Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса (согласовано с Минэнерго России (письмо от 31.07.2019 N ЧА-8630/15), ФСТЭК России (письмо от 26.08.2019 N 240/25/4048))

Термины и определения

В настоящем документе используются термины и соответствующие им определения, введенные действующими нормативными правовыми актами Российской Федерации, а также государственными стандартами и методическими документами.

Автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;

Безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;

Значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;

Комиссия по категорированию - постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры;

Компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;

Критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Используемые сокращения

АСУ ТП	Автоматизированная система управления технологическими процессами
ГО и ЧС	Гражданская оборона и чрезвычайные ситуации
ЕГРЮЛ	Единый государственный реестр юридических лиц
ИНН	Идентификационный номер налогоплательщика
ИА	Исполнительный аппарат
ИС	Информационная система
ИТ	Информационные технологии
ИТКС	Информационно-телекоммуникационная сеть
КЗ	Контролируемая зона
КИИ	Критическая информационная инфраструктура
КПП	Код причины постановки на учет
ТЭК	Топливно-энергетический комплекс
ФСТЭК России	Федеральная служба по техническому и экспортному контролю Российской Федерации

1. Общие положения

Настоящие методические рекомендации детализируют и стандартизируют процедуру категорирования объектов КИИ, принадлежащих на праве собственности, аренды или на ином законном основании государственным учреждениям, российским юридическим лицам и/или индивидуальным предпринимателям и используемых ими для осуществления видов деятельности в сфере топливно-энергетического комплекса.

Общий порядок осуществления категорирования определен Правилами категорирования объектов КИИ Российской Федерации (далее - Правила) и Перечнем показателей критериев значимости объектов КИИ Российской Федерации и их значений (далее - Перечень), утвержденными постановлением Правительства Российской Федерации от 08 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - постановление N 127) в редакции Постановления Правительства Российской Федерации от 13 апреля 2019 г. N 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127".

Методические рекомендации применяются субъектами ТЭК для:

- определения процессов в рамках видов деятельности, осуществляемых субъектами ТЭК;

- выявления управленческих, технологических, производственных, финансово-экономических и/или иных процессов в рамках осуществления видов деятельности субъекта ТЭК, нарушение и/или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы) из числа типовых процессов субъекта ТЭК;

- определения информационных систем (далее - ИС), информационно-телекоммуникационных сетей (далее - ИТКС) и автоматизированных систем управления технологическими процессами (далее - АСУ ТП), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управление, контроль или мониторинг критических процессов (далее совместно именуемых объекты КИИ), из числа типовых ИС, ИТКС и АСУ ТП, принадлежащих субъектам ТЭК;

- формирования перечня объектов КИИ, подлежащих категорированию (далее - перечень объектов КИИ);

- оценки для каждого объекта КИИ в соответствии с перечнем объектов КИИ масштаба возможных последствий в случае возникновения компьютерных инцидентов;

- присвоения каждому из объектов КИИ одной из категорий значимости либо принятия решения об отсутствии необходимости присвоения ему одной из категорий значимости;

- подготовки сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.

Общая схема работ по кастрированию объектов ТЭК в соответствии со ст. 7 Федерального закона N 187-ФЗ представлена на рис. 1.

В соответствии с ч. 1 ст. 7 Федерального закона N 187-ФЗ "категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения".

Процедуры категорирования объектов КИИ условно разделяются на первичную и последующие.

Первичная процедура категорирования объектов КИИ обусловливается вступлением в силу Федерального закона N 187-ФЗ и подзаконных нормативных актов. В ходе выполнения первичной процедуры категорирования объектов КИИ формируется перечень объектов КИИ субъекта КИИ, подлежащих категорированию, который впоследствии утверждается и направляется во ФСТЭК России.

Последующие процедуры категорирования производятся и случаях:

а) создания нового объекта КИИ или перехода на праве собственности, аренды или ином законном основании во владение и (или) эксплуатацию субъектом КИИ уже существующего объекта КИИ;

б) изменения значимого объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

в) изменения объекта КИИ, не являющегося значимым объектом КИИ, в результате которого такой объект стал значимым, на основании которых ему должна быть присвоена определенная категория значимости;

г) проведения периодического пересмотра установленной категории значимости или отсутствия необходимости назначения одной из категорий значимости объекта КИИ, осуществляемого (не реже, чем один раз в 5 лет);

д) изменения показателей критериев значимости объектов КИИ или их значений.

2. Отнесение государственного учреждения, российского юридического лица и (или) индивидуального предпринимателя к субъектам КИИ

Отнесение любого государственного учреждения, российского юридического лица и/или индивидуального предпринимателя к субъектам КИИ осуществляется исходя из его соответствия первым двум условиям (одновременно) или третьему условию:

1. Государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель осуществляет один или несколько из основных видов своей деятельности в одной или нескольких сферах (областях) деятельности, предусмотренных п. 8 ст. 2 Федерального закона N 187-ФЗ.

2. Государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю принадлежат на праве собственности, аренды или на ином законном основании любые ИС, ИТКС и АСУ ТП.

3. Российское юридическое лицо и/или индивидуальный предприниматель обеспечивает взаимодействие ИС, ИТКС и АСУ ТП, принадлежащих государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю, осуществляющему свою деятельность в одной или нескольких сферах (областях) деятельности, предусмотренных п. 8 ст. 2 Федерального закона N 187-ФЗ.

Если одно из первых двух условий и третье условие не выполняются, то государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель не является субъектом КИИ, если условия выполняются (одновременно первые два условия или третье условие), то является субъектом КИИ.

Область применения методических рекомендаций в отношении субъектов ТЭК как субъектов КИИ уточняется следующим образом:

- сферой деятельности, предусмотренной п. 8 ст. 2 Федерального закона N 187-ФЗ является энергетика или топливно-энергетический комплекс;

- в качестве субъектов КИИ рассматриваются государственные учреждения, российские юридические лица и/или индивидуальные предприниматели, при этом не учитывается, является ли субъект ТЭК государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и/или стратегическим акционерным обществом, стратегическим предприятием.

3. Комиссия по категорированию объектов КИИ

Для проведения мероприятий по категорированию в соответствии с п. 11 Правил решением руководителя субъекта КИИ создается постоянно действующая комиссия по категорированию. Состав комиссии определен пунктами 11, 11.1, 11.2 и 12, руководитель комиссии определяется в соответствии с п. 13 Правил.

Форма приказа о создании комиссии приведена в приложении 1.

Рекомендуемый состав комиссии.

1. Председатель комиссии по категорированию объектов КИИ

2. Заместитель председателя комиссии

3. Член комиссии - ответственный за ГО и ЧС

4. Член комиссии - ответственный за предоставление экономических показателей

5. Член комиссии - ответственный за выполнение процесса/владелец процесса

6. Член комиссии - ответственный за ИС, ИТКС, АСУ ТП

7. Член комиссии - ответственный за обеспечение безопасности объектов КИИ

8. Член комиссии - аналитик (группа аналитиков)

9. Член комиссии - ответственный по направлению информационной безопасности

10. Член комиссии - ответственный по направлению информационных технологий

11. Другие члены комиссии, определенные п. 11 Правил.

В состав комиссии по категорированию могут включаться представители Министерства энергетики Российской Федерации по согласованию с данным министерством.

4. Определение процессов в рамках видов деятельности, осуществляемых субъектом КИИ

В настоящем документе под процессом понимается последовательность связанных действий или задач, необходимых для достижения определенного результата.

Все процессы субъекта КИИ, предлагается условно подразделить на следующие группы:

- основные (операционные) - процессы, непосредственно ориентированные на оказание услуги и/или производство товара и обеспечивающие получение дохода для объекта КИИ. Так, например, для электроэнергетики, согласно Федеральному закону от 26 марта 2003 г. N 35-ФЗ "Об электроэнергетике", эти процессы обеспечивают:

- работу в сферах оптового и розничного рынков электрической энергии и мощности;

- оказание услуг по передаче электрической энергии;

- оперативно-технологическое управление;

- коммерческий учет электрической энергии (мощности).

- управления - процессы, отвечающие за управление деятельностью субъекта КИИ;

- поддержки функционирования - процессы, предназначенные для обеспечения основных процессов субъекта КИИ необходимыми ресурсами и создающими инфраструктуру компании;

- развития - процессы совершенствования деятельности субъекта КИИ, нацеленные на получение прибыли в долгосрочной перспективе (совершенствование производства продукции/услуги, технологии производства или оказания услуг, внедрение нового оборудования, а также инновационные процессы).

В случае, если применение вышеописанного подхода к выявлению процессов субъекта ТЭК представляется затруднительным, возможно использование другого подхода, основанного на методологии Enhanced Telecom Operations Мар (eТОМ). Модель еТОМ определяет архитектуру бизнес-процессов операторов телекоммуникационных услуг, но может быть применена и в других областях, в том числе в топливно-энергетическом комплексе.

Описание процессов в соответствии с данной моделью представлено на рис. 2.

Определение исходных данных для категорирования осуществляется на основании действий, предусмотренных п. 5 Правил:

а) определение процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ;

б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);

в) определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;

г) формирование перечня объектов КИИ, подлежащих категорированию (далее - перечень объектов).

В соответствии с п. 14.3 Правил необходимо оценивать критичность процессов с учетом масштаба последствий от нарушения или прекращения функционирования предприятия ТЭК.

Для субъектов ТЭК критичность функциональных процессов также определяется в соответствии с подпунктом "г" п. 10 Правил.

Для описания процессов рекомендуется использовать формулировки, описывающие сам процесс, а не дублировать названия обеспечивающих их ИС, ИТКС и АСУ ТП.

5. Выявление критических процессов в рамках видов деятельности, осуществляемых субъектом КИИ

Для каждого выявленного процесса должна быть проведена оценка критичности его нарушения с точки зрения возможных негативных социальных, политических, экономических, экологических последствий, последствий для обеспечения обороны страны, безопасности государства и правопорядка.

Необходимо отметить, что к критическим процессам следует относить только те процессы, которые исполняются в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона N 187-ФЗ, отраженные в уставе субъекта и внесенные в ЕГРЮЛ. В первую очередь должны рассматриваться процессы связанные с основной функциональной деятельностью, обеспечивающие получение прибыли предприятия.

Рекомендуется использовать перечень критериев значимости объектов и их значения из приложения 1 к Постановлению N 127. Соответственно, нужно определить для каждого рассматриваемого процесса, способно ли его нарушение повлечь последствия, определенные в Перечне.

Таким образом, отсекая на данном этапе процессы, нарушение которых не может привести к последствиям, соответствующим показателям значимости, автоматически отсекаются и системы (ИС, ИТКС, АСУ ТП), автоматизирующие данные процессы, так как их нарушение также не должно иметь значимых последствий.

Значения показателей критериев значимости оцениваются комиссионно на основании результатов интервью или иным способом, полученных в ходе обследования. По каждому показателю оценивается возможность наступления указанных видов последствий (возможно/невозможно). По результатам обработки предоставленной информации формируется перечень показателей критериев значимости, применимых для субъекта ТЭК.

Таким образом, критический процесс - процесс, для которого хотя бы по одному из оцениваемых показателей критериев значимости было сделано заключение о возможности соответствующего ущерба.

6. Определение объектов КИИ

Для каждого критического процесса формируется перечень ИС, ИТКС, АСУ ТП, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

Для каждого критичного процесса определяется перечень ИС, ИТКС, АСУ ТП, которые осуществляют одну из следующих функций:

- обработку информации, необходимой для критических процессов;

- управление критическим процессом;

- контроль или мониторинг критических процессов.

При формировании перечня членам комиссии рекомендуется:

- сделать запрос ответственным за ИС, ИТКС, АСУ ТП, ответственному за обеспечение безопасности объектов КИИ, ответственному по направлению информационных технологий или ответственному по направлению информационной безопасности с просьбой составить перечень ИС, ИТКС, АСУ ТП субъекта ТЭК;

- сделать запрос ответственному за выполнение процесса с просьбой указать перечень ИС, ИТКС, АСУ TП, реализующих рассматривающие процессы. К запросу приложить сформированный общий перечень ИС, ИТКС, АСУ ТП;

- проанализировать итоговый перечень ИС, ИТКС, АСУ ТП на законность их владения (принадлежность на праве собственности, аренды или ином законном основании) или использования на законном основании;

- в случае, если ИС, ИТКС, АСУ ТП не принадлежит субъекту ТЭК на праве собственности, аренды или ином законном основании, или если не используется на законном основании, исключить ИС, ИТКС, АСУ ТП из списка;

- если субъект КИИ является юридическим лицом, входящим в состав группы юридических лиц, согласовать итоговый перечень ИС, ИТКС, АСУ ТП с ответственными лицами по линии курирования. Целью согласования является исключение ситуаций, когда однотипные объекты КИИ в рамках одной группы юридических лиц могут иметь необоснованно разные категории значимости.

7. Формирование перечня объектов КИИ, подлежащих категорированию

Формирование перечня объектов КИИ, подлежащих категорированию, осуществляется субъектом ТЭК исходя из реального состава ИС, ИТКС и АСУ ТП, принадлежащих субъекту ТЭК на праве собственности, аренды или на ином законном основании.

Оформление перечня объектов КИИ осуществляется в соответствии с рекомендуемой ФСТЭК России формой (приведена в Приложении 2, определена Информационным сообщением ФСТЭК России "по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" от 24 августа 2018 г. N 240/25/3752.)

Сформированный перечень объектов КИИ утверждается руководителем субъекта КИИ (президентом, генеральным директором или т.н.) или уполномоченным им лицом.

Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. N 59.

Для подведомственных Минэнерго России организаций, перечисленных на официальном сайте minenergo.gov.ru, указанный перечень в соответствии с п. 15 Правил должен быть согласован с Министерством. Для иных предприятий, работающих в сфере ТЭК, согласование перечня не является обязательным.

Дополнительные рекомендации по заполнению формы перечня объектов КИИ субъекта ТЭК, подлежащих категорированию:

1. Если у субъекта ТЭК несколько однотипных объектов КИИ, то указывается каждый объект КИИ в отдельной строке с соответствующим наименованием (строки в перечне объектов КИИ добавляются).

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3. Если у субъекта ТЭК несколько однотипных объектов КИИ с одинаковым наименованием, то указывается каждый объект КИИ в отдельной строке с соответствующим наименованием и порядковым/инвентарным номером (строки в перечне объектов КИИ добавляются).

8. Оценка масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ

В соответствии с п. 14 Правил комиссия по категорированию проводит оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте КИИ и присвоение каждому из объектов КИИ одной из категорий значимости либо принимает решение об отсутствии необходимости присвоения им одной из категорий значимости.

Полученные в ходе оценки данные, а также присвоенная категория значимости вносится в акт категорирования.

Для удобства использования рекомендации по заполнению формы направления сведений, составленной с учетом вышеупомянутых приказов, приводится в Приложении 3.

Раздел "Сведения об объекте критической информационной инфраструктуры" акта категорирования объект КИИ.

П. 1.1 заполняется на основании балансовой ведомости субъекта КИИ.

П. 1.2 заполняется на основании имеющихся сведений об адресах размещения объекта.

В п. 1.3 для предприятий ТЭК указывается "топливно-энергетический комплекс".

В п. 1.4 указывается назначение объекта.

В п. 1.5 указывается тип объекта. С учетом специфики предприятий ТЭК особое внимание должно уделяться АСУ ТП.

В п. 1.6 указывается архитектура объекта.

Раздел "Сведения о субъекте критической информационной инфраструктуры" акта категорирования объекта КИИ.

Пп. 2.1, 2.2., 2.3 и 2.6 заполняются на основании сведений, представленных из уставных документов и выписки из ЕГРЮЛ.

П. 2.4 и 2.5 заполняется на основании сведений из приказов о назначении соответствующих должностных лиц.

Раздел "Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи" акта категорирования объекта КИИ.

В п. 3.1 указывается категория сети связи, используемая объектом КИИ.

П. 3.2 заполняется на основании сведений из договоров на оказание услуг связи, обеспечивающих объект КИИ.

В п. 3.3 указывается цель взаимодействия с сетью связи.

В п. 3.4 указывается способ взаимодействия с сетью связи.

Раздел "Сведении о лице, эксплуатирующем объект критической информационной инфраструктуры" акта категорирования объекта КИИ.

В п. 4.1 указывается наименование юридического лица или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, эксплуатирующего объект КИИ.

В п. 4.2 указывается адрес местонахождения юридического лица или адрес места жительства индивидуального предпринимателя, эксплуатирующего объект КИИ.

В п. 4.3 указывается элемент (компонент) объекта, который эксплуатируется указанным юридическим лицом или индивидуальным предпринимателем.

В п. 4.4. указывается ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта.

Раздел "Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры" акта категорирования объекта КИИ.

Пп. 5.1-5.4 заполняются на основании сведений из балансовой ведомости субъекта КИИ. При описания средств защиты в соответствии с п. 5.4. акта категорирования необходимо исходить из того, что для значимых объектов КИИ рекомендуется использовать сертифицированные средства защиты.

Раздел "Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры" акта категорирования объекта КИИ.

В п. 6.1 приводится описание нарушителя.

В п. 6.2 указываются угрозы безопасности объекту КИИ.

Для определения актуальных угроз для систем АСУ ТП рекомендуется использовать базу данных угроз ФСТЭК России (bdu.fstec.ru), а также руководствоваться Информационным сообщением ФСТЭК России от 04 мая 2018 г. N 240/22/2339 "О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ".

В случае, если на объекте КИИ имеется разработанная "Модель угроз и нарушителя безопасности информации", в которой рассматриваются все имеющиеся на данный момент угрозы безопасности информации, определенные в банке данных угроз безопасности информации ФСТЭК, следует руководствоваться выводами, сделанными в "Модели угроз и нарушителя безопасности информации" для данного объекта КИИ.

Раздел "Возможные последствия в случае возникновения компьютерных инцидентов" акта категорирования объекта КИИ.

В п. 7.1 указываются типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак.

Раздел "Категория значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости" заполняется следующим образом.

П. 8.1 заполняется на основании решения комиссии.

Раздел 8.2 акта категорирования КИИ заполняется следующим образом.

I. Социальная значимость

1. Причинение ущерба жизни и здоровью людей (человек) - определяется с учетом п. 3 Паспорта безопасности объекта ТЭК.

2. Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений - определяется с учетом п. 3 Паспорта безопасности объекта ТЭК.

3. Прекращение или нарушение функционирования объектов транспортной инфраструктуры - определяется в соответствии с п. 1 Паспорта безопасности ТЭК.

4. Прекращение или нарушение функционирования сети связи - не применяется.

5. Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) - не применяется.

II. Политическая значимость

6. Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия). Под прекращением или нарушением функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) с учетом положений федерального закона "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" от 05.04.2013 N 44-ФЗ в настоящих методических рекомендациях рассматривается ситуация невозможности для государственного органа реализации возложенных на него функций (полномочий), закрепленных в соответствующих нормативно-правовых актах Российской Федерации, в результате недоступности услуги электроснабжения, теплоснабжения или снабжения топливом, приобретенной им в рамках государственного контракта для выполнения возложенной на него функции (полномочия), с учетом условий данного контракта. Данный вид негативных последствий может возникнуть только в случае наличия у субъекта ТЭК соответствующего действующего государственного контракта с органом государственной власти.

Данный вид негативных последствий оценивается по уровню органа государственной власти, с которым заключен соответствующий государственный контракт:

- орган государственной власти субъекта Российской Федерации или города федерального значения;

- федеральный орган государственной власти;

- Администрация Президента Российской Федерации, Правительство Российской Федерации, Федеральное Собрание Российской Федерации, Совет Безопасности Российской Федерации, Верховный Суд Российской Федерации, Конституционный Суд Российской Федерации.

7. Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации - в соответствии с заключенными договорами с международными обязательствами.

III. Экономическая значимость

8. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в:

- возникновении непредвиденных издержек, снижающих прибыль;

- нарушении порядка платежей и расчетов с контрагентами, что чревато нарушением ритмичности материально-технического обеспечения и сбыта продукции, штрафами, судебными исками и т.д.;

- нарушении своевременности уплаты акцизов, налогов и обязательных взносов во внебюджетные фонды;

- нарушении установленных кредитными и инвестиционными договорами с финансовыми институтами ковенант, влияющих на условия привлекаемого финансирования, вплоть до сокращения и отзыва ранее установленных кредитных и инвестиционных лимитов;

- разглашении конфиденциальной информации, влияющей на коммерческую деятельность и интересы акционеров;

- разглашении закрытой информации, которая в условиях санкционной политики ряда стран по отношению к России может быть использована против российских корпораций, органов власти и управления, финансовых институтов и т.д.;

- в соответствии с п. 3 Паспорта безопасности объекта ТЭК.

9. Возникновение ущерба бюджетам Российской Федерации - в соответствии с расчетом недополученных налогов.

10. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) - не применяется.

IV. Экологическая значимость

11. Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия).

V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка

12. Прекращение или нарушение (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), оцениваемое в уровне (значимости) пункта управления или ситуационного центра

прекращение или нарушение функционирования пункта управления или ситуационного центра органа государственной власти субъекта Российской Федерации или города федерального значения

прекращение или нарушение функционирования пункта управления или ситуационного центра федерального органа государственной власти или государственной корпорации

прекращение или нарушение функционирования пункта управления государством или ситуационного центра Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации - не применяется.

13. Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры - рассчитывается в случае выполнения государственного оборонного заказа.

14. Прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов) - не применяется.

В п. 8.3 приводится обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту.

Раздел "Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры" акта категорирования объекта КИИ.

П. 9.1 заполняется на основании сведений из Паспорта безопасности объекта ТЭК, разработанного в соответствии с Приложением к Федеральному закону от 21 июля 2011 г. N 256-ФЗ (ред. от 06 июля 2016 г.) "О безопасности объектов топливно-энергетического комплекса".

В п. 9.2 указываются технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с требованиями по обеспечению безопасности значимых объектов.

9. Принятие решения об установлении категории значимости объекту КИИ

В соответствии с требованиями Федерального закона 187-ФЗ объекту КИИ присваивается категория значимости.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей и т.д.), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

В случае если ни один из показателей критериев значимости неприменим для объекта КИИ, или объект КИИ не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается.

Устанавливаются 3 категории значимости. Самая высокая категория - первая, самая низкая - третья.

В отношении объекта КИИ, создаваемого в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту КИИ с учетом имеющихся исходных данных о критических процессах субъекта ТЭК. Для создаваемого объекта КИИ, категория значимости может быть уточнена в ходе его проектирования.

Для объектов, принадлежащих другому субъекту критической информационной инфраструктуры, но используемых для целей контроля и управления технологическим и (или) производственным оборудованием, принадлежащим субъекту ТЭК, категорирование осуществляется на основе исходных данных, представляемых субъектом КИИ, которому принадлежит технологическое и (или) производственное оборудование.

Решение комиссии по каждому объекту КИИ оформляется отдельным актом.

Форма акта приведена в приложении 4. Акт подписывается членами постоянной комиссии по категорированию. Все акты могут быть утверждены одним приказом руководителя субъекта ТЭК (субъекта КИИ), в этом случае акты будут выступать приложениями к соответствующему приказу, или каждый акт может быть утвержден по отдельности. Субъект КИИ в лице ответственного по направлению информационной безопасности обеспечивает хранение Акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости.

Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных п. 12 статьи 7 Федерального закона N 187-ФЗ.

10. Рассмотрение результатов категорирования

Рассмотрение результатов категорирования производится в соответствии со схемой, представленной на рис. 3.

Перечень нормативных документов

1. Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

2. Федеральный закон от 21 июля 2011 г. N 256-ФЗ "О безопасности объектов топливно-энергетического комплекса".

3. Постановление Правительства Российской Федерации от 08 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".

4. Постановление Правительства Российской Федерации от 13 апреля 2019 г. N 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127".

5. Постановление Правительства Российской Федерации от 5 мая 2012 г. N 459 "Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования".

6. Постановление Правительства Российской Федерации от 21 мая 2007 г. N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера".

7. Приказ Министерства энергетики РФ от 10 февраля 2012 г. N 48 "Об утверждении методических рекомендаций по включению объектов топливно-энергетического комплекса в перечень объектов, подлежащих категорированию".

8. Приказ ФСТЭК России от 22 декабря 2017 г. N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий".

Согласовано

Минэнерго России

(исх. от 31.07.2019 N ЧА-8630/15)

ФСТЭК России

(исх. от 26.08.2019 N 240/25/4048)