Открыть сервис

Категория значимости объекта КИИ

Категория значимости объекта КИИ — это показатель, присваиваемый объекту критической информационной инфраструктуры (КИИ) Российской Федерации, характеризующий степень потенциальной опасности нарушения его штатного функционирования для жизни и здоровья людей, обороноспособности страны, безопасности государства, а также экономической и социальной стабильности. Категория значимости определяет обязательный уровень защиты объекта КИИ от компьютерных атак и требования к обеспечению его информационной безопасности.

Правовая основа и нормативное регулирование

Понятие и порядок категорирования объектов КИИ установлены Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Подзаконные акты, детализирующие процедуру, включают:

Категорирование является обязательной процедурой для всех субъектов КИИ, к которым относятся государственные органы, российские юридические лица и индивидуальные предприниматели, владеющие информационными системами, автоматизированными системами управления (АСУ ТП) или информационно-телекоммуникационными сетями, используемыми в сферах, определённых законом.

Критерии и показатели значимости

Категория значимости объекта КИИ определяется на основе оценки ущерба, который может быть нанесён в результате нарушения его штатного функционирования (вследствие компьютерных атак или иных инцидентов). Законодательство устанавливает три основных критерия:

  1. Социальная значимость — оценивается возможное влияние на жизнь и здоровье людей, а также на социальную стабильность. Показателями служат количество людей, которые могут пострадать (например, при авариях на опасных производственных объектах), или масштаб нарушения работы социально значимых сервисов (например, здравоохранения, транспорта, связи).
  2. Политическая значимость — учитывается потенциальный ущерб для обороноспособности, безопасности государства, а также для международного имиджа России. Ключевым показателем является возможность нарушения функционирования объектов государственного управления, оборонного комплекса или стратегических предприятий.
  3. Экономическая значимость — оценивается прямой и косвенный экономический ущерб, включая потерю выручки, затраты на восстановление, а также влияние на ключевые отрасли экономики (например, энергетику, финансы, транспорт).

Для каждого критерия установлены пороговые значения показателей (например, количество обслуживаемых граждан, объём финансовых операций, мощность энергоблоков), которые позволяют отнести объект к одной из трёх категорий.

Категории значимости

В соответствии с законодательством, объектам КИИ присваивается одна из трёх категорий:

Первая категория (высокая значимость)

Присваивается объектам, нарушение функционирования которых может привести к наиболее тяжёлым последствиям:

Вторая категория (средняя значимость)

Присваивается объектам, нарушение работы которых может привести к:

Третья категория (низкая значимость)

Присваивается объектам, нарушение работы которых может привести к:

Объекты, не соответствующие ни одному из пороговых значений, признаются некатегорированными. Для них также действуют базовые требования по защите информации, установленные ФСТЭК России, но они менее строги, чем для значимых объектов.

Процедура категорирования

Категорирование проводится субъектом КИИ самостоятельно или с привлечением лицензированной организации. Процесс включает несколько этапов:

  1. Определение перечня объектов КИИ — субъект выявляет все информационные системы, АСУ ТП и сети, которые относятся к сферам, указанным в законе (здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергия, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность).
  2. Оценка ущерба — по каждому объекту проводится анализ возможных последствий нарушения его функционирования по трём критериям (социальная, политическая, экономическая значимость).
  3. Присвоение категории — на основе сопоставления с пороговыми значениями объекту присваивается одна из трёх категорий или статус некатегорированного.
  4. Уведомление ФСТЭК России — в течение 10 рабочих дней после присвоения категории субъект направляет соответствующую информацию в уполномоченный орган (ФСТЭК России). Уведомление включает сведения о субъекте, объекте, присвоенной категории и обоснование её выбора.

ФСТЭК России ведёт реестр значимых объектов КИИ. Внесение объекта в реестр является обязательным для субъектов, чьи объекты получили первую или вторую категорию. Для объектов третьей категории внесение в реестр не обязательно, но субъект может сделать это по собственной инициативе.

Требования к защите в зависимости от категории

Категория значимости напрямую определяет требования к системе безопасности объекта КИИ. Чем выше категория, тем строже меры защиты:

Для некатегорированных объектов требования к защите минимальны и сводятся к соблюдению общих норм законодательства об информации и защите персональных данных.

Ответственность за нарушение правил категорирования

Несоблюдение требований по категорированию объектов КИИ влечёт административную и уголовную ответственность. Кодекс об административных правонарушениях РФ (статья 13.12) предусматривает штрафы для должностных лиц до 50 тысяч рублей, для юридических лиц — до 300 тысяч рублей за нарушение порядка категорирования. Уголовная ответственность (статья 274.1 УК РФ) наступает за создание, использование и распространение вредоносных программ, а также за неправомерный доступ к охраняемой компьютерной информации, повлёкший тяжкие последствия, вплоть до лишения свободы на срок до 10 лет.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →