Категорирование объектов критической информационной инфраструктуры (КИИ) после изменений в Постановлении №127 вызывает множество вопросов. На практике чаще всего ошибаются при применении пункта 13.1, особенно в отношении “пограничных” систем: 1С, СКУД, CAD.
В этой статье вы получите:
понятное объяснение новой логики категорирования
практический алгоритм (как делать правильно)
типовые ошибки, за которые делают замечания
готовые формулировки, которые подходят для проверок (в том числе ФСТЭК)
Что изменилось: от критериев к роли субъекта
Ранее (пункт 13):
использовались пороговые критерии значимости
допускалась категория “0” (не значимый объект)
Сейчас (пункт 13.1):
критерии в явном виде исключены
введён принцип роли субъекта
установлено правило:
если субъект КИИ является головным исполнителем, объекту КИИ присваивается не ниже 1 категории значимости
Ключевая ошибка: категорируют всё подряд
После изменений многие делают вывод:
“Мы головной исполнитель → всем системам ставим 1 категорию”
❌ Это методически неверно и часто становится причиной замечаний.
Главное правило
Пункт 13.1 применяется только к объектам КИИ, а не ко всей ИТ-инфраструктуре
Правильный алгоритм категорирования КИИ
Шаг 1. Инвентаризация информационных систем
Формируется полный перечень:
ИС
АСУ
сетей и сервисов
Шаг 2. Выделение критических процессов
Определяются процессы, нарушение которых может привести к:
угрозе безопасности
экономическому ущербу
социальным последствиям
нарушению устойчивости функционирования
Шаг 3. Определение объектов КИИ
Система признаётся объектом КИИ, если она:
участвует в выполнении критических процессов
или
влияет на их результат
Шаг 4. Применение пункта 13.1
Если система признана объектом КИИ:
при статусе головного исполнителя
→ присваивается категория не ниже 1
Практический разбор: 1С, СКУД, CAD
Это самые частые запросы:
“нужно ли категорировать 1С КИИ”
“СКУД категория КИИ”
“CAD объект КИИ или нет”
1С (бухгалтерия, HR)
Типовая ситуация:
не участвует в критических процессах
выполняет учетные функции
✔ Вывод:
не является объектом КИИ → не подлежит категорированию
СКУД
Типовая ситуация:
вспомогательная система
не влияет на технологические процессы
✔ Вывод:
не является КИИ
❗ Исключение:
если влияет на безопасность критического объекта
CAD-системы
Типовая ситуация:
используются для проектирования
не участвуют в управлении процессами
✔ Вывод:
не являются КИИ
❗ Исключение:
если интегрированы в контур управления производством
Формулировки для акта категорирования (как “любят” на проверках)
Можно использовать практически дословно
Если система НЕ является КИИ
«Информационная система не участвует в выполнении критических процессов, не оказывает влияния на их результат и не приводит к значимым последствиям в случае нарушения функционирования.
На основании проведённого анализа система не отнесена к объектам критической информационной инфраструктуры и категорированию не подлежит.»
Если система является КИИ
«Информационная система участвует в выполнении критических процессов (указать каких), оказывает влияние на их результат и может привести к значимым последствиям при нарушении функционирования.
В связи с этим система отнесена к объектам КИИ.»
Применение пункта 13.1
«Организация является головным исполнителем в рамках выполняемых функций.
В соответствии с пунктом 13.1 Постановления №127 объекту КИИ присваивается категория значимости не ниже 1.»
Типичные ошибки (за которые делают замечания)
❌ Категорирование всех систем подряд
(1С, почта, видеонаблюдение и т.д.)
❌ Отсутствие обоснования
Нет ответа на вопросы:
почему система КИИ
или почему не КИИ
❌ Игнорирование процессов
Категорирование без привязки к:
бизнес-процессам
последствиям
❌ Неправильное применение п.13.1
Использование его:
до определения объектов КИИ
вместо анализа
Как пройти проверку без проблем
Чтобы не было замечаний:
✔ Разделяйте:
все системы
и объекты КИИ
✔ Фиксируйте:
обоснование “не КИИ”
обоснование категории
✔ Показывайте:
связь системы с процессами
✔ Применяйте п.13.1:
только после отбора объектов КИИ
Краткий итог
Пункт 13.1 не отменяет этап определения КИИ
Не все системы подлежат категорированию
1С, СКУД, CAD — чаще всего не КИИ
Если объект признан КИИ и вы головной исполнитель → категория не ниже 1
Вывод
Новая логика категорирования делает процесс проще, но требует более осознанного подхода:
сначала определить, что является КИИ, и только потом присваивать категорию
Именно это отличает корректное категорирование от формального — и позволяет уверенно проходить проверки.