Алексей Ветров
Эксперт по защите данных IC-TECH
Если говорить по-простому, у ФСТЭК по КИИ есть два «главных» приказа про защиту значимых объектов (какие меры делать и как строить систему безопасности), и несколько приказов «про процедуру» (как сдавать результаты категорирования и как объект попадает/учитывается в реестре). Именно этот набор чаще всего и спрашивают на проверках/аудитах.
Что говорит законодательство
К ключевым приказам ФСТЭК, применяемым в теме обеспечения безопасности объектов КИИ (в первую очередь значимых объектов), относятся:
- Требования к защите (ядро комплаенса по безопасности)
- Приказ ФСТЭК России от 25.12.2017 № 239
«Требования по обеспечению безопасности значимых объектов КИИ РФ» – основной документ с составом организационных/технических мер и их применимостью по категориям значимости. - Приказ ФСТЭК России от 21.12.2017 № 235
«Требования к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» – как выстраивать систему безопасности (организация работ, процессы, документация, жизненный цикл).
- Приказы, которые “включают режим КИИ” процедурно (категорирование и учёт)
- Приказ ФСТЭК России от 22.12.2017 № 236
Утверждает форму направления сведений о результатах присвоения категории значимости (или об отсутствии необходимости присвоения). - Приказ ФСТЭК России от 11.07.2025 № 247
Вносит изменения в форму из приказа № 236 (официально опубликован 21.08.2025, вступает в силу с 01.09.2025). - Приказ ФСТЭК России от 06.12.2017 № 227
«Порядок ведения реестра значимых объектов КИИ РФ» – правила формирования и ведения реестра значимых объектов. - Приказ ФСТЭК России от 17.07.2025 № 254
Изменяет порядок ведения реестра из приказа № 227 (вступает в силу с 01.09.2025).
Как это работает на практике
- Если у субъекта нет значимых объектов, то приказы № 235 и № 239 формально не становятся “обязательными к внедрению” для конкретного объекта (они именно про значимые объекты), но № 236/247 и процесс передачи результатов категорирования остаются актуальными.
- Как только объект признан значимым и попадает в реестр, «режим безопасности» практически всегда строится так:
категорирование → подача сведений (236/247) → реестр (227/254) → выполнение требований защиты (235 + 239).
Выводы и рекомендации
Минимальный набор приказов ФСТЭК:
- № 239 – какие меры защиты нужны значимому объекту;
- № 235 – как организовать систему безопасности значимого объекта;
- № 236 + № 247 – как правильно оформить и направить результаты категорирования;
- № 227 + № 254 – как объект учитывается в реестре и какие сведения там обязательны.
Возникли трудности с категорированием КИИ?
Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.
