Каким нормативным правовым актом установлены критерии отнесения объекта к критически важным объектам

Обновлено: 16.05.2024

Настоящие Правила устанавливают порядок разработки критериев отнесения объектов всех форм собственности к критически важным объектам.

Разделы сайта, связанные с этим документом:

Связи документа

В видах работ

В новостях

В комментариях/вопросах

Оглавление

Оглавление отсутствует или слишком маленький документ

Термины

Термины

критически важные объекты федерального уровня значимости-объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой 2 и более субъектов Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения 2 и более субъектов Российской Федерации;
критически важные объекты регионального уровня значимости-объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения субъекта Российской Федерации;
критически важные объекты муниципального уровня значимости-объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения административно-территориальной единицы субъекта Российской Федерации;
см. страницу термина

объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения административно-территориальной единицы субъекта Российской Федерации
см. страницу термина

объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения субъекта Российской Федерации
см. страницу термина

объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой 2 и более субъектов Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения 2 и более субъектов Российской Федерации
см. страницу термина

комплекс технологически и технически связанных между собой зданий, строений, сооружений и систем, отдельное здание, строение и сооружение, размещенные на обособленной территории (акватории), границы которой установлены в соответствии с законодательством Российской Федерации, и принадлежащие на праве собственности, аренды или ином законном основании физическим и юридическим лицам, которые осуществляют деятельность на территории Российской Федерации и иных территориях, над которыми Российская Федерация осуществляет юрисдикцию в соответствии с законодательством Российской Федерации и нормами международного права
см. страницу термина

объекты всех форм собственности, нарушение или прекращение функционирования которых в результате чрезвычайных ситуаций может привести к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения
см. страницу термина

обстановка, которая возникла вследствие нарушения или прекращения функционирования объекта и при которой на определенной территории невозможно проживание людей, а также обстановка, которая возникла в связи с гибелью или повреждением имущества граждан, с угрозой их жизни или здоровью
см. страницу термина

Важно

• 4. Критерии ДОЛЖНЫ состоять из конкретных (количественных и качественных) показателей и соответствующих им значений. .

Данный сборник НТД предназначен исключительно для ознакомления, без целей коммерческого использования. Собранные здесь тексты документов могут устареть, оказаться замененными новыми или быть отменены.

За официальными документами обращайтесь на официальные сайты соответствующих организаций или в официальные издания. Наша организация и администрация сайта не несут ответственности за возможный вред и/или убытки, возникшие или полученные в связи с использованием документации.

В соответствии с подпунктом "р" статьи 10 Федерального закона "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые Правила разработки критериев отнесения объектов всех форм собственности к критически важным объектам.

2. Федеральным органам исполнительной власти, Государственной корпорации по атомной энергии "Росатом" и Государственной корпорации по космической деятельности "Роскосмос" обеспечить в 6-месячный срок со дня официального опубликования настоящего постановления подготовку и принятие в установленном порядке нормативных правовых актов в соответствии с Правилами, утвержденными настоящим постановлением.

3. Реализация полномочий, предусмотренных настоящим постановлением, осуществляется соответствующими федеральными органами исполнительной власти в пределах установленной штатной численности, а также бюджетных ассигнований, предусмотренных этим федеральным органам исполнительной власти федеральным законом о бюджете на соответствующий финансовый год и плановый период на руководство и управление в сфере установленных функций.

4. Министерству Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий обеспечить методическое руководство разработкой федеральными органами исполнительной власти, Государственной корпорацией по атомной энергии "Росатом" и Государственной корпорацией по космической деятельности "Роскосмос" критериев отнесения объектов всех форм собственности к критически важным объектам.

от 14 августа 2020 г. N 1225

РАЗРАБОТКИ КРИТЕРИЕВ ОТНЕСЕНИЯ ОБЪЕКТОВ ВСЕХ ФОРМ

СОБСТВЕННОСТИ К КРИТИЧЕСКИ ВАЖНЫМ ОБЪЕКТАМ

1. Настоящие Правила устанавливают порядок разработки критериев отнесения объектов всех форм собственности к критически важным объектам (далее - критерии).

2. Понятия, используемые в настоящих Правилах, означают следующее:

"категории значимости критически важных объектов":

критически важные объекты федерального уровня значимости - объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой 2 и более субъектов Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения 2 и более субъектов Российской Федерации;

критически важные объекты регионального уровня значимости - объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения субъекта Российской Федерации;

критически важные объекты муниципального уровня значимости - объекты, нарушение или прекращение функционирования которых приведет к потере управления экономикой административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения административно-территориальной единицы субъекта Российской Федерации;

"объект" - комплекс технологически и технически связанных между собой зданий, строений, сооружений и систем, отдельное здание, строение и сооружение, размещенные на обособленной территории (акватории), границы которой установлены в соответствии с законодательством Российской Федерации, и принадлежащие на праве собственности, аренды или ином законном основании физическим и юридическим лицам, которые осуществляют деятельность на территории Российской Федерации и иных территориях, над которыми Российская Федерация осуществляет юрисдикцию в соответствии с законодательством Российской Федерации и нормами международного права;

"объекты, подлежащие отнесению к критически важным объектам" - объекты всех форм собственности, нарушение или прекращение функционирования которых в результате чрезвычайных ситуаций может привести к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения;

"существенное снижение безопасности жизнедеятельности населения" - обстановка, которая возникла вследствие нарушения или прекращения функционирования объекта и при которой на определенной территории невозможно проживание людей, а также обстановка, которая возникла в связи с гибелью или повреждением имущества граждан, с угрозой их жизни или здоровью.

3. Принятие в установленном порядке нормативных правовых актов об утверждении критериев осуществляется федеральными органами исполнительной власти, Государственной корпорацией по атомной энергии "Росатом" и Государственной корпорацией по космической деятельности "Роскосмос" в отношении объектов, правообладателями которых являются эти органы и государственные корпорации или организации, в отношении которых указанные органы и государственные корпорации осуществляют координацию и регулирование деятельности в соответствующей отрасли (сфере управления).

В случае если объекты, в отношении которых разрабатываются критерии, относятся к сфере деятельности 2 и более федеральных органов исполнительной власти, и (или) Государственной корпорации по атомной энергии "Росатом", и (или) Государственной корпорации по космической деятельности "Роскосмос", указанные нормативные правовые акты подлежат также согласованию с соответствующими федеральными органами исполнительной власти, и (или) Государственной корпорацией по атомной энергии "Росатом", и (или) Государственной корпорацией по космической деятельности "Роскосмос".

Указанные нормативные правовые акты принимаются по согласованию с Министерством Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий.

4. Критерии должны состоять из конкретных (количественных и качественных) показателей и соответствующих им значений.

5. На основании значений конкретных показателей объекты, подлежащие отнесению к критически важным объектам, включаются в одну из категорий значимости критически важных объектов.

Утверждаю
Статс-секретарь -
заместитель Министра
Российской Федерации
по делам гражданской обороны,
чрезвычайным ситуациям и ликвидации
последствий стихийных бедствий
В.А.ПУЧКОВ
19.06.2008 N 2-4-60-10-14

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ПРОВЕДЕНИЮ ИНВЕНТАРИЗАЦИИ КРИТИЧЕСКИ ВАЖНЫХ
И (ИЛИ) ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
И ФОРМИРОВАНИЮ ПЕРЕЧНЯ КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТОВ
НА РЕГИОНАЛЬНОМ УРОВНЕ

1. Основные положения

Целями проведения инвентаризации критически важных и (или) потенциально опасных объектов Российской Федерации и формирования перечня критически важных объектов на региональном уровне являются:

координация проводимых органами исполнительной власти субъектов Российской Федерации мероприятий, связанных с выводом (перебазированием) из густонаселенных районов, либо реформированием (ликвидацией) потенциально опасных объектов, создающих постоянную угрозу населению;

оценка состояния критически важных объектов и степени их оснащенности средствами защиты;

определение потребностей на критически важных объектах в создании и замене запасов средств индивидуальной и коллективной защиты населения от воздействия последствий аварий техногенного, природного характера и террористических актов;

формирование перечня критически важных объектов на региональном уровне.

При выполнении работы по инвентаризации критически важных объектов и формированию перечня критически важных объектов на региональном уровне необходимо безусловное соблюдение требований режима секретности, определенных в Инструкции по обеспечению режима секретности в Российской Федерации, введенной постановлением Правительства Российской Федерации от 05.01.2004 г. N 3-1 и специальными требованиями и рекомендациями по защите информации, составляющими государственную тайну от утечки по техническим каналам, утвержденными решением Государственной технической комиссией при Президенте Российской Федерации от 23.05.1997 г. N 55.

2. Порядок подготовки сведений по инвентаризации
критически важных и (или) потенциально опасных объектов
Российской Федерации и формирования перечня критически
важных объектов на региональном уровне

Порядок подготовки сведений по инвентаризации критически важных и (или) потенциально опасных объектов Российской Федерации и формирования перечня критически важных объектов на региональном уровне включает в себя: форму сбора сведений о потенциально опасных объектах, создающих постоянную угрозу населению, требующих вывода (перебазирования), реформирования (ликвидации); формы сбора сведений по проведению инвентаризации критически важных объектов Российской Федерации и реализации мероприятий, направленных на повышение их защищенности, а также форму сбора сведений от органов исполнительной власти субъектов Российской Федерации по формированию перечня критически важных объектов на региональном уровне.

Форма сбора сведений о потенциально опасных объектах, создающих постоянную угрозу населению, требующих вывода (перебазирования), реформирования (ликвидации) приведена в таблице Приложения 1.

Оценка состояния критически важных объектов предусматривает уточнение их состава в Перечне критически важных объектов Российской Федерации (введен распоряжением Правительства Российской Федерации от 23 марта 2006 г. N 411-рс) на момент проведения инвентаризации и подготовку предложений по уточнению/включению/исключению объектов в Перечне критически важных объектов Российской Федерации.

Рекомендуемые формы сбора сведений по проведению инвентаризации критически важных объектов Российской Федерации и реализации мероприятий, направленных на повышение их защищенности, приведены в таблицах Приложений 2, 3.

В таблицах Приложений 2, 3 должны быть приведены сведения по объектам, включенным в Перечень критически важных объектов Российской Федерации (далее - Перечень), информация по их уточнению, даны предложения по исключению, либо дополнительному включению объектов в Перечень, а также приведены сведения по реализации мероприятий, направленных на повышение защищенности критически важных объектов.

По объектам, предлагаемым к включению в Перечень, необходимо представить дополнительные сведения по форме таблицы Приложения 4.

По объектам, предлагаемым к исключению из Перечня, в графе "Примечание" таблицы Приложения 2 необходимо привести обоснование необходимости и целесообразности исключения.

Формирование перечня критически важных объектов на региональном уровне проводится с целью:

систематизации сведений об объектах, подлежащих включению в указанный перечень;

оценки состояния критически важных объектов на региональном уровне и степени их оснащенности средствами защиты;

уточнения зон защитных мероприятий и санитарно-защитных зон на критически важных объектах на региональном уровне;

определения потребностей на критически важных объектах на региональном уровне в создании и замене запасов средств индивидуальной и коллективной защиты населения от воздействия последствий аварий техногенного, природного характера и террористических актов.

Объектами регионального уровня значимости являются:

объекты, в которых размещены или могут размещаться при определенных обстоятельствах органы государственной власти субъектов Российской Федерации;

объекты, уничтожение или прекращение функционирования которых представляет угрозу для экономической, экологической безопасности субъекта Российской Федерации.

Оценка состояния критически важных объектов на региональном уровне предусматривает определение их состава в целях формирования соответствующего перечня по субъектам Российской Федерации.

Рекомендуемая форма сбора сведений от территориальных органов МЧС России по формированию перечня критически важных объектов на региональном уровне приведена в таблице Приложения 5.

Форма сбора сведений
о критически важных объектах Российской Федерации,
являющихся потенциально опасными объектами и создающими
постоянную угрозу населению, требующие вывода
(перебазирования), реформирования (ликвидации)

Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Все ИС, ИТС и АСУ субъекта КИИ — это объекты КИИ.

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127) советуем Вам внимательно изучить наши предыдущие статьи по данной теме:

Там вы найдете полный перечень базовых понятий по КИИ, основные НПА в этой сфере и образцы документов, а также описание этапов работ по категорированию КИИ. В этой статье мы не будем повторять материал из наших предыдущих публикаций, а сразу перейдем к разъяснению, как именно работать с Постановлением Правительства РФ от 08.02.2018 № 127.

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМ

Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав ПП №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.

Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:

• Отвечаем на вопрос, является ли наша организация субъектом КИИ (согласно № 187-ФЗ, см. выше, определены конкретные отрасли).
• Определяем все процессы в нашей организации и составляем их полный перечень (процессы могут быть управленческие, технологические, финансово-экономические, производственные и т.д.).
• Выявляем из всех процессов именно критические процессы.
• Выделяем объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.
• Смотрим ПП №127 и оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ.
• Готовим Акт категорирования объектов КИИ для отправки во ФСТЭК.

Для того чтобы было понятно, как выполнять работы на этапе 5, расскажем подробней про показатели критериев значимости (они есть в таблицах ПП №127).

ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ

1. Социальная
2. Политическая
3. Экономическая
4. Экологическая
5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь: Этап 5. Сбор исходных данных для категорирования объектов КИИ.

КАКАЯ ИНФОРМАЦИЯ ПОНАДОБИТСЯ ДЛЯ ПОДАЧИ ВО ФСТЭК?

• Сведения о субъекте КИИ;
• Сведения об объекте КИИ;
• Сведения о взаимодействии объекта КИИ и сетей электросвязи;
• Сведения о лице, эксплуатирующем объект КИИ;
• Сведения о ИС, ИТС, АСУ;
• Анализ угроз и категории нарушителей;
• Оценка возможных последствий инцидента;
• Акт категорирования объектов КИИ.

КАК ОПРЕДЕЛИТЬСЯ ПО СРОКАМ?

1. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
2. Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.
3. Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.
4. Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ

Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

• Системно значимые кредитные организации (см. перечень ЦБ РФ, это 11 организаций);
• Финансовые организации с участием государства;
• Системно значимые инфраструктурные организации финансового рынка (например, депозитарии);
• Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

Формирование комиссии:

Определение процессов:

Рассмотрим типовой пример (источник):

Основные бизнес-процессы банка:

• Создание продукта (услуги), представляющего ценность для внешнего клиента.
• Получение добавленной стоимости.
• Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

• Процессы, клиентами которых являются основные процессы.
• Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

• Процессы, основной целью которых является управление деятельностью банка.
• Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Рис.1. Бизнес-процессы банка (типовой пример)

Переходим от процессов к критическим процессам:

Для начала ответим на важный вопрос: нарушение (или остановка) каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е. другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).

Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис 2. Например, Процесс 2 не критический.

Рис 2. Выявление критических процессов

Далее переходим от процессов к объектам КИИ:

Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.

Для соответствия процессов и объектов можно составить такую простую таблицу:

Таблица 1. Объекты КИИ и процессы

Например, в качестве объектов КИИ в банке есть:

• Система дистанционного банковского обслуживания (СДБО);
• Процессинговая система;
• Антифрод система;
• Автоматизированная банковская система (АБС) и др.

Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).

Далее оцениваем:

• действия нарушителей;
• уязвимости и потенциальные угрозы;
• масштаб возможных последствий (оценим по таблице из ПП 127).

Как оценивать?

• Нужно рассмотреть потенциальные действия нарушителей в отношении объектов КИИ, также иные источники угроз ИБ (в противном случае, кратко обосновать невозможность реализовать угрозы ИБ нарушителем).
• Провести анализ угроз ИБ и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ (или обосновать их неактуальность).
• Оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий, в случае возникновения компьютерных инцидентов на объектах КИИ, (или кратко обосновать невозможность наступления компьютерных инцидентов).

1. Уровень процесса выше нижней границы значения для III категории? (см. рис. 2 для наглядности).
2. Масштаб объекта КИИ выше нижней границы значения для III категории?
3. Есть ли источники угроз ИБ?
4. Существуют ли актуальные угрозы ИБ?
5. Возможны ли инциденты ИБ на объекте, например, вследствие целенаправленных компьютерных атак?
6. Возможно ли причинение ущерба вследствие инцидентов ИБ?
7. Какие возможные последствия от инцидента? Превышает ли их величина нижнюю границу значения показателя для 3 категории?

Читайте также:

  
• Заявление о получении страховой выплаты по окончании срока действия договора страхования жизни
  
• Каким законодательным актом был учрежден кабинет министров в англии
  
• К какой группе документов относятся докладные и объяснительные записки
  
• Справка для возмещения утраченного заработка
  
• Неравноправный договор это определение