средства защиты информации каких классов применяются в значимых объектах кии 1 категории

Категория значимости объекта КИИ. С 3 до 1 своими руками.

Категория значимости объекта КИИ – главный показатель объектов КИИ, определение значимости которого задает вектор дальнейших работ для выполнения ФЗ-187

Категория значимости объекта КИИ.

Категория значимости объекта КИИ – главный показатель объектов КИИ, определение значимости которого задает вектор дальнейших работ для выполнения требований ФЗ 187 о Безопасности КИИ. В подпункте «д» пункта 5 Постановления Правительства №127 (далее –ПП127) этот этап категорирования формулируется так – «Оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры»

Часто компании, проводя предварительную оценку, ошибаются с определением категории значимости объекта КИИ. Неправильное определение категории, как испорченный компас, может завести в такие дебри категорирования, что выбраться будет гораздо сложнее, чем зайти. Ошибочное определение категории значимости объекта КИИ обусловлено, в первую очередь, отсутствием методик для определения значений показателей критериев значимости и, как следствие, на работы по оценке влияет субъективное мнение участников комиссии.

И представьте, какую необходимо иметь фантазию при подготовке ФОРМЫ НАПРАВЛЕНИЯ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ, определенной пунктом 8.3 приказа 236 от 22.12.2017, где говорится о необходимости привести обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту.
Опишем некоторые моменты, с которыми столкнулись наши специалисты на примере различных компаний.

Семь раз отмерь, один подай.

Как правило, к большинству объектов КИИ часть показателей неприменима в принципе. Наиболее распространённые следующие показатели:

Полный перечень показателей критериев значимости объектов КИИ и их значения приведены в ПП127

При этом в качестве исходных данных для категорирования в п. 10 ПП127 определены следующие источники:

а) сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);

б) процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;

в) состав информации, обрабатываемой объектами критической информационной инфраструктуры, сервисы по управлению, контролю или мониторингу, предоставляемые объектами критической информационной инфраструктуры;

д) сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта критической информационной инфраструктуры от других таких объектов;

е) угрозы безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.

Позволяют ли эти исходные данные оценить значения показателей значимости – большой вопрос. Наиболее близкий к «реальности» в большинстве случаев – пункт «г». И у организаций часто возникает непонимание, как же оценивать последствия.

Приведем несколько примеров, в результате которых специалистами предприятий собственными руками были завышены категории значимости объектов КИИ.

Кейс №1. Доверяй, но проверяй

Специалисты одного из обследуемых предприятий предполагали, что информацию для показателя 1 (Причинение ущерба жизни и здоровью людей) критериев значимости, можно получить в декларации промышленной безопасности (документы из пункта г). Указанные в декларации значения соответствовали 2 категории значимости объекта КИИ.

Декларации промышленной безопасности — документ, определенный в ст.14 Федерального закона от 21.07.1997 N 116-ФЗ «О промышленной безопасности опасных производственных объектов». В декларации представлена оценка риска аварии и связанной с нею угрозы; анализ достаточности принятых мер по предупреждению аварий, по обеспечению готовности организации к эксплуатации опасного производственного объекта в соответствии с требованиями промышленной безопасности, а также к локализации и ликвидации последствий аварии на опасном производственном объекте; разработку мероприятий, направленных на снижение масштаба последствий аварии и размера ущерба, нанесенного в случае аварии на опасном производственном объекте.

Результат: В декларации были описаны сценарии аварии с физическим разрушением технологического оборудования и определены последствия, связанные с этим сценарием. Сценарии, связанные с компьютерными инцидентами, в декларациях не описываются.

Ошибка: Специалисты упустили ключевой момент. Все показатели для определения категории необходимо рассматривать через призму компьютерных инцидентов.

Вывод: Технологический процесс выстроен таким образом, что отказ АСУ не приведет к последствиям, описанных в декларации сценариев. Максимально возможные последствия при возникновении компьютерного инцидента это остановка производства, но никак не физические разрушения. Таким образом вместо 3 категории, специалисты предприятия присвоили себе 2 категорию, таким образом сами себе завысили категорию значимости объекта КИИ.

Итог: 3-я категория вместо 2-й категории.

Кейс №2. Разделяй и властвуй.

Специалисты одного из обследуемых предприятий предполагали, что информацию для показателя 9 (Возникновение ущерба бюджетам Российской Федерации) можно получить в финансовом подразделении путем оценки прибыли предприятия и налоговых отчислений.

Результат: Было определено, что предполагаемый компьютерный инцидент приведет к остановке производства. Период простоя составит до 5 дней в случае, если оборудование не будет повреждено, и до 20 дней, если оборудование выйдет из строя.

Ошибка: И в этом случае была допущена аналогичная ошибка из кейса №1. В случае проведения работ по категорированию объектов КИИ и определения категорий значимости объектов КИИ все показатели необходимо рассматривать через призму компьютерного инцидента и делать это необходимо на конкретном объекте КИИ, а не на всем предприятии в целом.

Вывод: Сумма ущерба от простоя оцениваемого объекта и стоимости поврежденного оборудования оказалась в разы меньше первоначальной оценки специалистов предприятия, т.к. оценка проводилась в разрезе конкретного объекта и не всего предприятия в целом.

Итог: Отсутствие категории вместо 3-й категории.

Кейс №3. У страха глаза велики.

На предприятии отсутствовала декларация промышленной безопасности, поэтому специалисты предприятия предполагали, что информацию для показателя 11 (Вредные воздействия на окружающую среду) можно получить из численности населенного пункта, расположенного рядом с субъектом КИИ.

Результат: Было определено, что в случае компьютерного инцидента на предприятии возможны вредные воздействия на окружающую среду, которые могут коснуться близлежащего населенного пункта.

Ошибка: Специалисты допустили ту же самую ошибку, как и в предыдущем примере – необходимо рассматривать последствия от компьютерного инцидента на конкретном объекте, а не на всем предприятии в целом.

Вывод: В момент инцидента в зону поражения попадет территория одного цеха и работники одного помещения, в котором функционирует объект КИИ. А условия, при которых в зону поражения попадают жители населенного пункта при компьютерном инциденте недостижимы. Последствия оказались на порядок ниже, чем предполагали специалисты.

Итог: Отсутствие категории вместо 3-й категории.

Кейс №4. Знал бы, где падать – соломки подстелил.

У специалистов на предприятии возникли сложности при оценке показателя 1 (Причинение ущерба жизни и здоровью людей).

Результат: Было определено, что в случае компьютерного инцидента на предприятии ущерб жизни и здоровью людей невозможен.

Ошибка: Специалисты провели недостаточный анализ последствий от компьютерного инцидента, сделали вывод, но сформулировать обоснование для формы отправки сведений не смогли.

Вывод: При проведении анализа были определены условия, при которых возможно причинение ущерба жизни и здоровью людей. Также было составлено корректное обоснование для формы отправки сведений.

Итог: 3-я категория значимости объекта КИИ вместо отсутствия категории.

Как и на что влияет категория значимости объекта КИИ

При определении категории главное — не делать этого бездумно. Нельзя отказаться от категории, потому что «не хочется присваивать». Всё-таки ответственность в случае инцидента лежит на субъекте, в том числе и на должностных лицах. Нужно быть честным и внимательно проводить анализ возможных сценариев и последствий от инцидента.

Но и «перестраховка» в завышении значимости — это, в первую очередь, дополнительные требования к защите, что приведет к значительным затратам на ИБ. Хотя затрат на ИБ не бывает, есть только инвестиции в ИБ.

Что в итоге, занизил – ответственность за инцидент, завысили – обязал себя к инвестициям в ИБ.

Необходимо рассматривать объекты КИИ и их влияние на технологический процесс с различных сторон и привлекать к этому различных специалистов. Именно поэтому в п.11 ПП127 определен состав комиссии, а в п.11.1 указано, что включать в комиссию по категорированию можно и других работников.

Качественный анализ позволит сформировать верное обоснование полученных значений для п.8.3 формы сведений для отправки в ФСТЭК.
Кроме того, корректное обоснование категории является основанием для развития инфраструктуры безопасности предприятия и обоснованием для получения необходимого для этого финансирования.

Источник

Безопасность КИИ: как определить, что делать и что если не делать

КТО МЫ, КИИ ИЛИ НЕ КИИ?

Первым делом необходимо выяснить, подпадает ли организация под понятие «субъект КИИ» и сделать это можно посмотрев законодательство. Не нашли себя, выдохните, у вас немного меньше головной боли.

Какие критерии указывают что вы субъект КИИ?

Первый критерий – ОКВЭД организации. Общероссийский классификатор видов экономической деятельности (ОКВЭД), они, а их может быть много у одного предприятия, открываются в любой момент деятельности, поэтому актуальный список вы можете посмотреть в выписке ЕГРЮЛ предприятия или информационно-справочных сервисах «Контур Фокус», «Спарк» и пр. ОКВЭД явно укажет, к какой сфере деятельности относится ваше предприятие и подпадает ли под перечень следующих отраслей указанных в ФЗ №-187:

Если ваша организация относится к сфере здравоохранения (ОКВЭД 86), рекомендуем для начала ознакомиться с этим материалом: КИИ В ЗДРАВООХРАНЕНИИ. КАК ОПРЕДЕЛИТЬ И ЧТО ДЕЛАТЬ ДАЛЬШЕ!

Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

Пример из нашего опыта проведения работ по категорированию. Компания по основному виду экономической деятельности имела код ОКВЭД 46.73.6 «Торговля оптовая прочими строительными материалами и изделиями», на первый взгляд ни чего особенного, в перечень отраслей согласно ФЗ №-187 не попадает и можно «спать спокойно». Но при детальном изучении устава и лицензий на виды деятельности оказалось, что у компании есть лицензия на деятельность по перевозке грузов железнодорожным транспортом и собственный парк железнодорожного транспорта. Исходя из данных обстоятельств, предприятие относится к отрасли «транспорт» и следовательно, необходимо выполнять требования ФЗ №-187.

Попали под один критерий из трёх? Поздравляем, вы субъект КИИ! Но нужно помнить, что каждый случай разбирается индивидуально и эта тема отдельного обсуждения, посвященная категорированию объектов критической информационной инфраструктуры которую рассмотрим в следующих статьях.

Нормативно-правовой акт четко определяет, что «к субъектам критической информационной инфраструктуры относятся государственные органы и учреждения, а так же российские юридические лица и/или индивидуальные предприниматели которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления».

У каждого субъекта КИИ есть объекты КИИ:

функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Объекты критической информационной инфраструктуры обеспечивают функционирование управленческих, технологических, производственных, финансово-экономических и иных процессов субъектов КИИ.

Процесс определения принадлежности к субъекту критической информационной инфраструктуры не так прост, как может показаться на первый взгляд. Как мы говорили выше, есть много неочевидных факторов, которые могут влиять на результат, например, открытые дополнительные, не основные, виды деятельности по ОКВЭД или действующие лицензии, которые могут отнести вас субъекту критической информационной инфраструктуре. Мы рекомендуем провести более детальное погружение в вопрос определения принадлежности к субъекту КИИ.

ЧТО ДЕЛАТЬ ЕСЛИ ВЫ СУБЪЕКТ КИИ?

С субъектом и объектом критической информационной инфраструктуры разобрались. Что необходимо сделать вам, как субъекту КИИ, дальше?

Первый этап. Необходимо создать внутреннюю комиссию по категорированию и определить состав участников из наиболее компетентных специалистов по вашим бизнес-процессам. Почему делается акцент на бизнес-процессы и уровни компетенции участников? Только «владелец» бизнес-процесса знает все нюансы, которые могут привести к их нарушению и последующим негативным последствиям. Этот владелец или компетентное уполномоченное лицо должен быть в составе комиссии для присвоения правильной категории значимости процессу.

Второй этап. На этом этапе собираются исходные данные, проводится предпроектное обследование и на основании полученных данных, комиссия принимает решение о наличии перечня объектов критической информационной инфраструктуры, подлежащих категорированию и присваивает категорию значимости. Согласно Постановлению Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» категорий значимости три, 1-я самая высокая.

Категории значимости присваиваются исходя из показателей критериев значимости, которых пять:

Кстати, вот так выглядит типовой пакет документации по КИИ подготовленный по результатам работ по категорированию. И это документация организации, у которой 0-я категория значимости объектов.

На этом этапе есть один нюанс, после утверждения перечня объектов КИИ подлежащих категорированию, субъект КИИ в течении 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год. Если объект КИИ не подпадает под один из показателей критериев значимости, то у него отсутствует необходимость присвоения категории значимости, но тем не менее предприятие является субъектом КИИ у которого отсутствуют критически значимые объекты КИИ.

Результатом второго этапа является «Акт категорирования объекта КИИ», который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Акт должен содержать полные сведения об объекте КИИ и хранится субъектом до последующего пересмотра критериев значимости. С момента подписания акта, субъект КИИ в течении 10 дней направляет сведения о результатах категорирования по утверждённой форме в ФСТЭК России (на момент написания статьи форма на стадии согласования окончательного варианта). В течении 30 дней ФСТЭК проверяет соблюдение порядка и правильности категорирования и в случае положительного заключения, вносит сведения в реестр значимых объектов КИИ с последующим уведомлением субъекта КИИ в 10-ти дневный срок.

Третий этап, заключительный. Пожалуй, один из самых трудоёмких и дорогих – выполнение требований по обеспечению безопасности значимых объектов КИИ. Не будем вдаваться сейчас в детали, а перечислим ключевые стадии по обеспечению безопасности объектов КИИ:

Более подробную информацию по срокам и этапам выполнения требований ФЗ-187 можно узнать из нашей статьи: «СРОКИ И ЭТАПЫ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ФЗ-187». Так же на странице вы можете БЕСПЛАТНО скачать стартовый комплект документов для начала работ по категорированию объектов КИИ.

ЧТО БУДЕТ ЕСЛИ ЭТОГО НЕ ДЕЛАТЬ?

Мы рассмотрели, кто такой субъект критической информационной инфраструктуры, что такое объект КИИ и какие необходимо выполнить действия для выполнения требований ФСТЭК. Теперь хотелось немного поговорить об ответственности, возникающей в случае невыполнения требований. Согласно Указа Президента РФ от 25.11.2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16.08.2004 г. №1085» федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ является ФСТЭК. Государственный контроль в области обеспечения безопасности значимых объектов КИИ будет осуществлять ФСТЭК в виде плановых и внеплановых проверок с последующим предписанием в случае выявленных нарушений. Плановые проверки проводятся:

Внеплановые проверки будут проводиться в случае:

Если ФСТЭК выявит нарушение, будет выписано предписание с конкретным сроком устранения, который можно будет продлить по уважительным причинам, а вот в случаи с Прокуратурой РФ будет все сложнее, т.к. она придёт к вам уже с постановлением об административном правонарушении, ссылаясь на статью 19.5 ч.1 КоАП РФ о невыполнении в установленный срок постановления госнадзорного органа.

И еще немного о мерах наказания, которые были введены за не соблюдение требований по обеспечению безопасности критической информационной структуры. Согласно Федеральному закону от 26.07.2017 № 194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности критической информационной инфраструктуры РФ» максимальная мера наказания, за нарушения норм безопасности КИИ, составляет лишение свободы до 10 лет. Пожалуй, весомый аргумент!

В дальнейших статьях мы более подробно расскажем о каждом из этапов выполнения требований ФСТЭК в области обеспечения безопасности критической информационной инфраструктуры. Подписывайтесь на уведомления нашего сайте, присоединяйтесь к нам на Facebook и добавляйте в закладки блог.

Мы пишем о том, что делаем!

Обратитесь в компанию «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»! В контексте требований Федерального закона №-187 о безопасности критической информационной инфраструктуры специалисты компании проведут следующие виды работ:

А так же, создадут комплексную систему безопасности производства «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизят риски и угрозы бизнеса до минимального уровня.

Источник

Средства защиты информации каких классов применяются в значимых объектах кии 1 категории

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений” (не вступило в силу)

В соответствии с пунктом 1 части 2 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

Правила категорирования объектов критической информационной инфраструктуры Российской Федерации;

перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.

2. Финансирование расходов, связанных с реализацией настоящего постановления государственными органами и государственными учреждениями, осуществляется за счет и в пределах бюджетных ассигнований, предусмотренных соответствующим бюджетом на обеспечение деятельности субъектов критической информационной инфраструктуры.

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 8 февраля 2018 г. № 127

Правила
категорирования объектов критической информационной инфраструктуры Российской Федерации

2. Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.

3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.

5. Категорирование включает в себя:

а) определение процессов, указанных в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;

в) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;

д) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;

е) присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

6. Объекту критической информационной инфраструктуры по результатам категорирования присваивается в соответствии с перечнем показателей критериев значимости категория значимости с наивысшим значением.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

В случае если ни один из показателей критериев значимости неприменим для объекта критической информационной инфраструктуры или объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается.

8. В отношении объекта критической информационной инфраструктуры, создаваемого в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры.

Для создаваемого объекта критической информационной инфраструктуры, указанного в абзаце первом настоящего пункта, категория значимости может быть уточнена в ходе его проектирования.

9. Для объектов, принадлежащих одному субъекту критической информационной инфраструктуры, но используемых для целей контроля и управления технологическим и (или) производственным оборудованием, принадлежащим другому субъекту критической информационной инфраструктуры, категорирование осуществляется на основе исходных данных, представляемых субъектом критической информационной инфраструктуры, которому принадлежит технологическое и (или) производственное оборудование.

10. Исходными данными для категорирования являются:

а) сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);

б) процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;

в) состав информации, обрабатываемой объектами критической информационной инфраструктуры, сервисы по управлению, контролю или мониторингу, предоставляемые объектами критической информационной инфраструктуры;

д) сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта критической информационной инфраструктуры от других таких объектов;

е) угрозы безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.

11. Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается комиссия по категорированию, в состав которой включаются:

а) руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо;

б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;

в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;

г) работники подразделения по защите государственной тайны субъекта критической информационной инфраструктуры (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);

д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

12. В состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.

13. Комиссию по категорированию возглавляет руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо.

14. Комиссия по категорированию в ходе своей работы:

а) определяет процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;

б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;

в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов;

г) рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации;

д) анализирует угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры;

е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;

ж) устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.

15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов.

Перечень объектов в течение 5 рабочих дней после утверждения направляется в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.

Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры.

Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости.

17. Субъект критической информационной инфраструктуры в течение 10 дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:

а) сведения об объекте критической информационной инфраструктуры;

б) сведения о субъекте критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит объект критической информационной инфраструктуры;

в) сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи;

г) сведения о лице, эксплуатирующем объект критической информационной инфраструктуры;

д) сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности объекта критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии);

е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз;

ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры либо сведения об отсутствии таких последствий;

з) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости;

и) организационные и технические меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры, либо сведения об отсутствии необходимости применения указанных мер.

18. Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.

20. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных частью 12 статьи 7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

УТВЕРЖДЕН
постановлением Правительства
Российской Федерации
от 8 февраля 2018 г. № 127

Перечень
показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения

Обзор документа

Категорирование проводится специальной комиссией, создаваемой субъектом КИИ, на основании показателей критериев значимости объектов КИИ. Установлен перечень таких показателей.

Комиссия, в частности, анализирует угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ, выявляет наличие критических процессов у субъекта КИИ.

Максимальный срок категорирования не должен превышать 1 года со дня утверждения субъектом КИИ перечня объектов.

Перечень объектов в течение 5 рабочих дней после утверждения направляется во ФСТЭК России.

Источник