Проект Приказа Федеральной службы по техническому и экспортному контролю "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" (подготовлен ФСТЭК России 07.12.2017)

Проект Приказа Федеральной службы по техническому и экспортному контролю "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"
(подготовлен ФСТЭК России 07.12.2017 г.)

Досье на проект

Пояснительная записка

В соответствии с пунктом 3 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) приказываю:

1. Утвердить прилагаемую форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из категорий.

2. Установить, что настоящий приказ вступает в силу с 1 января 2018 г.

ДИРЕКТОР ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

В.СЕЛИН

УТВЕРЖДЕНА
приказом ФСТЭК России
от "___" декабря 2017 г. N___

Форма
направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий

Ограничительная пометка или гриф секретности

(при необходимости)

1. Сведения об объекте критической информационной инфраструктуры

Наименование объекта
Адреса размещения объекта 1
Сфера (область) деятельности, в которой функционирует объект 2
Назначение объекта
Критические процессы, которые обеспечиваются объектом 3
Архитектура объекта 4

2. Сведения о субъекте критической информационной инфраструктуры

Наименование субъекта
Адрес (местонахождение) субъекта
Адрес фактического местонахождения субъекта
Руководитель субъекта 5
Лицо, на которое возложены функции обеспечения безопасности объектов 6
Структурное подразделение или штатные специалисты, ответственные за обеспечение безопасности объектов 7

3. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи

Категория сети электросвязи 8
Наименования оператора связи
Цель взаимодействия с сетью электросвязи 9
Способ взаимодействия с сетью электросвязи 10

4. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры

Наименование лица, эксплуатирующего объект
Адрес (местонахождения) лица, эксплуатирующего объект
Адрес фактического местонахождения лица, эксплуатирующего объект
Элемент (компонент) объекта, который эксплуатируется лицом 11

5. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры

Программно-аппаратные устройства 12
Общесистемное программное обеспечение 13
Прикладное программное обеспечение 14
Средства защиты информации 15

6. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры

Категория нарушителя 16
Угрозы безопасности информации 17

7. Возможные последствия в случае возникновения компьютерных инцидентов

Типы компьютерных инцидентов 18
Возможные последствия от компьютерных инцидентов 19

8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры

Категория значимости объекта 20
Результаты оценки показателей 21

9. Организационные и технические меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры

Организационные меры 22
Технические меры 23

Примечания:	1. В случае, если объект критической информационной инфраструктуры является распределенным, указываются адреса подразделений (обособленных подразделений, филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты объекта критической информационной инфраструктуры (серверы, рабочие места, технологическое, производственное оборудование (исполнительные устройства) (указываются для автоматизированных систем управления технологическими процессами).
	2. Указывается в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736).
	3. Указываются управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, для обеспечения которых используется объект критической информационной инфраструктуры и нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка, выраженным в показателях критериев значимости.
	4. Указывается архитектура объекта: одноранговая сеть, клиент-серверная система, "тонкий клиент", сеть передачи данных, SCADA-система, распределенная система управления или иная архитектура.
	5. Указываются наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта критической информационной инфраструктуры.
	6. Указываются наименование должности, фамилия, имя, отчество (при наличии) должностного лица, на которое возложено обеспечение безопасности значимых объектов. В случае отсутствия у субъекта такого должностного лица, указываются наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта критической информационной инфраструктуры. В случае неприсвоения объекту ни одной из категорий значимости сведения не указываются.
	7. Указываются наименование должности, фамилия, имя, отчество (при наличии) руководителя подразделения, ответственного за обеспечение безопасности значимых объектов, рабочий телефон, адрес электронной почты (при наличии). В случае назначения штатных специалистов указываются сведения по каждому специалисту. В случае неприсвоения объекту ни одной из категорий значимости сведения не указываются.
	8. Указывается категория сети электросвязи: сеть связи общего пользования, выделенная сеть связи, технологическая сеть связи, сеть связи специального назначения.
	9. Указывается цель взаимодействия с сетью электросвязи: передача (прием) информации, управление устройствами, мониторинг (контроль) устройств (процессов), оказание услуг связи или иные цели. В случае неприсвоения объекту ни одной из категорий значимости сведения не указываются.
	10. Указываются типы доступа к сети электросвязи (проводной, беспроводный) и технологии доступа. В случае неприсвоения объекту ни одной из категорий значимости сведения не указываются.
	11. Указывается в случае, если лицо эксплуатирует не весь объект, а один или несколько его отдельных элементов (компонентов): дата-центр, серверное оборудование.
	12. Указываются наименования программно-аппаратных устройств: пользовательские компьютеры, серверы, телекоммуникационное оборудование, исполнительные устройства.
	13. Указываются наименования клиентских, серверных операционных систем, средств виртуализации (при наличии).
	14. Указываются наименования прикладных программ, обеспечивающих выполнение функций объекта по назначению (прикладные программы, входящие в состав дистрибутивов операционных систем, не указываются).
	15. Указываются наименования средств защиты информации и реквизиты сертификатов соответствия на них. В случае отсутствия сертификатов соответствия, указываются реквизиты иного документа, содержащего результаты оценки соответствия средств защиты информации в соответствии с требованиями по обеспечению безопасности значимых объектов. В случае неприсвоения объекту ни одной из категорий значимости сведения не указываются.
	16. Указываются внешний или внутренний нарушитель, дается характеристика основных возможностей (или невозможности) нарушителей по реализации угроз безопасности информации в части их оснащенности, знаний, мотивации.
	17. Указываются классы актуальных угроз безопасности информации: отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация (подмена) данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов объекта. В случае отсутствия актуальных угроз безопасности информации приводится соответствующее обоснование их неактуальности.
	18. Указываются типы компьютерных инцидентов, которые могут привести к возникновению ущерба (на основе показателей критериев значимости, утверждаемых в соответствии с пунктом 1 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"), или приводится обоснование неактуальности компьютерных инцидентов.
	19. Указываются виды ущерба, который может быть причинен в результате возникновения компьютерных инцидентов (на основе показателей критериев значимости, утверждаемых в соответствии с пунктом 1 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"), или приводится обоснование отсутствия возможности причинения ущерба вследствие компьютерных инцидентов.
	20. Не указывается в случае неприсвоения объекту ни одной из категорий значимости.
	21. Указываются все показатели критериев значимости и приводятся их значения. Также приводятся значения показателей в случае, если получены значения ниже нижних, показателей, утверждаемых в соответствии с пунктом 1 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". Для показателей, которые не применимы к объекту, указывается об их неприменимости.
	22. Указываются основные принимаемые организационные меры: установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта. В случае неприсвоения объекту ни одной из категорий значимости сведения не указываются.
	23. Указываются группы принимаемых технических мер: идентификация и аутентификация, управление доступом, ограничение программной среды, антивирусная защита и иные группы мер в соответствии с требованиями по обеспечению безопасности значимых объектов. В случае неприсвоения объекту ни одной из категорий значимости сведения не указываются.