ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 8 февраля 2018 г. № 127
МОСКВА
Об утверждении Правил категорирования объектов
критической информационной инфраструктуры
Российской Федерации, а также перечня показателей критериев
значимости объектов критической информационной
инфраструктуры Российской Федерации и их значений
В соответствии с пунктом 1 части 2 статьи 6 Федерального
закона "О безопасности критической информационной инфраструктуры
Российской Федерации" Правительство Российской Федерации
п о с т а н о в л я е т:
1. Утвердить прилагаемые:
Правила категорирования объектов критической информационной
инфраструктуры Российской Федерации;
перечень показателей критериев значимости объектов критической
информационной инфраструктуры Российской Федерации и их значений.
2. Финансирование расходов, связанных с реализацией настоящего
постановления государственными органами и государственными
учреждениями, осуществляется за счет и в пределах бюджетных
ассигнований, предусмотренных соответствующим бюджетом на
обеспечение деятельности субъектов критической информационной
инфраструктуры.
Председатель Правительства
Российской Федерации Д.Медведев
__________________________
УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 8 февраля 2018 г. № 127
ПРАВИЛА
категорирования объектов критической информационной
инфраструктуры Российской Федерации
1. Настоящие Правила устанавливают порядок и сроки
категорирования объектов критической информационной инфраструктуры
Российской Федерации (далее соответственно - критическая
информационная инфраструктура, категорирование).
2. Категорирование осуществляется субъектами критической
информационной инфраструктуры в отношении принадлежащих им на праве
собственности, аренды или ином законном основании объектов
критической информационной инфраструктуры.
3. Категорированию подлежат объекты критической информационной
инфраструктуры, которые обеспечивают управленческие,
технологические, производственные, финансово-экономические и (или)
иные процессы в рамках выполнения функций (полномочий) или
осуществления видов деятельности субъектов критической
информационной инфраструктуры.
4. Определение категорий значимости объектов критической
информационной инфраструктуры (далее - категория значимости)
осуществляется на основании показателей критериев значимости
объектов критической информационной инфраструктуры и их значений,
предусмотренных перечнем показателей критериев значимости объектов
критической информационной инфраструктуры Российской Федерации и их
значений, утвержденным постановлением Правительства Российской
Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил
категорирования объектов критической информационной инфраструктуры
Российской Федерации, а также перечня показателей критериев
значимости объектов критической информационной инфраструктуры
Российской Федерации и их значений" (далее соответственно -
перечень показателей критериев значимости, показатели критериев
значимости).
5. Категорирование включает в себя:
а) определение процессов, указанных в пункте 3 настоящих
Правил, в рамках выполнения функций (полномочий) или осуществления
видов деятельности субъекта критической информационной
инфраструктуры;
б) выявление управленческих, технологических,
производственных, финансово-экономических и (или) иных процессов в
рамках выполнения функций (полномочий) или осуществления видов
деятельности субъектов критической информационной инфраструктуры,
нарушение и (или) прекращение которых может привести к негативным
социальным, политическим, экономическим, экологическим
последствиям, последствиям для обеспечения обороны страны,
безопасности государства и правопорядка (далее - критические
процессы);
в) определение объектов критической информационной
инфраструктуры, которые обрабатывают информацию, необходимую для
обеспечения критических процессов, и (или) осуществляют управление,
контроль или мониторинг критических процессов;
г) формирование перечня объектов критической информационной
инфраструктуры, подлежащих категорированию (далее - перечень
объектов);
д) оценку в соответствии с перечнем показателей критериев
значимости масштаба возможных последствий в случае возникновения
компьютерных инцидентов на объектах критической информационной
инфраструктуры;
е) присвоение каждому из объектов критической информационной
инфраструктуры одной из категорий значимости либо принятие решения
об отсутствии необходимости присвоения им одной из категорий
значимости.
6. Объекту критической информационной инфраструктуры по
результатам категорирования присваивается в соответствии с перечнем
показателей критериев значимости категория значимости с наивысшим
значением.
Для каждого показателя критериев значимости, для которого
установлено более одного значения такого показателя (территория,
количество людей), оценка производится по каждому из значений
показателя критериев значимости, а категория значимости
присваивается по наивысшему значению такого показателя.
В случае если ни один из показателей критериев значимости
неприменим для объекта критической информационной инфраструктуры
или объект критической информационной инфраструктуры не
соответствует ни одному показателю критериев значимости и их
значениям, категория значимости не присваивается.
7. Устанавливаются 3 категории значимости. Самая высокая
категория - первая, самая низкая - третья.
8. В отношении объекта критической информационной
инфраструктуры, создаваемого в рамках создания объекта капитального
строительства, категория значимости определяется при формировании
заказчиком, техническим заказчиком или застройщиком требований к
объекту критической информационной инфраструктуры с учетом
имеющихся исходных данных о критических процессах субъекта
критической информационной инфраструктуры.
Для создаваемого объекта критической информационной
инфраструктуры, указанного в абзаце первом настоящего пункта,
категория значимости может быть уточнена в ходе его проектирования.
9. Для объектов, принадлежащих одному субъекту критической
информационной инфраструктуры, но используемых для целей контроля и
управления технологическим и (или) производственным оборудованием,
принадлежащим другому субъекту критической информационной
инфраструктуры, категорирование осуществляется на основе исходных
данных, представляемых субъектом критической информационной
инфраструктуры, которому принадлежит технологическое и (или)
производственное оборудование.
10. Исходными данными для категорирования являются:
а) сведения об объекте критической информационной
инфраструктуры (назначение, архитектура объекта, применяемые
программные и программно-аппаратные средства, взаимодействие с
другими объектами критической информационной инфраструктуры,
наличие и характеристики доступа к сетям связи);
б) процессы, указанные в пункте 3 настоящих Правил, в рамках
выполнения функций (полномочий) или осуществления видов
деятельности субъекта критической информационной инфраструктуры;
в) состав информации, обрабатываемой объектами критической
информационной инфраструктуры, сервисы по управлению, контролю или
мониторингу, предоставляемые объектами критической информационной
инфраструктуры;
г) декларация промышленной безопасности опасного
производственного объекта, декларация безопасности
гидротехнического сооружения и паспорт объекта
топливно-энергетического комплекса в случае, если на указанных
объектах функционирует объект критической информационной
инфраструктуры (если разработка указанных деклараций и паспорта
предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта критической
информационной инфраструктуры с другими объектами критической
информационной инфраструктуры и (или) о зависимости
функционирования объекта критической информационной инфраструктуры
от других таких объектов;
е) угрозы безопасности информации в отношении объекта
критической информационной инфраструктуры, а также имеющиеся
данные, в том числе статистические, о компьютерных инцидентах,
произошедших ранее на объектах критической информационной
инфраструктуры соответствующего типа.
11. Для проведения категорирования решением руководителя
субъекта критической информационной инфраструктуры создается
комиссия по категорированию, в состав которой включаются:
а) руководитель субъекта критической информационной
инфраструктуры или уполномоченное им лицо;
б) работники субъекта критической информационной
инфраструктуры, являющиеся специалистами в области выполняемых
функций или осуществляемых видов деятельности, и в области
информационных технологий и связи, а также специалисты по
эксплуатации основного технологического оборудования,
технологической (промышленной) безопасности, контролю за опасными
веществами и материалами, учету опасных веществ и материалов;
в) работники субъекта критической информационной
инфраструктуры, на которых возложены функции обеспечения
безопасности (информационной безопасности) объектов критической
информационной инфраструктуры;
г) работники подразделения по защите государственной тайны
субъекта критической информационной инфраструктуры (в случае, если
объект критической информационной инфраструктуры обрабатывает
информацию, составляющую государственную тайну);
д) работники структурного подразделения по гражданской обороне
и защите от чрезвычайных ситуаций или работники, уполномоченные на
решение задач в области гражданской обороны и защиты от
чрезвычайных ситуаций.
12. В состав комиссии по категорированию могут включаться
представители государственных органов и российских юридических лиц,
выполняющих функции по разработке, проведению или реализации
государственной политики и (или) нормативно-правовому регулированию
в установленной сфере деятельности, по согласованию с
государственными органами и российскими юридическими лицами.
13. Комиссию по категорированию возглавляет руководитель
субъекта критической информационной инфраструктуры или
уполномоченное им лицо.
14. Комиссия по категорированию в ходе своей работы:
а) определяет процессы, указанные в пункте 3 настоящих Правил,
в рамках выполнения функций (полномочий) или осуществления видов
деятельности субъекта критической информационной инфраструктуры;
б) выявляет наличие критических процессов у субъекта
критической информационной инфраструктуры;
в) выявляет объекты критической информационной инфраструктуры,
которые обрабатывают информацию, необходимую для обеспечения
выполнения критических процессов, и (или) осуществляют управление,
контроль или мониторинг критических процессов, а также готовит
предложения для включения в перечень объектов;
г) рассматривает возможные действия нарушителей в отношении
объектов критической информационной инфраструктуры, а также иные
источники угроз безопасности информации;
д) анализирует угрозы безопасности информации и уязвимости,
которые могут привести к возникновению компьютерных инцидентов на
объектах критической информационной инфраструктуры;
е) оценивает в соответствии с перечнем показателей критериев
значимости масштаб возможных последствий в случае возникновения
компьютерных инцидентов на объектах критической информационной
инфраструктуры;
ж) устанавливает каждому из объектов критической
информационной инфраструктуры одну из категорий значимости либо
принимает решение об отсутствии необходимости присвоения им
категорий значимости.
15. Перечень объектов утверждается субъектом критической
информационной инфраструктуры. Перечень объектов подлежит
согласованию с государственным органом или российским юридическим
лицом, выполняющим функции по разработке, проведению или реализации
государственной политики и (или) нормативно-правовому регулированию
в установленной сфере в части подведомственных им субъектов
критической информационной инфраструктуры.
Максимальный срок категорирования не должен превышать
одного года со дня утверждения субъектом критической информационной
инфраструктуры перечня объектов.
Перечень объектов в течение 5 рабочих дней после утверждения
направляется в федеральный орган исполнительной власти,
уполномоченный в области обеспечения безопасности критической
информационной инфраструктуры.
16. Решение комиссии по категорированию оформляется актом,
который должен содержать сведения об объекте критической
информационной инфраструктуры, результаты анализа угроз
безопасности информации объекта критической информационной
инфраструктуры, реализованные меры по обеспечению безопасности
объекта критической информационной инфраструктуры, сведения о
присвоенной объекту критической информационной инфраструктуры
категории значимости либо об отсутствии необходимости присвоения
ему одной из таких категорий, а также сведения о необходимых мерах
по обеспечению безопасности в соответствии с требованиями по
обеспечению безопасности значимых объектов критической
информационной инфраструктуры, установленными федеральным органом
исполнительной власти, уполномоченным в области обеспечения
безопасности критической информационной инфраструктуры.
Акт подписывается членами комиссии по категорированию и
утверждается руководителем субъекта критической информационной
инфраструктуры.
Субъект критической информационной инфраструктуры обеспечивает
хранение акта до вывода из эксплуатации объекта критической
информационной инфраструктуры или до изменения категории
значимости.
17. Субъект критической информационной инфраструктуры в
течение 10 дней со дня утверждения акта, указанного в пункте 16
настоящих Правил, направляет в федеральный орган исполнительной
власти, уполномоченный в области обеспечения безопасности
критической информационной инфраструктуры, сведения о результатах
присвоения объекту критической информационной инфраструктуры одной
из категорий значимости либо об отсутствии необходимости присвоения
ему одной из таких категорий. Указанные сведения включают:
а) сведения об объекте критической информационной
инфраструктуры;
б) сведения о субъекте критической информационной
инфраструктуры, которому на праве собственности, аренды или ином
законном основании принадлежит объект критической информационной
инфраструктуры;
в) сведения о взаимодействии объекта критической
информационной инфраструктуры и сетей электросвязи;
г) сведения о лице, эксплуатирующем объект критической
информационной инфраструктуры;
д) сведения о программных и программно-аппаратных средствах,
используемых на объекте критической информационной инфраструктуры,
в том числе средствах, используемых для обеспечения безопасности
объекта критической информационной инфраструктуры и их сертификатах
соответствия требованиям по безопасности информации (при наличии);
е) сведения об угрозах безопасности информации и о категориях
нарушителей в отношении объекта критической информационной
инфраструктуры либо об отсутствии таких угроз;
ж) возможные последствия в случае возникновения компьютерных
инцидентов на объекте критической информационной инфраструктуры
либо сведения об отсутствии таких последствий;
з) категорию значимости, которая присвоена объекту критической
информационной инфраструктуры, или сведения об отсутствии
необходимости присвоения одной из категорий значимости, а также
сведения о результатах оценки показателей критериев значимости;
и) организационные и технические меры, применяемые для
обеспечения безопасности объекта критической информационной
инфраструктуры, либо сведения об отсутствии необходимости
применения указанных мер.
18. Сведения, указанные в пункте 17 настоящих Правил, и их
содержание направляются по форме, утверждаемой федеральным органом
исполнительной власти, уполномоченным в области обеспечения
безопасности критической информационной инфраструктуры.
19. Федеральный орган исполнительной власти, уполномоченный в
области обеспечения безопасности критической информационной
инфраструктуры, проверяет сведения о результатах присвоения
категорий значимости в порядке, предусмотренном частями 6 - 8
статьи 7 Федерального закона "О безопасности критической
информационной инфраструктуры Российской Федерации".
20. Категория значимости может быть изменена в порядке,
предусмотренном для категорирования, в случаях, предусмотренных
частью 12 статьи 7 Федерального закона "О безопасности критической
информационной инфраструктуры Российской Федерации".
21. Субъект критической информационной инфраструктуры не реже
чем один раз в 5 лет осуществляет пересмотр установленной категории
значимости в соответствии с настоящими Правилами. В случае
изменения категории значимости сведения о результатах пересмотра
категории значимости направляются в федеральный орган,
уполномоченный в области обеспечения безопасности критической
информационной инфраструктуры.
____________
УТВЕРЖДЕН
постановлением Правительства
Российской Федерации
от 8 февраля 2018 г. № 127
ПЕРЕЧЕНЬ
показателей критериев значимости объектов критической информационной
инфраструктуры Российской Федерации и их значения
-----------------------------------------------------------|-----------------------------------------------------------------------
Показатель | Значение показателя
|-----------------------|------------------------|----------------------
| III категория | II категория | I категория
-----------------------------------------------------------|-----------------------|------------------------|----------------------
I. Социальная значимость
1. Причинение ущерба жизни и здоровью людей (человек) более или равно 1, более 50, но менее или более 500
но менее или равно 50 равно 500
2. Прекращение или нарушение функционирования объектов
обеспечения жизнедеятельности населения, в том числе
объектов водоснабжения и канализации, очистки сточных
вод, тепло- и электроснабжения, гидротехнических
сооружений, оцениваемые:
а) на территории, на которой возможно нарушение вся территория одного выход за пределы выход за пределы
обеспечения жизнедеятельности населения; муниципального территории одного территории одного
образования или одной муниципального субъекта Российской
внутригородской образования или одной Федерации или
территории города внутригородской территории города
федерального значения территории города федерального значения
федерального значения,
но не за пределы
территории одного
субъекта Российской
Федерации или
территории города
федерального значения
б) по количеству людей, условия жизнедеятельности более или равно 50, более или равно 1000, более или равно 5000
которых могут быть нарушены (тыс. человек) но менее 1000 но менее 5000
3. Прекращение или нарушение функционирования объектов
транспортной инфраструктуры, оцениваемые:
а) на территории, на которой возможно нарушение вся территория одного выход за пределы выход за пределы
транспортного сообщения или предоставления муниципального территории одного территории одного
транспортных услуг; образования или одной муниципального субъекта Российской
внутригородской образования или одной Федерации или
территории города внутригородской территории города
федерального значения территории города федерального значения
федерального значения,
но не за пределы
территории одного
субъекта Российской
Федерации или
территории города
федерального значения
б) по количеству людей, для которых могут быть более или равно 50, более или равно 1000, более или равно 5000
недоступны транспортные услуги (тыс. человек) но менее 1000 но менее 5000
4. Прекращение или нарушение функционирования сети связи,
оцениваемые:
а) на территории, на которой возможно прекращение или вся территория одного выход за пределы выход за пределы
нарушение функционирования сети связи; муниципального территории одного территории одного
образования или одной муниципального субъекта Российской
внутригородской образования или одной Федерации или
территории города внутригородской территории города
федерального значения территории города федерального значения
федерального значения,
но не за пределы
территории одного
субъекта Российской
Федерации или
территории города
федерального значения
б) по количеству людей, для которых могут быть более или равно 50, более или равно 1000, более или равно 5000
недоступны услуги связи (тыс. человек) но менее 1000 но менее 5000
5. Отсутствие доступа к государственной услуге, менее или равно 24, менее или равно 12, менее 6
оцениваемое в максимальном допустимом времени, в но более 12 но более 6
течение которого государственная услуга может быть
недоступна для получателей такой услуги (часов)
II. Политическая значимость
6. Прекращение или нарушение функционирования прекращение или прекращение или прекращение или
государственного органа в части невыполнения нарушение нарушение нарушение
возложенной на него функции (полномочия) функционирования функционирования функционирования
органа государственной федерального органа Администрации
власти субъекта государственной власти Президента Российской
Российской Федерации Федерации,
или города Правительства
федерального значения Российской Федерации,
Федерального Собрания
Российской Федерации,
Совета Безопасности
Российской Федерации,
Верховного Суда
Российской Федерации,
Конституционного Суда
Российской Федерации
7. Нарушение условий международного договора Российской нарушение условий нарушение условий нарушение условий
Федерации, срыв переговоров или подписания договора межправительственного межгосударственного
планируемого к заключению международного договора межведомственного договора договора
Российской Федерации, оцениваемые по уровню характера (срыв переговоров (срыв переговоров
международного договора Российской Федерации (срыв переговоров или подписания) или подписания)
или подписания)
III. Экономическая значимость
8. Возникновение ущерба субъекту критической более 5, но менее более 10, но менее более 15
информационной инфраструктуры, который является или равно 10 или равно 15
государственной корпорацией, государственным унитарным
предприятием, муниципальным унитарным предприятием,
государственной компанией, организацией с участием
государства и (или) стратегическим акционерным
обществом, стратегическим предприятием, оцениваемого в
снижении уровня дохода (с учетом налога на добавленную
стоимость, акцизов и иных обязательных платежей) по
всем видам деятельности (процентов прогнозируемого
объема годового дохода по всем видам деятельности)
9. Возникновение ущерба бюджетам Российской Федерации,
оцениваемого:
а) в снижении доходов федерального бюджета, (процентов более 0,001, но менее более 0,005, но менее более 0,1
прогнозируемого годового дохода бюджета); или равно 0,05 или равно 0,1
б) в снижении доходов бюджета субъекта Российской более 0,001, но менее более 0,05, но менее более 0,1
Федерации (процентов прогнозируемого годового дохода или равно 0,05 или равно 0,1
бюджета);
в) в снижении доходов бюджетов государственных более 0,01, но менее более 0,5, но менее более 1
внебюджетных фондов (процентов или равно 0,5 или равно 1
прогнозируемого годового дохода бюджета)
10. Прекращение или нарушение проведения клиентами более 3, но менее более 70, но менее более 120
операций по банковским счетам и (или) без открытия или равно 70 или равно 120
банковского счета или операций, осуществляемых
субъектом критической информационной инфраструктуры,
являющимся в соответствии с законодательством
Российской Федерации системно значимой кредитной
организацией, оператором услуг платежной
инфраструктуры системно и (или) социально значимых
платежных систем или системно значимой
инфраструктурной организацией финансового рынка,
оцениваемое среднедневным
(по отношению к числу календарных дней в году)
количеством осуществляемых операций, (млн. единиц)
(расчет осуществляется по итогам года, а для
создаваемых объектов - на основе прогнозных значений)
IV. Экологическая значимость
11. Вредные воздействия на окружающую среду (ухудшение
качества воды в поверхностных водоемах, обусловленное
сбросами загрязняющих веществ, повышение уровня
вредных загрязняющих веществ, в том числе
радиоактивных веществ, в атмосферу, ухудшение
состояния земель в результате выбросов или сбросов
загрязняющих веществ или иные вредные воздействия),
оцениваемые:
а) на территории, на которой окружающая среда может вся территория одного выход за пределы выход за пределы
подвергнуться вредным воздействиям; муниципального территории одного территории одного
образования или одной муниципального субъекта Российской
внутригородской образования или одной Федерации или
территории города внутригородской территории города
федерального значения территории города федерального значения
федерального значения,
но не за пределы
территории одного
субъекта Российской
Федерации или
территории города
федерального значения
б) по количеству людей, которые могут быть подвержены более или равно 50, более или равно 1000, более или равно 5000
вредным воздействиям (тыс. человек) но менее 1000 но менее 5000
V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка
12. Прекращение или нарушение (невыполнение установленных прекращение или прекращение или прекращение или
показателей) функционирования пункта управления нарушение нарушение нарушение
(ситуационного центра), оцениваемое в уровне функционирования функционирования функционирования
(значимости) пункта управления или ситуационного пункта управления или пункта управления или пункта управления
центра ситуационного центра ситуационного центра государством или
органа государственной федерального органа ситуационного центра
власти субъекта государственной власти Администрации
Российской Федерации или государственной Президента Российской
или города корпорации Федерации,
федерального значения Правительства
Российской Федерации,
Федерального Собрания
Российской Федерации,
Совета Безопасности
Российской Федерации,
Верховного Суда
Российской Федерации,
Конституционного Суда
Российской Федерации
13. Снижение показателей государственного оборонного
заказа, выполняемого субъектом критической
информационной инфраструктуры, оцениваемое:
а) в снижении объемов продукции (работ, услуг) в более 5, но менее более 10, но менее более 15
заданный период времени (процентов заданного объема или равно 10 или равно 15
продукции);
б) в увеличении времени выпуска продукции (работ, более 3, но менее более 10, но менее более 40
услуг) с заданным объемом (процентов установленного или равно 10 или равно 40
времени выпуска продукции)
14. Прекращение или нарушение функционирования менее или равно 4, менее или равно 2, более 1
(невыполнения установленных показателей) но более 2 но более 1
информационной системы в области обеспечения обороны
страны, безопасности государства и правопорядка,
оцениваемое в максимально допустимом времени, в
течение которого информационная система может быть
недоступна пользователю (часов)
____________
