Распоряжение Министерства транспорта и дорожной инфраструктуры Московской области от 25.12.2023 N 1168-Р "О создании постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры Министерства транспорта и дорожной инфраструктуры Московской области"

В соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений":

1. Создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры Министерства транспорта и дорожной инфраструктуры Московской области (далее - Комиссия).

2. Утвердить прилагаемые:

1) Положение о Комиссии;

2) состав Комиссии.

3. Признать утратившим силу следующие распоряжения Министерства транспорта и дорожной инфраструктуры Московской области:

1) от 22.11.2018 N 726-Р "О создании комиссии по категорированию объектов критической информационной инфраструктуры Министерства транспорта и дорожной инфраструктуры Московской области";

2) от 03.02.2021 N 43-Р "О внесении изменений в состав комиссии по категорированию объектов критической информационной инфраструктуры Министерства транспорта и дорожной инфраструктуры Московской области";

3) от 10.11.2022 N 1285-Р "О внесении изменений в состав комиссии по категорированию объектов критической информационной структуры Министерства транспорта и дорожной инфраструктуры Московской области".

4. Управлению информационных технологий Министерства транспорта и дорожной инфраструктуры Московской области обеспечить размещение настоящего распоряжения на официальном сайте Министерства транспорта и дорожной инфраструктуры Московской области в Интернет-портале Правительства Московской области.

5. Контроль за выполнением настоящего распоряжения оставляю за собой.

Заместитель Председателя Правительства Московской области - министр транспорта и дорожной инфраструктуры Московской области

А.Д. Гержик

Утверждено
распоряжением Министерства
транспорта и дорожной инфраструктуры
Московской области
от 25.12.2023 N 1168-Р

Положение
о постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры Министерства транспорта и дорожной инфраструктуры Московской области

1. Общие положения

1. Постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры Министерства транспорта и дорожной инфраструктуры Московской области (далее - Комиссия, Министерство) создается в целях проведения категорирования объектов критической информационной инфраструктуры Московской области (далее - объект КИИ).

2. Настоящее Положение определяет задачи, состав, полномочия и порядок деятельности Комиссии.

3. Положение о Комиссии и ее состав утверждаются распоряжением Министерства транспорта и дорожной инфраструктуры Московской области.

4. Комиссия в процессе своей деятельности руководствуется Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее соответственно - постановление Правительства РФ N 127, Перечень), иными действующими нормативными правовыми актами Российской Федерации и настоящим Положением.

2. Задачи Комиссии

5. Задачами Комиссии является:

1) определение управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления деятельности Министерства, установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";

2) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);

3) определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;

4) формирование перечня объектов КИИ, подлежащих категорированию (далее - перечень объектов);

5) оценку в соответствии с перечнем показателей критериев значимости объектов КИИ, утвержденным постановлением Правительства РФ N 127, масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;

6) присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

3. Структура Комиссии

6. Комиссия состоит из председателя Комиссии, заместителя председателя Комиссии, секретаря Комиссии и членов Комиссии.

7. Председатель Комиссии:

1) осуществляет общее руководство работой Комиссии, организует и планирует деятельность Комиссии, председательствует на заседаниях Комиссии;

2) определяет время и место проведения заседаний Комиссии;

3) открывает и ведет заседания Комиссии, объявляет перерывы;

4) объявляет заседание Комиссии правомочным или выносит решение о его переносе;

5) осуществляет голосование, подписывает протоколы заседаний, утверждает перечень объектов КИИ.

8. Заместитель председателя Комиссии:

1) контролирует выполнение решений Комиссии, оформленных протоколами заседаний Комиссии:

2) осуществляет голосование;

3) выполняет полномочия председателя Комиссии в случае его отсутствия;

4) подписывает протокол.

9. Члены Комиссии:

1) принимают участие в заседаниях Комиссии, осуществляют голосование;

2) подписывают протоколы заседаний Комиссии.

10. Секретарь Комиссии:

1) своевременно уведомляет всех членов Комиссии о дате, месте, времени и повестке заседаний Комиссии;

2) ведет и оформляет протоколы заседаний Комиссии, подготавливает выписки из протоколов заседаний Комиссии;

3) имеет право участвовать в обсуждении вопросов, рассматриваемых на заседании Комиссии, но не имеет права голоса.

11. В случае отсутствие секретаря Комиссии его функции осуществляет заместитель председателя Комиссии или иное лицо, уполномоченное председателем Комиссии, из числа членов Комиссии.

12. Заседание Комиссии считается правомочным, если на нем присутствует не менее половины членов Комиссии.

13. Комиссия принимает решения открытым голосованием, простым большинством голосов от общего числа лиц, присутствующих на заседании Комиссии. При равенстве голосов решающим является голос председательствующего на заседании Комиссии.

14. Решения, принятые на заседаниях Комиссии, и зафиксированные в протоколе заседания Комиссии, являются обязательными для исполнения членами Комиссии.

4. Полномочия Комиссии

15. Комиссия в ходе своей работы осуществляет следующие полномочия:

1) определяет процессы, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности Министерства;

2) выявляет наличие критических процессов информационной инфраструктуры в Министерстве;

3) выявляет объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно телекоммуникационных сетей;

4) рассматривает возможные действия нарушителей в отношении объектов КИИ, а также иные источники угроз безопасности информации;

5) анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ;

6) оценивает в соответствии с Перечнем масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость;

7) устанавливает каждому из объектов КИИ одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.

При проведении работ, предусмотренных подпунктами 4 и 5 пункта 7, должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.

В случае если функционирование одного объекта КИИ зависит от функционирования другого объекта КИИ, оценка масштаба возможных последствий, предусмотренная подпунктом 6 пункта 14, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.

В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом 6 пункта 14 оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов.

ГАРАНТ:

По-видимому, в тексте предыдущих абзацев допущена опечатка. Вместо слов "подпунктом 6 пункта 14" следует читать "подпунктом 6 пункта 15"

16. Перечень объектов КИИ утверждается Министерством. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры. При необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения.

Максимальный срок категорирования не должен превышать одного года со дня утверждения или внесения изменений в перечень объектов.

17. Перечень объектов в течение 10 рабочих дней после утверждения направляется Комиссией в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

18. Решение Комиссии оформляется актом (далее - Акт), который должен содержать:

1) сведения об объекте КИИ;

2) сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Акт подписывается членами комиссии по категорированию и утверждается заместителем Председателя Правительства Московской области - министром транспорта и дорожной инфраструктуры Московской области.

Акт хранится в Министерстве до вывода из эксплуатации объекта КИИ или до изменения категории значимости.

19. Комиссия в течение 10 рабочих дней со дня утверждения Акта направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:

1) сведения об объекте КИИ;

2) сведения о Министерстве;

3) сведения о взаимодействии объекта КИИ и сетей электросвязи;

4) сведения о лице, эксплуатирующем объект КИИ;

5) сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);

6) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ либо об отсутствии таких угроз;

7) возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;

8) категорию значимости, которая присвоена объекту КИИ, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости, содержащие полученные значения по каждому из рассчитываемых показателей критериев значимости с обоснованием этих значений или информацию о неприменимости показателей к объекту с соответствующим обоснованием;

9) организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ, либо сведения об отсутствии необходимости применения указанных мер.

Сведения и их содержание направляются в печатном и электронном виде по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.

По вновь создаваемым объектам КИИ сведения, указанные в подпунктах 1 - 3 и 8, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту КИИ, а сведения, указанные в подпунктах 4 - 7 и 9, в течение 10 рабочих дней после ввода объекта КИИ в эксплуатацию (принятия на снабжение).

Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категории. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

В случае изменения сведений Министерство направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изменения.

ГАРАНТ:

Текст Состава не приводится