Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры
Скачать 0.89 Mb.
|
«Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры» акта категорирования объекта КИИ. П. 9.1 заполняется на основании сведений из Паспорта безопасности объекта ТЭК, разработанного в соответствии с Приложением к Федеральному закону от 21 июля 2011 г. № 256-ФЗ (ред. от 06 июля 2016 г.) «О безопасности объектов топливно-энергетического комплекса». В п. 9.2 указываются технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с требованиями по обеспечению безопасности значимых объектов. 24 9. ПРИНЯТИЕ РЕШЕНИЯ ОБ УСТАНОВЛЕНИИ КАТЕГОРИИ ЗНАЧИМОСТИ ОБЪЕКТУ КИИ В соответствии с требованиями Федерального закона 187-ФЗ объекту КИИ присваивается категория значимости. Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей и т.д.), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя. В случае если ни один из показателей критериев значимости неприменим для объекта КИИ, или объект КИИ не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается. Устанавливаются 3 категории значимости. Самая высокая категория - первая, самая низкая - третья. В отношении объекта КИИ, создаваемого в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту КИИ с учетом имеющихся исходных данных о критических процессах субъекта ТЭК. Для создаваемого объекта КИИ, категория значимости может быть уточнена в ходе его проектирования. Для объектов, принадлежащих другому субъекту критической информационной инфраструктуры, но используемых для целей контроля и управления технологическим и (или) производственным оборудованием, принадлежащим субъекту ТЭК, категорирование осуществляется на основе исходных данных, представляемых субъектом КИИ, которому принадлежит технологическое и (или) производственное оборудование. Решение комиссии по каждому объекту КИИ оформляется отдельным актом. Форма акта приведена в приложении 4. Акт подписывается членами постоянной комиссии по категорированию. Все акты могут быть утверждены одним приказом руководителя субъекта ТЭК (субъекта КИИ), в этом случае акты будут выступать приложениями к соответствующему приказу, или каждый акт может быть утвержден по отдельности. Субъект КИИ в лице ответственного по направлению информационной безопасности обеспечивает хранение Акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных п. 12 статьи 7 Федерального закона № 187-ФЗ. 10. РАССМОТРЕНИЕ РЕЗУЛЬТАТОВ КАТЕГОРИРОВАНИЯ 25 Рассмотрение результатов категорирования производится в соответствии со схемой, представленной на рис. 3. Пересмотр категории раз в 5 лет или в случае изменения значимого объекта КИИ Рисунок 3. Схема рассмотрения результатов категорирования 26 ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ 1. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». 2. Федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса». 3. Постановление Правительства Российской Федерации от 08 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». 4. Постановление Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127». 5. Постановление Правительства Российской Федерации от 5 мая 2012 г. № 459 «Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования». 6. Постановление Правительства Российской Федерации от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера». 7. Приказ Министерства энергетики РФ от 10 февраля 2012 г. № 48 «Об утверждении методических рекомендаций по включению объектов топливно- энергетического комплекса в перечень объектов, подлежащих категорированию». 8. Приказ ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий». 27 Рекомендуемая форма приказа о создании комиссии по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам ТЭК № ____о т __ .__.____ ПРИКАЗ о создании комиссии по категорированию С целью организации и проведения работ по категорированию объектов критической информационной инфраструктуры ПРИКАЗЫВАЮ: 1. Создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры, принадлежащих название субъекта ТЭК на праве собственности, аренды или ином законном основании. 2. Председателем комиссии назначить должность, ФИО, заместителем председателя комиссии назначить должность, ФИО. 3. В состав комиссии включить: • должность, ФИО; • — • должность, ФИО. 4. Комиссии в срок до ДД. ММ.ГГГГ: • определить процессы в рамках осуществления видов деятельности название субъекта ТЭК; • выявить критические процессы у название субъекта ТЭК; • выявить объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов; • подготовить предложения для включения объектов критической информационной инфраструктуры в перечень объектов критической информационной инфраструктуры, подлежащих категорированию; • представить на утверждение перечень объектов критической информационной инфраструктуры, подлежащих категорированию, в срок до ДД. ММ. ГГГГ; • рассмотреть возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации; ПРИЛОЖЕНИЕ 1 28 • проанализировать угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры; • оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры; • установить каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принять решение об отсутствии необходимости присвоения им категорий значимости; • представить на утверждение акты по результатам категорирования; • представить на утверждение сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. 5. Комиссии в своей деятельности руководствоваться положениями действующих нормативно-правовых и методических документов: • Федеральный закон «О безопасности критической информационной инфра структуры Российской Федерации» от 26 июля 2017 г. № 187-ФЗ (ст. 7); • Правила категорирования объектов критической информационной инфраструктуры Российской Федерации и Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127; • Методическими рекомендациями по определению и категорированию объектов критической информационной инфраструктуры топливно- энергетического комплекса. 6. Ознакомить с настоящим приказом председателя и членов создаваемой комиссии. 7. Контроль за исполнением настоящего приказа оставляю за собой. Руководитель субъекта ТЭК И.О. Фамилия 29 ПРИЛОЖЕНИЕ 2 Рекомендуемая форма перечня объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию УТВЕРЖДАЮ Должность руководителя субъекта критической информационной инфраструктуры Российской Федерации (далее - субъект) или уполномоченного им лица Подпись руководителя субъекта или уполномоченного им лица « » Фамилия, имя, отчество (при наличии) руководителя субъекта или уполномоченного им лица 20 г. Дата утверждения перечня объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию Перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию № п/п Наименование объекта Тип объекта1 Сфера (область) деятельности, в которой функционирует объект Планируемый срок категорирования объекта Должность, фамилия, имя, отчество (при наличии) представителя, его телефон, адрес электронной почты (при наличии)3 1. 2 Указывается один из следующих типов объекта: информационная система, автоматизированная система управления, информационно телекоммуникационная сеть. Указывается сфера (область) в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации инфраструктуры Российской Федерации». Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта, его телефон, адрес электронной почты (при наличии). Для нескольких объектов может быть определено одно должностное лицо. 30 ПРИЛОЖЕНИЕ 3 Рекомендации по заполнению формы направления сведений 1. Сведения об объекте критической информационной инфраструктуры № Поле для заполнения Рекомендации по заполнению 1.1. Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно телекоммуникационной сети) Заполняется в соответствии с наименованием, указанным в проектных и эксплуатационных документах 1.2. Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта Необходимо указать адреса размещения всех компонентов объекта КИИ, в том числе адреса обособленных подразделений, филиалов, в которых размещаются сегменты распределенного объекта (серверы, рабочие места, технологическое, производственное оборудование (исполнительные устройства) 1.3. Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" Указывается одна или несколько из перечня сфер деятельности, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в которой функционирует объект КИИ 1.4. Назначение объекта Назначение объекта КИИ указывается в соответствии с рабочей, проектной, эксплуатационной или иной документацией на объект КИИ, а также в соответствии с локальными нормативно-правовыми актами о создании и (или) вводе объекта КИИ в эксплуатацию 1.5. Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть) Указывается тип объекта КИИ - ИС, ИТКС или АСУ ТП 1.6. Архитектура объекта (одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура) Тип архитектуры определяется в соответствии с рабочей, проектной или эксплуатационной документацией на объект КИИ, фактическим составом технических средств и их взаимосвязью. Для примера, архитектура объекта КИИ может 31 быть следующих типов: одноранговая сеть, клиент-серверная система, технология «тонкий клиент», сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления и др. 2. Сведения о субъекте критической информационной инфраструктуры 2.1. Наименование субъекта Указывается полное и краткое наименование субъекта КИИ в соответствии с уставными документами 2.2. Адрес местонахождения субъекта Указывается адрес местонахождения субъекта КИИ. Адрес местонахождения определяется в соответствии с уставными документами и ЕГРЮЛ субъекта КИИ 2.3. Должность, фамилия, имя, отчество (при наличии) руководителя субъекта Указывается полное наименование должности руководителя субъекта КИИ в соответствии с уставными документами и его фамилия, имя и отчество (при наличии) 2.4. Должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов, или в случае отсутствия такого должностного лица, наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта. Если функции обеспечения безопасности значимых объектов КИИ возложены на соответствующее должностное лицо из числа работников субъекта КИИ, указывается должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов КИИ. Если функции обеспечения безопасности значимых объектов КИИ в субъекта КИИ ни на кого из работников не возложены, то указывается полное наименование должности руководителя субъекта КИИ в соответствии с уставными документами и его фамилия, имя и отчество (при наличии). 2.5. Структурное подразделение, ответственное за обеспечение безопасности значимых объектов, должность, фамилия, имя, отчество (при наличии) руководителя структурного подразделения, телефон, адрес электронной почты (при наличии) или должность, фамилия, имя, отчество (при наличии) специалиста, ответственного за обеспечение безопасности значимых Если ответственность за обеспечение безопасности значимых объектов КИИ возложена на структурное подразделение организации, указывается полное наименование (в соответствии с утвержденной организационно-штатной структурой) структурного подразделения, а также полное наименование (в соответствии с утвержденной организационно-штатной структурой) должности руководителя этого структурного 32 объектов, телефон, адрес электронной почты (при наличии) подразделения, его фамилию, имя и отчество (при наличии), номер телефона и адрес электронной почты (при наличии). Если ответственность за обеспечение безопасности значимых объектов КИИ возложена на штатного специалиста, указывается полное наименование (в соответствии с утвержденной организационно штатной структурой) должности этого штатного специалиста, его фамилию, имя и отчество (при наличии), а также его номер телефона и адрес электронной почты (при наличии) 2.6. ИНН субъекта и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта Указывается ИНН субъекта КИИ и КПП филиалов, представительств, в которых размещаются компоненты объекта КИИ 3. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи____________________ ____________________________________________ 3.1. Категория сети электросвязи (общего пользования, выделенная, технологическая, присоединенная к сети связи общего пользования, специального назначения, другая сеть связи для передачи информации при помощи электромагнитных систем) или сведения об отсутствии взаимодействия объекта критической информационной инфраструктуры с сетями электросвязи Если рассматриваемый объект КИИ взаимодействует с сетями электросвязи - указывается категория сети электросвязи. В соответствии с Федеральным законом от 07 июля 2003 г. № 126-ФЗ «О связи» сети электросвязи могут делиться на следующие категории: - сеть связи общего пользования; - выделенная сеть связи; технологическая сеть связи, а также технологическая сеть связи, присоединенная к сети связи общего пользования; - сеть связи специального назначения Если рассматриваемый объект КИИ не взаимодействует с вышеперечисленными сетями электросвязи, дается соответствующее пояснение 3.2. Наименование оператора связи и (или) провайдера хостинга Если рассматриваемый объект КИИ взаимодействует с сетями связи, для каждой из них необходимо указать наименование оператора связи (в соответствии с договором об оказании услуг связи), предоставляющего доступ к данной сети электросвязи. 33 Если рассматриваемый объект КИИ не взаимодействует с вышеперечисленными сетями электросвязи, дается соответствующее пояснение. Примечание - Поскольку технологические сети связи - это сети связи предприятия, используемые для обеспечения производственной деятельности, управления технологическими процессами в производстве, для них в качестве оператора указывается наименование субъекта КИИ. В случае, если компоненты объекта КИИ размещаются на площадках провайдеров хостингов, указывается наименование провайдера хостинга. В случае, если для размещения компонентов объекта КИИ не используются сторонние хостинги, дается соответствующее пояснение 3.3. Цель взаимодействия с сетью электросвязи (передача (прием) информации, оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), иная цель) Если рассматриваемый объект КИИ взаимодействует с сетями электросвязи, необходимо указать цель такого взаимодействия. Цель взаимодействия указывается в соответствии с рабочей, проектной и (или) эксплуатационной документацией на данный объект КИИ. Для примера, могут быть указаны следующие цели взаимодействия: передача (прием) информации, оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), или любая иная цель. Если рассматриваемый объект КИИ не взаимодействует с вышеперечисленными сетями электросвязи, дается соответствующее пояснение 3.4. Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводной), протоколов взаимодействия Если рассматриваемый объект КИИ взаимодействует с сетями электросвязи, необходимо указать способ взаимодействия (проводной и (или) беспроводной), используемые технологии доступа к сети электросвязи, а также протоколы, по которым осуществляется взаимодействие. Данный пункт заполняется на основании рабочей, проектной и/или эксплуатационной документации на 34 данный объект КИИ, а также на основании договора об оказании услуг связи. Если рассматриваемый объект КИИ не взаимодействует с вышеперечисленными сетями электросвязи, дается соответствующее пояснение 4. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры 4.1. Наименование юридического лица или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, эксплуатирующего объект Если рассматриваемый объект КИИ эксплуатируется только субъектом КИИ, то указывается наименование полное и краткое наименование организации. 4.2. Адрес местонахождения юридического лица или адрес места жительства индивидуального предпринимателя, эксплуатирующего объект Если какие-либо компоненты рассматриваемого объекта КИИ эксплуатируются сторонним юридическим лицом, также указывается полное наименование (в соответствии с уставными документами, ЕГРЮЛ) этого юридического лица 4.3. Элемент (компонент) объекта, который эксплуатируется лицом (центр обработки данных, серверное оборудование, телекоммуникационное оборудование, технологическое, производственное оборудование (исполнительные устройства), иные элементы (компоненты) Если рассматриваемый объект КИИ эксплуатируется только организацией, указывается адрес местонахождения организации. 4.4. ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта Если какие-либо компоненты рассматриваемого объекта КИИ эксплуатируются сторонним юридическим лицом, также указывается адрес местонахождения (в соответствии с уставными документами, ЕГРЮЛ) этого юридического лица 5. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры 5.1. Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество Указываются наименования всех программно аппаратных средств в составе объекта КИИ (без разбиения на какие-либо группы и указания мест размещения), с указанием их количества. 5.2. Наименование общесистемного программного обеспечения (клиентских, Указываются наименования и версии клиентских, серверных операционных систем, 35 серверных операционных систем, средств виртуализации (при наличии)) средств виртуализации (при наличии), входящих в состав рассматриваемого объекта КИИ общим перечнем (без разбиения на какие- либо группы и указания мест размещения) 5.3. Наименования прикладных программ, обеспечивающих выполнение функций объекта по его назначению (за исключением прикладных программ, входящих в состав дистрибутивов операционных систем) Указываются наименования и версии прикладных программ, обеспечивающих выполнение функций объекта КИИ по его назначению, за исключением прикладных программ, входящих в состав дистрибутивов операционных систем, общим перечнем (без разбиения на какие-либо группы и указания мест размещения) 5.4. Применяемые средства защиты информации (в том числе встроенные в общесистемное программное обеспечение) (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о не проведении такой оценки) или сведения об отсутствии средств защиты информации. Если на рассматриваемом объекте КИИ применяются средства защиты информации, указываются наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о не проведении такой оценки. Если в качестве средств защиты информации используются встроенные в системное и/или прикладное программное обеспечение средства, указываются функции безопасности программного обеспечения (идентификация, аутентификация, управление доступом, регистрация событий безопасности, фильтрация, иные функции). Если на объекте КИИ не используются средства защиты информации и их функции не реализованы встроенными средствами системного и (или) прикладного программного обеспечения, дается соответствующее пояснение 6. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры 6.1. Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, Заполняется на основании сведений из Моделей угроз и нарушителей безопасности информации объекта КИИ (в случае наличия). Во всех случаях указывается тип нарушителя: 36 знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации внешний или внутренний. В случае наличия объективных факторов, свидетельствующих о возможности исключения тех или иных положений из описания, по решению Комиссии по описание может быть скорректировано 6.2. Основные угрозы безопасности информации или обоснование их неактуальности Заполняется на основании сведений из Моделей угроз и нарушителей безопасности информации объекта КИИ (в случае наличия). Указываются группы угроз, актуальных для объекта КИИ исходя из его структурно функциональных характеристик, используемых типов технических средств и технологий. В соответствии с критериями, установленными в указанном документе, выбираются группы угроз и конкретные угрозы безопасности с их идентификаторами Банка данных угроз безопасности информации ФСТЭК России, которые указываются при заполнении данного поля 7. Возможные последствия в случае возникновения компьютерных инцидентов 7.1. Типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак (отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация (подмена) данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов объекта), или обоснование невозможности наступления компьютерных инцидентов Заполняется на основании сведений из Моделей угроз и нарушителей безопасности информации объекта КИИ 8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости 37 8.1. Категория значимости, которая присвоена объекту либо информация о не присвоении объекту ни одной из таких категорий Указывается категория в соответствии с результатами категорирования, отраженными в утвержденном Акте соответствующего объекта КИИ 8.2. Полученные значения по каждому из рассчитываемых показателей критериев значимости или информация о неприменимости показателя к объекту Заполняется на основании сведений, полученных при выполнении оценки возможного масштаба последствий. Указывается по всем показателям критериев значимости, определенным в Правилах. По неприменимым показателям критериев значимости — указывается факт неприменимости 8.3. Обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту _ ___ Заполняется на основании сведений, полученных при выполнении оценки возможного масштаба последствий. Указывается по всем показателям критериев значимости, определенным в Правилах. По неприменимым показателям критериев значимости - указывается текстовое обоснование неприменимости 9. Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры 9.1. Организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта) Меры указываются вне зависимости от того, присвоена ли объекту КИИ категория значимости или нет. 9.2. Технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с требованиями по обеспечению безопасности значимых объектов Меры указываются вне зависимости от того, присвоена ли объекту КИИ категория значимости или нет. Технические меры рекомендуется группировать в соответствии с приказом ФСТЭК России № 239, описывая, что конкретно технически реализовано в рамках той или иной группы мер. 38 Рекомендуемая форма акта по итогам категорирования объекта критической информационной инфраструктуры, принадлежащего субъекту ТЭК Утвержден пщжазом № X от ДД. ММ. ГГГГ АКТ категорирования объекта критической информационной инфраструктуры Комиссией по категорированию объектов критической информационной инфраструктуры, принадлежащих назвать субъекта КИИ_ на праве собственности, аренды или ином законном основании и перечисленных в перечне объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, утвержденном ДД. ММ. ГГГГ, должность, ПРИНЯТО РЕШЕНИЕ [ выбрать один из двух вариантов ]: • Присвоить объекту критической информационной инфраструктуры <<наименоваяие объекта КИИ>> X категорию значимости. • Отсутствует необходимость присвоения одной из категорий значимости объекту критической информационной инфраструктуры «наименование объекта КИИу>. Сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры, приведены в приложении (Приложение 1). ПРИЛОЖЕНИЕ 4 39 Приложение № 1 к акту категорирования объекта критической информационной инфраструктуры Сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры. [оформляются в соответствии с приложением 3 настоящих методических рекомендаций] |