Категорирование объектов критической информационной инфраструктуры (КИИ) — вещь, о которой многие компании вспоминают, когда уже пришло письмо из ФСТЭК. А ведь, по сути, это не просто  "обязаловка ради галочки", а инструмент, который помогает самому бизнесу понять: какие системы держат компанию «на плаву», а где можно позволить себе пару часов простоя без последствий.

В 2022 году внимание к КИИ выросло в разы. Выросло количество проверок, в части требований — добавилось импортозамещение, в связи с чем еще больше выросла ответственность . Особенно это почувствовали банки, энергетика, транспорт и связь — у этих сфер теперь нет права на «бумажную безопасность».

Закон — это основа, но не инструкция по выживанию

Формально всё держится на трех документах:

• 187-ФЗ «О безопасности критической информационной инфраструктуры»;

• Постановлении № 127-ПП, где описаны правила категорирования объектов.

• Методический документ «Методика оценки угроз безопасности информации, утвержден 5 февраля 2021 г. ФСТЭК России

Эти документы определяют, кто попадает под закон, как выглядит процедура и что делать с результатом. Но в реальности сухие формулировки мало помогают. Чтобы пройти проверку спокойно, нужно понимать не только "что написано", но и "зачем это написано".

Закон охватывает 14 сфер: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, ТЭК, атомная энергетика, ОПК, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Если компания работает хотя бы в одной из них — формально она уже потенциальный субъект КИИ. 

Зачем всё это нужно

Цель категорирования проста — понять, где слабое место, и оценить, какой ущерб принесёт его отказ. Речь не только про деньги. Например: 

• вирус Stuxnet когда-то вывел из строя промышленные системы — урок, который до сих пор изучают во всех службах ИБ;

• сбои в банковских сетях оставляли клиентов без доступа к счетам;

• атаки на ИТ-инфраструктуру энергетиков приводили к массовым отключениям.

Каждый такой случай показывает: угрозы реальны, и ФСТЭК смотрит на компании не как на формалистов, а как на потенциальные источники рисков.

Кто считается субъектом КИИ

Тут без сюрпризов. Субъектами КИИ признаются организации, которые:

• работают в одной из 14 сфер из 187-ФЗ;

• предоставляют услуги населению или государству;

• могут причинить значительный вред при сбое — будь то экология, экономика или безопасность.

Если ваши системы реально влияют на жизнь людей — категория вас, рано или поздно, догонит.

Как это проходит на практике

1. Создаётся комиссия. Руководитель утверждает приказ и включает туда специалистов по ИТ и ИБ.

2. Определяются объекты. Всё, что критично — серверы, системы управления, каналы связи, SCADA-узлы.

3. Собираются данные по форме 236. Архитектура, угрозы, ПО, владельцы, связи — целый список.

4. Оценивается ущерб и присваивается категория:

• 1 категория — критично для государства;

• 2 категория  — для региона или отрасли;

• 3 категория — влияет только на саму компанию;

• без категории — объект незначим.

  5.Заполненые сведения по форме утвержденной 236 приказом ФСТЭК, в течение 10 дней со дня утверждения акта категорирования, отправляется во ФСТЭК России

Дальше инспекция либо подтверждает категорию, либо просит доработать. Если объект признан значимым — он включается в реестр ЗОКИИ, и на него распространяются приказы № 227, 235 и 239.

Ошибки, которые встречаются чаще всего

• Комиссию собирают "для галочки" — без технарей, которые реально понимают архитектуру.

• Рассматривают не все системы, что всплывает во время проверки

• Форма утвержденная 236 приказом заполняется бездумно — в итоге сведения отправляются либо неполные, либо недостоверные.

• При расчете ущерба указывают на неактуальность критериев значимости.

ФСТЭК это видит мгновенно — и акт возвращается "на доработку".

Из реальной практики

У одной энергетической компании под управлением была диспетчерская система. Отказ этой системы — это не просто сбой: на несколько часов встаёт целый регион. Такой объект получил 1 категорию.

А внутренний сервис для техподдержки — хоть и важен для работы персонала, но для внешних пользователей незаметен. Он остался "без категории".

Вроде очевидно, но на проверках именно с такими вещами спорят чаще всего.

Что делать после утверждения категории

Категорию подтвердили — теперь вы официально в реестре.

Дальше начинается рутинная, но важная часть:

• Разработка модели угроз;

• Внедрение мер из 239 приказа ФСТЭК;

• Настройка мониторинга событий;

• Аттестация систем защиты.

Это не лишняя бюрократия, а страховка: если случится инцидент, именно эти документы покажут, что компания всё сделала по правилам.

Также не реже одного раза в 5 лет (или в случае изменения показателей критериев значимости объектов или их значений) необходимо проводить процедуру актуализации сведений. А по прошествии 5 лет необходимо перекатегорироваться.

Как пройти проверку без стресса

• Собирайте документы заранее, а не "к требованию".

• Делайте нормальные описания регламентов защиты, а не копируйте шаблон из интернета.

• Не пытайтесь спорить с ФСТЭК — лучше обоснуйте свои решения фактами по букве закона.

• Привлекайте специалистов — их опыт реально экономит месяцы.

Категорирование — не враг бизнеса, а инструмент, который помогает держать инфраструктуру под контролем. Если подойти к этому осознанно, проверка превращается не в стресс, а в чек-ап системы безопасности. А компании, которые проходят категорирование вдумчиво, потом меньше страдают от аудитов и гораздо спокойнее спят.