Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры

Согласовано
Согласовано
Минэнерго России
ФСТЭК России
(исх. от 31.07.2019 № ЧА-8630/15)
(исх. от 26.08.2019 № 240/25/4048)
Методические рекомендации
по определению и категорированию
объектов критической
информационной инфраструктуры
топливно-энергетического комплекса
Москва, 2019

2
АННОТАЦИЯ
Настоящие методические рекомендации в соответствии с положениями
Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее - Федеральный закон № 187-ФЗ) предназначены для субъектов топливно-энергетического комплекса (далее — ТЭК) в сферах электроэнергетики, нефтедобывающей, нефтеперерабатывающей, нефтехимической, газовой, угольной, сланцевой и торфяной промышленности, а также нефтепродуктообеспечения, теплоснабжения и газоснабжения в части категорирования объектов критической информационной инфраструктуры (далее - КИИ).
Настоящие методические рекомендации не распространяются на
Министерство энергетики Российской Федерации и иные государственные органы
Российской Федерации.
Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов критической информационной инфраструктуры ТЭК. Предполагается, что в субъектах ТЭК изучены нормативные документы, регламентирующие процедуру категорирования, в связи с чем содержание указанных документов подробно не рассматривается.
Категорирование объекта ТЭК в соответствии с Федеральным законом от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» не является основанием для не проведения процедуры категорирования в соответствии с Федеральным законом № 187-ФЗ.
Методические рекомендации предназначены для членов комиссий по категорированию, создаваемых субъектами ТЭК, и их работников, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры.
Методические рекомендации разработаны на основании материалов, представленных субъектами ТЭК, и не содержит информацию ограниченного доступа.

3
ОГЛАВЛЕНИЕ
АННОТАЦИЯ....................................................................................................................................... 2
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.........................................................................................................4
ИСПОЛЬЗУЕМЫЕ СОКРАЩЕНИЯ............................................................................................... 5 1.
ОБЩИЕ ПОЛОЖЕНИЯ...........................................................................................................6 2.
ОТНЕСЕНИЕ ГОСУДАРСТВЕННОГО УЧРЕЖДЕНИЯ, РОССИЙСКОГО
ЮРИДИЧЕСКОГО ЛИЦА И (ИЛИ) ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ К
СУБЪЕКТАМ КИИ.......................................................................................................................................... 9 3.
КОМИССИЯ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИ И ........................................ 10 4.
ОПРЕДЕЛЕНИЕ ПРОЦЕССОВ В РАМКАХ ВИДОВ ДЕЯТЕЛЬНОСТИ,
ОСУЩЕСТВЛЯЕМЫХ СУБЪЕКТОМ КИ И ............................................................................................ 11 5.
ВЫЯВЛЕНИЕ КРИТИЧЕСКИХ ПРОЦЕССОВ В РАМКАХ ВИДОВ
ДЕЯТЕЛЬНОСТИ, ОСУЩЕСТВЛЯЕМЫХ СУБЪЕКТОМ КИИ..........................................................14 6.
ОПРЕДЕЛЕНИЕ ОБЪЕКТОВ КИИ..................................................................................... 15 7.
ФОРМИРОВАНИЕ ПЕРЕЧНЯ ОБЪЕКТОВ КИИ, ПОДЛЕЖАЩИХ
КАТЕГОРИРОВАНИЮ................................................................................................................................16 8.
ОЦЕНКА МАСШТАБА ВОЗМОЖНЫХ ПОСЛЕДСТВИЙ В СЛУЧАЕ
ВОЗНИКНОВЕНИЯ КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ НА ОБЪЕКТАХ К И И .......................... 17 9.
ПРИНЯТИЕ РЕШЕНИЯ ОБ УСТАНОВЛЕНИИ КАТЕГОРИИ ЗНАЧИМОСТИ
ОБЪЕКТУ КИИ.............................................................................................................................................. 24 10.
РАССМОТРЕНИЕ РЕЗУЛЬТАТОВ КАТЕГОРИРОВАНИЯ.......................................... 25
ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ..........................................................................26
ПРИЛОЖЕНИЕ 1 ...............................................................................................................................27
ПРИЛОЖЕНИЕ 2 ...............................................................................................................................29
ПРИЛОЖЕНИЕ 3 ...............................................................................................................................30
ПРИЛОЖЕНИЕ 4 ...............................................................................................................................38

4
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящем документе используются термины и соответствующие им определения, введенные действующими нормативными правовыми актами
Российской Федерации, а также государственными стандартами и методическими документами.
Автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;
Безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;
Значимый объект критической информационной инфраструктуры -
объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
Комиссия по категорированию - постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры;
Компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и
(или) создания угрозы безопасности обрабатываемой такими объектами информации;
Критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
Объекты
критической
информационной
инфраструктуры
информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

5
Субъекты
критической
информационной
инфраструктуры
государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно- энергетического комплекса, в области атомной энергии, оборонной, ракетно- космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
ИСПОЛЬЗУЕМЫЕ СОКРАЩЕНИЯ
АСУ ТП
Автоматизированная система управления технологическими процессами
ГО и ЧС
Гражданская оборона и чрезвычайные ситуации
ЕГРЮ Л
Единый государственный реестр ю ридических лиц
ИНН
И дентификационный номер налогоплательщ ика
ИА
Исполнительный аппарат
ИС
Информационная система
ИТ
Информационные технологии
ИТКС
Информационно-телекоммуникационная сеть
КЗ
Контролируемая зона
КИИ
Критическая информационная инфраструктура
КПП
Код причины постановки на учет
ТЭК
Топливно-энергетический комплекс
ФСТЭК России
Федеральная служба по техническому и экспортному контролю Российской Федерации

6
1.
ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие методические рекомендации детализируют и стандартизируют процедуру категорирования объектов
КИИ, принадлежащих на праве собственности, аренды или на ином законном основании государственным учреждениям, российским юридическим лицам и/или индивидуальным предпринимателям и используемых ими для осуществления видов деятельности в сфере топливно-энергетического комплекса.
Общий порядок осуществления категорирования определен Правилами категорирования объектов КИИ Российской Федерации (далее - Правила) и
Перечнем показателей критериев значимости объектов КИИ Российской Федерации и их значений (далее - Перечень), утвержденными постановлением Правительства
Российской Федерации от 08 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры
Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
(далее - постановление № 127) в редакции Постановления
Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля
2018 г. № 127».
Методические рекомендации применяются субъектами ТЭК для:
• определения процессов в рамках видов деятельности, осуществляемых субъектами ТЭК;
• выявления управленческих, технологических, производственных, финансово-экономических и/или иных процессов в рамках осуществления видов деятельности субъекта ТЭК, нарушение и/или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы) из числа типовых процессов субъекта ТЭК;
• определения информационных систем (далее - ИС), информационно­
телекоммуникационных сетей (далее - ИТКС) и автоматизированных систем управления технологическими процессами
(далее - АСУ
ТП), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управление, контроль или мониторинг критических процессов
(далее совместно именуемых объекты КИИ), из числа типовых ИС, ИТКС и АСУ
ТП, принадлежащих субъектам ТЭК;

7
• формирования перечня объектов КИИ, подлежащих категорированию
(далее - перечень объектов КИИ);
• оценки для каждого объекта КИИ в соответствии с перечнем объектов
КИИ масштаба возможных последствий в случае возникновения компьютерных инцидентов;
• присвоения каждому из объектов КИИ одной из категорий значимости либо принятия решения об отсутствии необходимости присвоения ему одной из категорий значимости;
• подготовки сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.
Общая схема работ по категорированию объектов ТЭК в соответствии со ст. 7
Федерального закона № 187-ФЗ представлена на рис. 1.
Комиссия по категорированию
Г
Исходные данные
1
для категорирования
•Втечение 10 рабочих дней направляется во ФСТЭК России
Не более
1 года
Присвоение категории объектам
КИИ
• В течение 10 рабочих дней направляется во ФСТЭК России
Рисунок !. Общая схема категорирования
В соответствии с ч. 1 ст. 7 Федерального закона № 187-ФЗ «категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения».
Процедуры категорирования объектов КИИ условно разделяются на первичную и последующие.
Сведения о
результат категорирования
Перечень объектов
КИИ, подлежащих категорированию
L.
J

8
Первичная процедура категорирования объектов КИИ обуславливается вступлением в силу Федерального закона № 187-ФЗ и подзаконных нормативных актов. В ходе выполнения первичной процедуры категорирования объектов КИИ формируется перечень объектов
КИИ субъекта
КИИ, подлежащих категорированию, который впоследствии утверждается и направляется во ФСТЭК
России.
Последующие процедуры категорирования производятся в случаях:
а) создания нового объекта КИИ или перехода на праве собственности, аренды или ином законном основании во владение и (или) эксплуатацию субъектом КИИ уже существующего объекта КИИ;
б) изменения значимого объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;
в) изменения объекта КИИ, не являющегося значимым объектом КИИ, в результате которого такой объект стал значимым, на основании которых ему должна быть присвоена определенная категория значимости;
г) проведения периодического пересмотра установленной категории значимости или отсутствия необходимости назначения одной из категорий значимости объекта КИИ, осуществляемого (не реже, чем один раз в 5 лет)
д) изменения показателей критериев значимости объектов КИИ или их значений.

9
2.
ОТНЕСЕНИЕ ГОСУДАРСТВЕННОГО УЧРЕЖДЕНИЯ,
РОССИЙСКОГО ЮРИДИЧЕСКОГО ЛИЦА И (ИЛИ) ИНДИВИДУАЛЬНОГО
ПРЕДПРИНИМАТЕЛЯ К СУБЪЕКТАМ КИИ
Отнесение любого государственного учреждения, российского юридического лица и/или индивидуального предпринимателя к субъектам КИИ осуществляется исходя из его соответствия первым двум условиям (одновременно) или третьему условию:
1.
Государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель осуществляет один или несколько из основных видов своей деятельности в одной или нескольких сферах (областях) деятельности, предусмотренных п. 8 ст. 2 Федерального закона № 187-ФЗ.
2.
Государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю принадлежат на праве собственности, аренды или на ином законном основании любые ИС, ИТКС и АСУ ТП.
3.
Российское юридическое лицо и/или индивидуальный предприниматель обеспечивает взаимодействие
ИС,
ИТКС и
АСУ
ТП, принадлежащих государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю, осуществляющему свою деятельность в одной или нескольких сферах (областях) деятельности, предусмотренных п. 8 ст. 2
Федерального закона № 187-ФЗ.
Если одно из первых двух условий и третье условие не выполняются, то государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель не является субъектом КИИ, если условия выполняются
(одновременно первые два условия или третье условие), то является субъектом
КИИ.
Область применения методических рекомендаций в отношении субъектов
ТЭК как субъектов КИИ уточняется следующим образом:
• сферой деятельности, предусмотренной п. 8 ст. 2 Федерального закона
№ 187-ФЗ является энергетика или топливно-энергетический комплекс;
• в качестве субъектов
КИИ рассматриваются государственные учреждения, российские юридические лица и/или индивидуальные предприниматели, при этом не учитывается, является ли субъект ТЭК государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и/или стратегическим акционерным обществом, стратегическим предприятием.

10 3.
КОМИССИЯ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ
Для проведения мероприятий по категорированию в соответствии с п. 11
Правил решением руководителя субъекта КИИ создается постоянно действующая
комиссия по категорированию. Состав комиссии определен пунктами 11, 11.1, 11.2 и 12, руководитель комиссии определяется в соответствии с п. 13 Правил.
Форма приказа о создании комиссии приведена в приложении 1.
Рекомендуемый состав комиссии.
1.
Председатель комиссии по категорированию объектов КИИ
2.
Заместитель председателя комиссии
3.
Член комиссии - ответственный за ГО и ЧС
4.
Член комиссии - ответственный за предоставление экономических показателей
5.
Член комиссии - ответственный за выполнение процесса / владелец процесса
6.
Член комиссии - ответственный за ИС, ИТКС, АСУ ТП
7.
Член комиссии - ответственный за обеспечение безопасности объектов
КИИ
8.
Член комиссии - аналитик (группа аналитиков)
9.
Член комиссии - ответственный по направлению информационной безопасности
10.
Член комиссии - ответственный по направлению информационных технологий
11.
Другие члены комиссии, определенные п. 11 Правил.
В состав комиссии по категорированию могут включаться представители
Министерства энергетики Российской Федерации по согласованию с данным министерством.

11
4.
ОПРЕДЕЛЕНИЕ ПРОЦЕССОВ В РАМКАХ ВИДОВ
ДЕЯТЕЛЬНОСТИ, ОСУЩЕСТВЛЯЕМЫХ СУБЪЕКТОМ КИИ
В настоящем документе под процессом понимается последовательность связанных действий или задач, необходимых для достижения определенного результата.
Все процессы субъекта КИИ, предлагается условно подразделить на следующие группы:
основные (операционные) - процессы, непосредственно ориентированные на оказание услуги и/или производство товара и обеспечивающие получение дохода для субъекта КИИ. Так, например, для электроэнергетики, согласно Федерального закона от 26 марта 2003 г. № 35-Ф3 «Об электроэнергетике», эти процессы обеспечивают:
• работу в сферах оптового и розничного рынков электрической энергии и мощности;
• оказание услуг по передаче электрической энергии;
• оперативно-технологическое управление;
• коммерческий учет электрической энергии (мощности).
управления - процессы, отвечающие за управление деятельностью субъекта
КИИ;
поддержки функционирования - процессы, предназначенные для обеспечения основных процессов субъекта КИИ необходимыми ресурсами и создающими инфраструктуру компании;
развития - процессы совершенствования деятельности субъекта КИИ, нацеленные на получение прибыли в долгосрочной перспективе
(совершенствование производства продукции / услуги, технологии производства или оказания услуг, внедрение нового оборудования, а также инновационные процессы).
В случае, если применение вышеописанного подхода к выявлению процессов субъекта ТЭК представляется затруднительным, возможно использование другого подхода, основанного на методологии Enhanced Telecom Operations Map® (eTOM).
Модель еТОМ определяет архитектуру бизнес-процессов операторов телекоммуникационных услуг, но может быть применена и в других областях, в том числе в топливно-энергетическом комплексе.
Описание процессов в соответствии с данной моделью представлено на рис. 2.

  1   2   3