Процедура категорирования объектов критической информационной инфраструктуры (КИИ) завершается подписанием итогового документа — Акта категорирования. В сети часто ищут «Акт категорирования КИИ образец», надеясь просто подставить свои данные в шаблон. Это фатальная ошибка, которая может привести к возврату документов ФСТЭК, внеплановой проверке или даже уголовной ответственности за предоставление недостоверных сведений. Акт — это не формальный бланк, а результат сложных расчетов, уникальных для каждого предприятия.

Акт категорирования — это юридически значимый документ, который фиксирует решение комиссии субъекта КИИ о присвоении объекту одной из категорий значимости (или об отсутствии таковой). Он должен содержать исчерпывающее обоснование принятого решения. Если вы напишете «ущерба нет», но не приведете расчеты, почему именно его нет, ФСТЭК вернет документы на доработку. В худшем случае, если произойдет инцидент, а категория была занижена из-за использования шаблона, руководство понесет ответственность по ст. 274.1 УК РФ.

Структура и содержание Акта

Хотя единой жесткой формы Акта в законе нет, Приказ ФСТЭК № 236 и Постановление Правительства № 127 устанавливают требования к сведениям, которые должны в нем содержаться.
Правильный Акт включает:

  • Сведения об объекте. Полное наименование, архитектура, назначение, используемое ПО и оборудование (включая средства защиты).
  • Сведения о субъекте. Данные организации и ответственных лиц.
  • Анализ угроз. Описание возможных компьютерных атак и нарушителей (модель угроз).
  • Расчет показателей критериев значимости. Самая важная часть. По каждому из 14 показателей (социальные, политические, экономические, экологические) должен быть проведен расчет или дано обоснование неприменимости.
  • Вывод. Присвоенная категория (1, 2, 3) или решение об отсутствии категории.

Почему нельзя использовать «скачанный образец»?

Каждый объект КИИ уникален.
Риски использования шаблонов:

  1. Несоответствие методике. Шаблоны часто содержат устаревшие формулировки или не учитывают специфику отрасли (например, для медицины и ТЭК критерии ущерба разные).
  2. Отсутствие доказательной базы. В шаблоне невозможно отразить реальную архитектуру вашей сети и бизнес-процессы.
  3. Копирование ошибок. Чужой образец может содержать логические ошибки, которые инспектор ФСТЭК выявит за минуту.

Типичные ошибки при составлении

Наши эксперты часто исправляют акты, составленные самостоятельно.
Самые частые проблемы:

  • Отсутствие подписей всех членов комиссии.
  • Несоответствие данных в Акте и в Форме направления сведений (электронной анкете).
  • Занижение категории без расчетов (например, указание «неприменимо» там, где нужно посчитать ущерб в рублях).
  • Игнорирование сценариев атак через цепочки поставок (подрядчиков).

Легализация документа

Акт должен быть утвержден руководителем субъекта КИИ. После этого, в течение 10 дней, сведения из акта переносятся в специальную форму (по Приказу № 236) и направляются в центральный аппарат ФСТЭК (для значимых объектов) или территориальное управление (для незначимых, в зависимости от практики региона). Мы помогаем подготовить документы так, чтобы они прошли проверку регулятора с первого раза, отражая реальную картину защищенности и снимая риски с руководства.

VFS Consulting Юридические решения нового поколения
Акт категорирования КИИ: правила составления и ошибки (не образец)
+7 (495) 266-06-93
  • Юридическая помощь в решении проблемных ситуаций
  • Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

    Получить консультацию

    Кейсы из практики

    cs

    Корректировка Акта категорирования для избежания завышения требований

    Клиент (крупный логистический узел) самостоятельно составил Акт категорирования, ошибочно присвоив всем системам 1-ю (самую высокую) категорию значимости, что влекло затраты на защиту в размере 200 млн рублей. Мы провели перерасчет показателей критериев значимости, обосновали отсутствие критического влияния на экономику региона для ряда систем и подготовили новый Акт. ФСТЭК принял изменения, снизив категорию до 3-й и «без категории» для офисных систем.

    Результат

    Экономия бюджета на ИБ составила 150 млн рублей, документы соответствуют 127-ПП.

    cs

    Подготовка Акта категорирования для медицинской сети с нуля

    Сеть клиник получила предостережение прокуратуры о нарушении сроков категорирования. В компании отсутствовали специалисты по ТЗИ. Мы организовали работу комиссии, выявили критические процессы (диагностика, жизнеобеспечение), рассчитали показатели ущерба здоровью людей и оформили Акт категорирования с присвоением категорий для МИС и лабораторных систем. Документы были направлены во ФСТЭК в установленный срок.

    Результат

    Риск административной и уголовной ответственности снят, клиника вошла в реестр ЗОКИИ.

    Часто задаваемые вопросы

    Ответы на вопросы о документировании процесса категорирования.

    Нужно ли отправлять сам Акт категорирования во ФСТЭК?
    По общему правилу, во ФСТЭК направляются «Сведения о результатах присвоения категории» по установленной форме (Приказ № 236). Сам Акт категорирования хранится в организации. Однако ФСТЭК имеет право запросить Акт для проверки обоснованности решения, поэтому он должен быть оформлен безупречно.
    Сколько хранить Акт категорирования?
    Акт должен храниться в организации до вывода объекта КИИ из эксплуатации или до проведения нового категорирования (пересмотра категории). После этого он подлежит архивному хранению. Рекомендуемый срок — не менее 5 лет (срок пересмотра).
    Кто несет ответственность за ошибки в Акте?
    Персональную ответственность несет руководитель субъекта КИИ, утвердивший Акт. Члены комиссии также несут ответственность за правильность расчетов и выводов. Привлеченный консультант (подрядчик) отвечает по договору, но административная и уголовная ответственность лежит на должностных лицах компании.

    Консультация юриста

    Заполните форму, и наш эксперт свяжется с вами для бесплатной консультации





      Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности