Показатели
Критериев значимости объектов критической информационной инфраструктуры Российской Федерации
И их значения
| № п/п | Показатель | Значение показателя |
| III категория | II категория | I категория |
| I. Социальная значимость | ||||
| 1.1 | Возможно причинение ущерба жизни и здоровью людей, оцениваемое: а) в количестве людей, жизни и здоровью которых возможно причинение ущерба (КЛ), человек | 1 <=КЛ <= 50 | 50<КЛ<= 500 | КЛ > 500 |
| 1.2 | Возможно прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, оцениваемое: а) в размере территории, на которой нарушено функционирование объектов обеспечения жизнедеятельности населения; б) в количестве людей, условия жизнедеятельности которых нарушены (КЛ), в тыс. чел. | затрагивает территорию одного муниципального образования или одной внутригородской территории города федерального значения; 100 <КЛ<=1000 | выходит за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; 1000<КЛ<=5000 | выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; КЛ>5000 |
| 1.3 | Возможно прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемое: а) в размере территории, на которой нарушено транспортное сообщение или предоставление транспортных услуг; б) в количестве людей, для которых недоступны транспортные услуги (КЛ), в тыс. чел. | затрагивает территорию одного муниципального образования или одной внутригородской территории города федерального значения; 100 <КЛ<=1000 | выходит за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; 1000<КЛ<=5000 | выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; КЛ>5000 |
| 1.4 | Возможно прекращение или нарушение функционирования функций (сервисов) по управлению сетью связи, оцениваемое: а) в размере территории, на которой возможно прекращение или нарушение функционирования сети связи; б) в количестве людей, для которых не доступны услуги связи (КЛ), в тыс. чел. | затрагивает территорию одного муниципального образования или одной внутригородской территории города федерального значения; 100 <КЛ<=1000 | выходит за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; 1000<КЛ<=5000 | выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; КЛ>5000 |
| 1.5 | Возможно отсутствие более 4-х часов доступа к государственным услугам, предоставляемым в электронном виде, оцениваемое: а) в уровне доступности услуги для граждан (УД), в процентах от общего числа зарегистрированных пользователей; б) в уровне (значимости) государственного органа | УД<=10; органы государственной власти субъекта Российской Федерации или города федерального значения | 10 < УД <= 30; федеральный орган исполнительной власти | 30 < УД <= 50 |
| II. Политическая значимость | ||||
| 2.1 | Возможно прекращение или нарушение функционирования более чем на 4 часа государственной информационной системы, обеспечивающей политические процессы, оцениваемое: а) в уровне (значимости) государственного органа | органы государственной власти субъекта Российской Федерации или город федерального значения | федеральный орган исполнительной власти | орган государственной власти (Администрация Президента Российской Федерации, Правительство Российской Федерации, Федеральное Собрание Российской Федерации, Совет Безопасности Российской Федерации, Верховный Суд Российской Федерации, Конституционный Суд Российской Федерации) |
| 2.2 | Возможно прекращение и (или) нарушение функционирования более чем на 4 часа официального сайта государственного органа, оцениваемое: а) в уровне (значимости) государственного органа | органы государственной власти субъекта Российской Федерации или город федерального значения | федеральный орган исполнительной власти | орган государственной власти (Администрация Президента Российской Федерации, Правительство Российской Федерации, Федеральное Собрание Российской Федерации, Совет Безопасности Российской Федерации, Верховный Суд Российской Федерации, Конституционный Суд Российской Федерации) |
| 2.3 | Возможно нарушение условий заключенного международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемое: а) в уровне международного договора Российской Федерации | договор межведомственного характера | межправительственный договор | межгосударствен-ный договор |
| III. Экономическая значимость | ||||
| 3.1 | Возможно возникновение прямого или косвенного ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным предприятием, государственной компанией, организацией с участием государства и (или) включен в перечень стратегических акционерных обществ и стратегических предприятий, оцениваемое: а) в снижении уровня доходов (Д), в процентах от прогнозируемого объема доходов | 5 < Д <= 10 | 10 < Д <= 15 | Д > 15 |
| 3.2 | Возможно возникновение прямого или косвенного ущерба бюджетам Российской Федерации, оцениваемое: а) в снижении доходов федерального бюджета (ФБ), в процентах от прогнозируемого дохода соответствующего бюджета; б) в снижении доходов бюджета субъекта Российской Федерации (РБ), в процентах от прогнозируемого дохода соответствующего бюджета; в) в снижении доходов бюджетов государственных внебюджетных фондов (БФ), в процентах от прогнозируемого дохода соответствующего бюджета | 0,001 < ФБ <= 0,05; 0,01 < РБ <= 0,5; 0,5 < БФ <= 1 | 0,05 < ФБ <= 0,1; 0,5 < РБ <= 1; 1 < БФ <= 5 | ФБ > 0,1; РБ > 1; БФ > 5 |
| 3.3 | Возможно ограничение более чем на 2 часа получения населением доступа к банковскому счету, осуществления переводов денежных средств, получения финансовых услуг, предоставляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно, национально, социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое: а) в размере территории, на которой возможно ограничение доступа к банковскому счету, осуществлению переводов денежных средств, получению финансовых услуг; б) в количестве людей, для которых ограничен доступ к банковскому счету, осуществлению переводов денежных средств, получению финансовых услуг (КЛ), в тыс. чел. | затрагивает территорию одного муниципального образования или одной внутригородской территории города федерального значения; 100 <КЛ<=1000 | выходит за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; 1000<КЛ<=5000 | выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; КЛ>5000 |
| IV. Экологическая значимость | ||||
| 4.1 | Возможны вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния площадей земель в результате выбросов или сбросов загрязняющих веществ), выраженные: а) в размере территории, на которой окружающая среда подверглась вредным воздействиям; б) в количестве людей, подвергшихся вредным воздействиям (КЛ), в тыс. чел. | затрагивает территорию одного муниципального образования или одной внутригородской территории города федерального значения; 100 <КЛ<=1000 | выходит за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; 1000<КЛ<=5000 | выходит за пределы территории одного субъекта Российской Федерации или территории города федерального значения; КЛ>5000 |
| V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка | ||||
| 5.1 | Возможно прекращение или нарушение (в том числе невыполнение установленных временных показателей) функционирования пункта управления (ситуационного центра), выраженное: а) в уровне (значимости) пункта управления или ситуационного центра (ПУ) | орган исполнительной власти субъекта Российской Федерации | федеральный орган исполнительной власти или государственная корпорация | пункт управления государством или ситуационный центр органа государственной власти (Администрация Президента Российской Федерации, Правительство Российской Федерации, Федеральное Собрание Российской Федерации, Совет Безопасности Российской Федерации, Верховный Суд Российской Федерации, Конституционный Суд Российской Федерации) |
| 5.2 | Возможно снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры, выраженное: а) в снижение объемов продукции (работ, услуг) в заданный период времени (ОП), в процентах от заданного объема продукции; б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (ВП), в днях | 5< ОП<= 10; 1< ВП<= 5 | 10< ОП<= 15; 5< ВП<= 10 | ОП > 15; ВП > 10 |
 |
Утверждены
постановлением Правительства
Российской Федерации
от «___»________ 2017 г. №___
Порядок и сроки категорирования объектов критической информационной инфраструктуры Российской Федерации
1. Настоящие Порядок определяет состав работ и сроки категорирования объектов критической информационной инфраструктуры Российской Федерации (далее – критическая информационная инфраструктура).
2. Категорирование объектов критической информационной инфраструктуры представляет собой установление соответствия объектов критической информационной инфраструктуры критериям значимости и их показателям, присвоение объектам критической информационной инфраструктуры одной из категорий значимости, а также проверку сведений о результатах присвоения категории значимости.
3. Категорирование объектов критической информационной инфраструктуры осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или на ином законном основании объектов критической информационной инфраструктуры.
4. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций или осуществления основных видов деятельности субъектов критической информационной инфраструктуры.
5. Определение категорий значимости объектов критической информационной инфраструктуры осуществляется на основании показателей критериев значимости объектов критической информационной инфраструктуры и их значений, утвержденных Правительством Российской Федерации.
6. Категорирование объектов критической информационной инфраструктуры включает:
а) инвентаризацию всех процессов в рамках выполнения функций или осуществления основных видов деятельности субъекта критической информационной инфраструктуры;
б) выявление критических процессов, нарушение и (или) прекращение функционирования которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям или негативным последствиям для обеспечения обороны страны, безопасности государства и правопорядка, выраженным в показателях критериев значимости (далее - критические процессы);
г) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
д) оценку в соответствии со значениями показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, в результате которых возможны неправомерный доступ к информации, уничтожение, модифицирование, блокирование, копирование, предоставление или распространение информации, а также иные неправомерные действия, которые могут привести к нарушению управления, контроля или мониторинга критических процессов;
е) установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости.
7. По результатам категорирования объекту критической информационной инфраструктуры присваивается категория, соответствующая показателю критериев значимости с наивысшим значением.
Для показателей критериев значимости, для которых установлено два или более значений (территория, количество людей), оценка производится по каждому значению, а категория присваивается по наивысшему значению показателя.
Если показатель критерия значимости неприменим для объекта критической информационной инфраструктуры или объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория такому объекту критической информационной инфраструктуры не присваивается.
8. Устанавливаются три категории значимости объектов критической информационной инфраструктуры – третья, вторая и первая.
9. Для категорирования объектам критической информационной инфраструктуры субъекты критической информационной инфраструктуры могут привлекать организации, имеющие соответствующую лицензию на деятельность в области защиты информации.
10. Для вновь создаваемого объекта критической информационной инфраструктуры его категория определяется при формировании заказчиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры.
11. Категорирование объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры, но используемых для целей контроля и управления технологическим и (или) производственным оборудованием, принадлежащим другому субъекту критической информационной инфраструктурой, осуществляется по согласованию между ними.
12. Для проведения категорирования субъект критической информационной инфраструктуры в течение шести месяцев со дня вступления в силу настоящего Порядка формирует перечень объектов критической информационной инфраструктуры, подлежащих категорированию, с указанием сроков проведения их категорирования.
В перечень включаются объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов субъекта критической информационной инфраструктуры.
Перечень объектов критической информационной инфраструктуры, подлежащих категорированию, утверждается субъектом критической информационной инфраструктуры по согласованию федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры, и государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере.
13. Исходными данными для категорирования объекта критической информационной инфраструктуры являются:
а) сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики подключений к сетям связи);
б) управленческие, технологические, производственные, финансово-экономические или иные процессы в рамках выполнения функций или осуществления основных видов деятельности субъекта критической информационной инфраструктуры;
в) информация, функции или сервисы объектов критической информационной инфраструктуры, которые обеспечивают процессы в рамках выполнения функций или осуществления основных видов деятельности субъектов критической информационной инфраструктуры;
г) декларация промышленной безопасности опасного производственного объекта, на котором функционирует объект критической информационной инфраструктуры, если ее разработка предусмотрена законодательством Российской Федерации;
д) сведения о страховании случаев нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры или деятельности субъекта критической информационной инфраструктуры, в случае если такое страхование осуществлялось;
ж) взаимодействие объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры;
з) сведения о реализованных мерах по обеспечению безопасности объекта критической информационной инфраструктуры;
и) виды угроз безопасности информации и модели нарушителей в отношении объекта критической информационной инфраструктуры, а также данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры данного типа.
14. Для проведения категорирования объекта критической информационной инфраструктуры решением субъекта критической информационной инфраструктуры создается комиссия по категорированию (далее - комиссия), в состав которой включаются:
а) руководитель субъекта критической информационной инфраструктуры или заместитель руководителя, на которого возложены функции обеспечения безопасности объектов критической информационной инфраструктуры;
б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых основных видов деятельности, в области информационных технологий и связи, по эксплуатации основного технологического оборудования, технологической (промышленной) и пожарной безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;
в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности объекта критической информационной инфраструктуры;
г) работники структурного подразделения по гражданской обороне объекта или работники, уполномоченные на решение задач в области гражданской обороны.
В состав комиссии могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с ними.
15. Комиссию возглавляет руководитель субъекта критической информационной инфраструктуры или заместитель руководителя, на которого возложены функции обеспечения безопасности объектов критической информационной инфраструктуры.
16. В ходе работы комиссия:
а) проводит инвентаризацию всех процессов в рамках выполнения функций или осуществления основных видов деятельности субъекта критической информационной инфраструктуры;
б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;
в) выявляют объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) определяет возможные сценарии действий нарушителей в отношении объекта критической информационной инфраструктуры, а также иные источники угроз безопасности информации;
д) выявляет угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объекте критической информационной инфраструктуры;
е) оценивает возможные последствия от компьютерных инцидентов на объекте критической информационной инфраструктуры.
17. Решение комиссии оформляется актом категорирования, который должен содержать сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности и уязвимостей объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых дополнительных мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
Акт категорирования утверждается руководителем субъекта критической информационной инфраструктуры или заместителем руководителя, на которого возложены функции обеспечения безопасности объектов критической информационной инфраструктуры.
Субъект критической информационной инфраструктуры обеспечивает хранение акта категорирования в течение срока эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости объекта критической информационной инфраструктуры.
18. Субъект критической информационной инфраструктуры в десятидневный срок со дня утверждения акта категорирования направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
Указанные сведения направляются по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
19. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, в тридцатидневный срок со дня получения сведений о результатах категорирования проверяет соблюдение настоящего Порядка и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из категорий значимости.
20. В случае если субъектом критической информационной инфраструктуры соблюден настоящий Порядок и объекту критической информационной инфраструктуры правильно присвоена одна из категорий значимости, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, вносит сведения о таком объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.
21. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, в десятидневный срок со дня поступления представленных сведений о результатах категорирования объекта критической информационной инфраструктуры возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.
22. Субъект критической информационной инфраструктуры после получения мотивированного обоснования причин возврата сведений о результатах категорирования объекта критической информационной инфраструктуры не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
23. В случае непредставления субъектом критической информационной инфраструктуры сведений о результатах категорирования объекта критической информационной инфраструктуры федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, направляет в адрес указанного субъекта требование о необходимости соблюдения положений статьи 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» и настоящего Порядка.
24. Категория значимости, к которой отнесен значимый объект критической информационной инфраструктуры, может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:
а) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
б) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;
в) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.
25. Субъект критической информационной инфраструктуры не реже, чем один раз в 5 лет осуществляет пересмотр установленной категории объекта критической информационной инфраструктуры в соответствии с настоящим Порядком. В случае изменения категории объекта критической информационной инфраструктуры, сведения о результатах пересмотра категории направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
 |