Title here
Summary here
Приказы ФСТЭК № 236 и № 247: практическое руководство по направлению сведений о категорировании КИИ
1. Два приказа — одна задача
timeline
title Эволюция формы направления сведений о категорировании КИИ
2018 : Приказ ФСТЭК № 236 : Утверждена базовая форма : 9 разделов
2019 : Изменения : Уточнение полей
2025 : Приказ ФСТЭК № 247 от 17.07.2025 : Новые поля : Вступает в силу 01.09.2025
| Приказ | Назначение | Статус на 2026 год |
|---|---|---|
| Приказ № 236 | Утверждает форму направления сведений о категорировании | Действует, но с изменениями |
| Приказ № 247 от 17.07.2025 | Вносит изменения в форму № 236 | Обязателен с 01.09.2025 |
С 1 сентября 2025 года всем субъектам КИИ, которые подают сведения о категорировании или актуализируют их, необходимо использовать новую редакцию формы. Старые шаблоны будут недействительны.
2. Ключевые изменения с 01.09.2025
graph TB
subgraph "Приказ № 236 (до 01.09.2025)"
A1["Раздел 1: Сведения об объекте"]
A2["Раздел 5: ПО и аппаратура"]
A3["Раздел 8: Категория и показатели"]
end
subgraph "Приказ № 247 (с 01.09.2025)"
B1["➕ 1.7: Типовой отраслевой объект"]
B2["➕ 1.8: Доменное имя и IP-адрес"]
B3["➕ 5.1: Модели и производители ПАК"]
B4["➕ 5.4: Сведения о СЗИ (даже если нет)"]
end
A1 --> B1
A1 --> B2
A2 --> B3
A2 --> B4
style B1 fill:#c62828,color:#fff
style B2 fill:#c62828,color:#fff
style B3 fill:#e65100,color:#fff
style B4 fill:#e65100,color:#fff
ФСТЭК хочет чётко идентифицировать объект в интернете (IP/Домен) и сопоставить его с отраслевыми перечнями, которые ведут ведомства (Минэнерго, Минтранс и др.).
3. Пошаговый разбор формы
3.1. Раздел 1: Сведения об объекте КИИ
| Поле | Что указывать | Комментарий |
|---|---|---|
| 1.1 | Наименование объекта | Как в техническом паспорте системы |
| 1.2 | Адреса размещения | Все сегменты, включая филиалы |
| 1.3 | Сфера деятельности | Здравоохранение, энергетика, транспорт и т.д. |
| 1.6 | Архитектура | Клиент-сервер, АСУ ТП, облачная и т.д. |
| 1.7 (новое) | Типовой отраслевой объект | Наименование из перечня, утверждённого РП № 360-р |
| 1.8 (новое) | Доменное имя и внешний IP | Для систем, доступных из интернета |
Комментарий эксперта
Игорь Краев: «Поле 1.7 “Типовой отраслевой объект” — это новая сущность, введённая поправками в 187-ФЗ. Если ваша система подпадает под типовой объект из Распоряжения № 360-р (например, “АСУ ТП подстанции 110 кВ”), укажите его точное наименование. Это упрощает категорирование, но требует предварительной сверки с ведомственным перечнем. По пункту 1.8: если у объекта КИИ есть веб-интерфейс или он доступен извне — вы обязаны указать публичный IP и домен для мониторинга ГосСОПКА».
3.2. Раздел 5: Программные и аппаратные средства
Приказ № 247 ужесточает требования к описанию.
| Поле | Что изменилось |
|---|---|
| 5.1 | Теперь нужно указывать модель и производителя (например, «Сервер YADRO V3», а не просто «Сервер x86») |
| 5.2–5.3 | Операционная система и прикладное ПО |
| 5.4 | Все СЗИ, включая встроенные. Если СЗИ нет — пишем «отсутствуют». Если СЗИ не сертифицировано — указываем «оценка не проводилась» |
graph LR
subgraph "Поле 5.4: Варианты заполнения"
C1["Есть сертификат ФСТЭК"] --> C1a["Указываем реквизиты сертификата"]
C2["Есть декларация о соответствии"] --> C2a["Указываем реквизиты декларации"]
C3["Оценка не проводилась"] --> C3a["Так и пишем: «оценка не проводилась»"]
C4["СЗИ отсутствуют"] --> C4a["Пишем: «отсутствуют»"]
end
style C1a fill:#2e7d32,color:#fff
style C2a fill:#f57f17,color:#fff
style C3a fill:#c62828,color:#fff
style C4a fill:#c62828,color:#fff
Раньше многие ставили прочерк в этом поле. Теперь нужно указывать реальное положение дел. Это позволяет ФСТЭК видеть действительный уровень применения сертифицированных средств на объектах КИИ.
3.3. Раздел 8: Категория значимости и показатели
Самый важный раздел формы.
| Поле | Содержание |
|---|---|
| 8.1 | Категория: 1, 2, 3 или «Не значимый» |
| 8.2 | Значения по каждому критерию: Социальный, Политический, Экономический, Экологический, Оборонный |
| 8.3 | Обоснование значений |
Пример обоснования:
«Показатель “Экономический ущерб” — Низкий. Обоснование: выход из строя данной ИС приведёт к простою одного отдела бухгалтерии, не влияя на основной производственный процесс. Прямые финансовые потери не превысят 50 тыс. рублей за сутки простоя».
Комментарий эксперта
Игорь Краев: «Самая частая ошибка — формальный подход к обоснованию. Нельзя писать просто “Низкий”. Нужно кратко, но убедительно объяснить, почему вы так считаете, со ссылкой на конкретный бизнес-процесс. Если вы завысите категорию — попадёте под более жёсткие требования и лишние затраты. Если занизите — получите штраф и предписание переделать. Обоснование — это ваш главный защитный документ при проверке».
3.4. Раздел 9: Организационные и технические меры
| Поле | Содержание |
|---|---|
| 9.1 | Организационные меры (наличие документов, контролируемая зона) |
| 9.2 | Технические меры (СЗИ, антивирус, межсетевые экраны) |
Важное правило: Если на момент подачи формы система защиты ещё не внедрена (например, объект только признан значимым), в разделе 9 указывается планируемая дата реализации мер и ссылка на План мероприятий (по Приказу № 235).
Не бойтесь отправлять форму, если защита ещё не идеальна. ФСТЭК понимает, что на построение системы нужно время. Главное — показать, что процесс запущен. Пустые поля без пояснений вызовут вопросы.
4. Процедура подачи и рассмотрения
graph TB
START["Субъект КИИ заполняет форму
по Приказу № 236 (ред. № 247)"] START -->|"10 рабочих дней
после утверждения акта"| SEND["Направление во ФСТЭК
в печатном и электронном виде"] SEND --> CHECK["ФСТЭК проверяет сведения
30 рабочих дней"] CHECK -->|"Соответствует"| REG["Включение в реестр КИИ"] CHECK -->|"Не соответствует"| RET["Возврат на доработку
с указанием замечаний"] RET -->|"Исправление"| START REG --> MON["Мониторинг со стороны
отраслевого ведомства"] style REG fill:#2e7d32,color:#fff style RET fill:#c62828,color:#fff
по Приказу № 236 (ред. № 247)"] START -->|"10 рабочих дней
после утверждения акта"| SEND["Направление во ФСТЭК
в печатном и электронном виде"] SEND --> CHECK["ФСТЭК проверяет сведения
30 рабочих дней"] CHECK -->|"Соответствует"| REG["Включение в реестр КИИ"] CHECK -->|"Не соответствует"| RET["Возврат на доработку
с указанием замечаний"] RET -->|"Исправление"| START REG --> MON["Мониторинг со стороны
отраслевого ведомства"] style REG fill:#2e7d32,color:#fff style RET fill:#c62828,color:#fff
5. Чек-лист для ответственного специалиста
graph TB
TASK1["☐ Сверить перечень Типовых отраслевых объектов
РП № 360-р с вашими системами (п. 1.7)"] TASK2["☐ Провести инвентаризацию внешних IP-адресов
и доменных имён (п. 1.8)"] TASK3["☐ Подготовить перечень ПАК с указанием
моделей и производителей (п. 5.1)"] TASK4["☐ Собрать реквизиты сертификатов ФСТЭК
на все применяемые СЗИ (п. 5.4)"] TASK5["☐ Подготовить краткие обоснования
значений показателей ущерба (п. 8.3)"] TASK6["☐ Подготовить описание мер защиты
или План мероприятий (п. 9.1–9.2)"] TASK1 --> TASK2 --> TASK3 --> TASK4 --> TASK5 --> TASK6 style TASK1 fill:#1a237e,color:#fff style TASK6 fill:#2e7d32,color:#fff
РП № 360-р с вашими системами (п. 1.7)"] TASK2["☐ Провести инвентаризацию внешних IP-адресов
и доменных имён (п. 1.8)"] TASK3["☐ Подготовить перечень ПАК с указанием
моделей и производителей (п. 5.1)"] TASK4["☐ Собрать реквизиты сертификатов ФСТЭК
на все применяемые СЗИ (п. 5.4)"] TASK5["☐ Подготовить краткие обоснования
значений показателей ущерба (п. 8.3)"] TASK6["☐ Подготовить описание мер защиты
или План мероприятий (п. 9.1–9.2)"] TASK1 --> TASK2 --> TASK3 --> TASK4 --> TASK5 --> TASK6 style TASK1 fill:#1a237e,color:#fff style TASK6 fill:#2e7d32,color:#fff
6. Кратко о текущем состоянии действий
| Вывод | Действие |
|---|---|
| С 01.09.2025 — только новая форма | Обновить шаблоны и внутренние регламенты |
| Привязка к типовым отраслевым объектам | Сверить системы с РП № 360-р |
| Внешние сетевые идентификаторы | Инвентаризировать IP и домены |
| Детализация ПАК и СЗИ | Указать модели, производителей, сертификаты |
Как «Стратегия Ра» помогает с заполнением формы
Мы выполняем полный цикл работ:
- Сверка с отраслевыми перечнями. Определяем, какие системы соответствуют типовым объектам из РП № 360-р.
- Инвентаризация активов. Собираем данные об IP-адресах, доменных именах, моделях ПАК и сертификатах СЗИ.
- Подготовка обоснований. Помогаем сформулировать убедительные обоснования показателей ущерба.
- Заполнение и сопровождение. Готовим форму по Приказу № 236/247 и сопровождаем её прохождение во ФСТЭК.
Приглашаем к диалогу
Если вы готовитесь к подаче или актуализации сведений о категорировании и хотите избежать возврата формы на доработку, — приглашаем на бесплатную первичную консультацию. Мы проверим комплектность данных и поможем подготовить документы. Напишите нам, и мы договоримся о встрече.
Материал подготовлен на основе лекций и практических кейсов Игоря Краева, генерального директора ООО «Стратегия Ра», апрель 2026 г.