📞 8 800 300 95 02
Новости Учебного центра

Категорирование объектов КИИ по пункту 13.1 Постановления №127: практическое руководство + формулировки для проверок

2026-04-13 09:20 Изменения в законодательстве
Категорирование объектов критической информационной инфраструктуры (КИИ) после изменений в Постановлении №127 вызывает множество вопросов. На практике чаще всего ошибаются при применении пункта 13.1, особенно в отношении “пограничных” систем: 1С, СКУД, CAD.
В этой статье вы получите:
  • понятное объяснение новой логики категорирования
  • практический алгоритм (как делать правильно)
  • типовые ошибки, за которые делают замечания
  • готовые формулировки, которые подходят для проверок (в том числе ФСТЭК)

Что изменилось: от критериев к роли субъекта

Ранее (пункт 13):
  • использовались пороговые критерии значимости
  • допускалась категория “0” (не значимый объект)
Сейчас (пункт 13.1):
  • критерии в явном виде исключены
  • введён принцип роли субъекта
  • установлено правило:
если субъект КИИ является головным исполнителем, объекту КИИ присваивается не ниже 1 категории значимости

Ключевая ошибка: категорируют всё подряд

После изменений многие делают вывод:
“Мы головной исполнитель → всем системам ставим 1 категорию”
❌ Это методически неверно и часто становится причиной замечаний.

Главное правило

Пункт 13.1 применяется только к объектам КИИ, а не ко всей ИТ-инфраструктуре

Правильный алгоритм категорирования КИИ

Шаг 1. Инвентаризация информационных систем

Формируется полный перечень:
  • ИС
  • АСУ
  • сетей и сервисов

Шаг 2. Выделение критических процессов

Определяются процессы, нарушение которых может привести к:
  • угрозе безопасности
  • экономическому ущербу
  • социальным последствиям
  • нарушению устойчивости функционирования

Шаг 3. Определение объектов КИИ

Система признаётся объектом КИИ, если она:
  • участвует в выполнении критических процессов
  • или
  • влияет на их результат

Шаг 4. Применение пункта 13.1

Если система признана объектом КИИ:
  • при статусе головного исполнителя
  • → присваивается категория не ниже 1

Практический разбор: 1С, СКУД, CAD

Это самые частые запросы:
  • “нужно ли категорировать 1С КИИ”
  • “СКУД категория КИИ”
  • “CAD объект КИИ или нет”

1С (бухгалтерия, HR)

Типовая ситуация:
  • не участвует в критических процессах
  • выполняет учетные функции
✔ Вывод:
не является объектом КИИ → не подлежит категорированию

СКУД

Типовая ситуация:
  • вспомогательная система
  • не влияет на технологические процессы
✔ Вывод:
не является КИИ
❗ Исключение:
если влияет на безопасность критического объекта

CAD-системы

Типовая ситуация:
  • используются для проектирования
  • не участвуют в управлении процессами
✔ Вывод:
не являются КИИ
❗ Исключение:
если интегрированы в контур управления производством

Формулировки для акта категорирования (как “любят” на проверках)

Можно использовать практически дословно

Если система НЕ является КИИ

«Информационная система не участвует в выполнении критических процессов, не оказывает влияния на их результат и не приводит к значимым последствиям в случае нарушения функционирования.
На основании проведённого анализа система не отнесена к объектам критической информационной инфраструктуры и категорированию не подлежит.»

Если система является КИИ

«Информационная система участвует в выполнении критических процессов (указать каких), оказывает влияние на их результат и может привести к значимым последствиям при нарушении функционирования.
В связи с этим система отнесена к объектам КИИ.»

Применение пункта 13.1

«Организация является головным исполнителем в рамках выполняемых функций.
В соответствии с пунктом 13.1 Постановления №127 объекту КИИ присваивается категория значимости не ниже 1.»

Типичные ошибки (за которые делают замечания)

❌ Категорирование всех систем подряд

(1С, почта, видеонаблюдение и т.д.)

❌ Отсутствие обоснования

Нет ответа на вопросы:
  • почему система КИИ
  • или почему не КИИ

❌ Игнорирование процессов

Категорирование без привязки к:
  • бизнес-процессам
  • последствиям

❌ Неправильное применение п.13.1

Использование его:
  • до определения объектов КИИ
  • вместо анализа

Как пройти проверку без проблем

Чтобы не было замечаний:
✔ Разделяйте:
  • все системы
  • и объекты КИИ
✔ Фиксируйте:
  • обоснование “не КИИ”
  • обоснование категории
✔ Показывайте:
  • связь системы с процессами
✔ Применяйте п.13.1:
  • только после отбора объектов КИИ

Краткий итог

  • Пункт 13.1 не отменяет этап определения КИИ
  • Не все системы подлежат категорированию
  • 1С, СКУД, CAD — чаще всего не КИИ
  • Если объект признан КИИ и вы головной исполнитель → категория не ниже 1

Вывод

Новая логика категорирования делает процесс проще, но требует более осознанного подхода:
сначала определить, что является КИИ, и только потом присваивать категорию
Именно это отличает корректное категорирование от формального — и позволяет уверенно проходить проверки.