"Методические рекомендации по категорированию объектов критической информационной инфраструктуры, функционирующих в сфере транспорта" (утв. Минтрансом России 24.01.2024)

Утверждаю
Заместитель Министра транспорта
Российской Федерации
Д.В.БАКАНОВ
24 января 2024 г.

Согласовано
Заместитель директора ФСТЭК России
В.С.ЛЮТИКОВ
18 января 2024 г.

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ, ФУНКЦИОНИРУЮЩИХ В СФЕРЕ ТРАНСПОРТА

Термины и определения

В настоящих Методических рекомендациях используются следующие термины и определения:

Перечень сокращений и обозначений

В настоящем документе используются следующие сокращения и соответствующие им обозначения:

Нормативные правовые акты и документы

Настоящие Методические рекомендации разработаны с учетом требований следующих нормативных правовых актов и документов:

Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

Федеральный закон от 09.02.2007 N 16-ФЗ "О транспортной безопасности";

Постановление Правительства Российской Федерации от 30.07.2004 N 395 "Об утверждении Положения о Министерстве транспорта Российской Федерации";

Постановление Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";

Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий";

Информационное сообщение ФСТЭК России от 17.04.2020 N 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

1. Общие положения

Настоящие Методические рекомендации разработаны на основании и в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", а также постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - Правила категорирования).

Методические рекомендации призваны обеспечить однозначное толкование и эффективное исполнение Правил категорирования и предназначены для оказания методической помощи российским юридическим лицам и (или) индивидуальным предпринимателям, осуществляющим свою деятельность в сфере транспорта, государственным органам, их подведомственным организациям и иным российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере транспорта (далее - Организация).

Методические рекомендации применяются наряду с методическими документами, определяющими порядок категорирования объектов критической информационной инфраструктуры, разработанными органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России), а также исполнительными органами государственной власти субъектов Российской Федерации в сфере транспорта и носят рекомендательный характер.

Порядок проведения процедуры категорирования определен Правилами категорирования и может быть в общем виде представлен следующими этапами:

Формирование Организацией комиссии по категорированию объектов КИИ;

Определение принадлежности Организации к субъекту КИИ;

Формирование перечня объектов КИИ Организации, подлежащих категорированию;

Согласование Перечня объектов КИИ Организации и направление его в ФСТЭК России;

Присвоение одной из категорий значимости объекту(-ам) КИИ либо принятие решения об отсутствии необходимости присвоения объекту(-ам) КИИ одной из категорий значимости;

Составление акта категорирования объекта(-ов) КИИ и направление сведений в ФСТЭК России о результатах присвоения объекту(-ам) КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему (им) одной из таких категорий.

2. Комиссия по категорированию объектов КИИ

2.1. Создание комиссии

Первым шагом процедуры категорирования является создание комиссии по категорированию объектов КИИ (далее - Комиссия), осуществляющей свою деятельность на постоянной основе.

2.1.1. Комиссия создается локальным нормативным актом (приказом или распоряжением) руководителя Организации. Локальный нормативный акт о создании Комиссии оформляется в соответствии с правилами документооборота, принятыми в Организации.

2.1.2. В целях регламентации и планирования деятельности Комиссии рекомендуется разработать Положение о Комиссии <1> и План работы Комиссии.

--------------------------------

<1> Шаблон Положения о комиссии по категорированию объектов КИИ приведен в Приложении 1.

2.1.3. Комиссию возглавляет руководитель Организации или уполномоченное им лицо. Уполномоченным лицом может являться, включая, но не ограничиваясь, работник, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности), либо главный инженер промышленного предприятия.

2.2. Состав Комиссии

2.2.1. В состав Комиссии включаются:

руководитель Организации или уполномоченное им лицо;

работники Организации, являющиеся специалистами в области выполняемых функций (полномочий) или осуществляемых видов деятельности в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности;

работники Организации, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов информационной инфраструктуры.

2.2.2. В состав Комиссии могут включаются дополнительно:

работники подразделения по защите государственной тайны Организации (в случае, если объект КИИ обрабатывает информацию, составляющую государственную тайну);

работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники Организации, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций;

представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере транспорта, по согласованию с государственными органами и российскими юридическими лицами;

специалисты, на которых возложены функции по контролю и учету за опасными веществами и материалами;

по решению руководителя Организации в состав Комиссии могут быть включены иные работники Организации, в том числе работники финансово-экономического подразделения Организации (обладающие знаниями и навыками, необходимыми для расчета показателей экономической значимости), а также специалисты юридического подразделения в целях проверки корректности соблюдения процедуры категорирования и оформления документов.

2.2.3. Создание дополнительных комиссий.

По решению руководителя Организации, имеющей филиалы, представительства, могут создаваться отдельные комиссии по категорированию объектов КИИ в этих филиалах, представительствах. В этом случае Комиссия координирует и контролирует деятельность комиссий по категорированию филиалов, представительств.

2.3. Работа Комиссии

2.3.1. Работа Комиссии регламентируется Положением о Комиссии <2>.

--------------------------------

<2> Шаблон Положения о комиссии по категорированию объектов КИИ приведен в Приложение N 1.

2.3.2. Заседания Комиссии оформляются протоколами по форме, приведенной в Приложении N 2 методических рекомендаций.

3. Порядок определения принадлежности организации к субъекту КИИ

3.1. Отнесение Организации к сфере транспорта

С целью оптимизации процесса категорирования объектов КИИ, до начала категорирования, Организации рекомендуется определить относится она к сфере транспорта или нет.

Исходными данными для определения осуществляет ли Организация деятельность в сфере транспорта, могут являться (включая, но не ограничиваясь):

1. Общероссийский классификатор видов экономической деятельности (ОКВЭД);

2. Перечень ОКВЭД используемых в сфере транспорта (Приложение N 10);

3. Принадлежность Организации на праве собственности, аренды или на ином законном основании объектов транспортной инфраструктуры, указанных в Приложении N 9;

4. Принадлежность Организации на праве собственности, аренды или на ином законном основании типовых объектов КИИ, функционирующих в сфере транспорта, согласно Приложению N 8;

5. Нахождение Организации в перечне организаций российской экономики в части транспортного комплекса (Приложение N 11).

Если Организация соответствует одному или нескольким указанным выше критериям, Организация квалифицируется, как Организация, осуществляющая деятельность в сфере транспорта и являющаяся субъектом критической информационной инфраструктуры.

3.2. Принадлежность Организации к Субъектам КИИ

3.2.1. В соответствии с Федеральным законом N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", устанавливаются следующие критерии для определения принадлежности Организации к Субъектам КИИ:

1. Организация, которой на праве собственности, аренды или ином законном основании принадлежат государственные информационные системы (ГИС), является Субъектом КИИ.

2. Организация, которой на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, является Субъектом КИИ.

3. Организация, которая обеспечивает взаимодействие информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, является Субъектом КИИ.

4. Организация, которой на праве собственности, аренды или ином законном основании принадлежат объекты КИИ, включенные в перечень типовых объектов КИИ, функционирующих в сфере транспорта (Приложение N 8), является Субъектом КИИ.

5. Организация, которая не имеет на праве собственности, аренды или ином законном основании информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления (далее - Системы) или не обеспечивает взаимодействие указанных Систем, не является Субъектом КИИ.

Решение Комиссии о том, является ли организация субъектом КИИ или нет, оформляется Протоколом Комиссии <3>.

--------------------------------

<3> Шаблон Протокола заседания Комиссии приведен в Приложении N 2.

3.2.2. В случае если Комиссией принято решение о том, что Организация не является Субъектом КИИ, Организация направляет уведомление по форме, приведенной в Приложении N 3 в уполномоченный орган исполнительной власти в сфере транспорта того субъекта Российской Федерации, в котором зарегистрирована Организация. По результатам принятого решения о том, что Организация не является субъектом КИИ, Комиссия фиксирует достигнутые результаты, организует хранение материалов, рассмотренных в ходе работы Комиссии, включая протоколы и копии уведомлений, направленных в уполномоченные органы.

3.2.3. Подведомственные Минтрансу России Организации направляют уведомление по форме, приведенной в Приложении N 3, непосредственно в Министерство транспорта Российской Федерации.

4. Перечень объектов КИИ, подлежащих категорированию

Комиссия, учитывая требования при формировании Перечня объектов КИИ, осуществляет разработку Перечня объектов КИИ путем выполнения следующих действий:

1. Составляется перечень информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей (ИС, АСУ, ИТКС), принадлежащих Организации на праве собственности, аренды или ином законном основании. Перечень оформляется в виде таблицы (Таблица 1).

Таблица 1. Перечень информационных систем, принадлежащих Организации

2. Под критерии определения ИС, АСУ, ИТКС, рассматриваются системы, используемые Организацией в целях обеспечения выполнения функций (полномочий) или осуществления видов деятельности Организации.

Важно отметить, что к информационным системам следуют относить также и сопутствующие подсистемы, работоспособность которых может напрямую или косвенно повлиять на обеспечение функционирования процессов в Организации.

3. Формируется перечень всех управленческих, технологических, производственных, финансово-экономических и (или) иных процессов, протекающих при выполнении функций (полномочий) или осуществления видов деятельности Организации (далее - Перечень процессов).

4. На основании Перечня процессов, сформированного при выполнении рекомендаций пункта 3 раздела 4 настоящих Методических рекомендаций, Комиссия определяет те из них, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка <4>. Таким образом определенные процессы признаются критическими процессами Организации и отражаются в отдельном документе. Рекомендованная форма Перечня критических процессов приведена в Приложении N 4.

--------------------------------

<4> На основании пункта 5 постановления Правительства от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".

2. На основании перечня ИС, АСУ, ИТКС, сформированного при выполнении рекомендаций пункта 1 раздела 4 настоящих Методических рекомендаций, Комиссия определяет ИС, АСУ, ИТКС, используемые для обеспечения Критических процессов, или осуществляющие управление, контроль или мониторинг этих Критических процессов.

3. По результатам проведенных Комиссией работ согласно пункту 5 раздела 4 настоящих Методических рекомендаций, формируется отдельный перечень ИС, АСУ, ИТКС, отнесенных к объектам КИИ.

4. К объектам КИИ, подлежащим категорированию, относятся ИС, АСУ, ИТКС, которые обрабатывают информацию, необходимую для обеспечения выполнения Критических процессов, и (или) осуществляющим управление, контроль или мониторинг Критических процессов Организации (Субъекта КИИ), а также объекты КИИ, включенные в перечень типовых отраслевых объектов КИИ, функционирующих в сфере транспорта (Приложение N 8).

5. В Перечень объектов КИИ, в том числе, включаются объекты КИИ филиалов, представительств Субъекта КИИ, в случае если они не являются самостоятельными юридическими лицами.

6. На основании данных полученных в ходе выполнения настоящих Методических рекомендаций и в соответствии с Правилами категорирования, Комиссия составляет Перечень объектов КИИ, подлежащих категорированию по форме, приведенной в Приложении N 5.

5. Порядок согласования перечня объектов КИИ

1. Подведомственные Министерству транспорта Российской Федерации Организации, направляют на согласование Перечень объектов, подлежащих категорированию в Министерство транспорта Российской Федерации.

2. После согласования Министерством транспорта Российской Федерации Перечня объектов КИИ, подлежащих категорированию, Перечень объектов КИИ утверждается руководителем (иным уполномоченным руководителем лицом) подведомственной Организации и в течение 10 рабочих дней направляется в ФСТЭК России.

3. В случае если Субъект КИИ не является подведомственной Министерству транспорта Российской Федерации организацией, Перечень объектов КИИ, подлежащих категорированию, в течение 10 рабочих дней после утверждения руководителем или уполномоченным им лицом направляется в печатном и электронном виде в ФСТЭК России.

4. Организация после утверждения Перечня объектов КИИ, подлежащих категорированию и направления его в ФСТЭК России, в течение года с момента утверждения проводит категорирование объектов КИИ, указанных в Перечне объектов КИИ.

6. Присвоение категории объекту(-ам) КИИ

6.1. Описание процесса категорирования объектов КИИ

Следующий этап, который проводит Комиссия после формирования перечня объектов КИИ, является процесс категорирования.

1. Комиссия рассматривает возможные действия нарушителей в отношении объектов КИИ.

2. Проводится анализ угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ Организации. При рассмотрении угроз рекомендуется использовать в том числе, банк данных угроз безопасности ФСТЭК <5>.

--------------------------------

<5> Банк угроз ФСТЭК размещен на информационном ресурсе bdu.fstec.ru.

3. Результатом работы Комиссии по категорированию является сформированный перечень угроз безопасности информации с описанием возможных действий нарушителя, реализация которых может привести к возникновению компьютерных инцидентов на объекте КИИ.

4. Перечень угроз безопасности информации может быть разработан как на основании уже имеющихся для объектов КИИ Моделей угроз безопасности информации, в том числе моделей нарушителя, так и на основании актуализированных Моделей угроз безопасности информации.

5. Комиссия проводит оценку объектов КИИ в соответствии с показателями критериев значимости и присваивает каждому из объектов КИИ категорию, либо принимает решение об отсутствии необходимости ее присвоения.

6. Комиссия по категорированию оценивает объекты КИИ по всем показателям критериев значимости и их значений, утвержденным постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - Показатели критериев значимости) и в зависимости от полученных в ходе оценки значений принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии.

7. Устанавливаются три категории значимости объектов КИИ - первая, вторая и третья. Самая высокая - первая, самая низкая - третья.

8. В случае если объект критической информационной инфраструктуры по одному из Показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости не проводится.

9. В случае если ни один из Показателей критериев значимости не применим для объекта КИИ или объект КИИ не соответствует ни одному Показателю из критериев значимости и их значениям, категория значимости не присваивается.

10. Оценка каждого объекта КИИ по показателям критериев значимости проводится с использованием экспертных мнений членов Комиссии по категорированию.

Перед проведением оценки рекомендуется провести оценку применимости Показателей критериев значимости к субъекту КИИ в целом, в целях исключения тех Показателей, которые явно не будут применимы ни к одному из принадлежащих Организации объектов КИИ.

1. При присвоении объекту КИИ категории значимости, принятые на объекте меры защиты не учитываются.

2. Объекту КИИ по результатам категорирования присваивается в соответствии с перечнем Показателей критериев значимости категория значимости с наивысшим значением.

3. Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений Показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

4. Результатом работы Комиссии по категорированию является решение Комиссии по категорированию, оформленное Актом о категорировании объектов КИИ (Приложение N 6).

6.2. Описание расчета показателей критериев значимости объектов КИИ

6.2.1. Порядок расчета критериев значимости объектов КИИ.

До начала расчета показателей критериев значимости объекта КИИ Организации определяется применимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, для оценки значимости ИС, ИТКС, АСУ Организации.

Для показателей критериев значимости объекта КИИ Организации, по которым обоснована их неприменимость, расчет показателей критериев значимости не проводится.

Расчет показателей критериев значимости объектов КИИ, установленных постановлением Правительства РФ от 08.02.2018 N 127, проводится для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

В случае, если ИС, ИТКС, АСУ Организации по одному из показателей критериев значимости отнесена к первой категории, расчет по остальным показателям критериев значимости не проводится.

В случае, если ИС, ИТКС, АСУ Организации не соответствует ни одному значению показателя критериев значимости, категория значимости объекту КИИ не присваивается.

В случае, если функционирование одного объекта КИИ зависит от функционирования другого объекта КИИ, оценка масштаба возможных последствий проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта КИИ, от которого зависит оцениваемый объект.

В случае, если ИС, ИТКС, АСУ Организации обрабатывают информацию, необходимую для обеспечения нескольких критических процессов Организации, и (или) осуществляют управление, контроль или мониторинг нескольких критических процессов Организации, оценка показателей критериев значимости производится для каждого критического процесса Организации, а категория значимости присваивается по наивысшему значению показателя.

В соответствии с настоящими Методическими рекомендациями предлагается использование таблиц, в которых сразу фиксируются результаты расчета показателя в целях упрощения процедуры оценивания критичности. Для каждого показателя, по которому производится расчет, приведена соответствующая таблица. Комиссией оценивается значение каждого критерия, затем выбирается категория по значениям, приведенным в первом столбце согласно постановлению Правительства РФ от 08.02.2018 N 127. В последний столбец вносится полученное значение коэффициента критичности. В конце, после всех критериев, производится расчет по приведенной формуле, в которую вносятся полученные выше значения коэффициентов. Полученный в результате расчета коэффициент определяет категорию значимости объекта КИИ.

6.2.2. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей".

Расчет показателя критерия "Причинение ущерба жизни и здоровью людей" <6> для Организации производится с учетом масштаба возможных последствий в результате компьютерной атаки на объект(-ы) Организации и с учетом количества людей (человек), которым в результате воздействия компьютерной атаки на ИС, ИТКС, АСУ Организации будет причинен или возможно будет причинен ущерб жизни или здоровью, а также с учетом что:

--------------------------------

<6> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 1., утв. постановлением Правительства РФ от 08.02.2018 N 127.

- объекты КИИ Организации относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации или к объектам транспортной инфраструктуры;

- Организация имеет в своем составе подразделения транспортной инфраструктуры и ИС, АСУ, ИТКС, задействованные в критических процессах Организации, участвуют в обработке информации, необходимой для управления, контроля или мониторинга опасными производственными объектами или объектами транспортной инфраструктуры.

Под причинением ущерба жизни и здоровью людей в настоящих Методических рекомендациях понимается вред, причиненный здоровью человека, выраженный в нарушении анатомической целостности и физиологической функции органов и тканей человека в результате воздействия физических, химических, биологических и психических факторов внешней среды <7>.

--------------------------------

<7> Пункт 2 Правил определения степени тяжести вреда, причиненного здоровью человека (утв. Постановлением Правительства РФ от 17.08.2007 N 522).

Алгоритм расчета показателя критерия "Причинение ущерба жизни и здоровью людей" приведен в таблице 2:

Пример:

Организации: ООО Транспортная, оказывающая транспортные услуги.

ИС: автоматизированная информационная система управления световой индикацией.

Критический процесс: управление световой индикацией (далее - управление светофорами) на территории одного муниципального образования <8>.

--------------------------------

<8> Статья 2 Федерального закона от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации". Статьи 5, 65 Конституции Российской Федерации.

Описание процесса: критический процесс непосредственно влияет на безопасность осуществления перевозок грузов и пассажиров в пределах одного муниципального образования.

При рассмотрении критического процесса комиссия по категорированию приняла во внимание, то обстоятельство, что в случае компьютерной атаки на ИС возможно изменение режимов работы светофоров на всей территории одного муниципального образования. Что приведет к созданию опасной ситуации и возможным дорожно-транспортным происшествиям (далее - ДТП) которые могут возникнуть как между участниками автомобильного движения, так и с участием пешеходов.

В данном случае, оценка масштаба причинения ущерба жизни и здоровью людей проводится исходя из масштаба возможных последствий от нарушения или прекращения функционирования системы управления светофорами.

Комиссией установлено, что ИС управляет светофорами в количестве 100 ед., из них 40 ед. находятся на аварийно-опасных участках автомобильного движения. В случае, если в результате компьютерной атаки на систему управления светофорами, на указанных участках может быть нарушена работа светофоров, соответственно создастся ситуация, при которой с высокой долей вероятности нарушение работы ИС может привести к значительным ДТП, в результате которых, могут получить вред здоровью порядка 40 человек.

На основании изложенного обстоятельства, комиссии принимает решение об установлении объекту КИИ - автоматизированной информационной системе управления световой индикацией - коэффициента критичности К1 = 1.

6.2.3. Расчет показателя критерия "Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения".

Расчет показателя критерия "Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения" <9> для Организации не производится поскольку к объектам КИИ Организации не относятся объекты водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения населения.

--------------------------------

<9> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 2., утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под объектами обеспечения жизнедеятельности следует понимать объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение населения <10>.

--------------------------------

<10> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 2 (сноска <3> - Объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение населения) утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.4. Расчет показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры <11>, транспортных средств, в том числе высокоавтоматизированных транспортных средств".

--------------------------------

<11> Пункт 5 статьи 1 Федерального закона от 09.02.2007 N 16-ФЗ "О транспортной безопасности".

Расчет показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств" <12> для Организации производится с учетом видов деятельности, осуществляемых Организацией и видов транспорта, используемого Организацией в процессе осуществления деятельности.

--------------------------------

<12> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 3., утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под прекращением функционирования следует понимать полное прекращение выполнения критического процесса <13>.

--------------------------------

<13> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <1> - Полное прекращение выполнения критического процесса), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под нарушением функционирования следует понимать отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования <14>.

--------------------------------

<14> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <2> - Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств" приведен в Таблице 3 и Таблице 4.

Таблица 3. Оценивание по территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг.

Таблица 4. Оценка по количеству людей, для которых могут быть недоступны транспортные услуги.

На примере Организации, ранее рассмотренной в п. 6.2.2. настоящих Методических рекомендаций.

Комиссия принимает во внимание то обстоятельство, что Организация - ООО Транспортная, осуществляет свою деятельность в пределах одного муниципального образования, что соответствует третьему уровню значимости (К2а = 1).

При этом комиссия принимает во внимание то обстоятельство, что светофоры установлены в одном муниципальном образовании, в котором проживает около 20000 человек и проживающие на территории муниципального образования люди являются непосредственными пользователями услуги, регулируемой системой управления светофорами.

На основании экспертного мнения члены комиссии устанавливают, что не менее 10% от жителей указанного муниципального образования ежедневно могут являться участниками дорожного движения в качестве водителей личного автомобиля (иных средств передвижения), в качестве пассажиров общественного транспорта, в качестве пешеходов.

Принимая во внимание данное обстоятельство, комиссия устанавливает, что 2000 человек не получат транспортную услугу в результате компьютерной атаки.

Время восстановления работоспособности ИС согласно технической документации на событие компьютерной атаки в Организации установлено не более 4 часов (RTO <15> = 4 часа).

--------------------------------

<15> RTO (Recovery Time Objective) - показатель времени восстановления (RTO) определяет количество времени с момента наступления разрушительного события до момента, когда затронутые ресурсы должны быть полностью работоспособны и готовы поддерживать цели организации.

Предполагается, что средняя продолжительность рабочего дня человека, проживающего в указанном муниципальном образовании составляет порядка 10 часов. Гипотетически за указанное время восстановления работы ИС, около 800 жителей не получат транспортную услугу.

Полученное значение соответствует третей категории (К2б = 1). Так как значения, полученные в результате оценивания по двум критериям, получились одинаковыми, комиссией выносится решение о присвоении объекту КИИ третьей категории значимости (К2 = 1).

6.2.5. Расчет показателя критерия "Прекращение или нарушение функционирования сети связи".

Расчет показателя критерия "Прекращение или нарушение функционирования сети связи" <16> для Организации не производится, поскольку Организация не является оператором связи.

--------------------------------

<16> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 4., утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.6. Расчет показателя критерия "Отсутствие доступа к государственной услуге <17>".

--------------------------------

<17> Статья 2 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".

Расчет показателя критерия "Отсутствие доступа к государственной услуге" <18> для Организации производится с учетом того, что Организация является государственным органом власти, оказывающим государственные услуги, или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС, задействованной в процессе оказания государственной услуги и нарушение функционирования ИС, АСУ, ИТКС, имеющихся у Организации и участвующей в обработке информации, необходимой для оказания государственной услуги, влечет за собой нарушение и (или) прекращение доступа к государственной услуге.

--------------------------------

<18> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 5., утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Отсутствие доступа к государственной услуге" приведен в Таблице 5 и Таблице 6.

Таблица 5. Оценка по максимально допустимому времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги.

Таблица 6. Оценка по времени с момента приема запроса о предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана.

6.2.7. Расчет показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)".

Расчет показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" <19> для Организации производится с учетом того, что Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС, задействованной в процессе выполнения возложенной на государственный орган власти функции (полномочия).

--------------------------------

<19> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 6., утв. постановлением Правительства РФ от 08.02.2018 N 127.

Показатель критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" рассчитывается и оценивается по масштабу органа управления государственным или муниципальным транспортом, в деятельности (функционировании) которого задействованы ИС, АСУ, ИТКС Организации.

Исходя из масштаба государственного органа власти, указанного в пункте 6 Перечня, делается заключение о присвоении объекту КИИ Организации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

Под прекращением функционирования следует понимать полное прекращение выполнения критического процесса <20>.

--------------------------------

<20> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <1> - Полное прекращение выполнения критического процесса), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под нарушением функционирования следует понимать отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования <21>.

--------------------------------

<21> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <2> - Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" приведен в Таблице 7:

Пример: Для рассмотренной ранее организации ООО Транспортная данный показатель не применим.

Исчерпывающий список Организаций приведен в Таблице 7.

Примером нарушения исполнения функционирования органа исполнительной власти можно рассматривать компьютерную атаку на ИС электронного документооборота и/или на инфраструктуру Организации.

6.2.8. Расчет показателя критерия "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации" <22> для Организации производится с учетом того, что:

--------------------------------

<22> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 7, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС, задействованной в процессе подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации;

- Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС и нарушение функционирования ИС, АСУ, ИТКС, имеющейся у Организации, участвующей в обработке информации, необходимой для подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации, влечет за собой нарушение условий международного договора Российской Федерации.

Алгоритм расчета показателя критерия "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации" в Таблице 8:

Пример: Организация ООО Транспортная не является стороной в международных договорах Российской Федерации, соответственно для ООО Транспортная данный показатель не применим.

6.2.9. Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры".

Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры" <23> для Организации производится с учетом того, что Организация является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием.

--------------------------------

<23> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 8., утв. постановлением Правительства РФ от 08.02.2018 N 127.

При этом при расчете критерия могут учитываться следующие факторы:

- усредненный суммарный годовой размер выплачиваемых Организацией в бюджеты Российской Федерации налогов, определенный на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях за предыдущий пятилетний период;

- усредненный размер годового дохода, определенный на основании сведений управленческого и бухгалтерского учета за прошлый пятилетний период;

- максимально допустимый период простоя, определенный на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ Организации;

- время, требуемое для устранения последствий компьютерной атаки, определяемое на основании эксплуатационных, технических, договорных и (или) иных документов, а при отсутствии таких документов используются статистические данные за прошлый пятилетний период, в случае отсутствия статистических данных за прошлый пятилетний период принимается значение - 10 суток;

- полученный возможный ущерб Организации от компьютерной атаки сопоставляется с показателем усредненного размера годового дохода и определяется показатель возможного ущерба;

- рассчитанный показатель возможного ущерба Организации сопоставляется с показателями, приведенными в пункте 8 Перечня, и делается заключение о присвоении объекту КИИ Организации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

Стратегические акционерные общества и стратегические предприятия включены в перечень <24> стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ".

--------------------------------

<24> Указ Президента РФ от 04.08.2004 N 1009 "Об утверждении Перечня стратегических предприятий и стратегических акционерных обществ".

Алгоритм расчета показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры" приведен в Таблице 9:

Пример: Категорируемым объектом КИИ является автоматизированная система управления перевозками Организации (ГУП). Категорируемый объект КИИ обеспечивает критический процесс (технологический процесс) управления междугородними и международными перевозками опасных грузов. Данный критический процесс непосредственно влияет на безопасность осуществления междугородних и международных перевозок опасных грузов. В описываемом случае оценка масштаба причинения ущерба Организации проводится исходя из масштаба возможных последствий от нарушения или прекращения функционирования автоматизированной системы управления перевозками.

Пример:

Организация: ГК Березка

ИС: Управление энтероскопами на объектах транспортной отрасли

Критический процесс: Обеспечение безопасности на объектах транспорта

Описание процесса: в соответствии с действующим требованиями по обеспечению безопасности в организации запрещается предоставлять доступ посетителям на защищаемую территорию без проведения обследования предметов на выявление запрещенных элементов.

Комиссия, принимая во внимание особенности критического процесса, фиксирует что компьютерная атака на ИС может привести как к недоступности услуги, вследствие чего, посетителей не будут допускать на защищаемую территорию, так и к возникновению опасных ситуаций, которые могут сопровождаться разрушением объектов и/или причинением иного финансового и материального ущерба Организации. В зависимости от степени влияния и уровня вероятной угрозы выбирается соответствующий коэффициент, в данном случае на основании экспертного мнения, с учетом стоимости активов которые находятся в зоне риска, принято решение об утверждении уровня ущерба в 12% что соответствует второй категории значимости.

6.2.10. Расчет показателя критерия "Возникновение ущерба бюджету Российской Федерации".

Расчет показателя критерия "Возникновение ущерба бюджету Российской Федерации" <25> для Организации производится с учетом того, что Организация является организацией, на которую в соответствии с Налоговым кодексом Российской Федерации возложена обязанность уплачивать соответственно налоги, сборы, страховые взносы.

--------------------------------

<25> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9., утв. постановлением Правительства РФ от 08.02.2018 N 127.

Исходными данными для расчета численного значения показателя ущерба бюджетам могут являться (включая, но не ограничиваясь):

1. величины затрат и потерь субъекта КИИ, которые могут быть вызваны прекращением или нарушением критических процессов, обеспечиваемых объектом КИИ;

2. значения возможного времени нарушения выполнения (невыполнения) рассматриваемых критических процессов;

3. прогнозируемые годовые доходы федерального бюджета Российской Федерации по годам за планируемый трехлетний период;

4. объем выплат (отчислений) субъекта КИИ в бюджеты Российской Федерации в виде налога на прибыль, осуществленных за прошедший год;

5. величина прибыли субъекта КИИ за прошедший год;

6. доля акций компании, принадлежащая Российской Федерации и (или) субъекту Российской Федерации;

7. доля от прибыли субъекта КИИ за прошедший год, выплаченная в качестве дивидендов;

8. объем налоговых выплат (отчислений) от дивидендов, осуществленных субъектом КИИ за прошедший год;

9. объем выплат (отчислений) дивидендов, осуществленных субъектом КИИ за прошедший год;

10. размер снижения выплат (отчислений) сторонних организаций в бюджеты Российской Федерации вследствие прекращения или нарушения функционирования рассматриваемого объекта КИИ;

11. размер снижения сборов в бюджеты Российской Федерации в случае прекращения или нарушения функционирования объекта КИИ, предназначенного для организации сборов в бюджеты Российской Федерации.

Величины затрат и потерь, которые могут быть вызваны прекращением или нарушением критических процессов субъекта КИИ, оцениваются экспертным методом на основе анализа возможных максимальных экономических ущербов от прекращения или нарушения всех критических процессов, обеспечиваемых объектом КИИ, причиной которых могут являться компьютерные инциденты.

Алгоритм расчета показателя критерия "Возникновение ущерба бюджету Российской Федерации" приведен в Таблице 10:

6.2.11. Расчет показателя критерия "Прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств".

Расчет показателя критерия "Прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств" <26> для Организации не производится, поскольку Организация не осуществляет операций по банковским счетам и (или) без открытия банковского счета и не является системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем.

--------------------------------

<26> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10., утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.12. Расчет показателя критерия "Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом".

Расчет показателя критерия "Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом" <27> для Организации не производится, поскольку Организация не осуществляет клиринговую деятельность.

--------------------------------

<27> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.1., утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.13. Расчет показателя критерия "Прекращение или нарушение проведения учетно-расчетных операций".

Расчет показателя критерия "Прекращение или нарушение проведения учетно-расчетных операций" <28> для Организации не производится, поскольку Организация не является центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии.

--------------------------------

<28> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.2., утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.14. Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, передаче или размещению денежных средств".

Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, передаче или размещению денежных средств" <29> для Организации не производится, поскольку Организация не является негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда.

--------------------------------

<29> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.3., утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.15. Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям".

Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям" <30> для Организации не производится, поскольку Организация не является страховой организацией.

--------------------------------

<30> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.4., утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.16. Расчет показателя критерия "Прекращение или нарушение функций по переводу денежных средств".

Расчет показателя критерия "Прекращение или нарушение функций по переводу денежных средств" <31> для Организации не производится, поскольку Организация не является оператором услуг информационного обмена (не кредитной организацией).

--------------------------------

<31> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.5., утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.17. Расчет показателя критерия "Вредные воздействия на окружающую среду".

Расчет показателя критерия "Вредные воздействия на окружающую среду" <32> для Организации производится с учетом того, что объекты КИИ Организации относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации и к объектам транспортной инфраструктуры или имеют в своем составе подразделения транспортной инфраструктуры, и ИС, АСУ, ИТКС, имеющиеся у Организации, задействованные в критических процессах Организации участвуют в обработке информации, необходимой для управления, контроля или мониторинга опасными производственными объектами и объектами транспортной инфраструктуры.

--------------------------------

<32> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 11., утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под вредными воздействиями на окружающую среду следует понимать ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия <33>

--------------------------------

<33> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <5> - Ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Вредные воздействия на окружающую среду" приведен в Таблице 11 и Таблице 12.

Таблица 11. Оценка по территории, на которой окружающая среда может подвергнуться вредным воздействиям.

Таблица 12. Оценка по количеству людей, которые могут быть подвержены вредным воздействиям.

Пример: Категорируемым объектом КИИ является автоматизированная система пожаротушения в серверном помещении Организации. Для тушения пожаров в местах, где находится техника или металлические конструкции, зачастую используются газовые огнетушащие вещества: хладон 23, аргон и пр., оказывающие удушающее воздействие на организм человека. Следовательно, даже при отсутствии вредных воздействий на окружающую среду, автоматизированная система предприятия, использующего газовое пожаротушение, будет отнесена к критической. Значение категории значимости объекта КИИ будет зависеть от усредненного за период времени количества людей в серверных помещениях.

6.2.18. Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)".

Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)" <34> для Организации не производится, поскольку Организация не выполняет функции пункта управления (ситуационного центра) органа государственной власти субъекта Российской Федерации или города федерального значения, федерального органа государственной власти или государственной корпорации, Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации.

--------------------------------

<34> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 12., утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.19. Расчет показателя критерия "Снижение показателей государственного оборонного заказа".

Расчет показателя критерия "Снижение показателей государственного оборонного заказа" <35> для Организации производится (в части снижения объемов продукции (работ, услуг).

--------------------------------

<35> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 13., утв. постановлением Правительства РФ от 08.02.2018 N 127.

В части увеличения времени изготовления единицы продукции с заданным объемом, расчет указанного показателя не производится в том случае, если Организация обеспечивает эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС, задействованной в процессе выполнения государственного оборонного заказа и влияющей на снижение объемов продукции (работ, услуг) в заданный период времени.

Алгоритм расчета показателя критерия "Снижение показателей государственного оборонного заказа" приведен в Таблице 13.

Таблица 13. Оценивание по снижению объемов продукции (работ, услуг)

6.2.20. Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка".

Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка" <36> для Организации производится в том случае, если Организация обеспечивает эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС в области обеспечения обороны страны, безопасности государства и правопорядка.

--------------------------------

<36> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 14., утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка" приведен в Таблице 14:

6.3. Итоговая формула расчета

По завершению оценки и расчета всех показателей критериев значимости, Комиссия в соответствии с ниже приведенной итоговой формулой определяет категорию значимости объекта КИИ.

Итоговая формула расчета для определения категории значимости объекта КИИ:

К = К1 * К2 * К3 * К4 * К5 * К6 * К7 * К8 * К9 * К10

Для полученного значения, категория значимости объекта КИИ определяется в соответствии с Таблицей 15:

7. Подготовка документов по результатам категорирования

По итогам работы Комиссия по категорированию подготавливает два документа:

7.1. Акт о категорировании объектов КИИ

Форма Акта о категорировании объектов КИИ приведена в Приложении N 6.

1. Состав информации о субъекте и объектах КИИ, которая должна быть включена в акт о категорировании, определен в пункте 16 Правил категорирования <37>.

--------------------------------

<37> Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".

2. Акт о категорировании подписывается председателем и членами Комиссии по категорированию и утверждается руководителем Субъекта КИИ.

3. В случае если председатель Комиссии по категорированию и руководитель Субъекта КИИ одно и то же лицо, Акт должен содержать две его подписи, подпись председателя комиссии и гриф утверждения документа.

4. Субъект КИИ обеспечивает хранение Акта до вывода из эксплуатации объекта КИИ или до изменения категории значимости.

5. Направление Акта о категорировании в ФСТЭК России не требуется <38>.

--------------------------------

<38> На основании пункта 17 Правил категорирования, утв. Постановления Правительства Российской Федерации N 127 от 8 февраля 2018 г.

7.2. Сведения о категорировании

Комиссия формирует Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий (далее - Сведения о категорировании) по форме (Приложение N 7).

1. Сведения о категорировании в течение 10 дней со дня утверждения Акта о категорировании направляются в ФСТЭК России.

2. Форма сведений о категорировании, утвержденная приказом ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий", приведена в Приложении N 7.

По своему содержанию Сведения о категорировании дублируют информацию, которая в обязательном порядке должна включаться в Акт о категорировании. При оформлении Акта о категорировании допустимо использовать форму Сведений о категорировании.

3. Допускается оформление единого Акта о категорировании по результатам категорирования нескольких объектов КИИ, принадлежащих одному Субъекту КИИ (пункт 16 Правил категорирования <39>), при этом Сведения о категорировании готовятся в отношении каждого из объектов КИИ отдельно и направляются в бумажном и электронном виде в ФСТЭК России.

--------------------------------

<39> Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".

8. Сроки категорирования

Максимальный срок категорирования не должен превышать одного года со дня утверждения руководителем Субъекта КИИ Перечня объектов (внесения изменений в Перечень объектов).

Изменение в Перечень объектов КИИ производится при выводе из эксплуатации объекта КИИ, внесенного в Перечень объектов, либо появлении новых объектов КИИ, а также в случае изменения показателей критериев значимости объектов КИИ или их значений, и изменения перечня Типовых объектов КИИ, повлекших за собой включение в Перечень объектов или исключение из него информационной системы.

Решение о включении сведений о значимом объекте КИИ в Реестр принимается в течение 30 дней со дня получения ФСТЭК России сведений от Субъекта КИИ.

Категория значимости, к которой отнесен значимый объект КИИ может быть изменена в порядке, предусмотренном для категорирования, в следующих случаях:

1. по мотивированному решению ФСТЭК России, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ;

2. в случае изменения значимого объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

3. в связи с ликвидацией, реорганизацией Субъекта КИИ и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки Субъекта КИИ.

Субъект КИИ не реже чем один раз в 5 лет, а также в случае изменения Показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с Правилами категорирования. В случае изменения категории значимости объекта КИИ, сведения о результатах пересмотра категории значимости направляются в ФСТЭК России. Обо всех изменениях, повлекших за собой не соответствие Сведениям о категорировании, направленных ранее в ФСТЭК России, Субъект КИИ информирует об этом ФСТЭК России и направляет актуализированные Сведения о категорировании в ФСТЭК России в течение 20 дней с момента фиксации факта изменений.

Приложение N 1
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

ПРИКАЗ
О СОЗДАНИИ КОМИССИИ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КРИТИЧЕСКОЙ
ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

                                                                      Форма

                               ПРИКАЗ N ___

    "__" ________ 20__ г.                                     г. Москва

    О   создании   комиссии   по   категорированию   объектов   критической
информационной инфраструктуры

    Во   исполнение  требований  законодательства  Российской  Федерации  о
безопасности  критической  информационной  инфраструктуры  и  на  основании
результатов определения основных видов деятельности _______________________
                                                          Наименование
                                                          организации
с   целью  организации  и  проведения  работ  по  категорированию  объектов
критической информационной инфраструктуры
    ПРИКАЗЫВАЮ:
    1.  Создать  постоянно действующую комиссию по категорированию объектов
критической  информационной  инфраструктуры,  принадлежащих  Организации на
праве собственности, аренды или ином законном основании (далее - комиссия).
    2.  Председателем  комиссии  назначить  (должность,  ФИО), заместителем
председателя комиссии назначить (должность, ФИО).
    3.  Утвердить Положение о комиссии (Приложение к Приказу) и форму Плана
работы комиссии.
    4. В состав комиссии включить:
    (должность, ФИО);
    (должность, ФИО).
    5. Комиссии в срок до "__" ________ 20__ г.:
    определить   процессы   в   рамках   осуществления  видов  деятельности
Организации;
    выявить критические процессы в деятельности Организации;
    выявить  объекты  КИИ, которые обрабатывают информацию, необходимую для
обеспечения   выполнения   критических   процессов,  и  (или)  осуществляют
управление, контроль или мониторинг критических процессов;
    подготовить предложения для включения объектов в перечень объектов КИИ,
подлежащих категорированию;
    представить   на   утверждение   перечень   объектов   КИИ,  подлежащих
категорированию, в срок до "__" ________ 20__ г.;
    рассмотреть  возможные действия нарушителей в отношении объектов КИИ, а
также иные источники угроз безопасности информации;
    проанализировать угрозы безопасности информации, которые могут привести
к возникновению компьютерных инцидентов на объектах КИИ;
    оценить  в  соответствии  с  перечнем  показателей критериев значимости
масштаб   возможных   последствий   в   случае  возникновения  компьютерных
инцидентов на объектах КИИ;
    установить  каждому  из  объектов КИИ категорию значимости либо принять
решение об отсутствии необходимости присвоения им категорий значимости;
    представить на утверждение акты по результатам категорирования;
    представить  на  утверждение  сведения о результатах присвоения объекту
КИИ   одной  из  категорий  значимости  либо  об  отсутствии  необходимости
присвоения ему категории значимости.
    6.   Комиссии   в   своей  деятельности  руководствоваться  положениями
действующих  нормативно-правовых  актов и методических рекомендаций в сфере
обеспечению безопасности КИИ.
    7. Контроль за исполнением настоящего приказа оставляю за собой.

Руководитель                                                   И.О. Фамилия

Приложение
к Приказу N ___

ПОЛОЖЕНИЕ
о комиссии по категорированию объектов критической
информационной инфраструктуры
наименование организации

1. Общие положения

1.1. Настоящее положение о постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (далее - Положение) определяет порядок формирования и деятельности постоянно действующей комиссии по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры (далее - Комиссия).

1.2. Комиссия в своей деятельности руководствуется Конституцией Российской Федерации, федеральными законами, актами Президента Российской Федерации, Правительства Российской Федерации, в том числе Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений", а также настоящим Положением.

1.3. Комиссия создается в целях принятия решений об отнесении информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, принадлежащих на праве собственности, аренды или на ином законном основании (наименование организации) к объектам критической информационной инфраструктуры, включению объектов критической информационной инфраструктуры в Перечень объектов критической информационной инфраструктуры (далее - Перечень объектов), с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры, либо решений об отсутствии оснований для их отнесения к объектам критической информационной инфраструктуры.

1.4. Состав комиссии утверждается приказом или распоряжением руководителя Организации.

1.5. В состав Комиссии входят:

председатель Комиссии;

члены Комиссии;

секретарь Комиссии.

1.6. Комиссия принимает решение об отнесении объектов информационной инфраструктуры Организации к объектам КИИ и включению их в Перечень объектов с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры, либо решение об отсутствии оснований для отнесения объектов информационной инфраструктуры Организации к объектам КИИ.

1.7. Заседания Комиссии по категорированию оформляются протоколами по форме, приведенной в Приложении 2 к Методическим рекомендациям по категорированию объектов критической информационной инфраструктуры в сфере транспорта.

2. Задачи Комиссии

Комиссия в ходе своей работы:

2.1. Определяет объекты информационной инфраструктуры Организации, являющиеся объектами критической информационной инфраструктуры.

2.2. Определяет управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, которые обеспечиваются объектами критической информационной инфраструктуры, при осуществлении Организацией полномочий и функций в установленной сфере деятельности.

2.3. Выявляет управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения Организацией полномочий и функций в установленной сфере деятельности, а также в рамках выполнения Организацией требований законодательства о критической информационной инфраструктуре, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы).

2.4. Выявляет объекты критической информационной инфраструктуры, обрабатывающие информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляющие управление, контроль или мониторинг критических процессов, готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей.

2.5. Рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации.

2.6. Проводит анализ угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры.

2.7. Оценивает масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры в соответствии с перечнем показателей критериев значимости, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации".

2.8. Присваивает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.

3. Организация деятельности Комиссии

3.1. Председатель Комиссии:

осуществляет руководство работой Комиссии;

ведет заседания комиссии;

утверждает повестку заседаний комиссии;

утверждает акты.

3.2. Члены Комиссии:

принимают участие в работе комиссии;

присутствуют на заседаниях комиссии;

подписывают акты и протоколы по результатам проведения заседаний комиссии.

3.3. Секретарь Комиссии:

извещает Председателя и членов Комиссии, представителей государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, присутствие которых необходимо для принятия решения Комиссией, о повестке заседания Комиссии, дате, времени и месте проведения заседания Комиссии в порядке, установленном настоящим Положением;

обеспечивает Председателя и членов Комиссии необходимыми материалами и документами;

составляет акты и протоколы работы Комиссии;

осуществляет организационно-техническое обеспечение деятельности Комиссии;

выполняет поручения Председателя Комиссии по другим вопросам, связанным с деятельностью Комиссии;

обеспечивает хранение протоколов и актов Комиссии до вывода из эксплуатации объектов критической информационной инфраструктуры, или до изменения категории значимости объекта КИИ.

3.4. Заседания Комиссии проводятся по мере необходимости.

3.5. Решение о проведении заседания Комиссии принимается Председателем Комиссии по предложению, внесенному секретарем Комиссии, в том числе на основании предложений членов Комиссии.

3.6. Секретарь Комиссии в срок не позднее трех рабочих дней до даты проведения заседания направляет членам Комиссии уведомление о созыве Комиссии, содержащее повестку заседания Комиссии, сведения о дате, времени и месте проведения заседания, материалы и документы к заседанию.

В случаях, требующих оперативного созыва Комиссии, срок направления уведомлений о созыве Комиссии по решению Председателя Комиссии может быть сокращен до одного дня.

3.7. Заседания Комиссии правомочны, если на них присутствует председатель Комиссии и не менее 50% численного состава членов Комиссии.

При отсутствии кворума заседание Комиссии переносится на другую дату, определяемую Председателем Комиссии.

3.8. Заседания Комиссии проводятся Председателем Комиссии.

3.9. Все решения по рассматриваемым Комиссией вопросам принимаются открытым голосованием простым большинством голосов присутствующих на заседании членов Комиссии. При голосовании каждый член Комиссии имеет один голос. При равенстве голосов решающим является голос Председателя Комиссии.

3.10. Решения Комиссии о присвоении объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий оформляются с учетом пункта 16 Правил категорирования объектов КИИ Российской Федерации <40>, Актом Комиссии, подписываемым всеми присутствующими на заседании Комиссии членами Комиссии и утверждаемым Председателем Комиссии.

--------------------------------

<40> Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".

3.11. Проект Акта Комиссии не позднее 5 календарных дней со дня проведения заседания Комиссии направляется Секретарем Комиссии всем членам Комиссии на подписание, за исключением Председателя Комиссии.

3.12. Срок подписания проекта Акта членом Комиссии не может превышать 3 рабочих дней с даты его получения от Секретаря Комиссии.

3.13. Подписанный членами Комиссии Акт, не позднее 1 календарного дня направляется Секретарем Комиссии на утверждение Председателю Комиссии.

Приложение N 2
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

ПРОТОКОЛ
ЗАСЕДАНИЯ КОМИССИИ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КРИТИЧЕСКОЙ
ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

Форма

                                 ПРОТОКОЛ
        заседания комиссии по категорированию объектов критической
                       информационной инфраструктуры
     _________________________________________________________________
                         наименование субъекта КИИ

от "__" ____________ 20__ г.

по ________________________________________________________________________
                           тема заседания комиссии

    Постоянно  действующая комиссия по категорированию объектов критической
информационной инфраструктуры _______________________________
                               наименование субъекта КИИ

    в составе:
    Председатель комиссии:
    _______________________________        ________________________________
    должность                                    Фамилия Имя Отчество
    Члены комиссии:
    _______________________________        ________________________________
    должность                                    Фамилия Имя Отчество
    _______________________________        ________________________________
    должность                                    Фамилия Имя Отчество
    _______________________________        ________________________________
    должность                                    Фамилия Имя Отчество

    рассмотрев исходные данные с целью ____________________________________
                                            тема заседания комиссии,

    ОПРЕДЕЛИЛА:
    1.    <указываются решения комиссии по теме заседания>
    2.    .....
    3.    .....
    Приложения: <Указываются приложения, содержащие согласованные комиссией
исходные данные, результаты анализа, отчетные документы по теме заседания>.

    Председатель комиссии:
___________________________________________________________________________
    должность            Фамилия Имя Отчество           подпись
    "__" _________ 20__ г.

    Члены комиссии:
___________________________________________________________________________
    должность            Фамилия Имя Отчество           подпись
    "__" _________ 20__ г.
___________________________________________________________________________
    должность            Фамилия Имя Отчество           подпись
    "__" _________ 20__ г.
___________________________________________________________________________
    должность            Фамилия Имя Отчество           подпись
    "__" _________ 20__ г.

    Секретарь комиссии
___________________________________________________________________________
    должность            Фамилия Имя Отчество           подпись
    "__" _________ 20__ г.

Приложение N 3
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

УВЕДОМЛЕНИЕ ОБ ОТСУТСТВИИ В ОРГАНИЗАЦИИ ОБЪЕКТОВ КИИ

Форма

                                          Наименование   органа   в   адрес
                                          которого направляется Уведомление

                                                                      Адрес

                                УВЕДОМЛЕНИЕ
                ___________________________________________
                         наименование организации

    не  является  субъектом  критической  информационной  инфраструктуры  в
соответствии с решением комиссии по категорированию.

    Приложение:  Протокол  заседания  комиссии  по категорированию объектов
критической информационной инфраструктуры от "__" ________ 20__ г. N ____

    ____________________________                          _________________
____________________
    (Наименование должности            (подпись)      (инициалы, фамилия)
    руководителя организации
     или уполномоченного
          им лица)

Приложение N 4
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

ПЕРЕЧЕНЬ
КРИТИЧЕСКИХ ПРОЦЕССОВ, ДЛЯ ОБЕСПЕЧЕНИЯ КОТОРЫХ ИСПОЛЬЗУЮТСЯ
ИНФОРМАЦИОННЫЕ СИСТЕМЫ, ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫЕ
СЕТИ, АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ УПРАВЛЕНИЯ ОРГАНИЗАЦИИ

Форма

                                                  УТВЕРЖДАЮ
                             ______________________________________________
                                должность руководителя организации или
                                        уполномоченного им лица
                             ______________________________________________
                             подпись руководителя   фамилия, имя, отчество
                               организации или     руководителя организации
                               уполномоченного        или уполномоченного
                                  им лица                  им лица

                                "__" ________________________ 20__ г.
                                         дата утверждения

                                 ПЕРЕЧЕНЬ
    критических    процессов,    для   обеспечения   которых   используются
информационные     системы,     информационно-телекоммуникационные    сети,
автоматизированные системы управления ______________
                                наименование Организации

Приложение N 5
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

ПЕРЕЧЕНЬ ОБЪЕКТОВ КИИ, ПОДЛЕЖАЩИХ КАТЕГОРИРОВАНИЮ

Форма

                                               "Для служебного пользования"
                                                                Экз. N ____

                                                  УТВЕРЖДАЮ
                             ______________________________________________
                                должность руководителя организации или
                                        уполномоченного им лица
                             ______________________________________________
                             подпись руководителя   фамилия, имя, отчество
                               организации или     руководителя организации
                               уполномоченного        или уполномоченного
                                  им лица                  им лица

                                "__" ________________________ 20__ г.
                                         дата утверждения

                                 ПЕРЕЧЕНЬ
            объектов критической информационной инфраструктуры,
                        подлежащих категорированию

--------------------------------

<41> Указывается один из следующих типов объекта: информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть.

<42> Указывается сфера (область) в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации инфраструктуры Российской Федерации".

<43> Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта, его телефон, адрес электронной почты (при наличии). Для нескольких объектов может быть определено одно должностное лицо.

Приложение N 6
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

АКТ О КАТЕГОРИРОВАНИИ ОБЪЕКТА КИИ

Форма

                                                  УТВЕРЖДАЮ
                             ______________________________________________
                                должность руководителя организации или
                                        уполномоченного им лица
                             ______________________________________________
                             подпись руководителя   фамилия, имя, отчество
                               организации или     руководителя организации
                               уполномоченного        или уполномоченного
                                  им лица                  им лица

                                "__" ________________________ 20__ г.
                                         дата утверждения

                                АКТ N _____
                о категорировании объекта(-ов) критической
                       информационной инфраструктуры
                         наименование объекта КИИ

_______________________________             "__" ____________ 20__ г.
(место составления акта)

Во исполнение приказа ______________________________________________
                            должность руководителя организации
N ____ от "__"  _____________  20__,   постоянно    действующая    комиссия
по  категорированию  объектов  критической   информационной  инфраструктуры
___________________________________________________________________________
                      полное наименование организации
руководствуясь  статьей  7  Федерального  закона  от 26.07.2017 N 187-ФЗ "О
безопасности    критической    информационной   инфраструктуры   Российской
Федерации",  Правилами  категорирования объектов критической информационной
инфраструктуры Российской Федерации, а также Перечнем показателей критериев
значимости  объектов  критической  информационной инфраструктуры Российской
Федерации  и  их  значений,  утвержденных  постановлением  Правительства РФ
от   08.02.2018   N  127  "Об  утверждении  Правил категорирования объектов
критической  информационной  инфраструктуры  Российской  Федерации, а также
перечня    показателей    критериев    значимости    объектов   критической
информационной  инфраструктуры  Российской  Федерации  и  их  значений", на
основании  результатов  расчета  показателей  критериев значимости объектов
критической  информационной  инфраструктуры,  изложенных в Протоколе N ____
расчетов значений критериев значимости объектов критической инфраструктуры,
пришла к следующему заключению:
<наименование ИС, АСУ, ИТКС <44>> относится к значимым объектам критической
инфраструктуры <категория  <45>> категории (или  отсутствует  необходимость
присвоения одной из категорий). Сведения об <наименование ИС, АСУ, ИТКС>:

Председатель комиссии
________________________               ___________________________
ФИО                                         (подпись)

Секретарь комиссии
________________________               ___________________________
ФИО                                         (подпись)

--------------------------------

<44> Указывается в соответствии с Перечнем объектов КИИ организации, подлежащих категорированию.

<45> Указывается в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства РФ от 08.02.2018 N 127, либо указывается, что отсутствует необходимость присвоения объекту КИИ одной из таких категорий.

Приложение N 7
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

СВЕДЕНИЯ
О РЕЗУЛЬТАТАХ ПРИСВОЕНИЯ ОБЪЕКТУ КИИ ОДНОЙ ИЗ КАТЕГОРИЙ
ЗНАЧИМОСТИ, ЛИБО ОБ ОТСУТСТВИИ НЕОБХОДИМОСТИ ПРИСВОЕНИЯ
ЕМУ ОДНОЙ ИЗ ТАКИХ КАТЕГОРИЙ

Форма <46>

                                                    Ограничительная пометка
                                                       или гриф секретности
                                                        (при необходимости)

                                                       В Федеральную службу
                                              по техническому и экспортному
                                                                   контролю

                                 СВЕДЕНИЯ
          о результатах присвоения объекту КИИ одной из категорий
          значимости, либо об отсутствии необходимости присвоения
                       ему одной из таких категорий

    1 Сведения об объекте критической информационной инфраструктуры

    2 Сведения о субъекте критической информационной инфраструктуры

    3   Сведения   о   взаимодействии  объекта  критической  информационной
инфраструктуры и сетей электросвязи

    4  Сведения  о  лице, эксплуатирующем объект критической информационной
инфраструктуры

    5   Сведения   о   программных   и   программно-аппаратных   средствах,
используемых на объекте критической информационной инфраструктуры

    6  Сведения об угрозах безопасности информации и категориях нарушителей
в отношении объекта критической информационной инфраструктуры

    7 Возможные последствия в случае возникновения компьютерных инцидентов

    8   Категория   значимости,   которая   присвоена  объекту  критической
информационной  инфраструктуры,  или  сведения  об отсутствии необходимости
присвоения  одной  из  категорий значимости, а также сведения о результатах
оценки показателей критериев значимости

    9  Организационные  и  технические  меры,  применяемые  для обеспечения
безопасности значимого объекта критической информационной инфраструктуры

___________________________________________________________________________
(Наименование должности руководителя     (подпись)      (инициалы, фамилия)
субъекта критической информационной
инфраструктуры или уполномоченного
им лица)

--------------------------------

<46> Приказ ФСТЭК России от 22 декабря 2017 г. N 236 - ФСТЭК России (fstec.ru)

Приложение N 8
к Методическим рекомендациям
по формированию перечня объектов
критической информационной
инфраструктуры в сфере транспорта,
подлежащих категорированию

ПЕРЕЧЕНЬ
ТИПОВЫХ ОТРАСЛЕВЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ, ФУНКЦИОНИРУЮЩИХ В СФЕРЕ ТРАНСПОРТА <47>

--------------------------------

<47> Актуальная версия перечня типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере транспорта размещена на официальном сайте Минтранса России.

Приложение N 9
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

ОРГАНИЗАЦИИ
В СФЕРЕ ТРАНСПОРТА О ПРИНАДЛЕЖНОСТИ ОБЪЕКТОВ ТРАНСПОРТНОЙ
ИНФРАСТРУКТУРЫ <48>

--------------------------------

<48> Руководствуясь Федеральным законом от 09.02.2007 N 16-ФЗ "О транспортной безопасности" и Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

1. Организации в сфере транспорта:

- государственные органы, их подведомственные организации и иные российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере транспорта,

- российские юридические лица, индивидуальные предприниматели и физические лица, являющиеся собственниками объектов транспортной инфраструктуры и (или) транспортных средств или использующие их на ином законном основании.

2. Объекты транспортной инфраструктуры:

1) железнодорожные вокзалы и станции, автовокзалы и автостанции;

2) объекты инфраструктуры внеуличного транспорта, определяемые Правительством Российской Федерации;

3) тоннели, эстакады, мосты;

4) морские терминалы, акватории морских портов;

5) порты, которые расположены на внутренних водных путях и в которых осуществляются посадка (высадка) пассажиров и (или) перевалка грузов повышенной опасности, судоходные гидротехнические сооружения;

6) расположенные во внутренних морских водах, в территориальном море, исключительной экономической зоне и на континентальном шельфе Российской Федерации искусственные острова, установки, сооружения, в том числе гибко или стационарно закрепленные в соответствии с проектной документацией на их создание по месту расположения плавучие (подвижные) буровые установки (платформы), морские плавучие (передвижные) платформы, за исключением подводных сооружений (включая скважины);

7) аэродромы и аэропорты;

8) определяемые Правительством Российской Федерации участки автомобильных дорог, железнодорожных и внутренних водных путей, вертодромы, посадочные площадки, а также обеспечивающие функционирование транспортного комплекса здания, сооружения и помещения для обслуживания пассажиров и транспортных средств, погрузки, разгрузки и хранения опасных грузов, на перевозку которых требуется специальное разрешение, и (или) грузов повышенной опасности;

9) здания, строения, сооружения, обеспечивающие управление транспортным комплексом, его функционирование, используемые федеральными органами исполнительной власти в области транспорта, их территориальными органами и подведомственными организациями, а также объекты систем связи, навигации и управления движением транспортных средств воздушного, железнодорожного, морского и внутреннего водного транспорта.

Приложение N 10
к Методическим рекомендациям
по категорированию объектов
критической информационной
инфраструктуры в сфере транспорта

ПЕРЕЧЕНЬ
(ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ) ОКВЭД, ИСПОЛЬЗУЕМЫХ
В СФЕРЕ ТРАНСПОРТА

49 Деятельность сухопутного и трубопроводного транспорта;

49.3 Деятельность прочего сухопутного пассажирского транспорта;

49.31 Деятельность сухопутного пассажирского транспорта: перевозки пассажиров в городском и пригородном сообщении;

49.31.2 Деятельность прочего сухопутного транспорта по регулярным внутригородским и пригородным пассажирским перевозкам;

49.31.21 Деятельность автобусного транспорта по регулярным внутригородским и пригородным пассажирским перевозкам;

49.31.22 Деятельность троллейбусного транспорта по регулярным внутригородским и пригородным пассажирским перевозкам;

49.31.23 Деятельность трамвайного транспорта по регулярным внутригородским и пригородным пассажирским перевозкам;

49.39 Деятельность прочего сухопутного пассажирского транспорта, не включенная в другие группировки;

49.39.1 Перевозки междугородные и специальные сухопутным пассажирским транспортом по расписанию;

49.4 Деятельность автомобильного грузового транспорта и услуги по перевозкам;

49.10 Перевозка пассажиров железнодорожным транспортом в междугородном сообщении;

49.20 Деятельность железнодорожного транспорта: грузовые перевозки;

49.20.1 Перевозка опасных грузов;

49.31.24 Деятельность метро по перевозке пассажиров;

49.31.25 Перевозка пассажиров фуникулерами, подвесными канатными дорогами и подъемниками, являющимися частью городской или пригородной транспортной системы;

49.39.39 Перевозки пассажиров сухопутным транспортом прочие, не включенные в другие группировки;

49.41 Деятельность автомобильного грузового транспорта;

50 Деятельность водного транспорта;

50.10 Деятельность морского пассажирского транспорта;

50.20 Деятельность морского грузового транспорта;

50.20.4 Буксировка и маневровые услуги, оказываемые судами заграничного и каботажного плавания;

50.20.41 Буксировка судами заграничного и каботажного плавания;

50.30 Деятельность внутреннего водного пассажирского транспорта;

50.40 Деятельность внутреннего водного грузового транспорта;

50.40.2 Буксировка и маневровые услуги на внутренних водных путях;

51 Деятельность воздушного и космического транспорта;

51.10 Деятельность пассажирского воздушного транспорта;

51.21 Деятельность грузового воздушного транспорта;

52.21.11 Предоставление железнодорожных маневровых или буксировочных услуг;

52.21.12 Деятельность железнодорожных пассажирских вокзалов и грузовых терминалов;

52.21.13 Деятельность железнодорожной инфраструктуры;

52.21.19 Деятельность вспомогательная прочая, связанная с железнодорожным транспортом;

52.21.2 Деятельность вспомогательная, связанная с автомобильным транспортом;

52.21.21 Деятельность автобусных станций;

52.21.22 Деятельность по эксплуатации автомобильных дорог и автомагистралей;

52.21.23 Деятельность по эксплуатации мостов и тоннелей;

52.22.12 Обеспечение судоходства в морских и прибрежных водах, включая лоцманскую проводку судов;

52.22.14 Деятельность по навигационному обеспечению судоходства на морском транспорте;

52.22.15 Деятельность аварийно-спасательная и судоподъемная на морском транспорте;

52.22.16 Снабженческое (шипчандлерское) обслуживание судов на морском транспорте;

52.22.18 Деятельность ледокольного флота на морском транспорте;

52.22.21 Деятельность инфраструктуры речных портов и гидротехнических сооружений;

52.22.26 Снабженческое (шипчандлерское) обслуживание судов на внутреннем водном транспорте;

52.22.28 Деятельность ледокольного флота на внутреннем водном транспорте;

52.23 Деятельность вспомогательная, связанная с воздушным и космическим транспортом;

52.23.1 Деятельность вспомогательная, связанная с воздушным транспортом;

52.24 Транспортная обработка грузов;

71.12.51 Деятельность наблюдательной гидрометеорологической сети.