Приложение. Методические рекомендации по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры. Приказ Министерства цифровых технологий и связи Калининградской области от 07.07.2021 N 266 "Об утверждении методических рекомендаций по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры"

Приложение
к приказу Министерства
цифровых технологий и связи
Калининградской области
от 07.07.2021 г. N 266

Методические рекомендации
по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры

Перечень сокращений

В настоящем документе используются сокращения, приведенные в таблице 1.

Таблица 1 - Перечень сокращений

Сокращение	Обозначение
АСУ	Автоматизированная система управления
ИС	Информационная система
ИСиР	Информационные системы и ресурсы
ИТКС	Информационно-телекоммуникационная сеть
КИИ	Критическая информационная инфраструктура
ЛВС	Локальная вычислительная сеть
ОКВЭД	Общероссийский классификатор видов экономической деятельности
ОКОГУ	Общероссийский классификатор органов государственной власти и управления
РФ	Российская Федерация
ФСБ России	Федеральная служба безопасности Российской Федерации
ФСТЭК России	Федеральная служба по техническому и экспортному контролю
ЦОД	Центр обработки данных

Перечень терминов

В настоящем документе используются основные термины, приведенные в таблице 2.

Таблица 2 - Перечень терминов

Термин	Определение	Источник
АСУ	Комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами	Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Безопасность информации	Состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность	ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
Безопасность КИИ	Состояние защищенности КИИ, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак	Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Вредоносное программное обеспечение	Компьютерная программа, предназначенная для нанесения вреда (ущерба) владельцу (пользователю) компьютерной информации, хранящейся на средстве вычислительной техники, путем ее несанкционированного копирования, уничтожения, модификации, блокирования или нейтрализации используемых средств защиты, или для получения доступа к вычислительным ресурсам самого средства вычислительной техники с целью их несанкционированного использования	Стандарт СТО.ФСБ.КК 1-2018 "Компьютерная экспертиза. Термины и определения"
Государственные информационные системы	Федеральные ИС и региональные ИС, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Доступ к информации	Возможность получения информации и ее использования	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Доступность информации (ресурсов ИС)	Состояние информации (ресурсов автоматизированной ИС), при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно	Р50.1.056-2005 Техническая защита информации. Основные термины и определения
Значимый объект КИИ	Объект КИИ, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов КИИ	Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
ИС	Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
ИТКС	Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Инцидент информационной безопасности	Одно или несколько нежелательных или не ожидаемых событий информационной безопасности, которые со значительной вероятностью приводят к компрометации бизнес-операций и создают угрозы для информационной безопасности	ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
Компьютерная атака	Целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты КИИ, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации	Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Компьютерный инцидент	Факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности, обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки	Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Конфиденциальность информации	Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
КИИ	Объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов	Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Нарушитель безопасности информации	Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации	ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
Несанкционированный доступ к информации	Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание: Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.	Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Утверждено решением председателя Гостехкомиссии России от 30.03.1992.
Обладатель информации	Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Объект КИИ	ИС, ИТКС, автоматизированная система управления субъекта КИИ	Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Оператор ИС	Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации ИС, в том числе по обработке информации, содержащейся в ее базах данных	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Распространение информации	Действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Субъекты КИИ	Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТКС, АСУ, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей	Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Угроза безопасности информации	Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации	ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
Целостность информации	Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право	Р 50.1.056-2005 Техническая защита информации. Основные термины и определения

1. Общие положения

Федеральным законом от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - 187-ФЗ) регулируются отношения в области обеспечения безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак. Закон вступил в силу 01 января 2018 года.

Настоящие методические рекомендации (далее - Методические рекомендации) содержат описание состава и содержания мероприятий по отнесению ИС, ИТКС, АСУ (далее совокупно - ИСиР), принадлежащих на праве собственности, аренды или на ином законном основании Калининградской области в лице органов исполнительной власти Калининградской области, государственных учреждений Калининградской области и иных организаций, подведомственных органам исполнительной власти Калининградской области (далее соответственно - ОИВ, Организации), к объектам КИИ, включению объектов КИИ в Перечень объектов КИИ органа исполнительной власти Калининградской области (далее - Перечень объектов ОИВ) или Перечень объектов КИИ Организации (далее - Перечень организации), с последующим установлением категорий значимости (категорированием) объектов КИИ, либо принятием решений об отсутствии оснований для их отнесения к объектам КИИ.

В соответствии с требованиями законодательства, субъекты КИИ должны присвоить одну из категорий значимости принадлежащим им объектам КИИ. Если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Критерии значимости, показатели их значений, а также порядок осуществления категорирования определены постановлением Правительства РФ от 08 февраля 2018 года N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - ППРФ-127).

В силу части 5 статьи 7 187-ФЗ, субъекты КИИ обязаны в десятидневный срок с момента принятия соответствующего решения направлять во ФСТЭК России сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Форма направления сведений определена приказом ФСТЭК России от 22 декабря 2017 года N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".

Важно отметить, что постановлением Правительства РФ от 13 апреля 2019 года N 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127" для государственных органов и государственных учреждений установлен срок по формированию и утверждению перечня объектов КИИ, подлежащих категорированию - до 1 сентября 2019 года.

2. Нормативная база

Настоящие Методические рекомендации разработаны на основании требований следующих актов:

- Федеральный закон от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

- Федеральный закон от 26 июня 2017 года N 193-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду Федеральный закон от 26 июля 2017 г. N 193-ФЗ

- постановление Правительства РФ от 8 февраля 2018 года N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";

- постановление Правительства РФ от 13 апреля 2019 года N 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127";

- постановление Правительства РФ от 17 февраля 2018 года N 162 "Об утверждении правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";

- постановление Правительства Российской Федерации от 08 июня 2019 года N 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры";

- приказ ФСТЭК России от 22 декабря 2017 года N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий";

- приказ ФСТЭК от 21 марта 2019 года N 59 "О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. N 236";

- приказ ФСТЭК от 06 декабря 2017 года N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации";

- информационное сообщение ФСТЭК России по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий от 24 августа 2018 года N 240/25/3752;

- информационное сообщение ФСТЭК России по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий от 17 апреля 2020 года N 240/84/611;

- базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 года;

- методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры;

- информационное сообщение ФСТЭК России о методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации от 04 мая 2018 года N 240/22/2339.

3. Определение оснований для отнесения ИСиР к объектам КИИ

3.1. Выявление субъектов (объектов) КИИ

187-ФЗ определены тринадцать сфер (областей) деятельности субъектов КИИ - государственных органов, государственных учреждений, российских юридических лиц и (или) индивидуальных предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТКС, АСУ, функционирующие в этих сферах (областях), которые подпадают под действие данного закона, а именно:

- здравоохранение;

- наука;

- транспорт;

- связь;

- энергетика;

- банковская сфера и иные сферы финансового рынка;

- топливно-энергетический комплекс;

- атомная энергия;

- оборонная промышленность;

- ракетно-космическая промышленность;

- горнодобывающая промышленность;

- металлургическая промышленность;

- химическая промышленность.

Кроме того, к субъектам КИИ могут быть отнесены российские юридические лица и (или) индивидуальные предприниматели 1, которые обеспечивают взаимодействие указанных систем или сетей.

Важно отметить, что субъектам КИИ могут являться только те органы, организации, юридические лица и предприниматели, которые владеют объектами, функционирующими в перечисленных сферах, а не те, кто только работают в этих сферах.

ФСТЭК России предложен метод определения сферы деятельности потенциального субъекта КИИ согласно его:

- ОКВЭД и ОКОГУ;

- лицензиями, сертификатами и иными разрешительными документами на виды деятельности;

- учредительными документами, уставами, положениями, где прописаны основные и вспомогательные виды деятельности.

Наличие в любом из данных источников указаний на установленные 187-ФЗ сферы деятельности может свидетельствовать о том, что рассматриваемый субъект действительно является субъектом КИИ.

Примерный порядок действий:

1) по кодам ОКВЭД и ОКОГУ, лицензиям (сертификатам), учредительным документам определяются признаки деятельности в сферах, соответствующих 187-ФЗ;

2) анализируется область использования ИСиР (нормативные правовые акты Калининградской области, ведомственные акты по созданию и функционированию ИСиР, проектная и эксплуатационная документация на ИСиР и т.п.).

3) определяются ИСиР, используемые в соответствующих сферах деятельности, выявленных на первом шаге.

4) Анализируется имущественная принадлежность ИСиР, определенных на предыдущем шаге (право собственности, аренда, договор пользования, хозяйственного ведения, право оперативного управления и т.д.).

Если по результатам выявляются ИСиР, отвечающие установленным параметрам, то принимается решение о признании организации субъектом КИИ.

Пример N 1

ГКУ здравоохранения "Медицинский информационно-аналитический центр":

- код ОКОГУ 2300229 "Органы исполнительной власти субъектов Российской Федерации, осуществляющие функции в сфере здравоохранения",

- лицензия на осуществление медицинской деятельности.

Необходимо выявить ИСиР, автоматизирующие процессы в ГКУ в сфере здравоохранения.

Пример N 2

ГКУ Калининградской области "Центр управления интеллектуальной транспортной системой Калининградской области":

- код ОКВЭД 52.21 "Деятельность вспомогательная, связанная с сухопутным транспортом";

- код ОКВЭД 72.19 "Научные исследования и разработки в области естественных и технических наук прочие";

- выдержка из Устава учреждения:

"Предметом деятельности Учреждения является:

- организация комплексного согласования выполнения работ по научно-исследовательским, опытно-конструкторским разработкам ... объектов интеллектуальной транспортной системы Калининградской области;

- информационно-аналитическое обеспечение деятельности ... по вопросам, связанным с интеллектуальной транспортной системой Калининградской области и развитием в этом направлении транспортной инфраструктуры области".

Необходимо выявить ИСиР, автоматизирующие процессы в ГКУ в сферах науки и транспорта.

3.2. Выявление субъектов (объектов) КИИ, обеспечивающих взаимодействие объектов КИИ

Пунктом 8 статьи 2 187-ФЗ в качестве субъектов КИИ определены в том числе российские юридические лица и (или) индивидуальные предприниматели, обеспечивающие взаимодействие систем и сетей, относимым к объектам КИИ.

К обеспечивающему взаимодействию может быть отнесено предоставление:

- вычислительных мощностей для объектов КИИ и каналов взаимодействия с ними (инфраструктура ЦОД);

- телекоммуникационных услуг, в рамках которых осуществляется взаимодействие объектов КИИ;

- иных информационных услуг для обеспечения взаимодействия с объектами КИИ.

Частными случаями субъектов КИИ, обеспечивающих взаимодействие, являются операторы сетей связи или ИС, предназначенных для обеспечения работы государственных информационных систем или взаимодействия с объектами энергетического комплекса, - для данной категории субъектов ответственность за обеспечение взаимодействия объектов КИИ указывается в документации на каналы связи или системы, а также в обязанностях субъектов.

В менее определенных случаях, когда организация предоставляет свои вычислительные мощности или каналы связи для широкого круга заказчиков, сведения о том, что данная инфраструктура может использоваться в том числе для организации взаимодействия объектов КИИ, в соответствующей документации могут отсутствовать. Однако, отсутствие данных сведений в документации не освобождает такую организацию от предусмотренной законодательством ответственности.

Примерный порядок действий:

1) проводится анализ объектов инфраструктуры, находящихся в собственности Организации и используемых в интересах сторонних лиц, в том числе для организации информационного взаимодействия ИСиР, не принадлежащих самой Организации;

2) при выявлении соответствующих объектов инфраструктуры, уточняется наличие у Организации явных поручений на уровне законодательных, нормативных правовых актов, возлагающих на Организацию обязанности по обеспечению информационного взаимодействия между сторонними ИСиР, и, в случае наличия указанных обязательств, у владельцев сторонних ИСиР запрашиваются сведения об отнесении таких ИСиР к объектам КИИ (или о включении ИСиР в Перечень объектов КИИ, подлежащих категорированию), при положительном ответе, Организация признается субъектом КИИ;

3) при отсутствии явных поручений на уровне законодательных, нормативных правовых актов, возлагающих на Организацию обязанности по обеспечению информационного взаимодействия между сторонними ИСиР, выполняется запрос владельцам данных ИСиР об их отнесении к объектам КИИ (или о включении ИСиР в Перечень объектов КИИ, подлежащих категорированию) и, в случае положительного ответа, уточняется наличие находящихся в собственности Организации компонентов инфраструктуры и сетей передачи данных, используемых для взаимодействия указанных ИСиР, в случае положительного заключения Организация признается субъектом КИИ;

4) далее организация рассматривает свою инфраструктуру или ее часть, непосредственно задействованную в обеспечении взаимодействия объектов КИИ, в качестве объекта КИИ.

Пример N 3

Организация владеет и обслуживает ЦОД, в котором размещаются ИСиР ОИВ Калининградской области в сфере транспорта или здравоохранения.

Выявлено, что некоторые из размещаемых в ЦОД ИСиР относятся к объектам КИИ. Программно-аппаратное обеспечение компонентов ИС является собственностью ОИВ Калининградской области в сфере транспорта или здравоохранения. При этом, для взаимодействия между данными ИС, а также с внешними системами и пользователями используются каналы передачи данных и коммутационное оборудование ЦОД, которые принадлежат Организации.

В данном случае Организация является субъектом КИИ, как обеспечивающая взаимодействие объектов КИИ.

При этом важно отметить, что сеть электросвязи Организации, непосредственно задействованная в обеспечении взаимодействия объектов КИИ, не должна рассматриваться в качестве объекта КИИ и в Перечень объектов КИИ, подлежащих категорированию, не включается.

Пример N 4

Организация предоставляет услуги технической поддержки и сопровождения ОИВ Калининградской области в сфере транспорта или здравоохранения в части администрирования ИС, АСУ, являющихся объектами КИИ, а также управления сетевыми компонентами, сотрудники Организации отвечают за работоспособность и взаимодействие указанных систем.

В данном случае Организация не является субъектом КИИ, так как ее работники обеспечивают "поддержку" работоспособности систем, но фактически взаимодействие объектов КИИ обеспечивается программно-аппаратными компонентами, не находящимися в собственности у Организации.

3.3. Оформление результатов

Для оформления результатов выявления оснований для отнесения ИСиР к объектам КИИ приказом ОИВ/Организации создается рабочая группа из числа сотрудников ОИВ/Организации (далее - Рабочая группа).

Рабочая группа готовит заключение о наличии или отсутствии, в соответствии с законодательством Российской Федерации, оснований для отнесения ИСиР ОИВ/Организации к объектам КИИ, в том числе содержащее рекомендации о включении (при наличии оснований) ИСиР в Перечень объектов с последующим установлением одной из категорий значимости объектов КИИ.

Допускается оформление заключения об отсутствии оснований по единой консолидированной форме на все ИСиР ОИВ/Организации сразу (пример консолидированного заключения приведен в Приложении N 1 к настоящим Методическим рекомендациям).

Но вместе с тем предпочтительным способом является оформление заключения о наличии или отсутствии оснований по каждой ИС ОИВ/Организации в отдельности (примеры заключений об отсутствии или о наличии оснований приведены соответственно в Приложениях NN 2 и 3 к настоящим Методическим рекомендациям).

4. Инвентаризация и категорирование объектов КИИ

4.1. Инвентаризация объектов КИИ

При выявлении оснований для отнесения ИСиР ОИВ/Организации к объектам КИИ необходимо:

- провести анализ угроз безопасности информации и реализованных меры по обеспечению безопасности;

- подготовить предварительную оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов в ИСиР в соответствии с перечнем показателей критериев значимости, утвержденных ППРФ-127;

- в рамках Рабочей группы сформировать предложения о присвоении ИСиР категории значимости, либо об отсутствии необходимости присвоения одной из таких категорий, а также перечень необходимых мер по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов КИИ, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ.

Результаты выполнения перечисленных мероприятий рассматриваются Комиссией по определению объектов КИИ и категорий значимости объектов КИИ и служат основаниями для принятия окончательных решений.

В соответствии с ППРФ-127, категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

4.1.1. Формирование перечня процессов

На первом шаге анализируются устав, учредительные документы, иные документы ОИВ/Организации, содержащие информацию об основных и вспомогательных видах деятельности, имеющиеся лицензии, сертификаты и иные разрешительные документы на виды деятельности, по результатам фиксируются все указанные функции и виды деятельности.

Далее рассматриваются организационная структура ОИВ/Организации, положения об отделах, структурных подразделениях. Данная информация используется для детализации или расширения перечня функций Организации, полученного на предыдущем шаге. Для каждой выявленной функции и (или) осуществляемого вида деятельности формируется перечень процессов, реализуемых в рамках этой функции и (или) вида деятельности.

4.1.2. Определение критичности процессов

Для каждого процесса из сформированного перечня должна проводиться оценка критичности его нарушения с точки зрения возможных негативных последствий в социальной, политической, экономической, экологической сферах, а также негативных последствий в области обороноспособности и безопасности государства, обеспечения правопорядка.

При проведении оценки критичности нарушения процессов используются показатели критериев значимости объектов КИИ и их значения, утвержденные ППРФ-127, - для каждого рассматриваемого процесса устанавливается, повлечет ли за собой его нарушение последствия, соответствующие минимальным значениям показателей.

4.1.3. Формирование перечня объектов

На следующем шаге для выявленных критических процессов определяется перечень ИСиР, с использованием которых осуществляются 2:

- обработка информации, необходимой для реализации критических процессов;

- управление критическими процессом;

- контроль или мониторинг критических процессов.

4.1.4. Оформление результатов

По результатам инвентаризации и категорирования объектов КИИ формируется перечень ИСиР, подлежащих категорированию, оформленный в табличную форму:

Таблица 3

N	Наименование ИСиР	Тип ИСиР	Назначение	Сфера деятельности, в которой функционирует ИСиР
1	Система N 1	Информационная система	Мониторинг	Связь
2	Система N 2	Информационная система	Обработка	Здравоохранение

Окончательное решение о формировании перечня объектов, подлежащих категорированию, принимается Комиссией по категорированию.

Перечень объектов, подлежащих категорированию, оформляется по форме, рекомендованной ФСТЭК России (таблица 4), утверждается и в срок не позднее 10 дней направляется во ФСТЭК России. 3.

Таблица 4

N	Наименование объекта	Тип объекта 4	Сфера (область) деятельности, в которой функционирует объект 5	Планируемый срок категорирования объекта 6	Должность, фамилия, имя, отчество (при наличии) представителя, его телефон, адрес электронной почты (при наличии) 7
1.
2.

4.2. Категорирование объектов КИИ

Категории значимости объектов КИИ определяются на основании показателей критериев значимости и их значений, утвержденных ППРФ-127.

В процессе категорирования осуществляется:

- анализ возможных источников угроз и действий предполагаемых нарушителей;

- анализ возможных угроз и типов компьютерных атак;

- оценка масштаба последствий угроз и соотнесение со значениями показателей категорий;

- определение категории значимости объекта КИИ;

- оформление акта категорирования.

4.2.1. Анализ возможных источников угроз и действий предполагаемых нарушителей

Необходимо определить возможные источники угроз и их характеристики. Данная информация получается экспертным путем.

В случае, если для рассматриваемой ИСиР существует модель угроз и нарушителя, то используются данные из нее. Также могут использоваться существующие данные из моделей угроз и моделей нарушителя для схожих ИСиР, функционирующих в Организации.

В случае отсутствия модели угроз и нарушителя, используется классификация, приведенная в Приложении N 4 к Методическим рекомендациям.

4.2.2. Анализ угроз безопасности информации и типов компьютерных атак

Для каждой ИСиР проводится анализ возможных угроз и их последствий. В случае, если для рассматриваемой ИСиР существует модель угроз и нарушителей, то используются данные из нее. Также могут использоваться существующие данные из моделей угроз и моделей нарушителей для схожих ИСиР, функционирующих в Организации.

При отсутствии модели угроз и нарушителя, используется классификация, приведенная в Приложении N 5 к Методическим рекомендациям.

4.2.3. Оценка масштаба последствий и соотнесение со значениями показателей категорий

На данном этапе для рассматриваемых ИСиР определяются возможные последствия нарушений на основании возможных угроз ИБ, типах компьютерных атак, с учетом назначения ИСиР и автоматизируемых процессов. При этом отбору подлежат те типы последствий, которые могут стать следствием реализации вероятных угроз для данной ИСиР.

В качестве возможных последствий рассматриваются:

1) причинение ущерба жизни и здоровью людей;

2) прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов обеспечивающие водо-, тепло-, газо- и электроснабжение населения;

3) прекращение или нарушение функционирования объектов транспортной инфраструктуры;

4) прекращение или нарушение функционирования сети связи;

5) отсутствие доступа к государственной услуге;

6) прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия);

7) нарушение условий международного договора РФ, срыв переговоров или подписания планируемого к заключению международного договора РФ, оцениваемые по уровню международного договора РФ;

8) возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период);

9) возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период);

10) прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений);

11) вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия);

12) прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра), оцениваемые в уровне (значимости) пункта управления или ситуационного центра;

13) снижение показателей государственного оборонного заказа, выполняемого субъектом КИИ;

14) прекращение или нарушение функционирования (невыполнения установленных показателей) ИС в области обеспечения обороны страны, безопасности государства и правопорядка.

При оценке масштабов последствий и соотнесении со значениями показателей категорий следует использовать (для соответствующих ИСиР):

- договоры на оказание соответствующих услуг (учет количества потребителей и подключаемых территориальных объектов);

- паспорта объектов (систем);

- технические задания на объекты;

- результаты категорирования объектов транспортной инфраструктуры;

- декларации промышленной безопасности;

- паспорта безопасности опасного производственного объекта;

- декларации безопасности объектов;

- паспорта безопасности объектов топливно-энергетического комплекса;

- результаты категорирования объектов, оказывающих негативное воздействие на окружающую среду;

- результаты классификации сетей электросвязи.

Полученная оценка масштабов последствий должна соотноситься со значениями показателей критериев значимости, для каждого показателя должна быть определена соответствующая категория значимости.

В процессе оценки рассматриваются самые негативные сценарии, в том числе учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых могут явиться прекращение (нарушение) выполнения критических процессов, нанесение максимально возможного ущерба.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей и т. д.), оценка производится по каждому из значений показателя критериев значимости.

В случае если показатель критерия значимости неприменим для ИСиР или ИСиР не соответствует ни одному показателю и их значениям (оцененный масштаб ниже минимального показателя критерия значимости), категория значимости данной ИСиР не присваивается.

4.2.4. Определение категории значимости объекта КИИ

Объекту КИИ присваивается категория значимости, соответствующая наивысшему значению из присвоенных категорий при соотнесении возможного ущерба с показателями категорий значимости (установлено три категории, самая высокая категория - первая, самая низкая - третья). Форма для оформления результатов предварительного категорирования приведена в Приложении N 6 к Методическим рекомендациям.

4.2.5. Оформление акта категорирования объекта КИИ

Решение Комиссии по категорированию оформляется актом, в который включаются сведения об объекте КИИ, о присвоенных объекту КИИ категории значимости (либо об отсутствии необходимости присвоения ему одной из таких категорий).

Акт подписывается членами Комиссии по категорированию и утверждается руководителем субъекта КИИ.

Допускается оформление единого акта по результатам категорирования нескольких объектов КИИ, принадлежащих одному субъекту КИИ.

Акт подлежит хранению в ОИВ/Организации, направление его во ФСТЭК России не требуется. Пример оформления акта категорирования ИСиР приведен в Приложении N 7 к Методическим рекомендациям.

Пример оформления сведений о результатах категорирования ИСиР, подлежащих направлению во ФСТЭК России приведен в Приложении N 8 к Методическим рекомендациям.

1 Важно!: не государственные органы и организации.

2 Важно!

Обработка - систематическое выполнение операций над данными, необходимыми для обеспечения критического процесса.

Управление - поддержание критического процесса в рабочем состоянии в рамках заданных значений характеристик критического процесса.

Контроль - сравнение (сопоставление) фактических (текущих) значений характеристик критического процесса с заданными значениями этих характеристик.

Мониторинг - постоянное (регулярное) наблюдение за значениями характеристик критического процесса.

3 В экспедицию центрального аппарата ФСТЭК России по адресу: 105066, г. Москва, ул. Старая Басманная, д. 17 на бумажном носителе и на электронном носителе (формат ".docx", ".xlsx").

Телефон экспедиции: 8 (495) 696-74-06.

4 Указывается один из следующих типов объекта: ИС, АСУ, ИТКС.

5 Указывается сфера (область) в соответствии с пунктом 8 статьи 2 187-ФЗ.

6 Важно!: планируемый срок категорирования не должен превышать 365 календарных дней (1 год) с момента утверждения перечня объектов, подлежащих категорированию. Для государственных органов и организаций он не может быть позже 01 сентября 2020 г.

7 Указываются должность, фамилия, имя, отчество (при наличии) телефон, адрес электронной почты (при наличии) должностного лица, с которым возможно осуществлять взаимодействие по вопросам категорирования объекта. Для нескольких объектов может быть определено одно должностное лицо.