Процедура категорирования объектов критической информационной инфраструктуры (КИИ) завершается подписанием итогового документа — Акта категорирования. В сети часто ищут «Акт категорирования КИИ образец», надеясь просто подставить свои данные в шаблон. Это фатальная ошибка, которая может привести к возврату документов ФСТЭК, внеплановой проверке или даже уголовной ответственности за предоставление недостоверных сведений. Акт — это не формальный бланк, а результат сложных расчетов, уникальных для каждого предприятия.
Акт категорирования — это юридически значимый документ, который фиксирует решение комиссии субъекта КИИ о присвоении объекту одной из категорий значимости (или об отсутствии таковой). Он должен содержать исчерпывающее обоснование принятого решения. Если вы напишете «ущерба нет», но не приведете расчеты, почему именно его нет, ФСТЭК вернет документы на доработку. В худшем случае, если произойдет инцидент, а категория была занижена из-за использования шаблона, руководство понесет ответственность по ст. 274.1 УК РФ.
Структура и содержание Акта
Хотя единой жесткой формы Акта в законе нет, Приказ ФСТЭК № 236 и Постановление Правительства № 127 устанавливают требования к сведениям, которые должны в нем содержаться.
Правильный Акт включает:
- Сведения об объекте. Полное наименование, архитектура, назначение, используемое ПО и оборудование (включая средства защиты).
- Сведения о субъекте. Данные организации и ответственных лиц.
- Анализ угроз. Описание возможных компьютерных атак и нарушителей (модель угроз).
- Расчет показателей критериев значимости. Самая важная часть. По каждому из 14 показателей (социальные, политические, экономические, экологические) должен быть проведен расчет или дано обоснование неприменимости.
- Вывод. Присвоенная категория (1, 2, 3) или решение об отсутствии категории.
Почему нельзя использовать «скачанный образец»?
Каждый объект КИИ уникален.
Риски использования шаблонов:
- Несоответствие методике. Шаблоны часто содержат устаревшие формулировки или не учитывают специфику отрасли (например, для медицины и ТЭК критерии ущерба разные).
- Отсутствие доказательной базы. В шаблоне невозможно отразить реальную архитектуру вашей сети и бизнес-процессы.
- Копирование ошибок. Чужой образец может содержать логические ошибки, которые инспектор ФСТЭК выявит за минуту.
Типичные ошибки при составлении
Наши эксперты часто исправляют акты, составленные самостоятельно.
Самые частые проблемы:
- Отсутствие подписей всех членов комиссии.
- Несоответствие данных в Акте и в Форме направления сведений (электронной анкете).
- Занижение категории без расчетов (например, указание «неприменимо» там, где нужно посчитать ущерб в рублях).
- Игнорирование сценариев атак через цепочки поставок (подрядчиков).
Легализация документа
Акт должен быть утвержден руководителем субъекта КИИ. После этого, в течение 10 дней, сведения из акта переносятся в специальную форму (по Приказу № 236) и направляются в центральный аппарат ФСТЭК (для значимых объектов) или территориальное управление (для незначимых, в зависимости от практики региона). Мы помогаем подготовить документы так, чтобы они прошли проверку регулятора с первого раза, отражая реальную картину защищенности и снимая риски с руководства.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов