технических мер по приказу №239 — набор мер разный для 1/2/3 категории.
4. Проверки и инциденты
   Значимые объекты — это зона повышенного внимания: действует госконтроль (плановый/внеплановый) и более строгая дисциплина по инцидентам/взаимодействию с НКЦКИ (в т.ч. планы реагирования для значимых объектов).

Выводы и рекомендации

Категория значимости = “включение в режим значимого объекта” с тремя ключевыми последствиями:

• Юридическое оформление: отправка результатов в ФСТЭК (10 рабочих дней) + регулярный пересмотр/обновления.
• Обязательная безопасность: внедрение требований ФСТЭК к значимым объектам (меры зависят от категории) и создание/функционирование системы безопасности.
• Контроль и инциденты: госконтроль (ПП №162) и регламентированное взаимодействие по инцидентам/ГосСОПКА (в т.ч. планы реагирования для значимых объектов).

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге