Методические рекомендации по категорированию объектов критической информационной инфраструктуры, функционирующих в сфере транспорта
(утв. Министерством транспорта Российской Федерации 24 января 2024 г.)
Термины и определения
В настоящих Методических рекомендациях используются следующие термины и определения:
Автоматизированная система управления |
комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами. |
Автоматизированная система управления технологическими процессами |
автоматизированная система управления технологическими процессами промышленных предприятий. |
Безопасность критической информационной инфраструктуры |
состояние защищенности критической информационной инфраструктуры, обеспечивающее её устойчивое функционирование при проведении в отношении неё компьютерных атак. |
Государственная информационная система (ГИС) |
информационная система, которая: создана на основании федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов; создана в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. |
Значимый объект критической информационной инфраструктуры |
объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры. |
Информационная система |
совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. |
Информационно- телекоммуникационная сеть |
технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. |
Категорирование объектов критической информационной инфраструктуры |
установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения. |
Комиссия по категорированию объектов критической информационной инфраструктуры |
постоянно действующая комиссия по формированию перечня и категорированию объектов критической информационной инфраструктуры органов государственной власти, государственных учреждений, российских юридических лиц и (или) индивидуальных предпринимателей. |
Критическая информационная инфраструктура |
объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. |
Критический процесс |
управленческий, технологический, производственный, финансово-экономический и (или) иной процесс в рамках выполнения функций (полномочий) или осуществления видов деятельности органа государственной власти, государственного учреждения, российского юридического лица и (или) индивидуального предпринимателя, нарушение и (или) прекращение которого, может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка. |
Модель угроз безопасности информации |
описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. |
Объекты критической информационной инфраструктуры |
информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. |
Организация |
Российское юридическое лицо и (или) индивидуальный предприниматель, осуществляющие свою деятельность в сфере транспорта, государственный орган, его подведомственная организация и иное российское юридическое лицо, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере транспорта. |
Субъекты критической информационной инфраструктуры (Субъект КИИ) |
государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере транспорта, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. |
Транспортные услуги |
под транспортными услугами в настоящих Методических рекомендациях понимается, включая, но не ограничиваясь, результат деятельности исполнителя транспортной услуги по удовлетворению потребностей пассажира, грузоотправителя и грузополучателя в перевозках в соответствии с установленными нормами и требованиями. К услугам транспорта относятся: - перевозка грузов и пассажиров; - погрузочно-разгрузочные работы (погрузка, выгрузка, перегрузка, пересадка пассажиров, внутри складские операции); - хранение грузов; - подготовка подвижного состава и перевозочных средств; - предоставление подвижного состава на условиях аренды или проката; - перегон (доставка) новых и отремонтированных транспортных средств; - другие услуги. |
Муниципальное образование |
городское или сельское поселение, муниципальный район, муниципальный округ, городской округ, городской округ с внутригородским делением, внутригородской район, либо внутригородская территория города федерального значения. |
Субъект Российской Федерации |
территориальная единица РФ с правовым статусом, определенным Конституцией РФ, федеральным законодательством и иными нормативными правовыми актами. Российская Федерация состоит из республик, краев, областей, городов федерального значения, автономной области, автономных округов - равноправных субъектов РФ. |
Государственная услуга |
деятельность по реализации функций федерального органа исполнительной власти, государственного внебюджетного фонда, исполнительного органа государственной власти субъекта Российской Федерации, а также органа местного самоуправления при осуществлении отдельных государственных полномочий, переданных федеральными законами и законами субъектов Российской Федерации, которая осуществляется по запросам заявителей в пределах установленных нормативными правовыми актами Российской Федерации и нормативными правовыми актами субъектов Российской Федерации полномочий органов, предоставляющих государственные услуги. |
Перечень сокращений и обозначений
В настоящем документе используются следующие сокращения и соответствующие им обозначения:
АСУ |
автоматизированная система управления |
АСУ ТП |
автоматизированная система управления технологическими процессами |
ГИС |
государственная информационная система |
ИС |
информационная система |
ИТ |
информационные технологии |
ИТКС |
информационно-телекоммуникационная сеть |
КИИ |
критическая информационная инфраструктура |
ОКВЭД |
общероссийский классификатор видов экономической деятельности |
ТП |
технологический процесс |
ФСТЭК России |
федеральная служба по техническому и экспортному контролю Российской Федерации |
ЕГРЮЛ |
единый государственный реестр юридических лиц |
ЕГРИП |
единый государственный реестр индивидуальных предпринимателей |
Нормативные правовые акты и документы
Настоящие Методические рекомендации разработаны с учетом требований следующих нормативных правовых актов и документов:
Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";
Федеральный закон от 09.02.2007 N 16-ФЗ "О транспортной безопасности";
Постановление Правительства Российской Федерации от 30.07.2004 N 395 "Об утверждении Положения о Министерстве транспорта Российской Федерации";
Постановление Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";
Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий";
Информационное сообщение ФСТЭК России от 17.04.2020 N 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
1. Общие положения
Настоящие Методические рекомендации разработаны на основании и в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", а также постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - Правила категорирования).
Методические рекомендации призваны обеспечить однозначное толкование и эффективное исполнение Правил категорирования и предназначены для оказания методической помощи российским юридическим лицам и (или) индивидуальным предпринимателям, осуществляющим свою деятельность в сфере транспорта, государственным органам, их подведомственным организациям и иным российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере транспорта (далее - Организация).
Методические рекомендации применяются наряду с методическими документами, определяющими порядок категорирования объектов критической информационной инфраструктуры, разработанными органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России), а также исполнительными органами государственной власти субъектов Российской Федерации в сфере транспорта и носят рекомендательный характер.
Порядок проведения процедуры категорирования определен Правилами категорирования и может быть в общем виде представлен следующими этапами:
Формирование Организацией комиссии по категорированию объектов КИИ;
Определение принадлежности Организации к субъекту КИИ;
Формирование перечня объектов КИИ Организации, подлежащих категорированию;
Согласование Перечня объектов КИИ Организации и направление его в ФСТЭК России;
Присвоение одной из категорий значимости объекту (-ам) КИИ либо принятие решения об отсутствии необходимости присвоения объекту (-ам) КИИ одной из категорий значимости;
Составление акта категорирования объекта(-ов) КИИ и направление сведений в ФСТЭК России о результатах присвоения объекту(-ам) КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему (им) одной из таких категорий.
2. Комиссия по категорированию объектов КИИ
2.1. Создание комиссии
Первым шагом процедуры категорирования является создание комиссии по категорированию объектов КИИ (далее - Комиссия), осуществляющей свою деятельность на постоянной основе.
2.1.1. Комиссия создается локальным нормативным актом (приказом или распоряжением) руководителя Организации. Локальный нормативный акт о создании Комиссии оформляется в соответствии с правилами документооборота, принятыми в Организации.
2.1.2. В целях регламентации и планирования деятельности Комиссии рекомендуется разработать Положение о Комиссии 1 и План работы Комиссии.
2.1.3. Комиссию возглавляет руководитель Организации или уполномоченное им лицо. Уполномоченным лицом может являться, включая, но не ограничиваясь, работник, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности), либо главный инженер промышленного предприятия.
2.2. Состав Комиссии
2.2.1. В состав Комиссии включаются:
руководитель Организации или уполномоченное им лицо;
работники Организации, являющиеся специалистами в области выполняемых функций (полномочий) или осуществляемых видов деятельности в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности;
работники Организации, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов информационной инфраструктуры.
2.2.2. В состав Комиссии могут включаются дополнительно:
работники подразделения по защите государственной тайны Организации (в случае, если объект КИИ обрабатывает информацию, составляющую государственную тайну);
работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники Организации, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций;
представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере транспорта, по согласованию с государственными органами и российскими юридическими лицами;
специалисты, на которых возложены функции по контролю и учету за опасными веществами и материалами;
по решению руководителя Организации в состав Комиссии могут быть включены иные работники Организации, в том числе работники финансово-экономического подразделения Организации (обладающие знаниями и навыками, необходимыми для расчета показателей экономической значимости), а также специалисты юридического подразделения в целях проверки корректности соблюдения процедуры категорирования и оформления документов.
2.2.3. Создание дополнительных комиссий.
По решению руководителя Организации, имеющей филиалы, представительства, могут создаваться отдельные комиссии по категорированию объектов КИИ в этих филиалах, представительствах. В этом случае Комиссия координирует и контролирует деятельность комиссий по категорированию филиалов, представительств.
2.3. Работа Комиссии
2.3.1. Работа Комиссии регламентируется Положением о Комиссии 2.
2.3.2. Заседания Комиссии оформляются протоколами по форме, приведенной в Приложении N 2 методических рекомендаций.
3. Порядок определения принадлежности организации к субъекту КИИ
3.1. Отнесение Организации к сфере транспорта
С целью оптимизации процесса категорирования объектов КИИ, до начала категорирования, Организации рекомендуется определить относится она к сфере транспорта или нет.
Исходными данными для определения осуществляет ли Организация деятельность в сфере транспорта, могут являться (включая, но не ограничиваясь):
1. Общероссийский классификатор видов экономической деятельности (ОКВЭД);
2. Перечень ОКВЭД используемых в сфере транспорта (Приложение N 10);
3. Принадлежность Организации на праве собственности, аренды или на ином законном основании объектов транспортной инфраструктуры, указанных в Приложении N 9;
4. Принадлежность Организации на праве собственности, аренды или на ином законном основании типовых объектов КИИ, функционирующих в сфере транспорта, согласно Приложению N 8;
5. Нахождение Организации в перечне организаций российской экономики в части транспортного комплекса (Приложение N 11).
Если Организация соответствует одному или нескольким указанным выше критериям, Организация квалифицируется, как Организация, осуществляющая деятельность в сфере транспорта и являющаяся субъектом критической информационной инфраструктуры.
3.2. Принадлежность Организации к Субъектам КИИ
3.2.1. В соответствии с Федеральным законом N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", устанавливаются следующие критерии для определения принадлежности Организации к Субъектам КИИ:
1. Организация, которой на праве собственности, аренды или ином законном основании принадлежат государственные информационные системы (ГИС), является Субъектом КИИ.
2. Организация, которой на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, является Субъектом КИИ.
3. Организация, которая обеспечивает взаимодействие информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, является Субъектом КИИ.
4. Организация, которой на праве собственности, аренды или ином законном основании принадлежат объекты КИИ, включенные в перечень типовых объектов КИИ, функционирующих в сфере транспорта (Приложение N 8), является Субъектом КИИ.
5. Организация, которая не имеет на праве собственности, аренды или ином законном основании информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления (далее - Системы) или не обеспечивает взаимодействие указанных Систем, не является Субъектом КИИ.
Решение Комиссии о том, является ли организация субъектом КИИ или нет, оформляется Протоколом Комиссии 3.
3.2.2. В случае если Комиссией принято решение о том, что Организация не является Субъектом КИИ, Организация направляет уведомление по форме, приведенной в Приложении N 3 в уполномоченный орган исполнительной власти в сфере транспорта того субъекта Российской Федерации, в котором зарегистрирована Организация. По результатам принятого решения о том, что Организация не является субъектом КИИ, Комиссия фиксирует достигнутые результаты, организует хранение материалов, рассмотренных в ходе работы Комиссии, включая протоколы и копии уведомлений, направленных в уполномоченные органы.
3.2.3. Подведомственные Минтрансу России Организации направляют уведомление по форме, приведенной в Приложении N 3, непосредственно в Министерство транспорта Российской Федерации.
4. Перечень объектов КИИ, подлежащих категорированию
Комиссия, учитывая требования при формировании Перечня объектов КИИ, осуществляет разработку Перечня объектов КИИ путем выполнения следующих действий:
1. Составляется перечень информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей (ИС, АСУ, ИТКС), принадлежащих Организации на праве собственности, аренды или ином законном основании. Перечень оформляется в виде таблицы (Таблица 1).
Таблица 1. Перечень информационных систем, принадлежащих Организации
N п/п |
Наименование ИС, АСУ, ИТКС |
Государственная информационная система (ГИС) (да/нет) |
1 |
|
|
2 |
|
|
2. Под критерии определения ИС, АСУ, ИТКС, рассматриваются системы, используемые Организацией в целях обеспечения выполнения функций (полномочий) или осуществления видов деятельности Организации.
Важно отметить, что к информационным системам следуют относить также и сопутствующие подсистемы, работоспособность которых может напрямую или косвенно повлиять на обеспечение функционирования процессов в Организации.
3. Формируется перечень всех управленческих, технологических, производственных, финансово-экономических и (или) иных процессов, протекающих при выполнении функций (полномочий) или осуществления видов деятельности Организации (далее - Перечень процессов).
4. На основании Перечня процессов, сформированного при выполнении рекомендаций пункта 3 раздела 4 настоящих Методических рекомендаций, Комиссия определяет те из них, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка 4. Таким образом определенные процессы признаются критическими процессами Организации и отражаются в отдельном документе. Рекомендованная форма Перечня критических процессов приведена в Приложении N 4.
2. На основании перечня ИС, АСУ, ИТКС, сформированного при выполнении рекомендаций пункта 1 раздела 4 настоящих Методических рекомендаций, Комиссия определяет ИС, АСУ, ИТКС, используемые для обеспечения Критических процессов, или осуществляющие управление, контроль или мониторинг этих Критических процессов.
3. По результатам проведенных Комиссией работ согласно пункту 5 раздела 4 настоящих Методических рекомендаций, формируется отдельный перечень ИС, АСУ, ИТКС, отнесенных к объектам КИИ.
4. К объектам КИИ, подлежащим категорированию, относятся ИС, АСУ, ИТКС, которые обрабатывают информацию, необходимую для обеспечения выполнения Критических процессов, и (или) осуществляющим управление, контроль или мониторинг Критических процессов Организации (Субъекта КИИ), а также объекты КИИ, включенные в перечень типовых отраслевых объектов КИИ, функционирующих в сфере транспорта (Приложение N 8).
5. В Перечень объектов КИИ, в том числе, включаются объекты КИИ филиалов, представительств Субъекта КИИ, в случае если они не являются самостоятельными юридическими лицами.
6. На основании данных полученных в ходе выполнения настоящих Методических рекомендаций и в соответствии с Правилами категорирования, Комиссия составляет Перечень объектов КИИ, подлежащих категорированию по форме, приведенной в Приложении N 5.
5. Порядок согласования перечня объектов КИИ
1. Подведомственные Министерству транспорта Российский Федерации Организации, направляют на согласование Перечень объектов, подлежащих категорированию в Министерство транспорта Российской Федерации.
2. После согласования Министерством транспорта Российской Федерации Перечня объектов КИИ, подлежащих категорированию, Перечень объектов КИИ утверждается руководителем (иным уполномоченным руководителем лицом) подведомственной Организации и в течение 10 рабочих дней направляется в ФСТЭК России.
3. В случае если Субъект КИИ не является подведомственной Министерству транспорта Российской Федерации организацией, Перечень объектов КИИ, подлежащих категорированию, в течение 10 рабочих дней после утверждения руководителем или уполномоченным им лицом направляется в печатном и электронном виде в ФСТЭК России.
4. Организация после утверждения Перечня объектов КИИ, подлежащих категорированию и направления его в ФСТЭК России, в течение года с момента утверждения проводит категорирование объектов КИИ, указанных в Перечне объектов КИИ.
6. Присвоение категории объекту (-ам) КИИ
6.1. Описание процесса категорирования объектов КИИ
Следующий этап, который проводит Комиссия после формирования перечня объектов КИИ, является процесс категорирования.
1. Комиссия рассматривает возможные действия нарушителей в отношении объектов КИИ.
2. Проводится анализ угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ Организации. При рассмотрении угроз рекомендуется использовать в том числе, банк данных угроз безопасности ФСТЭК 5.
3. Результатом работы Комиссии по категорированию является сформированный перечень угроз безопасности информации с описанием возможных действий нарушителя, реализация которых может привести к возникновению компьютерных инцидентов на объекте КИИ.
4. Перечень угроз безопасности информации может быть разработан как на основании уже имеющихся для объектов КИИ Моделей угроз безопасности информации, в том числе моделей нарушителя, так и на основании актуализированных Моделей угроз безопасности информации.
5. Комиссия проводит оценку объектов КИИ в соответствии с показателями критериев значимости и присваивает каждому из объектов КИИ категорию, либо принимает решение об отсутствии необходимости ее присвоения.
6. Комиссия по категорированию оценивает объекты КИИ по всем показателям критериев значимости и их значений, утвержденным постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - Показатели критериев значимости) и в зависимости от полученных в ходе оценки значений принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии.
7. Устанавливаются три категории значимости объектов КИИ - первая, вторая и третья. Самая высокая - первая, самая низкая - третья.
8. В случае если объект критической информационной инфраструктуры по одному из Показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости не проводится.
9. В случае если ни один из Показателей критериев значимости не применим для объекта КИИ или объект КИИ не соответствует ни одному Показателю из критериев значимости и их значениям, категория значимости не присваивается.
10. Оценка каждого объекта КИИ по показателям критериев значимости проводится с использованием экспертных мнений членов Комиссии по категорированию.
Перед проведением оценки рекомендуется провести оценку применимости Показателей критериев значимости к субъекту КИИ в целом, в целях исключения тех Показателей, которые явно не будут применимы ни к одному из принадлежащих Организации объектов КИИ.
1. При присвоении объекту КИИ категории значимости, принятые на объекте меры защиты не учитываются.
2. Объекту КИИ по результатам категорирования присваивается в соответствии с перечнем Показателей критериев значимости категория значимости с наивысшим значением.
3. Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений Показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.
4. Результатом работы Комиссии по категорированию является решение Комиссии по категорированию, оформленное Актом о категорировании объектов КИИ (Приложение N 6).
6.2. Описание расчета показателей критериев значимости объектов КИИ
6.2.1. Порядок расчета критериев значимости объектов КИИ.
До начала расчета показателей критериев значимости объекта КИИ Организации определяется применимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, для оценки значимости ИС, ИТКС, АСУ Организации.
Для показателей критериев значимости объекта КИИ Организации, по которым обоснована их неприменимость, расчет показателей критериев значимости не проводится.
Расчет показателей критериев значимости объектов КИИ, установленных постановлением Правительства РФ от 08.02.2018 N 127, проводится для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.
Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.
В случае, если ИС, ИТКС, АСУ Организации по одному из показателей критериев значимости отнесена к первой категории, расчет по остальным показателям критериев значимости не проводится.
В случае, если ИС, ИТКС, АСУ Организации не соответствует ни одному значению показателя критериев значимости, категория значимости объекту КИИ не присваивается.
В случае, если функционирование одного объекта КИИ зависит от функционирования другого объекта КИИ, оценка масштаба возможных последствий проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта КИИ, от которого зависит оцениваемый объект.
В случае, если ИС, ИТКС, АСУ Организации обрабатывают информацию, необходимую для обеспечения нескольких критических процессов Организации, и (или) осуществляют управление, контроль или мониторинг нескольких критических процессов Организации, оценка показателей критериев значимости производится для каждого критического процесса Организации, а категория значимости присваивается по наивысшему значению показателя.
В соответствии с настоящими Методическими рекомендациями предлагается использование таблиц, в которых сразу фиксируются результаты расчета показателя в целях упрощения процедуры оценивания критичности. Для каждого показателя, по которому производится расчет, приведена соответствующая таблица. Комиссией оценивается значение каждого критерия, затем выбирается категория по значениям, приведенным в первом столбце согласно постановлению Правительства РФ от 08.02.2018 N 127. В последний столбец вносится полученное значение коэффициента критичности. В конце, после всех критериев, производится расчет по приведенной формуле, в которую вносятся полученные выше значения коэффициентов. Полученный в результате расчета коэффициент определяет категорию значимости объекта КИИ.
6.2.2. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей".
Расчет показателя критерия "Причинение ущерба жизни и здоровью людей" 6 для Организации производится с учетом масштаба возможных последствий в результате компьютерной атаки на объект (-ы) Организации и с учетом количества людей (человек), которым в результате воздействия компьютерной атаки на ИС, ИТКС, АСУ Организации будет причинён или возможно будет причинен ущерб жизни или здоровью, а также с учетом что:
- объекты КИИ Организации относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации или к объектам транспортной инфраструктуры;
- Организация имеет в своем составе подразделения транспортной инфраструктуры и ИС, АСУ, ИТКС, задействованные в критических процессах Организации, участвуют в обработке информации, необходимой для управления, контроля или мониторинга опасными производственными объектами или объектами транспортной инфраструктуры.
Под причинением ущерба жизни и здоровью людей в настоящих Методических рекомендациях понимается вред, причиненный здоровью человека, выраженный в нарушении анатомической целостности и физиологической функции органов и тканей человека в результате воздействия физических, химических, биологических и психических факторов внешней среды 7.
Алгоритм расчета показателя критерия "Причинение ущерба жизни и здоровью людей" приведен в таблице 2:
Максимально возможное количество человек, пострадавших в результате компьютерной атаки |
Значение присваиваемой категории |
Значение коэффициента критичности К 1 |
Присваиваемое значение |
1 ... 50 |
III |
1 |
|
50 ... 500 |
II |
2 |
|
> 500 |
I |
0 |
Пример:
Организации: ООО Транспортная, оказывающая транспортные услуги.
ИС: автоматизированная информационная система управления световой индикацией.
Критический процесс: управление световой индикацией (далее - управление светофорами) на территории одного муниципального образования 8.
Описание процесса: критический процесс непосредственно влияет на безопасность осуществления перевозок грузов и пассажиров в пределах одного муниципального образования.
При рассмотрении критического процесса комиссия по категорированию приняла во внимание, то обстоятельство, что в случае компьютерной атаки на ИС возможно изменение режимов работы светофоров на всей территории одного муниципального образования. Что приведет к созданию опасной ситуации и возможным дорожно-транспортным происшествиям (далее - ДТП) которые могут возникнуть как между участниками автомобильного движения, так и с участием пешеходов.
В данном случае, оценка масштаба причинения ущерба жизни и здоровью людей проводится исходя из масштаба возможных последствий от нарушения или прекращения функционирования системы управления светофорами.
Комиссией установлено, что ИС управляет светофорами в количестве 100 ед., из них 40 ед. находятся на аварийно-опасных участках автомобильного движения. В случае, если в результате компьютерной атаки на систему управления светофорами, на указанных участках может быть нарушена работа светофоров, соответственно создастся ситуация, при которой с высокой долей вероятности нарушение работы ИС может привести к значительным ДТП, в результате которых, могут получить вред здоровью порядка 40 человек.
На основании изложенного обстоятельства, комиссии принимает решение об установлении объекту КИИ - автоматизированной информационной системе управления световой индикацией - коэффициента критичности K 1=1.
6.2.3. Расчет показателя критерия "Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения".
Расчет показателя критерия "Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения" 9 для Организации не производится поскольку к объектам КИИ Организации не относятся объекты водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения населения.
Под объектами обеспечения жизнедеятельности следует понимать объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение населения 10.
6.2.4. Расчет показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры 11, транспортных средств, в том числе высокоавтоматизированных транспортных средств".
Расчет показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств" 12 для Организации производится с учетом видов деятельности, осуществляемых Организацией и видов транспорта, используемого Организацией в процессе осуществления деятельности.
Под прекращением функционирования следует понимать полное прекращение выполнения критического процесса 13.
Под нарушением функционирования следует понимать отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования 14.
Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств" приведен в Таблице 3 и Таблице 4.
Таблица 3. Оценивание по территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг.
Территория, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг |
Значение присваиваемой категории |
Значение коэффициента критичности К 2a |
Присваиваемое значение |
В пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения |
III |
1 |
|
Выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
II |
2 |
|
Выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
I |
0 |
Таблица 4. Оценка по количеству людей, для которых могут быть недоступны транспортные услуги.
Количество людей, для которых могут быть недоступны транспортные услуги (тыс. человек) |
Значение присваиваемой категории |
Значение коэффициента критичности К 2б |
Присваиваемое значение |
2 ... < 1000 |
III |
1 |
|
1000 ... < 5000 |
II |
2 |
|
5000 |
I |
0 |
На примере Организации, ранее рассмотренной в п. 6.2.2. настоящих Методических рекомендаций.
Комиссия принимает во внимание то обстоятельство, что Организация - ООО Транспортная, осуществляет свою деятельность в пределах одного муниципального образования, что соответствует третьему уровню значимости (К 2a=1).
При этом комиссия принимает во внимание то обстоятельство, что светофоры установлены в одном муниципальном образовании, в котором проживает около 20000 человек и проживающие на территории муниципального образования люди являются непосредственными пользователями услуги, регулируемой системой управления светофорами.
На основании экспертного мнения члены комиссии устанавливают, что не менее 10% от жителей указанного муниципального образования ежедневно могут являться участниками дорожного движения в качестве водителей личного автомобиля (иных средств передвижения), в качестве пассажиров общественного транспорта, в качестве пешеходов.
Принимая во внимание данное обстоятельство, комиссия устанавливает, что 2000 человек не получат транспортную услугу в результате компьютерной атаки.
Время восстановления работоспособности ИС согласно технической документации на событие компьютерной атаки в Организации установлено не более 4 часов (RTO 15=4 часа).
Предполагается, что средняя продолжительность рабочего дня человека, проживающего в указанном муниципальном образовании составляет порядка 10 часов. Гипотетически за указанное время восстановления работы ИС, около 800 жителей не получат транспортную услугу.
Полученное значение соответствует третей категории (К 2=1). Так как значения, полученные в результате оценивания по двум критериям, получились одинаковыми, комиссией выносится решение о присвоении объекту КИИ третьей категории значимости (К 2=1).
6.2.5. Расчет показателя критерия "Прекращение или нарушение функционирования сети связи".
Расчет показателя критерия "Прекращение или нарушение функционирования сети связи" 16 для Организации не производится, поскольку Организация не является оператором связи.
6.2.6. Расчет показателя критерия "Отсутствие доступа к государственной услуге 17".
Расчет показателя критерия "Отсутствие доступа к государственной услуге" 18 для Организации производится с учетом того, что Организация является государственным органом власти, оказывающим государственные услуги, или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС, задействованной в процессе оказания государственной услуги и нарушение функционирования ИС, АСУ, ИТКС, имеющихся у Организации и участвующей в обработке информации, необходимой для оказания государственной услуги, влечет за собой нарушение и (или) прекращение доступа к государственной услуге.
Алгоритм расчета показателя критерия "Отсутствие доступа к государственной услуге" приведен в Таблице 5 и Таблице 6.
Таблица 5. Оценка по максимально допустимому времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги.
Максимально допустимое время, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) |
Значение присваиваемой категории |
Значение коэффициента критичности К 3а |
Присваиваемое значение |
12 < ... 24 |
III |
1 |
|
6 < ... 12 |
II |
2 |
|
6 |
I |
0 |
Таблица 6. Оценка по времени с момента приема запроса о предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана.
Время с момента приема запроса о предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана (проценты от времени предоставления услуги, предусмотренного административным регламентом) |
Значение присваиваемой категории |
Значение коэффициента критичности К 3б |
Присваиваемое значение |
30 |
III |
1 |
|
30 < ... 70 |
II |
2 |
|
> 70 |
I |
0 |
|
6.2.7. Расчет показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)".
Расчет показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" 19 для Организации производится с учетом того, что Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС, задействованной в процессе выполнения возложенной на государственный орган власти функции (полномочия).
Показатель критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" рассчитывается и оценивается по масштабу органа управления государственным или муниципальным транспортом, в деятельности (функционировании) которого задействованы ИС, АСУ, ИТКС Организации.
Исходя из масштаба государственного органа власти, указанного в пункте 6 Перечня, делается заключение о присвоении объекту КИИ Организации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.
Под прекращением функционирования следует понимать полное прекращение выполнения критического процесса 20.
Под нарушением функционирования следует понимать отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования 21.
Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" приведен в Таблице 7:
Органы государственной власти, для которых было прекращено или нарушено функционирование |
Значение присваиваемой категории |
Значение коэффициента критичности К 4 |
Присваиваемое значение |
Орган государственной власти субъекта Российской Федерации или города федерального значения |
III |
1 |
|
Федеральный орган государственной власти |
II |
2 |
|
Администрация Президента Российской Федерации, Правительство Российской Федерации, Федеральное Собрание Российской Федерации, Совет Безопасности Российской Федерации, Верховный Суд Российской Федерации, Конституционный Суд Российской Федерации |
I |
0 |
|
Пример: Для рассмотренной ранее организации ООО Транспортная данный показатель не применим.
Исчерпывающий список Организаций приведен в Таблице 7.
Примером нарушения исполнения функционирования органа исполнительной власти можно рассматривать компьютерную атаку на ИС электронного документооборота и/или на инфраструктуру Организации.
6.2.8. Расчет показателя критерия "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации" 22 для Организации производится с учетом того, что:
- Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС, задействованной в процессе подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации;
- Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС и нарушение функционирования ИС, АСУ, ИТКС, имеющейся у Организации, участвующей в обработке информации, необходимой для подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации, влечет за собой нарушение условий международного договора Российской Федерации.
Алгоритм расчета показателя критерия "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации" в Таблице 8:
Характер договора, для которого были нарушены условия (срыв переговоров или подписания) |
Значение присваиваемой категории |
Значение коэффициента критичности К 5 |
Присваиваемое значение |
Договор межведомственного характера |
III |
1 |
|
Межправительственный договор |
II |
2 |
|
Межгосударственный договор |
I |
0 |
Пример: Организация ООО Транспортная не является стороной в международных договорах Российской Федерации, соответственно для ООО Транспортная данный показатель не применим.
6.2.9. Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры".
Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры" 23 для Организации производится с учетом того, что Организация является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием.
При этом при расчете критерия могут учитываться следующие факторы:
- усредненный суммарный годовой размер выплачиваемых Организацией в бюджеты Российской Федерации налогов, определенный на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях за предыдущий пятилетний период;
- усредненный размер годового дохода, определенный на основании сведений управленческого и бухгалтерского учета за прошлый пятилетний период;
- максимально допустимый период простоя, определенный на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ Организации;
- время, требуемое для устранения последствий компьютерной атаки, определяемое на основании эксплуатационных, технических, договорных и (или) иных документов, а при отсутствии таких документов используются статистические данные за прошлый пятилетний период, в случае отсутствия статистических данных за прошлый пятилетний период принимается значение - 10 суток;
- полученный возможный ущерб Организации от компьютерной атаки сопоставляется с показателем усредненного размера годового дохода и определяется показатель возможного ущерба;
- рассчитанный показатель возможного ущерба Организации сопоставляется с показателями, приведенными в пункте 8 Перечня, и делается заключение о присвоении объекту КИИ Организации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.
Стратегические акционерные общества и стратегические предприятия включены в перечень 24 стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ".
Алгоритм расчета показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры" приведен в Таблице 9:
Ущерб субъекту критической информационной инфраструктуры (проценты от прогнозируемого объема годового дохода по всем видам деятельности) |
Значение присваиваемой категории |
Значение коэффициента критичности К 6 |
Присваиваемое значение |
1 ... 10 |
III |
1 |
|
10 < ... 15 |
II |
2 |
|
> 15 |
I |
0 |
Пример: Категорируемым объектом КИИ является автоматизированная система управления перевозками Организации (ГУП). Категорируемый объект КИИ обеспечивает критический процесс (технологический процесс) управления междугородними и международными перевозками опасных грузов. Данный критический процесс непосредственно влияет на безопасность осуществления междугородних и международных перевозок опасных грузов. В описываемом случае оценка масштаба причинения ущерба Организации проводится исходя из масштаба возможных последствий от нарушения или прекращения функционирования автоматизированной системы управления перевозками.
Пример:
Организация: ГК Берёзка
ИС: Управление энтероскопами на объектах транспортной отрасли
Критический процесс: Обеспечение безопасности на объектах транспорта
Описание процесса: в соответствии с действующим требованиями по обеспечению безопасности в организации запрещается предоставлять доступ посетителям на защищаемую территорию без проведения обследования предметов на выявление запрещенных элементов.
Комиссия, принимая во внимание особенности критического процесса, фиксирует что компьютерная атака на ИС может привести как к недоступности услуги, вследствие чего, посетителей не будут допускать на защищаемую территорию, так и к возникновению опасных ситуаций, которые могут сопровождаться разрушением объектов и/или причинением иного финансового и материального ущерба Организации. В зависимости от степени влияния и уровня вероятной угрозы выбирается соответствующий коэффициент, в данном случае на основании экспертного мнения, с учетом стоимости активов которые находятся в зоне риска, принято решение об утверждении уровня ущерба в 12% что соответствует второй категории значимости.
6.2.10. Расчет показателя критерия "Возникновение ущерба бюджету Российской Федерации".
Расчет показателя критерия "Возникновение ущерба бюджету Российской Федерации" 25 для Организации производится с учетом того, что Организация является организацией, на которую в соответствии с Налоговым кодексом Российской Федерации возложена обязанность уплачивать соответственно налоги, сборы, страховые взносы.
Исходными данными для расчета численного значения показателя ущерба бюджетам могут являться (включая, но не ограничиваясь):
1. величины затрат и потерь субъекта КИИ, которые могут быть вызваны прекращением или нарушением критических процессов, обеспечиваемых объектом КИИ;
2. значения возможного времени нарушения выполнения (невыполнения) рассматриваемых критических процессов;
3. прогнозируемые годовые доходы федерального бюджета Российской Федерации по годам за планируемый трехлетний период;
4. объем выплат (отчислений) субъекта КИИ в бюджеты Российской Федерации в виде налога на прибыль, осуществленных за прошедший год;
5. величина прибыли субъекта КИИ за прошедший год;
6. доля акций компании, принадлежащая Российской Федерации и (или) субъекту Российской Федерации;
7. доля от прибыли субъекта КИИ за прошедший год, выплаченная в качестве дивидендов;
8. объем налоговых выплат (отчислений) от дивидендов, осуществленных субъектом КИИ за прошедший год;
9. объем выплат (отчислений) дивидендов, осуществленных субъектом КИИ за прошедший год;
10. размер снижения выплат (отчислений) сторонних организаций в бюджеты Российской Федерации вследствие прекращения или нарушения функционирования рассматриваемого объекта КИИ;
11. размер снижения сборов в бюджеты Российской Федерации в случае прекращения или нарушения функционирования объекта КИИ, предназначенного для организации сборов в бюджеты Российской Федерации.
Величины затрат и потерь, которые могут быть вызваны прекращением или нарушением критических процессов субъекта КИИ, оцениваются экспертным методом на основе анализа возможных максимальных экономических ущербов от прекращения или нарушения всех критических процессов, обеспечиваемых объектом КИИ, причиной которых могут являться компьютерные инциденты.
Алгоритм расчета показателя критерия "Возникновение ущерба бюджету Российской Федерации" приведен в Таблице 10:
Снижение выплат (отчислений) в бюджет Российской Федерации (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период) |
Значение присваиваемой категории |
Значение коэффициента критичности K 7 |
Присваиваемое значение |
0,0003 < ... 0,0006 |
III |
1 |
|
0,0006 < ... 0,001 |
II |
2 |
|
> 0,001 |
I |
0 |
|
6.2.11. Расчет показателя критерия "Прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств".
Расчет показателя критерия "Прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств" 26 для Организации не производится, поскольку Организация не осуществляет операций по банковским счетам и (или) без открытия банковского счета и не является системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем.
6.2.12. Расчет показателя критерия "Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом".
Расчет показателя критерия "Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом" 27 для Организации не производится, поскольку Организация не осуществляет клиринговую деятельность.
6.2.13. Расчет показателя критерия "Прекращение или нарушение проведения учетно-расчетных операций".
Расчет показателя критерия "Прекращение или нарушение проведения учетно-расчетных операций" 28 для Организации не производится, поскольку Организация не является центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии.
6.2.14. Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, передаче или размещению денежных средств".
Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, передаче или размещению денежных средств" 29 для Организации не производится, поскольку Организация не является негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда.
6.2.15. Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям".
Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям" 30 для Организации не производится, поскольку Организация не является страховой организацией.
6.2.16. Расчет показателя критерия "Прекращение или нарушение функций по переводу денежных средств".
Расчет показателя критерия "Прекращение или нарушение функций по переводу денежных средств" 31 для Организации не производится, поскольку Организация не является оператором услуг информационного обмена (не кредитной организацией).
6.2.17. Расчет показателя критерия "Вредные воздействия на окружающую среду".
Расчет показателя критерия "Вредные воздействия на окружающую среду" 32 для Организации производится с учетом того, что объекты КИИ Организации относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации и к объектам транспортной инфраструктуры или имеют в своем составе подразделения транспортной инфраструктуры, и ИС, АСУ, ИТКС, имеющиеся у Организации, задействованные в критических процессах Организации участвуют в обработке информации, необходимой для управления, контроля или мониторинга опасными производственными объектами и объектами транспортной инфраструктуры.
Под вредными воздействиями на окружающую среду следует понимать ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия 33
Алгоритм расчета показателя критерия "Вредные воздействия на окружающую среду" приведен в Таблице 11 и Таблице 12.
Таблица 11. Оценка по территории, на которой окружающая среда может подвергнуться вредным воздействиям.
Территория, на которой окружающая среда может подвергнуться вредным воздействиям, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры |
Значение присваиваемой категории |
Значение коэффициента критичности К 8а |
Присваиваемое значение |
В пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения |
III |
1 |
|
Выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
II |
2 |
|
Выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
I |
0 |
|
Таблица 12. Оценка по количеству людей, которые могут быть подвержены вредным воздействиям.
Количество людей, которые могут быть подвержены вредным воздействиям (тыс. человек) |
Значение присваиваемой категории |
Значение коэффициента критичности К 8б |
Присваиваемое значение |
2... < 1000 |
III |
1 |
|
1000 ... < 5000 |
II |
2 |
|
5000 |
I |
0 |
|
Пример: Категорируемым объектом КИИ является автоматизированная система пожаротушения в серверном помещении Организации. Для тушения пожаров в местах, где находится техника или металлические конструкции, зачастую используются газовые огнетушащие вещества: хладон 23, аргон и пр., оказывающие удушающее воздействие на организм человека. Следовательно, даже при отсутствии вредных воздействий на окружающую среду, автоматизированная система предприятия, использующего газовое пожаротушение, будет отнесена к критической. Значение категории значимости объекта КИИ будет зависеть от усредненного за период времени количества людей в серверных помещениях.
6.2.18. Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)".
Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)" 34 для Организации не производится, поскольку Организация не выполняет функции пункта управления (ситуационного центра) органа государственной власти субъекта Российской Федерации или города федерального значения, федерального органа государственной власти или государственной корпорации, Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации.
6.2.19. Расчет показателя критерия "Снижение показателей государственного оборонного заказа".
Расчет показателя критерия "Снижение показателей государственного оборонного заказа" 35 для Организации производится (в части снижения объемов продукции (работ, услуг).
В части увеличения времени изготовления единицы продукции с заданным объемом, расчет указанного показателя не производится в том случае, если Организация обеспечивает эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС, задействованной в процессе выполнения государственного оборонного заказа и влияющей на снижение объемов продукции (работ, услуг) в заданный период времени.
Алгоритм расчета показателя критерия "Снижение показателей государственного оборонного заказа" приведен в Таблице 13.
Таблица 13. Оценивание по снижению объемов продукции (работ, услуг)
Снижение объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции) |
Значение присваиваемой категории |
Значение коэффициента критичности К 9a |
Присваиваемое значение |
1... 10 |
III |
1 |
|
10 < ... 15 |
II |
2 |
|
> 15 |
I |
0 |
6.2.20. Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка".
Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка" 36 для Организации производится в том случае, если Организация обеспечивает эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС в области обеспечения обороны страны, безопасности государства и правопорядка.
Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка" приведен в Таблице 14:
Максимально допустимое время, в течение которого информационная система может быть недоступна пользователю (часов) |
Значение присваиваемой категории |
Значение коэффициента критичности К 10 |
Присваиваемое значение |
4... > 2 |
III |
1 |
|
2... > 1 |
II |
2 |
|
1 |
I |
0 |
6.3. Итоговая формула расчета
По завершению оценки и расчета всех показателей критериев значимости, Комиссия в соответствии с ниже приведенной итоговой формулой определяет категорию значимости объекта КИИ.
Итоговая формула расчета для определения категории значимости объекта КИИ:
К=К 1 * К 2 * К 3 * К 4 * К 5 * К 6 * К 7 * К 8 * К 9 * К 10
Для полученного значения, категория значимости объекта КИИ определяется в соответствии с Таблицей 15:
Полученное значение К |
Категория значимости объекта КИИ |
0 |
I |
> 1 |
II |
1 |
III |
7. Подготовка документов по результатам категорирования
По итогам работы Комиссия по категорированию подготавливает два документа:
7.1. Акт о категорировании объектов КИИ
Форма Акта о категорировании объектов КИИ приведена в Приложении N 6.
1. Состав информации о субъекте и объектах КИИ, которая должна быть включена в акт о категорировании, определен в пункте 16 Правил категорирования 37.
2. Акт о категорировании подписывается председателем и членами Комиссии по категорированию и утверждается руководителем Субъекта КИИ.
3. В случае если председатель Комиссии по категорированию и руководитель Субъекта КИИ одно и то же лицо, Акт должен содержать две его подписи, подпись председателя комиссии и гриф утверждения документа.
4. Субъект КИИ обеспечивает хранение Акта до вывода из эксплуатации объекта КИИ или до изменения категории значимости.
5. Направление Акта о категорировании в ФСТЭК России не требуется 38.
7.2. Сведения о категорировании
Комиссия формирует Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий (далее - Сведения о категорировании) по форме (Приложение N 7).
1. Сведения о категорировании в течение 10 дней со дня утверждения Акта о категорировании направляются в ФСТЭК России.
2. Форма сведений о категорировании, утвержденная приказом ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий", приведена в Приложении N 7.
По своему содержанию Сведения о категорировании дублируют информацию, которая в обязательном порядке должна включаться в Акт о категорировании. При оформлении Акта о категорировании допустимо использовать форму Сведений о категорировании.
3. Допускается оформление единого Акта о категорировании по результатам категорирования нескольких объектов КИИ, принадлежащих одному Субъекту КИИ (пункт 16 Правил категорирования 39), при этом Сведения о категорировании готовятся в отношении каждого из объектов КИИ отдельно и направляются в бумажном и электронном виде в ФСТЭК России.
8. Сроки категорирования
Максимальный срок категорирования не должен превышать одного года со дня утверждения руководителем Субъекта КИИ Перечня объектов (внесения изменений в Перечень объектов).
Изменение в Перечень объектов КИИ производится при выводе из эксплуатации объекта КИИ, внесенного в Перечень объектов, либо появлении новых объектов КИИ, а также в случае изменения показателей критериев значимости объектов КИИ или их значений, и изменения перечня Типовых объектов КИИ, повлекших за собой включение в Перечень объектов или исключение из него информационной системы.
Решение о включении сведений о значимом объекте КИИ в Реестр принимается в течение 30 дней со дня получения ФСТЭК России сведений от Субъекта КИИ.
Категория значимости, к которой отнесен значимый объект КИИ может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:
1. по мотивированному решению ФСТЭК России, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ;
2. в случае изменения значимого объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;
3. в связи с ликвидацией, реорганизацией Субъекта КИИ и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки Субъекта КИИ.
Субъект КИИ не реже чем один раз в 5 лет, а также в случае изменения Показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с Правилами категорирования. В случае изменения категории значимости объекта КИИ, сведения о результатах пересмотра категории значимости направляются в ФСТЭК России. Обо всех изменениях, повлекших за собой не соответствие Сведениям о категорировании, направленных ранее в ФСТЭК России, Субъект КИИ информирует об этом ФСТЭК России и направляет актуализированные Сведения о категорировании в ФСТЭК России в течение 20 дней с момента фиксации факта изменений.
Заместитель Министра транспорта |
Д.В. Баканов |
СОГЛАСОВАНО |
В.C. Лютиков |
18 января 2024 г.
------------------------------
1 Шаблон Положения о комиссии по категорированию объектов КИИ приведен в Приложении 1.
2 Шаблон Положения о комиссии по категорированию объектов КИИ приведен в Приложение N 1.
3 Шаблон Протокола заседания Комиссии приведён в Приложении N 2.
4 На основании пункта 5 постановления Правительства от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
5 Банк угроз ФСТЭК размещен на информационном ресурсе bdu.fstec.ru.
6 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п.1., утв. постановлением Правительства РФ от 08.02.2018 N 127.
7Пункт 2 Правил определения степени тяжести вреда, причиненного здоровью человека (утв. Постановлением Правительства РФ от 17.08.2007 N 522).
8Статья 2 Федерального закона от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации". Статьи 5, 65 Конституции Российской Федерации.
9 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 2., утв. постановлением Правительства РФ от 08.02.2018 N 127.
10 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 2 (сноска <3> - Объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение населения) утв. постановлением Правительства РФ от 08.02.2018 N 127.
11 Пункт 5 статьи 1 Федерального закона от 09.02.2007 N 16-ФЗ "О транспортной безопасности".
12 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 3., утв. постановлением Правительства РФ от 08.02.2018 N 127.
13 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <1> - Полное прекращение выполнения критического процесса), утв. постановлением Правительства РФ от 08.02.2018 N 127.
14 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <2> - Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования), утв. постановлением Правительства РФ от 08.02.2018 N 127.
15 RTO (Recovery Time Objective) - показатель времени восстановления (RTO) определяет количество времени с момента наступления разрушительного события до момента, когда затронутые ресурсы должны быть полностью работоспособны и готовы поддерживать цели организации.
16 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 4., утв. постановлением Правительства РФ от 08.02.2018 N 127.
17Статья 2 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".
18 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 5., утв. постановлением Правительства РФ от 08.02.2018 N 127.
19 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 6., утв. постановлением Правительства РФ от 08.02.2018 N 127.
20 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <1> - Полное прекращение выполнения критического процесса), утв. постановлением Правительства РФ от 08.02.2018 N 127.
21 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <2> - Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования), утв. постановлением Правительства РФ от 08.02.2018 N 127.
22 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 7, утв. постановлением Правительства РФ от 08.02.2018 N 127.
23 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 8., утв. постановлением Правительства РФ от 08.02.2018 N 127.
24Указ Президента РФ от 04.08.2004 N 1009 "Об утверждении Перечня стратегических предприятий и стратегических акционерных обществ".
25 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9., утв. постановлением Правительства РФ от 08.02.2018 N 127.
26 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10., утв. постановлением Правительства РФ от 08.02.2018 N 127.
27 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.1., утв. постановлением Правительства РФ от 08.02.2018 N 127.
28 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.2., утв. постановлением Правительства РФ от 08.02.2018 N 127.
29 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.3., утв. постановлением Правительства РФ от 08.02.2018 N 127.
30 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.4., утв. постановлением Правительства РФ от 08.02.2018 N 127.
31 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.5., утв. постановлением Правительства РФ от 08.02.2018 N 127.
32 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 11., утв. постановлением Правительства РФ от 08.02.2018 N 127.
33 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <5> - Ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия), утв. постановлением Правительства РФ от 08.02.2018 N 127.
34 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 12., утв. постановлением Правительства РФ от 08.02.2018 N 127.
35 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 13., утв. постановлением Правительства РФ от 08.02.2018 N 127.
36 Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 14., утв. постановлением Правительства РФ от 08.02.2018 N 127.
37Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
38 На основании пункта 17 Правил категорирования, утв. Постановления Правительства Российской Федерации N 127 от 8 февраля 2018 г.
39 Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
40Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
41 Указывается один из следующих типов объекта: информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть.
42 Указывается сфера (область) в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации инфраструктуры Российской Федерации".
43 Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта, его телефон, адрес электронной почты (при наличии). Для нескольких объектов может быть определено одно должностное лицо.
44 Указывается в соответствии с Перечнем объектов КИИ организации, подлежащих категорированию.
45 Указывается в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства РФ от 08.02.2018 N 127, либо указывается, что отсутствует необходимость присвоения объекту КИИ одной из таких категорий.
46 Приказ ФСТЭК России от 22 декабря 2017 г. N 236 - ФСТЭК России (fstec.ru)
47 Актуальная версия перечня типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере транспорта размещена на официальном сайте Минтранса России.
48 Руководствуясь Федеральным законом от 09.02.2007 N 16-ФЗ "О транспортной безопасности" и Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Установлена методика категорирования объектов критической информационной инфраструктуры, функционирующих в сфере транспорта.
Методические рекомендации по категорированию объектов критической информационной инфраструктуры, функционирующих в сфере транспорта (утв. Министерством транспорта Российской Федерации 24 января 2024 г.)
Опубликование:
-