1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящие методические рекомендации детализируют и стандартизируют процедуру категорирования объектов КИИ, принадлежащих на праве собственности, аренды или на ином законном основании государственным учреждениям, российским юридическим лицам и/или индивидуальным предпринимателям и используемых ими для осуществления видов деятельности в сфере топливно-энергетического комплекса.

Общий порядок осуществления категорирования определен Правилами категорирования объектов КИИ Российской Федерации (далее - Правила) и Перечнем показателей критериев значимости объектов КИИ Российской Федерации и их значений (далее - Перечень), утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - постановление N 127) в редакции Постановления Правительства Российской Федерации от 13 апреля 2019 г. N 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127".

Методические рекомендации применяются субъектами ТЭК для:

- определения процессов в рамках видов деятельности, осуществляемых субъектами ТЭК;

- выявления управленческих, технологических, производственных, финансово-экономических и/или иных процессов в рамках осуществления видов деятельности субъекта ТЭК, нарушение и/или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы) из числа типовых процессов субъекта ТЭК;

- определения информационных систем (далее - ИС), информационно-телекоммуникационных сетей (далее - ИТКС) и автоматизированных систем управления технологическими процессами (далее - АСУ ТП), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управление, контроль или мониторинг критических процессов (далее совместно именуемых объекты КИИ), из числа типовых ИС, ИТКС и АСУ ТП, принадлежащих субъектам ТЭК;

- формирования перечня объектов КИИ, подлежащих категорированию (далее - перечень объектов КИИ);

- оценки для каждого объекта КИИ в соответствии с перечнем объектов КИИ масштаба возможных последствий в случае возникновения компьютерных инцидентов;

- присвоения каждому из объектов КИИ одной из категорий значимости либо принятия решения об отсутствии необходимости присвоения ему одной из категорий значимости;

- подготовки сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.

Общая схема работ по категорированию объектов ТЭК в соответствии со ст. 7 Федерального закона N 187-ФЗ представлена на рис. 1.

00000001.jpg

Рисунок 1. Общая схема категорирования

В соответствии с ч. 1 ст. 7 Федерального закона N 187-ФЗ "категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения".

Процедуры категорирования объектов КИИ условно разделяются на первичную и последующие.

Первичная процедура категорирования объектов КИИ обуславливается вступлением в силу Федерального закона 187-ФЗ и подзаконных нормативных актов. В ходе выполнения первичной процедуры категорирования объектов КИИ формируется перечень объектов КИИ субъекта КИИ, подлежащих категорированию, который впоследствии утверждается и направляется во ФСТЭК России.

Последующие процедуры категорирования производятся в случаях:

а) создания нового объекта КИИ или перехода на праве собственности, аренды или ином законном основании по владение и (или) эксплуатацию субъектом КИИ уже существующего объекта КИИ;

б) изменения значимого объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

в) изменения объекта КИИ, не являющегося значимым объектом КИИ, в результате которого такой объект стал значимым, на основании которых ему должна быть присвоена определенная категория значимости;

г) проведения периодического пересмотра установленной категории значимости или отсутствия необходимости назначения одной из категорий значимости объекта КИИ, осуществляемого (не реже, чем один раз в 5 лет);

д) изменения показателей критериев значимости объектов КИИ или их значений.