Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры

13
В соответствии с п. 14.3 Правил необходимо оценивать критичность процессов с учетом масштаба последствий от нарушения или прекращения функционирования предприятия ТЭК.
Для субъектов ТЭК критичность функциональных процессов также определяется в соответствии с подпунктом «г» п. 10 Правил.
Для описания процессов рекомендуется использовать формулировки, описывающие сам процесс, а не дублировать названия обеспечивающих их ИС,
ИТКС и АСУ ТП.

14
5.
ВЫЯВЛЕНИЕ КРИТИЧЕСКИХ ПРОЦЕССОВ В РАМКАХ ВИДОВ
ДЕЯТЕЛЬНОСТИ, ОСУЩЕСТВЛЯЕМЫХ СУБЪЕКТОМ КИИ
Для каждого выявленного процесса должна быть проведена оценка критичности его нарушения с точки зрения возможных негативных социальных, политических, экономических, экологических последствий, последствий для обеспечения обороны страны, безопасности государства и правопорядка.
Необходимо отметить, что к критическим процессам следует относить только те процессы, которые исполняются в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ в областях (сферах), установленных п. 8 ст. 2 Федерального закона № 187-ФЗ, отраженные в уставе субъекта и внесенные в ЕГРЮЛ. В первую очередь должны рассматриваться процессы связанные с основной функциональной деятельностью, обеспечивающие получение прибыли предприятия.
Рекомендуется использовать перечень критериев значимости объектов и их значения из приложения 1 к Постановлению № 127. Соответственно, нужно определить для каждого рассматриваемого процесса, способно ли его нарушение повлечь последствия, определенные в Перечне.
Таким образом, отсекая на данном этапе процессы, нарушение которых не может привести к последствиям, соответствующим показателям значимости, автоматически отсекаются и системы (ИС, ИТКС, АСУ ТП), автоматизирующие данные процессы, так как их нарушение также не должно иметь значимых последствий.
Значения показателей критериев значимости оцениваются комиссионно на основании результатов интервью или иным способом, полученных в ходе обследования. По каждому показателю оценивается возможность наступления указанных видов последствий (возможно/невозможно). По результатам обработки предоставленной информации формируется перечень показателей критериев значимости, применимых для субъекта ТЭК.
Таким образом, критический процесс - процесс, для которого хотя бы по одному из оцениваемых показателей критериев значимости было сделано заключение о возможности соответствующего ущерба.

15
6.
ОПРЕДЕЛЕНИЕ ОБЪЕКТОВ КИИ
Для каждого критического процесса формируется перечень ИС, ИТКС,
АСУ ТП, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.
Для каждого критичного процесса определяется перечень ИС, ИТКС,
АСУ ТП, которые осуществляют одну из следующих функций:
• обработку информацию, необходимую для критических процессов;
• управление критическим процессом;
• контроль или мониторинг критических процессов.
При формировании перечня членам комиссии рекомендуется:
• сделать запрос ответственным за ИС, ИТКС, АСУ ТП, ответственному за обеспечение безопасности объектов КИИ, ответственному по направлению информационных технологий или ответственному по направлению информационной безопасности с просьбой составить перечень ИС, ИТКС, АСУ ТП субъекта ТЭК;
• сделать запрос ответственному за выполнение процесса с просьбой указать перечень ИС, ИТКС, АСУ ТП, реализующих рассматривающие процессы. К запросу приложить сформированный общий перечень ИС, ИТКС, АСУ ТП;
• проанализировать итоговый перечень ИС, ИТКС, АСУ ТП на законность их владения (принадлежность на праве собственности, аренды или ином законном основании) или использования на законном основании;
• в случае, если ИС, ИТКС, АСУ ТП не принадлежит субъекту ТЭК на праве собственности, аренды или ином законном основании, или если не используется на законном основании, исключить ИС, ИТКС, АСУ ТП из списка;
• если субъект КИИ является юридическим лицом, входящим в состав группы юридических лиц, согласовать итоговый перечень ИС, ИТКС, АСУ ТП с ответственными лицами по линии курирования. Целью согласования является исключение ситуаций, когда однотипные объекты КИИ в рамках одной группы юридических лиц могут иметь необоснованно разные категории значимости.

16
7.
ФОРМИРОВАНИЕ ПЕРЕЧНЯ ОБЪЕКТОВ КИИ,
ПОДЛЕЖАЩИХ КАТЕГОРИРОВАНИЮ
Формирование перечня объектов КИИ, подлежащих категорированию, осуществляется субъектом ТЭК исходя из реального состава ИС, ИТКС и АСУ ТП, принадлежащих субъекту ТЭК на праве собственности, аренды или на ином законном основании.
Оформление перечня объектов КИИ осуществляется в соответствии с рекомендуемой ФСТЭК России формой (приведена в Приложении 2, определена
Информационным сообщением ФСТЭК России «по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» от 24 августа 2018 г. № 240/25/3752.)
Сформированный перечень объектов КИИ утверждается руководителем субъекта
КИИ
(президентом, генеральным директором или т.п.) или уполномоченным им лицом.
Отправка сформированного и утвержденного перечня объектов КИИ осуществляется в течение десяти рабочих дней с даты его утверждения в адрес федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ (экспедиция центрального аппарата ФСТЭК
России): 105066, г. Москва, ул. Старая Басманная, д. 17, на бумажном носителе и на электронном носителе информации в формате файлов электронных таблиц, установленном приказом ФСТЭК России от 21 марта 2019 г. № 59.
Для подведомственных Минэнерго России организаций, перечисленных на официальном сайте minenergo.gov.ru, указанный перечень в соответствии с п. 15
Правил должен быть согласован с Министерством. Для иных предприятий, работающих в сфере ТЭК, согласование перечня не является обязательным.
Дополнительные рекомендации по заполнению формы перечня объектов КИИ субъекта ТЭК, подлежащих категорированию:
1.
Если у субъекта ТЭК несколько однотипных объектов КИИ, то указывается каждый объект КИИ в отдельной строке с соответствующим наименованием (строки в перечне объектов КИИ добавляются).

17 3.
Если у субъекта ТЭК несколько однотипных объектов КИИ с одинаковым наименованием, то указывается каждый объект КИИ в отдельной строке с соответствующим наименованием и порядковым/инвентарным номером (строки в перечне объектов КИИ добавляются).
8.
ОЦЕНКА МАСШТАБА ВОЗМОЖНЫХ ПОСЛЕДСТВИЙ
В СЛУЧАЕ ВОЗНИКНОВЕНИЯ КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ НА
ОБЪЕКТАХ КИИ
В соответствии с п. 14 Правил комиссия по категорированию проводит оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте КИИ и присвоение каждому из объектов КИИ одной из категорий значимости либо принимает решение об отсутствии необходимости присвоения им одной из категорий значимости.
Полученные в ходе оценки данные, а также присвоенная категория значимости вносится в акт категорирования.
Для удобства использования рекомендации по заполнению формы направления сведений, составленной с учетом вышеупомянутых приказов, приводится в Приложении 3.
Раздел
«Сведения
об
объекте
критической
информационной
инфраструктуры» акта категорирования объекта КИИ.
П. 1.1 заполняется на основании балансовой ведомости субъекта КИИ.
П. 1.2 заполняется на основании имеющихся сведений об адресах размещения объекта.
В п. 1.3 для предприятий ТЭК указывается «топливно-энергетический комплекс».
В п. 1.4 указывается назначение объекта.
В п. 1.5 указывается тип объекта. С учетом специфики предприятий ТЭК особое внимание должно уделяться АСУ ТП.
В п. 1.6 указывается архитектура объекта.
Раздел
«Сведения
о
субъекте
критической
информационной
инфраструктуры» акта категорирования объекта КИИ.

18
Пп. 2.1, 2.2., 2.3 и 2.6 заполняются на основании сведений, представленных из уставных документов и выписки из ЕГРЮЛ.
П. 2.4 и 2.5 заполняется на основании сведений из приказов о назначении соответствующих должностных лиц.
Раздел
«Сведения
о
взаимодействии
объекта
критической
информационной инфраструктуры и сетей электросвязи» акта категорирования объекта КИИ.
В п. 3.1 указывается категория сети связи, используемая объектом КИИ.
П. 3.2 заполняется на основании сведений из договоров на оказание услуг связи, обеспечивающих объект КИИ.
В п. 3.3 указывается цель взаимодействия с сетью связи.
В п. 3.4 указывается способ взаимодействия с сетью связи.
Раздел «Сведения о лице, эксплуатирующем объект критической
информационной инфраструктуры» акта категорирования объекта КИИ.
В п. 4.1 указывается наименование юридического лица или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, эксплуатирующего объект КИИ.
В п. 4.2 указывается адрес местонахождения юридического лица или адрес места жительства индивидуального предпринимателя, эксплуатирующего объект
КИИ.
В п. 4.3. указывается элемент (компонент) объекта, который эксплуатируется указанным юридическим лицом или индивидуальным предпринимателем.
В п. 4.4. указывается ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений
(филиалов, представительств), в которых размещаются сегменты распределенного объекта.
Раздел «Сведения о программных и программно-аппаратных средствах,
используемых на объекте критической информационной инфраструктуры»
акта категорирования объекта КИИ.
Пп. 5.1 - 5.4 заполняются на основании сведений из балансовой ведомости субъекта КИИ. При описании средств защиты в соответствии с п. 5.4. акта

20 2.
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений - определяется с учетом п. 3 Паспорта безопасности объекта ТЭК.
3.
Прекращение или нарушение функционирования объектов транспортной инфраструктуры - определяется в соответствии с п. 1 Паспорта безопасности ТЭК.
4.
Прекращение или нарушение функционирования сети связи - не применяется.
5.
Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) - не применяется.
II. Политическая значимость
6.
Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия). Под прекращением или нарушением функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) с учетом положений федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» от 05.04.2013 № 44-ФЗ в настоящих методических рекомендациях рассматривается ситуация невозможности для государственного органа реализации возложенных на него функций
(полномочий), закрепленных в соответствующих нормативно-правовых актах
Российской Федерации, в результате недоступности услуги электроснабжения, теплоснабжения или снабжения топливом, приобретенной им в рамках государственного контракта для выполнения возложенной на него функции
(полномочия), с учетом условий данного контракта. Данный вид негативных последствий может возникнуть только в случае наличия у субъекта ТЭК соответствующего действующего государственного контракта с органом государственной власти.
Данный вид негативных последствий оценивается по уровню органа государственной власти, с которым заключен соответствующий государственный контракт:
• орган государственной власти субъекта Российской Федерации или города федерального значения;
• федеральный орган государственной власти;
• Администрация
Президента
Российской
Федерации,
Правительство
Российской Федерации, Федеральное Собрание Российской Федерации, Совет

19
категорирования необходимо исходить из того, что для значимых объектов КИИ рекомендуется использовать сертифицированные средства защиты.
Раздел «Сведения об угрозах безопасности информации и категориях
нарушителей
в
отношении
объекта
критической
информационной
инфраструктуры» акта категорирования объекта КИИ.
В п. 6.1 приводится описание нарушителя.
В п. 6.2 указываются угрозы безопасности объекту КИИ.
Для определения актуальных угроз для систем АСУ ТП рекомендуется использовать базу данных угроз ФСТЭК России (bdu.fstec.ru), а также руководствоваться Информационным сообщением ФСТЭК России от 04 мая 2018 г.
№ 240/22/2339 «О методических документах по вопросам обеспечения безопасности информации в КСИИ РФ».
В случае, если на объекте КИИ имеется разработанная «Модель угроз и нарушителя безопасности информации», в которой рассматриваются все имеющиеся на данный момент угрозы безопасности информации, определенные в банке данных угроз безопасности информации ФСТЭК, следует руководствоваться выводами, сделанными в «Модели угроз и нарушителя безопасности информации» для данного объекта КИИ.
Раздел «Возможные последствия в случае возникновения компьютерных
инцидентов» акта категорирования объекта КИИ.
В п. 7.1 указываются типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак.
Раздел «Категория значимости, которая присвоена объекту критической
информационной инфраструктуры, или сведения об отсутствии необходимости
присвоения одной из категорий значимости, а также сведения о результатах
оценки показателей критериев значимости» заполняется следующим образом.
П. 8.1 заполняется на основании решения комиссии.
Раздел 8.2 акта категорирования КИИ заполняется следующим образом.
I. Социальная значимость
1.
Причинение ущерба жизни и здоровью людей (человек) - определяется с учетом п. 3 Паспорта безопасности объекта ТЭК.

21
Безопасности Российской Федерации, Верховный Суд Российской Федерации,
Конституционный Суд Российской Федерации.
7.
Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации
- в соответствии с заключенными договорами с международными обязательствами.
III. Экономическая значимость
8.
Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в:
• возникновении непредвиденных издержек, снижающих прибыль;
• нарушении порядка платежей и расчетов с контрагентами, что чревато нарушением ритмичности материально-технического обеспечения и сбыта продукции, штрафами, судебными исками и т.д.
• нарушении своевременности уплаты акцизов, налогов и обязательных взносов во внебюджетные фонды
• нарушении установленных кредитными и инвестиционными договорами с финансовыми институтами ковенант, влияющих на условия привлекаемого финансирования, вплоть до сокращения и отзыва ранее установленных кредитных и инвестиционных лимитов
• разглашении конфиденциальной информации, влияющей на коммерческую деятельность и интересы акционеров
• разглашении закрытой информации, которая в условиях санкционной политики ряда стран по отношении к России может быть использована против российских корпораций, органов власти и управления, финансовых институтов и т.д.
- в соответствии с п. 3 Паспорта безопасности объекта ТЭК.
9.
Возникновение ущерба бюджетам Российской Федерации - в соответствии с расчетом недополученных налогов.
10.
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно

22
значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным
(по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) - не применяется
IV. Экологическая значимость
11.
Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия).
V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка
12.
Прекращение или нарушение
(невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), оцениваемое в уровне (значимости) пункта управления или ситуационного центра прекращение или нарушение функционирования пункта управления или ситуационного центра органа государственной власти субъекта Российской
Федерации или города федерального значения прекращение или нарушение функционирования пункта управления или ситуационного центра федерального органа государственной власти или государственной корпорации прекращение или нарушение функционирования пункта управления государством или ситуационного центра Администрации Президента Российской Федерации,
Правительства Российской Федерации, Федерального Собрания Российской
Федерации, Совета Безопасности Российской Федерации, Верховного Суда
Российской Федерации, Конституционного Суда Российской Федерации - не применяется.
13. Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры - рассчитывается в случае выполнения государственного оборонного заказа.
14.
Прекращение или нарушение функционирования
(невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в

23
максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов) - не применяется.
В п. 8.3 приводится обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту.
Раздел