Категория значимости объекта КИИ
Категория значимости объекта КИИ — это показатель, присваиваемый объекту критической информационной инфраструктуры (КИИ) Российской Федерации, характеризующий степень потенциальной опасности нарушения его штатного функционирования для жизни и здоровья людей, обороноспособности страны, безопасности государства, а также экономической и социальной стабильности. Категория значимости определяет обязательный уровень защиты объекта КИИ от компьютерных атак и требования к обеспечению его информационной безопасности.
Правовая основа и нормативное регулирование
Понятие и порядок категорирования объектов КИИ установлены Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Подзаконные акты, детализирующие процедуру, включают:
- Постановление Правительства РФ от 8 февраля 2018 года № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 21 декабря 2017 года № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Категорирование является обязательной процедурой для всех субъектов КИИ, к которым относятся государственные органы, российские юридические лица и индивидуальные предприниматели, владеющие информационными системами, автоматизированными системами управления (АСУ ТП) или информационно-телекоммуникационными сетями, используемыми в сферах, определённых законом.
Критерии и показатели значимости
Категория значимости объекта КИИ определяется на основе оценки ущерба, который может быть нанесён в результате нарушения его штатного функционирования (вследствие компьютерных атак или иных инцидентов). Законодательство устанавливает три основных критерия:
- Социальная значимость — оценивается возможное влияние на жизнь и здоровье людей, а также на социальную стабильность. Показателями служат количество людей, которые могут пострадать (например, при авариях на опасных производственных объектах), или масштаб нарушения работы социально значимых сервисов (например, здравоохранения, транспорта, связи).
- Политическая значимость — учитывается потенциальный ущерб для обороноспособности, безопасности государства, а также для международного имиджа России. Ключевым показателем является возможность нарушения функционирования объектов государственного управления, оборонного комплекса или стратегических предприятий.
- Экономическая значимость — оценивается прямой и косвенный экономический ущерб, включая потерю выручки, затраты на восстановление, а также влияние на ключевые отрасли экономики (например, энергетику, финансы, транспорт).
Для каждого критерия установлены пороговые значения показателей (например, количество обслуживаемых граждан, объём финансовых операций, мощность энергоблоков), которые позволяют отнести объект к одной из трёх категорий.
Категории значимости
В соответствии с законодательством, объектам КИИ присваивается одна из трёх категорий:
Первая категория (высокая значимость)
Присваивается объектам, нарушение функционирования которых может привести к наиболее тяжёлым последствиям:
- Возникновению чрезвычайных ситуаций федерального или межрегионального характера.
- Существенному снижению обороноспособности или безопасности государства.
- Нарушению работы стратегических предприятий, обеспечивающих жизнедеятельность населения в масштабах всей страны или нескольких регионов.
- Массовой гибели людей (например, на атомных электростанциях, объектах химической промышленности, крупных гидротехнических сооружениях).
Вторая категория (средняя значимость)
Присваивается объектам, нарушение работы которых может привести к:
- Возникновению чрезвычайных ситуаций регионального или муниципального характера.
- Значительному экономическому ущербу для отдельного региона или отрасли.
- Нарушению функционирования объектов, обеспечивающих жизнедеятельность населения в пределах одного или нескольких муниципальных образований.
- Существенному сбою в работе систем управления транспортом, связью, энергоснабжением.
Третья категория (низкая значимость)
Присваивается объектам, нарушение работы которых может привести к:
- Возникновению чрезвычайных ситуаций локального характера.
- Ограниченному экономическому ущербу для отдельной организации.
- Нарушению функционирования объектов, обеспечивающих жизнедеятельность населения в пределах одного населённого пункта или организации.
Объекты, не соответствующие ни одному из пороговых значений, признаются некатегорированными. Для них также действуют базовые требования по защите информации, установленные ФСТЭК России, но они менее строги, чем для значимых объектов.
Процедура категорирования
Категорирование проводится субъектом КИИ самостоятельно или с привлечением лицензированной организации. Процесс включает несколько этапов:
- Определение перечня объектов КИИ — субъект выявляет все информационные системы, АСУ ТП и сети, которые относятся к сферам, указанным в законе (здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергия, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность).
- Оценка ущерба — по каждому объекту проводится анализ возможных последствий нарушения его функционирования по трём критериям (социальная, политическая, экономическая значимость).
- Присвоение категории — на основе сопоставления с пороговыми значениями объекту присваивается одна из трёх категорий или статус некатегорированного.
- Уведомление ФСТЭК России — в течение 10 рабочих дней после присвоения категории субъект направляет соответствующую информацию в уполномоченный орган (ФСТЭК России). Уведомление включает сведения о субъекте, объекте, присвоенной категории и обоснование её выбора.
ФСТЭК России ведёт реестр значимых объектов КИИ. Внесение объекта в реестр является обязательным для субъектов, чьи объекты получили первую или вторую категорию. Для объектов третьей категории внесение в реестр не обязательно, но субъект может сделать это по собственной инициативе.
Требования к защите в зависимости от категории
Категория значимости напрямую определяет требования к системе безопасности объекта КИИ. Чем выше категория, тем строже меры защиты:
- Первая категория — требуется создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в полном объёме, а также обязательное подключение к Национальному координационному центру по компьютерным инцидентам (НКЦКИ). Необходимо применение сертифицированных ФСТЭК России средств защиты информации, проведение регулярных аудитов и учений.
- Вторая категория — требуется создание системы безопасности, включающей меры по обнаружению и реагированию на инциденты, а также обязательное взаимодействие с ГосСОПКА. Допускается использование средств защиты информации, прошедших оценку соответствия в установленном порядке.
- Третья категория — требуется выполнение базовых организационных и технических мер, установленных ФСТЭК России, включая антивирусную защиту, контроль доступа, резервное копирование. Взаимодействие с ГосСОПКА рекомендуется, но не обязательно.
Для некатегорированных объектов требования к защите минимальны и сводятся к соблюдению общих норм законодательства об информации и защите персональных данных.
Ответственность за нарушение правил категорирования
Несоблюдение требований по категорированию объектов КИИ влечёт административную и уголовную ответственность. Кодекс об административных правонарушениях РФ (статья 13.12) предусматривает штрафы для должностных лиц до 50 тысяч рублей, для юридических лиц — до 300 тысяч рублей за нарушение порядка категорирования. Уголовная ответственность (статья 274.1 УК РФ) наступает за создание, использование и распространение вредоносных программ, а также за неправомерный доступ к охраняемой компьютерной информации, повлёкший тяжкие последствия, вплоть до лишения свободы на срок до 10 лет.
Источники
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации...».
- Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации...».
- Методические рекомендации ФСТЭК России по категорированию объектов КИИ (2018).
- Кодекс Российской Федерации об административных правонарушениях (статья 13.12).
- Уголовный кодекс Российской Федерации (статья 274.1).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →