ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 13 апреля 2019 года N 452
О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127
Правительство Российской Федерации
постановляет:
1. Утвердить прилагаемые изменения, которые вносятся в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (Собрание законодательства Российской Федерации, 2018, N 8, ст.1204).
2. Субъектам критической информационной инфраструктуры - государственным органам и государственным учреждениям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию.
3. Рекомендовать субъектам критической информационной инфраструктуры - российским юридическим лицам и (или) индивидуальным предпринимателям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию.
Председатель Правительства
Российской Федерации
Д.Медведев
постановлением Правительства
Российской Федерации
от 13 апреля 2019 года N 452
Изменения, которые вносятся в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127
1. В Правилах категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных указанным постановлением:
а) пункт 3 дополнить словами "в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
б) пункт 6 после абзаца второго дополнить абзацем следующего содержания:
"В случае если объект критической информационной инфраструктуры по одному из показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости не проводится.";
в) абзац первый пункта 8 изложить в следующей редакции:
"8. В отношении создаваемого объекта критической информационной инфраструктуры, в том числе в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры.";
г) пункт 9 дополнить абзацем следующего содержания:
"Категорирование объектов критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями, осуществляется субъектом критической информационной инфраструктуры с учетом данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств, представляемых этими государственными органами, государственными учреждениями, российскими юридическими лицами или индивидуальными предпринимателями.";
д) подпункт "г" пункта 10 после слова "паспорт" дополнить словом "безопасности", после слова "паспорта" дополнить словом "безопасности";
е) абзац первый пункта 11 после слова "создается" дополнить словами "постоянно действующая";
ж) дополнить пунктами 11_1-11_3 следующего содержания:
"11_1. По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены работники не указанных в пункте 11 настоящих Правил подразделений, в том числе финансово-экономического подразделения.
11_2. По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии по категорированию объектов критической информационной инфраструктуры в этих филиалах, представительствах.
Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта критической информационной инфраструктуры.
11_3. Комиссия по категорированию подлежит расформированию в следующих случаях:
а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах), установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
б) ликвидация, реорганизация субъекта критической информационной инфраструктуры и (или) изменение его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.";
з) в пункте 14:
в подпункте "в" слова "а также готовит предложения для включения в перечень объектов" заменить словами "готовит предложения для включения в перечень объектов, а также оценивает необходимость категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей";
в подпункте "д" слова "и уязвимости" исключить;
подпункт "е" дополнить словами ", определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость";
и) дополнить пунктами 14_1-14_3 следующего содержания:
"14_1. При проведении работ, предусмотренных подпунктами "г" и "д" пункта 14 настоящих Правил, должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
14_2. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка масштаба возможных последствий, предусмотренная подпунктом "е" пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект.
14_3. В случае если осуществление критического процесса зависит от осуществления иных критических процессов, предусмотренная подпунктом "е" пункта 14 настоящих Правил оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических процессов.";
к) пункт 15 изложить в следующей редакции:
"15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
По мере необходимости указанный перечень может быть изменен в порядке, предусмотренном для его разработки и утверждения.
Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов (внесения изменений в перечень объектов).
Перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
В перечень объектов в том числе включаются объекты критической информационной инфраструктуры филиалов, представительств субъекта критической информационной инфраструктуры.";
л) в пункте 16:
абзац первый изложить в следующей редакции:
"16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.";
после абзаца первого дополнить абзацем следующего содержания:
"Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры.";
м) в пункте 17:
абзац первый после слов "в течение 10" дополнить словом "рабочих";
подпункт "з" дополнить словами ", содержащие полученные значения по каждому из рассчитываемых показателей критериев значимости с обоснованием этих значений или информацию о неприменимости показателей к объекту с соответствующим обоснованием";
н) пункт 18 после слова "направляются" дополнить словами "в печатном и электронном виде";
дополнить абзацем следующего содержания:
"По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах "а" - "в" и "з" пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры, а сведения, указанные в подпунктах "г" - "ж" и "и" пункта 17 настоящих Правил, - в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию (принятия на снабжение).";
о) пункт 21 изложить в следующей редакции:
"21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.".
2. Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденный указанным постановлением, изложить в следующей редакции:
"УТВЕРЖДЕН
постановлением Правительства
Российской Федерации
от 8 февраля 2018 года N 127
(в редакции постановления
Правительства Российской Федерации
от 13 апреля 2019 года N 452)
Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений
Показатель | Значение показателя | |||
III категория | II категория | I категория | ||
I. Социальная значимость | ||||
1. | Причинение ущерба жизни и здоровью людей (человек) | более или равно 1, но менее или равно 50 | более 50, но менее или равно 500 | более 500 |
2. | Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, оцениваемые: | |||
________________ Полное прекращение выполнения критического процесса. Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования. Объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение населения. | ||||
а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; | в пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | |
б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) | более или равно 2, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | |
3. | Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые: | |||
________________ Полное прекращение выполнения критического процесса. Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования. | ||||
а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; | в пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | |
б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) | более или равно 2, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | |
4. | Прекращение или нарушение функционирования сети связи, оцениваемые по количеству абонентов, для которых могут быть недоступны услуги связи (тыс. человек) | более или равно 3, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 |
________________ Полное прекращение выполнения критического процесса. Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования. | ||||
5. | Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) | менее или равно 24, но более 12 | менее или равно 12, но более 6 | менее или равно 6 |
II. Политическая значимость | ||||
6. | Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) | прекращение или нарушение функционирования органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования федерального органа государственной власти | прекращениеили нарушение функционирова- ния Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации |
________________ Полное прекращение выполнения критического процесса. Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования. | ||||
7. | Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации | нарушение условий договора межведомственного характера (срыв переговоров или подписания) | нарушение условий межправительствен- ного договора (срыв переговоров или подписания) | нарушение условий межгосударствен- ного договора (срыв переговоров или подписания) |
III. Экономическая значимость | ||||
8. | Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период) | более или равно 1, но менее или равно 10 | более 10, но менее или равно 20 | более 20 |
________________ Включен в перечень стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ". | ||||
9. | Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период) | более 0,001, но менее или равно 0,05 | более 0,05, но менее или равно 0,1 | более 0,1 |
10. | Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) | более 3, но менее или равно 70 | более 70, но менее или равно 120 | более 120 |
________________ Полное прекращение выполнения критического процесса. Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования. | ||||
IV. Экологическая значимость | ||||
11. | Вредные воздействия на окружающую среду, оцениваемые: | |||
________________ Ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия. | ||||
а) на территории, на которой окружающая среда может подвергнуться вредным воздействиям; | в пределах территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры | выход за пределы территории одного муниципального образования (численностью от 2 тыс. чел.) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения, с выходом вредных воздействий за пределы территории субъекта критической информационной инфраструктуры | |
б) по количеству людей, которые могут быть подвержены вредным воздействиям (тыс. человек) | более или равно 2, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | |
V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка | ||||
12. | Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра), оцениваемые в уровне (значимости) пункта управления или ситуационного центра | прекращение или нарушение функционирования пункта управления или ситуационного центра органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования пункта управления или ситуационного центра федерального органа государственной власти или государственной корпорации | прекращение или нарушение функционирова- ния пункта управления государством или ситуационного центра Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального |
Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации | ||||
________________ Полное прекращение выполнения критического процесса. Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования. | ||||
13. | Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое: | |||
а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции); | более 0, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | |
б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции) | более 0, но менее или равно 10 | более 10, но менее или равно 40 | более 40 | |
14. | Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемые в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов) | менее или равно 4, но более 2 | менее или равно 2, но более 1 | менее или равно 1 |
________________ Полное прекращение выполнения критического процесса. Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования. Не распространяется на системы технических средств для обеспечения оперативно-разыскных мероприятий. |
".
Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
Официальный интернет-портал
правовой информации
www.pravo.gov.ru, 16.04.2019,
N 0001201904160054