Почему организации стали получать больше запросов в 2025 году
В 2025 году государственные органы существенно усилили контроль за критической информационной инфраструктурой. Это связано с тем, что стабильная работа информационных систем во многих отраслях напрямую влияет на безопасность людей, бесперебойность услуг и функционирование государства. Поэтому ФСТЭК и прокуратура начали активнее проверять, насколько организации выполняют требования законодательства в области КИИ.
Запросы сейчас приходят в широкий круг организаций — государственным учреждениям, промышленным предприятиям, объектам ЖКХ, транспортным компаниям, учреждениям образования, связи, финансовой сферы и другим. Вне зависимости от формы собственности, надзорные органы хотят убедиться, что каждая организация провела анализ своих систем и понимает, есть ли у нее объекты, которые могут относиться к КИИ.
Главная цель таких запросов — получить от организации подтверждение:
- проводилось ли обследование информационных систем,
- есть ли потенциальные объекты КИИ,
- выполнено ли категорирование объектов КИИ, если такие объекты выявлены,
- направлялись ли сведения в ФСТЭК, если категорирование завершено.
На чём основаны требования надзорных органов
Все запросы ФСТЭК и прокуратуры опираются на конкретные нормы законодательства. Основным документом в этой сфере является Федеральный закон № 187-ФЗ, который обязывает организации проверить свои информационные системы и определить, есть ли среди них такие, нарушение работы которых может привести к значимым последствиям для отрасли, населения или государства. Именно такие системы и считаются объектами КИИ.
Закон прямо указывает: если организация подпадает под одну из сфер, перечисленных в 187-ФЗ, она обязана выявить потенциальные объекты КИИ и, при необходимости, провести их категорирование. Это не добровольная процедура, а юридическое требование.
Контрольные органы руководствуются также приказами ФСТЭК:
- Приказ № 235 — устанавливает порядок категорирования объектов КИИ.
- Приказ № 239 — определяет требования к обеспечению безопасности таких объектов.
Поэтому запросы ФСТЭК и прокуратуры — это не «инициатива» проверяющего специалиста, а исполнение прямых обязанностей государства: убедиться, что каждая организация выполнила требование закона — проверила свои системы и оформила необходимые документы.
Если организация не провела обследование или не может подтвердить результаты, надзорные органы вправе требовать разъяснения, документы и при необходимости — назначать проверку.
Что именно хотят увидеть ФСТЭК и прокуратура
Когда надзорные органы направляют запрос, они ожидают получить не формальную «отписку», а конкретные подтверждающие документы. Главная цель — убедиться, что организация действительно выполнила требования закона и понимает, есть ли у неё объекты КИИ.
Обычно проверяющих интересуют следующие сведения:
1. Проводилось ли обследование информационных систем и процессов
Организация должна подтвердить, что она проанализировала:
- свои информационные системы,
- автоматизированные системы управления,
- технологические процессы,
- сетевую инфраструктуру.
Это обследование нужно не для отчётности, а чтобы понять, есть ли системы, сбой которых может привести к серьёзным последствиям.
2. Есть ли у организации объекты, подпадающие под КИИ
Надзорные органы хотят увидеть:
- выявлены ли потенциальные объекты КИИ,
- по каким критериям они определены,
- как оценивались возможные последствия нарушения их работы.
Если объектов нет — должен быть подготовлен обоснованный документ, подтверждающий результаты обследования.
3. Если объекты КИИ выявлены — выполнено ли категорирование
Запрашиваемые подтверждения — сведения о категорировании каждого объекта КИИ.
Эти документы — прямое доказательство того, что организация исполнила требования 187-ФЗ и приказа ФСТЭК № 235.
Что такое категорирование и зачем оно нужно можно узнать тут.
4. Направлялись ли сведения в территориальный орган ФСТЭК
Если категорирование проведено, организация обязана уведомить ФСТЭК в течении 10 рабочих дней после категорирования.
Надзорные органы хотят увидеть не просто формальную реакцию, а внятную картину:
организация понимает свою ответственность, проверила инфраструктуру и оформила документы в соответствии с законодательством.
Если же сведения отсутствуют, возникает подозрение, что требования закона не выполнялись — и это становится основанием для более тщательной проверки.
Какие действия должна выполнить организация прямо сейчас
Когда приходит запрос от ФСТЭК или прокуратуры, важно не паниковать и не пытаться «отписаться». Надзорные органы ожидают, что организация сможет подтвердить реальную работу по исполнению требований закона. Поэтому алгоритм должен быть чётким и практичным.
Вот что нужно сделать:
1. Провести внутренний анализ ИТ-инфраструктуры
Необходимо понять:
- какие системы используются,
- какие процессы они обеспечивают,
- есть ли среди них те, сбой которых может привести к серьёзным последствиям.
Это базовый шаг — без него невозможно подготовить корректный ответ.
2. Определить, относятся ли какие-либо системы к потенциальным объектам КИИ
Организация должна проверить соответствие систем критериям из 187-ФЗ и приказа № 235:
- важность функций,
- влияние на отрасль,
- возможные последствия нарушений.
Если хотя бы одна система подходит под критерии — это потенциальный объект КИИ.
3. Если объект КИИ есть — провести категорирование
Нужно:
- выполнить оценку последствий,
- определить категорию значимости,
- подготовить документы по установленной форме.
Без этого организация не сможет доказать исполнение требований закона.
4. Если объектов КИИ нет — оформить результаты обследования
Это важно: даже при отсутствии объектов КИИ должно быть официальное подтверждение:
- акт обследования,
- материалы анализа,
- обоснование отсутствия объектов.
Надзорные органы принимают такие документы как корректный ответ.
5. Подготовить ответ на запрос ФСТЭК или прокуратуры
Ответ должен быть:
- точным,
- структурированным,
- подкреплённым документами.
Главная цель — показать, что организация выполнила обязанности, предусмотренные законом.
Сделать эти мероприятия необходимо заранее, а не «в последний день». Сроки в запросах обычно ограниченные. Подготовка документов требует времени. Лучший подход — не ждать, пока придёт очередной запрос, а провести обследование и оформить документы заранее.
Что будет, если требования не выполнить
Игнорирование запроса или отсутствие оформленных документов по КИИ может привести к вполне конкретным последствиям. И речь здесь не о «рекомендациях» — ответственность предусмотрена прямо законом.
Вот что может произойти:
1. Административные штрафы
Если организация не выполнила требования 187-ФЗ или приказов ФСТЭК, к ней могут применить меры. Непредставление в ФСТЭК сведений о присвоении объекту КИИ категории значимости — штраф для юр. лиц 100 000 руб.
2. Предписание с обязательными сроками исполнения
Если документы отсутствуют или выполнены формально, прокуратура или ФСТЭК выдают предписание.
В нём указываются конкретные сроки, в которые организация обязана:
- провести обследование,
- выполнить категорирование,
- направить уведомление,
- устранить выявленные нарушения.
Срывать такие сроки крайне нежелательно — это ведёт к дополнительным мерам ответственности.
3. Повторные проверки и расширение надзорных мероприятий
Если организация не может подтвердить выполнение требований, её могут включить в плановые или внеплановые проверки.
Это означает:
- дополнительную нагрузку,
- запросы документов,
- возможный выезд инспекторов,
- детальное изучение всей ИТ-инфраструктуры.
4. Усиление ответственности в случае инцидента
Если происходит сбой, утечка или нарушение работы системы, а категорирование не выполнено, последствия могут быть значительно серьёзнее:
- ответственность руководителя и ответственных лиц,
- квалификация инцидента как нарушение законодательства,
- привлечение правоохранительных органов при значительных последствиях.
Как мы можем помочь организации провести категорирование
Работа с объектами КИИ — это не просто подготовка документов. Это комплексная задача, в которой важно правильно провести обследование, корректно выполнить категорирование и грамотно оформить результаты. Многие организации сталкиваются с этим впервые, поэтому наша задача — сделать процесс понятным и безопасным.
Вот чем мы можем помочь:
1. Проведем обследование ИТ-инфраструктуры и процессов
Мы анализируем системы, сервисы и технологические цепочки, чтобы понять:
- есть ли потенциальные объекты КИИ,
- по каким критериям они определяются,
- какие данные потребуются для категорирования.
Это основа для дальнейших действий и корректного ответа надзорным органам.
2. Подтвердим или опровергним наличие объектов КИИ
Если объектов КИИ нет — мы документально оформим результаты обследования.
Это поможет сформировать правильный официальный ответ и снять вопросы регулятора.
Если объекты КИИ есть — мы объясним, какие меры нужно предпринять и в каком порядке.
3. Выполнить категорирование “под ключ”
Мы берём на себя:
- определение категории,
- подготовку всех материалов,
- оформление акта категорирования и сведений,
- заполнение информационной карты,
- подготовку уведомления в ФСТЭК.
Все документы будут полностью соответствовать требованиям 187-ФЗ и приказа № 235.
4. Подготовить корректный ответ на запрос ФСТЭК или прокуратуры
Это особенно важно, если надзор требует:
- подтвердить выполнение требований,
- предоставить документы,
- объяснить отсутствие объектов КИИ.
Мы сформируем чёткий и обоснованный ответ, который снимает вопросы проверяющих.
5. Дать рекомендации по дальнейшим действиям
Мы подскажем:
- какие меры стоит внедрить,
- как подготовиться к возможным проверкам,
- какие документы должны быть у организации.
Это позволит избежать ошибок и обеспечить соблюдение законодательства.
Мы не просто выполняем формальные действия — мы помогаем организации пройти весь процесс безопасно, корректно и без риска получить претензии.
Ваша задача — предоставить исходные данные, остальное мы берём на себя.
В заключении
Усиление контроля в 2025–2026 годах — это не разовая кампания, а новый уровень внимания государства к стабильности и безопасности информационных систем. Поэтому запросы от ФСТЭК и прокуратуры получают многие организации, вне зависимости от сферы деятельности и формы собственности. Это нормальная практика, и задача каждой организации — показать, что требования законодательства выполняются.
Чтобы избежать лишних вопросов, важно заранее:
- проверить свои информационные системы,
- определить, есть ли среди них потенциальные объекты КИИ,
- при необходимости провести категорирование и оформить документы,
- быть готовыми предоставить результаты надзорным органам.
Когда обследование проведено, документы оформлены, а позиция организации чётко подтверждена — запросы проверяющих перестают быть проблемой. Это не только защита от штрафов, но и показатель того, что организация ответственно управляет своими рисками и выполняет требования закона.
Если вам нужна помощь с обследованием, категорированием или подготовкой ответа на запрос — мы готовы поддержать вас на любом этапе.
