5.1. Описание порядка присвоения категории значимости объекту КИИ либо принятия решения об отсутствии необходимости присвоения ему одной из категорий значимости

Комиссия по категорированию в ходе своей работы:

1. Рассматривает возможные действия нарушителей в отношении объектов КИИ, а также иные источники угроз безопасности информации.

2. Анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ Организации. При рассмотрении угроз рекомендуется использовать в том числе, банк данных угроз безопасности ФСТЭК России. Комиссия по категорированию формирует перечень угроз безопасности информации с описанием возможных действий нарушителя, реализация которых может привести к возникновению компьютерных инцидентов на объекте КИИ. Перечень угроз безопасности информации может быть разработан как на основании уже имеющихся для объектов КИИ Моделей угроз безопасности информации, в том числе моделей нарушителя, так и на основании актуализированных Моделей угроз безопасности информации.

3. Проводит оценку объектов КИИ в соответствии с показателями критериев значимости и присваивает каждому из объектов КИИ категорию, либо принимает решение об отсутствии необходимости ее присвоения.

Объекты КИИ оцениваются по показателям критериев значимости применимых к объектам КИИ в сфере науки. Перечень показателей критериев значимости, которые должны быть оценены Комиссией в обязательном порядке, приведен в Приложении N 6.

В целях обеспечения эффективного категорирования объектов КИИ, Комиссии рекомендуется руководствоваться расчетом показателей критериев значимости, применимых к объектам КИИ в сфере науки, приведенным в Приложении N 7. Показатели критериев значимости определяются исходя из параметров функционирования ИС, ИТКС, АСУ, являющихся объектами КИИ и включенных в Перечень типовых отраслевых объектов КИИ, функционирующих в сфере науки.

Оценка каждого объекта КИИ по показателям критериев значимости проводится с использованием экспертных мнений членов Комиссии по категорированию.

Перед проведением оценки рекомендуется провести оценку применимости Показателей критериев значимости к субъекту КИИ в целом, в целях исключения тех Показателей, которые явно не будут применимы ни к одному из принадлежащих Организации объектов КИИ.

При присвоении объекту КИИ категории значимости, принятые на объекте меры защиты не учитываются.

Объекту КИИ по результатам категорирования присваивается в соответствии с перечнем Показателей критериев значимости категория значимости с наивысшим значением.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (например, территория, количество людей), оценка производится по каждому из значений Показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.