В каком нормативном правовом акте содержится перечень критериев по которым производится объект

Обновлено: 19.05.2024

Что закон относит к объектам

ВИД ОБЪЕКТА

ПОЯСНЕНИЕ

Территории, вкл. водные, земельные и лесные участки

Оборудование, устройства, предметы, материалы

Компоненты природной среды

Уточним, что обязательные требования – это требования нормативных правовых актов, которые связаны с ведением предпринимательской и иной экономической деятельности и оценка соблюдения которых происходит в рамках госконтроля (надзора), муниципального контроля, привлечения к административной ответственности, предоставления лицензий и иных разрешений, аккредитации, оценки соответствия продукции, иных форм оценки и экспертизы (п. 1 постановления Правительства РФ от 06.02.2021 № 128).

  • промышленная безопасность;
  • безопасность гидротехнических сооружений;
  • пробирный надзор.

Учёт объектов контроля

При сборе, обработке, анализе и учете сведений об объектах контроля контрольные (надзорные) органы используют следующие источники:

  • информацию, представляемую им в соответствии с нормативными правовыми актами;
  • получаемую в рамках межведомственного взаимодействия;
  • общедоступные данные (СМИ, Интернет, соцсети и др.).

При учета объектов контроля по общему правилу контролируемых лиц не могут обязать представлять сведения о них. Но есть 2 исключения:

  • иное предусмотрено федеральными законами;
  • соответствующие сведения/документы есть в государственных или муниципальных информационных ресурсах.

Какое значение имеют объекты контроля

  • чрезвычайно высокий риск;
  • высокий риск;
  • значительный риск;
  • средний риск;
  • умеренный риск;
  • низкий риск (если объект отнесли к этой категории, то его плановые проверки не проводят).

КАТЕГОРИЯ РИСКА

КАК ЧАСТО РАЗРЕШЕНЫ ПРОВЕРКИ ЛЮБОГО ВИДА

  • Положением о виде контроля могут быть установлены сокращенные сроки проведения контрольных (надзорных) мероприятий, их особенности;
  • федеральным законом о виде контроля может быть предусмотрено освобождение от плановых мероприятий в случае заключения договора страхования рисков причинения вреда (ущерба), объект которого – имущественные интересы, связанные с обязанностью возместить вред (ущерб) охраняемым законом ценностям, причиненный нарушением обязательных требований.

Положением о виде контроля может устанавливать запрет на проведение контрольного (надзорного) мероприятия в отношении объектов контроля инспекторами, которые проводили профилактические мероприятия в отношении таких объектов контроля.

При отнесении объектов контроля к категориям риска проверяющие учитывают в совокупности ряд факторов:

  • степень тяжести, масштаб и устранимость негативных последствий, которые могут наступить в результате несоблюдения организациями и гражданами обязательных требований;
  • вероятность их наступления (выделяют видов объектов контроля со схожей или различной частотой случаев фактического причинения вреда/ущерба);
  • добросовестность контролируемого лица при соблюдении обязательных требований.

Использование системы управления рисками позволяет инспекторам сосредоточить усилия и ресурсы на проведении контрольно-надзорных мероприятий на объектах, нарушение обязательных требований на которых несет наибольшую угрозу охраняемым законом ценностям.

В свою очередь, критерии риска должны основываться на достоверных сведениях и практике соблюдения обязательных требований в рамках вида контроля – чтобы проверяемый мог самостоятельно оценивать правомерность отнесения его деятельности, принадлежащих ему (используемых им) объектов контроля к соответствующей категории риска.

В решение о проведении контрольного (надзорного) мероприятия обязательно должен быть назван объект контроля, его адрес.

  • внутренних правил и/или установлений контролируемых лиц;
  • режима работы объекта контроля.

Таким образом, категорирование - это некая процедура, в ходе которой объект КИИ оценивается по некоторой совокупности показателей и исходя из значений этих показателей ему присваивается категория значимости, либо принимается мотивированное решение о ее отсутствии. На основании установленной категории значимости (при ее наличии) определяется базовый набор мер по обеспечению безопасности.

Процедура категорирования определяется Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 г. № 127), далее по тексту – Правила категорирования.

Автор обращает внимание на важность данного момента, т.к. в практике ему нередко приходилось сталкиваться с таким мнением, что информационные системы, автоматизированные системы или информационно-телекоммуникационные сети, которые не обрабатывают информацию, необходимую для обеспечения критических процессов и не осуществляют управление, контроль или мониторинг критических процессов, якобы, не являются объектами КИИ. Данная точка зрения представляется неверной. Перечисленные системы являются объектами КИИ, однако они не подлежат включению в перечень объектов КИИ, подлежащих категорированию и, соответственно, самому категорированию.

Проведение категорирования

Схематично процедуру категорирования можно представить в следующем виде:



Рисунок 1 – Процедура категорирования

Рассмотрим процедуру категорирования более подробно:

Этап 1. Формирование комиссии по категорированию.

Одним из проблемных вопросов на сегодняшний день является формирование комиссии по категорированию. Несмотря на то, что состав комиссии прописан в п. 11 Правил категорирования, на практике возникают следующие, требующие решения, вопросы:

Кто должен возглавлять комиссию по категорированию?

Пунктом 13 Правил категорирования установлено, что комиссию по категорированию возглавляет руководитель субъекта КИИ или уполномоченное им лицо. При этом, относительно того, кто должен быть уполномоченным лицом, единой позиции нет. Исходя из практического опыта автора, можно сказать, что данным лицом является, как правило, работник, отвечающий за безопасность организации (руководитель службы безопасности, руководитель службы информационной безопасности, заместитель директора по безопасности и т.п.), либо главный инженер промышленного предприятия. По мнению автора, уполномоченным лицом должен быть работник из числа топ менеджмента, в чьи функциональные обязанности входит курирование вопросов обеспечения безопасности.

Какие дополнительные специалисты должны входить в комиссию помимо перечисленных в п. 11 Правил категорирования?

Указанное дополнение позволяет включать в комиссии всех имеющихся у субъекта КИИ специалистов, знания и навыки которых необходимы для корректного расчета и оценки показателей критериев значимости. Прежде всего это касается специалистов финансово-экономического подразделения, необходимых для расчета показателей экономической значимости (раздел 3) и представления их для рассмотрения членами комиссии по категорированию, а также специалистов юридических подразделений для проверки корректности соблюдения процедуры и оформления документов.

Можно ли создавать разные комиссии в филиалах территориально распределенной организации ?

Этап 2. Подготовка перечня объектов КИИ подлежащих категорированию.

В соответствии с п. 14 Правил категорирования для формирования перечня объектов КИИ подлежащих категорированию комиссии по категорированию необходимо:

а) определить процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.

б) выявить те из них, которые являются критическими, т.е. их нарушение и (или) прекращение может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

в) выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, для включения в перечень объектов;

То есть, в перечень объектов КИИ, подлежащих категорированию, включаются только те объекты, которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или) осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат категорированию.

В рамках же самой процедуры категорирования осуществляется выявление критических процессов, а затем из перечня объектов КИИ вычленяются объекты КИИ, подлежащие категорированию.

Как определить, относится процесс к критическим или нет? Поскольку категорированию подлежат только объекты КИИ, которые автоматизируют критические процессы, на практике перед субъектом КИИ встает вопрос о том, как определить, что тот или иной процесс является критическим.

Действующее законодательство в области КИИ не содержит методики выявления критических процессов, а значит, вопрос отнесения того или иного процесса к критическому остается исключительно на усмотрение субъекта КИИ.

В связи с этим возникают разные подходы к выявлению критических процессов:

По мнению автора, определение критичности процесса должно базироваться на общей логике закона. Речь идет о том, что к критическим нужно относить те процессы, нарушение нормального функционирования которых может привести к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ (утв. постановлением Правительства РФ от 08.02.2018 № 127), и, соответственно, выделять конкретные объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов.

Этап 3. Оценка объектов КИИ в соответствии с показателями критериев значимости и присвоение каждому из объектов КИИ категории, либо принятие решения об отсутствии необходимости ее присвоения.

На данном этапе комиссия оценивает объекты КИИ по всем показателям критериев значимости утвержденным постановлением Правительства РФ от 08.02.2018 № 127 и, в зависимости от полученных в ходе оценки значений, принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии. Здесь следует отметить следующие важные, с практической точки зрения, моменты:

2. Оценка каждого конкретного объекта КИИ по показателям критериев значимости осуществляется членами комиссии по категорированию, как правило (во всяком случае автор пока не встречал иного), экспертным методом. Каких-либо утвержденных методик проведения расчетов по данным показателям, в настоящее время, нет.

3. Как осуществлять присвоение категории значимости объекту КИИ: с учетом мер защиты или без?

В настоящее время рядом экспертов высказывается мнение о том, что при присвоении объекту КИИ категории значимости, необходимо учитывать принятые на объекте меры защиты.

При этом, на практике, нередки ситуации, когда меры защиты изначально встроены в объект КИИ при его создании, реализуются с момента ввода его в эксплуатацию и не отделимы от объекта КИИ (архитектурные компоненты).

Иными словами, реализация мер обеспечения информационной безопасности не оказывает влияние на присвоение объекту КИИ категории значимости. При определении категории значимости в расчет берутся последствия от уже реализованной гипотетической компьютерной атаки и сравниваются с перечнем показателей критериев значимости – какому показателю соответствует, такая категория и присваивается. Логика этого вполне очевидна и понятна, в расчет категории значимости берутся те последствия, к которым приведет успешная реализация в отношении объекта КИИ компьютерной атаки. В свою очередь, меры защиты лишь позволяют избежать указанной атаки или существенно затруднить ее реализацию и не могут влиять на причиненный в результате нее ущерб.

Этап 4. Подготовка итоговых документов по результатам категорирования.

По итогам своей работы, комиссия по категорированию подготавливает два документа:

1. Акт о категорировании. Перечень информации о субъекте и объектах КИИ, которая должна быть включена в акт определяется п. 16 Правил категорирования.

Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта КИИ и только им, а не председателем комиссии, в случае если комиссию возглавляет не руководитель субъекта КИИ, а уполномоченное им лицо.

Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости. Направление акта во ФСТЭК России не требуется.

2. Сведения о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные сведения в течение 10 дней со дня утверждения акта направляются во ФСТЭК России. Форма сведений утверждена приказом ФСТЭК России от 22.12.2017 № 236.

Таким образом, важно понимать, что акт и сведения это два абсолютно разных документа, содержание которых и действия, осуществляемые с ними, также различны.

Сроки категорирования

Согласно п. 15 Правил максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

Относительно субъектов КИИ – российских юридических лиц и (или) индивидуальных предпринимателей срок утверждения перечня объектов КИИ, подлежащих категорированию (до 1 сентября 2020 года) носит рекомендательный характер.

Таким образом, по мнению автора, поскольку срок законодательно не установлен (не обязателен), субъект КИИ из числа российских юридических лиц и (или) индивидуальных предпринимателей, вправе сам выбирать приемлемый для него срок подготовки и отправки перечня. С учетом того, что формирование перечня объектов КИИ является одним из этапов процесса категорирования (п. 5 Правил) можно говорить о том, что, по сути, реальный срок категорирования в большинстве случаев будет превышать один год, а в ряде случаев будет составлять и несколько лет.

При этом, следует иметь в виду, что в ходе процедуры категорирования может измениться реестр объектов КИИ подлежащих категорированию, например, появятся новые объекты КИИ, либо часть будет выведена из эксплуатации и т.п. Результатом чего может стать несовпадение сведений, содержащихся в итоговых актах категорирования и направленном ранее во ФСТЭК России перечне объектов КИИ, что, по мнению автора, непременно повлечет вопросы регулятора.

__________________
В данной публикации использовались материалы, опубликованные автором ранее в Журнале Information Security №2/2019

Что закон относит к объектам

ВИД ОБЪЕКТА

ПОЯСНЕНИЕ

Территории, вкл. водные, земельные и лесные участки

Оборудование, устройства, предметы, материалы

Компоненты природной среды

Уточним, что обязательные требования – это требования нормативных правовых актов, которые связаны с ведением предпринимательской и иной экономической деятельности и оценка соблюдения которых происходит в рамках госконтроля (надзора), муниципального контроля, привлечения к административной ответственности, предоставления лицензий и иных разрешений, аккредитации, оценки соответствия продукции, иных форм оценки и экспертизы (п. 1 постановления Правительства РФ от 06.02.2021 № 128).

  • промышленная безопасность;
  • безопасность гидротехнических сооружений;
  • пробирный надзор.

Учёт объектов контроля

При сборе, обработке, анализе и учете сведений об объектах контроля контрольные (надзорные) органы используют следующие источники:

  • информацию, представляемую им в соответствии с нормативными правовыми актами;
  • получаемую в рамках межведомственного взаимодействия;
  • общедоступные данные (СМИ, Интернет, соцсети и др.).

При учета объектов контроля по общему правилу контролируемых лиц не могут обязать представлять сведения о них. Но есть 2 исключения:

  • иное предусмотрено федеральными законами;
  • соответствующие сведения/документы есть в государственных или муниципальных информационных ресурсах.

Какое значение имеют объекты контроля

  • чрезвычайно высокий риск;
  • высокий риск;
  • значительный риск;
  • средний риск;
  • умеренный риск;
  • низкий риск (если объект отнесли к этой категории, то его плановые проверки не проводят).

КАТЕГОРИЯ РИСКА

КАК ЧАСТО РАЗРЕШЕНЫ ПРОВЕРКИ ЛЮБОГО ВИДА

  • Положением о виде контроля могут быть установлены сокращенные сроки проведения контрольных (надзорных) мероприятий, их особенности;
  • федеральным законом о виде контроля может быть предусмотрено освобождение от плановых мероприятий в случае заключения договора страхования рисков причинения вреда (ущерба), объект которого – имущественные интересы, связанные с обязанностью возместить вред (ущерб) охраняемым законом ценностям, причиненный нарушением обязательных требований.

Положением о виде контроля может устанавливать запрет на проведение контрольного (надзорного) мероприятия в отношении объектов контроля инспекторами, которые проводили профилактические мероприятия в отношении таких объектов контроля.

При отнесении объектов контроля к категориям риска проверяющие учитывают в совокупности ряд факторов:

  • степень тяжести, масштаб и устранимость негативных последствий, которые могут наступить в результате несоблюдения организациями и гражданами обязательных требований;
  • вероятность их наступления (выделяют видов объектов контроля со схожей или различной частотой случаев фактического причинения вреда/ущерба);
  • добросовестность контролируемого лица при соблюдении обязательных требований.

Использование системы управления рисками позволяет инспекторам сосредоточить усилия и ресурсы на проведении контрольно-надзорных мероприятий на объектах, нарушение обязательных требований на которых несет наибольшую угрозу охраняемым законом ценностям.

В свою очередь, критерии риска должны основываться на достоверных сведениях и практике соблюдения обязательных требований в рамках вида контроля – чтобы проверяемый мог самостоятельно оценивать правомерность отнесения его деятельности, принадлежащих ему (используемых им) объектов контроля к соответствующей категории риска.

В решение о проведении контрольного (надзорного) мероприятия обязательно должен быть назван объект контроля, его адрес.

  • внутренних правил и/или установлений контролируемых лиц;
  • режима работы объекта контроля.

Царев Евгений Олегович

Критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Все ИС, ИТС и АСУ субъекта КИИ — это объекты КИИ.

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127) советуем Вам внимательно изучить наши предыдущие статьи по данной теме:

Там вы найдете полный перечень базовых понятий по КИИ, основные НПА в этой сфере и образцы документов, а также описание этапов работ по категорированию КИИ. В этой статье мы не будем повторять материал из наших предыдущих публикаций, а сразу перейдем к разъяснению, как именно работать с Постановлением Правительства РФ от 08.02.2018 № 127.

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМ

Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав ПП №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.

Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:

  • Отвечаем на вопрос, является ли наша организация субъектом КИИ (согласно № 187-ФЗ, см. выше, определены конкретные отрасли).
  • Определяем все процессы в нашей организации и составляем их полный перечень (процессы могут быть управленческие, технологические, финансово-экономические, производственные и т.д.).
  • Выявляем из всех процессов именно критические процессы.
  • Выделяем объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.
  • Смотрим ПП №127 и оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ.
  • Готовим Акт категорирования объектов КИИ для отправки во ФСТЭК.

Для того чтобы было понятно, как выполнять работы на этапе 5, расскажем подробней про показатели критериев значимости (они есть в таблицах ПП №127).

ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ

  1. Социальная
  2. Политическая
  3. Экономическая
  4. Экологическая
  5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь: Этап 5. Сбор исходных данных для категорирования объектов КИИ.

КАКАЯ ИНФОРМАЦИЯ ПОНАДОБИТСЯ ДЛЯ ПОДАЧИ ВО ФСТЭК?

  • Сведения о субъекте КИИ;
  • Сведения об объекте КИИ;
  • Сведения о взаимодействии объекта КИИ и сетей электросвязи;
  • Сведения о лице, эксплуатирующем объект КИИ;
  • Сведения о ИС, ИТС, АСУ;
  • Анализ угроз и категории нарушителей;
  • Оценка возможных последствий инцидента;
  • Акт категорирования объектов КИИ.

КАК ОПРЕДЕЛИТЬСЯ ПО СРОКАМ?

  1. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
  2. Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.
  3. Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.
  4. Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ

Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

  • Системно значимые кредитные организации (см. перечень ЦБ РФ, это 11 организаций);
  • Финансовые организации с участием государства;
  • Системно значимые инфраструктурные организации финансового рынка (например, депозитарии);
  • Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

Формирование комиссии:

Определение процессов:

Рассмотрим типовой пример (источник):

Основные бизнес-процессы банка:

  • Создание продукта (услуги), представляющего ценность для внешнего клиента.
  • Получение добавленной стоимости.
  • Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

  • Процессы, клиентами которых являются основные процессы.
  • Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

  • Процессы, основной целью которых является управление деятельностью банка.
  • Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Анализ процессов при категорировании КИИ
Анализ процессов при категорировании КИИ 2
Анализ процессов при категорировании КИИ 3

Рис.1. Бизнес-процессы банка (типовой пример)

Переходим от процессов к критическим процессам:

Для начала ответим на важный вопрос: нарушение (или остановка) каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е. другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).

Оценка значимости КИИ
Оценка значимости КИИ 2
Оценка значимости КИИ 3
Оценка значимости КИИ 4

Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис 2. Например, Процесс 2 не критический.

Выявление критических процессов КИИ

Рис 2. Выявление критических процессов

Далее переходим от процессов к объектам КИИ:

Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.

Для соответствия процессов и объектов можно составить такую простую таблицу:

Объекты КИИ и процессы

Таблица 1. Объекты КИИ и процессы

Например, в качестве объектов КИИ в банке есть:

  • Система дистанционного банковского обслуживания (СДБО);
  • Процессинговая система;
  • Антифрод система;
  • Автоматизированная банковская система (АБС) и др.

Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).

Далее оцениваем:

  • действия нарушителей;
  • уязвимости и потенциальные угрозы;
  • масштаб возможных последствий (оценим по таблице из ПП 127).

Как оценивать?

  • Нужно рассмотреть потенциальные действия нарушителей в отношении объектов КИИ, также иные источники угроз ИБ (в противном случае, кратко обосновать невозможность реализовать угрозы ИБ нарушителем).
  • Провести анализ угроз ИБ и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ (или обосновать их неактуальность).
  • Оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий, в случае возникновения компьютерных инцидентов на объектах КИИ, (или кратко обосновать невозможность наступления компьютерных инцидентов).
  1. Уровень процесса выше нижней границы значения для III категории? (см. рис. 2 для наглядности).
  2. Масштаб объекта КИИ выше нижней границы значения для III категории?
  3. Есть ли источники угроз ИБ?
  4. Существуют ли актуальные угрозы ИБ?
  5. Возможны ли инциденты ИБ на объекте, например, вследствие целенаправленных компьютерных атак?
  6. Возможно ли причинение ущерба вследствие инцидентов ИБ?
  7. Какие возможные последствия от инцидента? Превышает ли их величина нижнюю границу значения показателя для 3 категории?

ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ
НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И НОРМАТИВНЫХ ДОКУМЕНТОВ,
ОТНОСЯЩИХСЯ К СФЕРЕ ДЕЯТЕЛЬНОСТИ ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО ЭКОЛОГИЧЕСКОМУ, ТЕХНОЛОГИЧЕСКОМУ И АТОМНОМУ НАДЗОРУ
(РАЗДЕЛ I "ТЕХНОЛОГИЧЕСКИЙ, СТРОИТЕЛЬНЫЙ,
ЭНЕРГЕТИЧЕСКИЙ НАДЗОР") П-01-01-2021

В соответствии с требованиями Инструкции о порядке информационного обеспечения деятельности Федеральной службы по экологическому, технологическому и атомному надзору, утвержденной приказом Федеральной службы по экологическому, технологическому и атомному надзору от 29 декабря 2007 г. N 927, приказываю:

1. Утвердить прилагаемый Перечень нормативных правовых актов и нормативных документов, относящихся к сфере деятельности Федеральной службы по экологическому, технологическому и атомному надзору (раздел I "Технологический, строительный, энергетический надзор") П-01-01-2021.

2. Признать утратившим силу приказ Федеральной службы по экологическому, технологическому и атомному надзору от 10 июля 2017 г. N 254 "Об утверждении Перечня нормативных правовых актов и нормативных документов, относящихся к сфере деятельности Федеральной службы по экологическому, технологическому и атомному надзору (раздел I "Технологический, строительный, энергетический надзор") П-01-01-2017".

Утвержден
приказом Федеральной службы
по экологическому, технологическому
и атомному надзору
от 02.07.2021 N 250

ПЕРЕЧЕНЬ
НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И НОРМАТИВНЫХ ДОКУМЕНТОВ,
ОТНОСЯЩИХСЯ К СФЕРЕ ДЕЯТЕЛЬНОСТИ ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО ЭКОЛОГИЧЕСКОМУ, ТЕХНОЛОГИЧЕСКОМУ И АТОМНОМУ НАДЗОРУ

РАЗДЕЛ I
ТЕХНОЛОГИЧЕСКИЙ, СТРОИТЕЛЬНЫЙ, ЭНЕРГЕТИЧЕСКИЙ НАДЗОР
П-01-01-21

Раздел I "Технологический, строительный, энергетический надзор" Перечня нормативных правовых актов и нормативных документов, относящихся к сфере деятельности Федеральной службы по экологическому, технологическому и атомному надзору (далее - П-01-01-21), содержит сведения о нормативных правовых актах и нормативных документах по вопросам, отнесенным к компетенции Федеральной службы по экологическому, технологическому и атомному надзору (Ростехнадзора) в сфере безопасного ведения работ, связанных с пользованием недрами, промышленной безопасности, безопасности электрических и тепловых установок и сетей, безопасности гидротехнических сооружений, безопасности производства, хранения и применения взрывчатых материалов промышленного назначения, а также федерального государственного строительного надзора.

П-01-01-21 представляет собой информационно-справочный сборник, предназначенный для информирования должностных лиц Ростехнадзора, других федеральных органов исполнительной власти, юридических лиц и индивидуальных предпринимателей о нормативных правовых актах и нормативных документах, действующих в установленной сфере деятельности Ростехнадзора по указанным выше вопросам.

П-01-01-21 разрабатывается и утверждается отдельно от раздела II "Государственное регулирование безопасности при использовании атомной энергии" Перечня нормативных правовых актов и нормативных документов, относящихся к сфере деятельности Федеральной службы по экологическому, технологическому и атомному надзору.

П-01-01-21 состоит из пяти частей. В первой части приведены сведения о законодательных актах Российской Федерации), во второй - об указах Президента Российской Федерации, в третьей - о постановлениях и распоряжениях Правительства Российской Федерации, в четвертой - о нормативных правовых актах и нормативных документах органов исполнительной власти Российской Федерации и СССР, в пятой - о межгосударственных документах, относящихся к сфере деятельности Ростехнадзора.

Часть четвертая состоит из подразделов каждый из которых кроме первого, содержит указания на документы в определенной сфере деятельности, осуществляемой на различных объектах. В подразделе первом указаны документы, общие для различных сфер деятельности и объектов в том числе документы, касающиеся организации деятельности в самом Ростехнадзоре.

При использовании П-01-01-21 необходимо учитывать не только документы специального характера, но и документы, являющиеся общими для различных сфер деятельности, опасных производственных объектов, объектов и работ, связанных с пользованием недрами, гидротехнических сооружений и других опасных объектов, объектов энергетики, которые уже приведены в подразделе 1, пунктах 2.1, 2.2, 2.7, 5.1.

Применять на обязательной или добровольной основе документы, указанные в П-01-01-21, необходимо в их последних действующих редакциях с учетом следующего:

1) согласно пункту 5 статьи 3 части первой Гражданского кодекса Российской Федерации от 30.11.1994 N 51-ФЗ в случае противоречия указа Президента Российской Федерации или постановления Правительства Российской Федерации закону применяется соответствующий закон;

2) согласно пункту 1 статьи 46 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании" до вступления в силу соответствующих технических регламентов требования к продукции или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, установленные нормативными правовыми актами Российской Федерации и нормативными документами федеральных органов исполнительной власти, подлежат обязательному исполнению только в части, соответствующей целям:

защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;

охраны окружающей среды, жизни или здоровья животных и растений;

предупреждения действий, вводящих в заблуждение приобретателей, в том числе потребителей;

обеспечения энергетической эффективности и ресурсосбережения;

3) согласно статье 6 Федерального закона от 30.12.2009 N 384-ФЗ "Технический регламент о безопасности зданий и сооружений" обязательными для применения (за исключением случаев осуществления проектирования и строительства в соответствии со специальными техническими условиями) являются национальные стандарты и своды правил, включенные в постановление Правительства Российской Федерации от 28.05.2021 N 815 "Об утверждении перечня национальных стандартов и сводов правил (частей таких стандартов и сводов правил), в результате применения которых на обязательной основе обеспечивается соблюдение требований Федерального закона "Технический регламент о безопасности зданий и сооружений", и о признании утратившим силу постановления Правительства Российской Федерации от 4 июля 2020 г. N 985";

5) согласно статье 15 Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" при проведении проверки должностные лица Ростехнадзора не вправе проверять выполнение:

обязательных требований, если такие требования не относятся к полномочиям Ростехнадзора;

требований, установленных нормативными правовыми актами органов исполнительной власти СССР и РСФСР, а также требований нормативных документов, обязательность применения которых не предусмотрена законодательством Российской Федерации;

обязательных требований и требований, установленных муниципальными правовыми актами, не опубликованными в установленном законодательством Российской Федерации порядке;

6) согласно статье 15 Федерального закона от 31.07.2020 N 247-ФЗ "Об обязательных требованиях в Российской Федерации" при осуществлении государственного контроля (надзора) не допускается оценка соблюдения обязательных требований, содержащихся в нормативных правовых актах Правительства Российской Федерации, федеральных органов исполнительной власти, если они вступили в силу до 01.01.2020. Несоблюдение требований, содержащихся в указанных актах, не может являться основанием для привлечения к административной ответственности.

Устаревшие нормативные документы, которые содержат нормы, не соответствующие действующим законодательным и иным нормативным правовым актам, могут применяться только в части, не противоречащей этим актам.

I. ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

1. Конституция Российской Федерации от 12.12.1993.

Законы Российской Федерации

2. "О государственной тайне" от 21.07.1993 N 5485-1.

3. "О недрах" от 21.02.1992 N 2395-1.

4. "Об ответственности за нарушение порядка представления государственной статистической отчетности" от 13.05.1992 N 2761-1.

Читайте также: