Приложение 3. Рекомендации по заполнению формы направления сведений. Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса (согласовано с Минэнерго России (письмо от 31.07.2019 N ЧА-8630/15), ФСТЭК России (письмо от 26.08.2019 N 240/25/4048))

ПРИЛОЖЕНИЕ 3

Рекомендации по заполнению формы направления сведений

1. Сведения об объекте критической информационной инфраструктуры

N	Поле для заполнения	Рекомендации по заполнению
1.1.	Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети)	Заполняется в соответствии с наименованием, указанным в проектных и эксплуатационных документах
1.2.	Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта	Необходимо указать адреса размещения всех компонентов объекта КИИ, в том числе адреса обособленных подразделений, филиалов, в которых размещаются сегменты распределенного объекта (серверы, рабочие места, технологическое, производственное оборудование (исполнительные устройства)
1.3.	Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"	Указывается одна или несколько из перечня сфер деятельности, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", в которой функционирует объект КИИ
1.4.	Назначение объекта	Назначение объекта КИИ указывается в соответствии с рабочей, проектной, эксплуатационной или иной документацией на объект КИИ, а также в соответствии с локальными нормативно-правовыми актами о создании и (или) вводе объекта КИИ в эксплуатацию
1.5.	Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)	Указывается тип объекта КИИ - ИС, ИТКС или АСУ TП
1.6.	Архитектура объекта (одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура)	Тип архитектуры определяется в соответствии с рабочей, проектной или эксплуатационной документацией на объект КИИ, фактическим составом технических средств и их взаимосвязью. Для примера, архитектура объекта КИИ может быть следующих типов: одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления и др.

2. Сведения о субъекте критической информационной инфраструктуры

2.1.	Наименование субъекта	Указывается полное и краткое наименование субъекта КИИ в соответствии с уставными документами
2.2.	Адрес местонахождения субъекта	Указывается адрес местонахождения КИИ. Адрес местонахождения определяется в соответствии с уставными документами и ЕГРЮЛ субъекта КИИ
2.3.	Должность, фамилия, имя, отчество (при наличии) руководителя субъекта	Указывается полное наименование должности руководителя субъекта КИИ в соответствии с уставными документами и его фамилия, имя и отчество (при наличии)
2.4.	Должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов, или в случае отсутствия такого должностного лица, наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта.	Если функции обеспечения безопасности значимых объектов КИИ возложены на соответствующее должностное лицо из числа работников субъекта КИИ, указывается должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов КИИ. Если функции обеспечения безопасности значимых объектов КИИ в субъекта КИИ ни на кого из работников не возложены, то указывается полное наименование должности руководителя субъекта КИИ в соответствии с уставными документами и его фамилия, имя и отчество (при наличии)
2.5.	Структурное подразделение, ответственное за обеспечение безопасности значимых объектов, должность, фамилия, имя, отчество (при наличии) руководителя структурного подразделения, телефон, адрес электронной почты (при наличии) или должность, фамилия, имя, отчество (при наличии) специалиста, ответственного за обеспечение безопасности значимых объектив, телефон, адрес электронной почты (при наличии)	Если ответственность за обеспечение безопасности значимых объектов КИИ возложена на структурное подразделение организации, указывается полное наименование (в соответствии с утвержденной организационно-штатной структурой) структурного подразделения, а также полное наименование (в соответствии с утвержденной организационно-штатной структурой) должности руководителя этого структурного подразделения, его фамилию, имя и отчество (при наличии), номер телефона и адрес электронной почты (при наличии). Если ответственность за обеспечение безопасности значимых объектов КИИ возложена на штатного специалиста, указывается полное наименование (в соответствии с утвержденной организационно-штатной структурой) должности этого штатного специалиста, его фамилию, имя и отчество (при наличии), и также его номер телефона и адрес электронной почты (при наличии)
2.6.	ИНН субъекта и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта	Указывается ИНН субъекта КИИ и КПП филиалов, представительств, в которых размещаются компоненты объекта КИИ

3. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи

3.1.	Категория сети электросвязи (общего пользования, выделенная, технологическая, присоединенная к сети связи общего пользования, специального назначения, другая сеть связи для передачи информации при помощи электромагнитных систем) или сведения об отсутствии взаимодействия объекта критической информационной инфраструктуры с сетями электросвязи	Если рассматриваемый объект КИИ взаимодействует с сетями электросвязи - указывается категория сети электросвязи. В соответствии с Федеральным законом от 07 июля 2003 г. N 126-ФЗ "О связи" сети электросвязи могут делиться на следующие категории: - сеть связи общего пользования; - выделенная сеть связи; - технологическая сеть связи, а также технологическая сеть связи, присоединенная к сети связи общего пользования; - сеть связи специального назначения Если рассматриваемый объект КИИ не взаимодействует с вышеперечисленными сетями электросвязи, дается соответствующее пояснение
3.2.	Наименование оператора связи и (или) провайдера хостинга	Если рассматриваемый объект КИИ взаимодействует с сетями связи, для каждой из них необходимо указать наименование оператора связи (в соответствии с договором об оказании услуг связи), предоставляющего доступ к данной сети электросвязи. Если рассматриваемый объект КИИ не взаимодействует с вышеперечисленными сетями электросвязи, дается соответствующее пояснение. Примечание - Поскольку технологические сети связи - это сети связи предприятия, используемые для обеспечения производственной деятельности, управления технологическими процессами в производстве, для них в качестве оператора указывается наименование субъекта КИИ. В случае, если компоненты объема КИИ размещаются на площадках провайдеров хостингов, указывается наименование провайдера хостинга. В случае, если для размещения компонентов объекта КИИ не используются сторонние хостинги, дается соответствующее пояснение
3.3.	Цель взаимодействия с сетью электросвязи (передача (прием) информации, оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), иная цель)	Если рассматриваемый объект КИИ взаимодействует с сетями электросвязи, необходимо указать цель такого взаимодействия. Цель взаимодействия указывается в соответствии с рабочей, проектной и (или) эксплуатационной документацией на данный объект КИИ. Для примера, могут быть указаны следующие цели взаимодействия: передача (прием) информации, оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), или любая иная цель. Если рассматриваемый объект КИИ не взаимодействует с вышеперечисленными сетями электросвязи, дается соответствующее пояснение
3.4.	Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводной), протоколов взаимодействия	Если рассматриваемый объект КИИ взаимодействует с сетями электросвязи, необходимо указать способ взаимодействия (проводной и (или) беспроводной), используемые технологии доступа к сети электросвязи, а также протоколы, по которым осуществляется взаимодействие. Данный пункт заполняется на основании рабочей, проектной и/или эксплуатационной документации на данный объект КИИ, а также на основании договора об оказании услуг связи. Если рассматриваемый объект КИИ не взаимодействует с вышеперечисленными сетями электросвязи, дается соответствующее пояснение

4. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры

4.1.	Наименование юридического лица или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, эксплуатирующего объект	Если рассматриваемый объект КИИ эксплуатируется только субъектом КИИ, то указывается наименование полное и краткое наименование организации.
4.2.	Адрес местонахождения юридического лица или адрес места жительства индивидуального предпринимателя, эксплуатирующего объект	Если какие-либо компоненты рассматриваемого объекта КИИ эксплуатируются сторонним юридическим лицом, также указывается полное наименование (в соответствии с уставными документами, ЕГРЮЛ) этого юридического лица
4.3.	Элемент (компонент) объекта, который эксплуатируется лицом (центр обработки данных, серверное оборудование, телекоммуникационное оборудование, технологическое, производственное оборудование (исполнительные устройства), иные элементы (компоненты)	Если рассматриваемый объект КИИ эксплуатируется только организацией, указывается адрес местонахождения организации.
4.4.	ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта	Если какие-либо компоненты рассматриваемого объекта КИИ эксплуатируются сторонним юридическим лицом, также указывается адрес местонахождения (в соответствии с уставными документами, ЕГРЮЛ) этого юридического лица

5. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры

5.1.	Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество	Указываются наименования всех программно-аппаратных средств в составе объекта КИИ (без разбиения на какие-либо группы и указания мест размещения), с указанием их количества.
5.2.	Наименование общесистемного программного обеспечения (клиентских, серверных операционных систем, средств виртуализации (при наличии)	Указываются наименования и версии клиентских, серверных операционных систем, средств виртуализации (при наличии), входящих в состав рассматриваемого объекта КИИ общим перечнем (без разбиения на какие-либо группы и указания мест размещения)
5.3.	Наименования прикладных программ, обеспечивающих выполнение функций объекта по его назначению (за исключением прикладных программ, входящих в состав дистрибутивов операционных систем)	Указываются наименования и версии прикладных программ, обеспечивающих выполнение функций объекта КИИ по его назначению, за исключением прикладных программ, входящих в состав дистрибутивов операционных систем, общим перечнем (без разбиения на какие-либо группы и указания мест размещения)
5.4.	Применяемые средства защиты информации (в том числе встроенные в общесистемное программное обеспечение) (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документом, содержащих результаты оценки соответствия средств защиты информации или сведения о не проведении такой оценки) или сведения об отсутствии средств защиты информации.	Если на рассматриваемом объекте КИИ применяются средства защиты информации, указываются наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о не приведении такой оценки. Если в качестве средств защиты информации используются встроенные и системное и/или прикладное программное обеспечение средства, указываются функции безопасности программного обеспечения (идентификация, аутентификация, управление доступом, регистрация событий безопасности, фильтрация, иные функции). Если на объекте КИИ не используются средства защиты информации и их функции не реализованы встроенными средствами системного и (или) прикладного программного обеспечения, дается соответствующее пояснение

6. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры

6.1.	Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации	Заполняется на основании сведений из Моделей угроз и нарушителей безопасности информации объекта КИИ (в случае наличия). Во всех случаях указывается тип нарушителя: внешний или внутренний. В случае наличия объективных факторов, свидетельствующих о возможности исключения тех или иных положений из описания, по решению Комиссии по# описание может быть скорректировано
6.2.	Основные угрозы безопасности информации или обоснование их неактуальности	Заполняется на основании сведений из Моделей угроз и нарушителей безопасности информации объекта КИИ (в случае наличия). Указываются группы угроз, актуальных для объекта КИИ исходя из его структурно-функциональных характеристик, используемых типов технических средств и технологий. В соответствии с критериями, установленными в указанном документе, выбираются группы угроз и конкретные угрозы безопасности с их идентификаторами Банка данных угроз безопасности информации ФСТЭК России, которые указываются при заполнении данного поля

7. Возможные последствия в случае возникновения компьютерных инцидентов

7.1.

Типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак (отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация (подмена) данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов объекта), или обоснование невозможности наступления компьютерных инцидентов

Заполняется на основании сведений из Моделей угроз и нарушителей безопасности информации объекта КИИ

8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости

8.1.	Категория значимости, которая присвоена объекту либо информация о не присвоении объекту ни одной из таких категорий	Указывается категория в соответствии с результатами категорирования, отраженными в утвержденном Акте соответствующего объекта КИИ
8.2.	Полученные значения по каждому из рассчитываемых показателей критериев значимости или информация о неприменимости показателя к объекту	Заполняется на основании сведений, полученных при выполнении оценки возможного масштаба последствий. Указывается по всем показателям критериев значимости, определенным в Правилах. По неприменимым показателям критериев значимости - указывается факт неприменимости
8.3.	Обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту	Заполняется на основании сведений, полученных при выполнении оценки возможного масштаба последствий. Указывается по всем показателям критериев значимости, определенным в Правилах. По неприменимым показателям критериев значимости - указывается текстовое обоснование неприменимости

9. Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры

9.1.	Организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта)	Меры указываются вне зависимости от того, присвоена ли объекту КИИ категория значимости или нет.
9.2.	Технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с требованиями по обеспечению безопасности значимых объектов	Меры указываются вне зависимости от того, присвоена ли объекту КИИ категория значимости или нет. Технические меры рекомендуется группировать в соответствии с приказом ФСТЭК России N 239, описывая, что конкретно технически реализовано в рамках той или иной группы мер.