"Методические указания по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, осуществляющим деятельность в отрасли связи" (утв. Минцифры России 04.04.2025 N АШ-7089вн) (вместе с "Рекомендациями по заполнению содержательной части формы направления сведений о результатах категорирования для ТОКИИ, принадлежащих Субъектам КИИ в сфере связи", "Рекомендациями по заполнению акта по итогам категорирования объекта КИИ, принадлежащего субъекту КИИ в сфере связи", "Рекомендациями по заполнению акта об отсутствии объектов КИИ, подлежащих категорированию")
Заместитель Министра
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
А.М.ШОЙТОВ
от 04.04.2025 N АШ-7089вн
Первый заместитель директора
Федеральной службы по техническому
и экспортному контролю
В.С.ЛЮТИКОВ
от 28.03.2025 N 240/82/790ДСП
ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ, ПРИНАДЛЕЖАЩИХ СУБЪЕКТАМ КРИТИЧЕСКОЙ
ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ, ОСУЩЕСТВЛЯЮЩИМ
ДЕЯТЕЛЬНОСТЬ В ОТРАСЛИ СВЯЗИ
В настоящем документе используются термины и соответствующие им определения, введенные действующими нормативными правовыми актами Российской Федерации, а также государственными стандартами и методическими документами.
Абонент (клиент) - пользователь услугами связи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации.
Автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и/или производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.
Безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.
Значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры ФСТЭК России.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Категорирование - процесс присвоения подлежащему категорированию объекту критической информационной инфраструктуры одной из категорий значимости, либо принятие решения об отсутствии необходимости присвоения ему одной из категорий значимости, исходя из применимых к нему показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации.
Критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Компьютерная атака - целенаправленное воздействие программных и/или программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и/или прекращения их функционирования и/или создания угрозы безопасности обрабатываемой такими объектами информации.
Компьютерный инцидент - факт нарушения и/или прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и/или нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
Объект критической информационной инфраструктуры - информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления субъекта критической информационной инфраструктуры.
Оператор связи - юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.
Процесс - последовательность связанных действий, необходимых для достижения определенного результата.
Продукт - материальная и/или нематериальная сущность, предлагаемая или предоставляемая оператором связи абоненту (клиенту).
Пользователь услугами связи - лицо, заказывающее и/или использующее услуги связи.
Сеть связи - технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи.
Сеть электросвязи - сеть связи, предназначенная для электросвязи (передача и прием сигналов, отображающих звуки, изображения, письменный текст, знаки или сообщения любого рода по электромагнитным системам).
Сеть связи общего пользования - сеть электросвязи, которая предназначена для возмездного оказания услуг электросвязи любому пользователю услугами связи на территории Российской Федерации и представляет собой комплекс взаимодействующих сетей электросвязи, в том числе сети связи для распространения программ телевизионного вещания и радиовещания.
Субъект критической информационной инфраструктуры - государственный орган, государственное учреждение, российское юридическое лицо или индивидуальный предприниматель, которому на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российское юридическое лицо или индивидуальный предприниматель, которое обеспечивает взаимодействие указанных систем или сетей.
Субъект критической информационной инфраструктуры в сфере связи - юридическое лицо или индивидуальный предприниматель, осуществляющие деятельность (в качестве основного или дополнительного вида деятельности) в сфере связи.
Точка обмена трафиком - совокупность технических и программных средств и (или) сооружений связи, с использованием которых собственник или иной их владелец обеспечивает возможность для соединения и пропуска в неизменном виде трафика между сетями связи, если собственник или иной владелец сетей связи имеет уникальный идентификатор совокупности средств связи и иных технических средств в информационно-телекоммуникационной сети "Интернет".
Услуга связи - деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений.
Центр обработки данных - совокупность зданий, частей зданий или помещений, объединенных единым назначением с движимым имуществом, технологически связанным с объектами информационных технологий, и предназначенных для автоматизации с использованием программ для ЭВМ и баз данных процессов формирования, хранения, обработки, приема, передачи, доставки информации, обеспечения доступа к ней, ее представления и распространения.
Перечень принятых сокращений и обозначений, используемых
в настоящих Методических указаниях
Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значение (утвержден постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127) | |
Правила категорирования объектов критической информационной инфраструктуры Российской Федерации (утверждены постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127) | |
Субъект критической информационной инфраструктуры в сфере связи | |
Группа стандартов "Расширенная схема деятельности организации связи (eTOM)" |
1.1. Основания для разработки МУ
Настоящие МУ, регламентирующие с учетом установленного перечня ТОКИИ, функционирующих в сфере связи, особенности категорирования объектов КИИ и присвоения им категории значимости разработаны в соответствии с пунктом 5 Плана-графика обеспечения реализации указания Президента Российской Федерации от 21.05.2024 N Пр-965.
Настоящие МУ предназначены для использования комиссиями, создаваемыми государственными органами, государственными учреждениями, российскими юридическими лицами и/или индивидуальными предпринимателями, выполняющими функции (полномочия) или осуществляющими виды деятельности в сфере связи, которые имеют действующие лицензии на осуществление деятельности в сфере связи согласно Федеральному закону от 07.07.2003 N 126-ФЗ "О связи".
Настоящие МУ разработаны с целью оказания методической поддержки Субъектам КИИ в сфере связи во исполнение требований Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон N 187-ФЗ).
МУ детализируют и стандартизируют процедуру категорирования объектов КИИ, принадлежащих на праве собственности, аренды или на ином законном основании Субъектам КИИ в сфере связи и используемых ими для осуществления видов деятельности в сфере связи, а именно возмездного оказания услуг электросвязи любому пользователю услуг связи на территории Российской Федерации на основании соответствующих лицензий.
1.3. Этапы проведения категорирования объектов КИИ
Процедура категорирования объектов КИИ осуществляется на основании и в соответствии со статьей 7 Федерального закона N 187-ФЗ, Правилами и Перечнем и включает в себя:
1. Определение принадлежности государственных органов, государственных учреждений, российских юридических лиц и/или индивидуальных предпринимателей к Субъектам КИИ в сфере связи.
2. Формирование Субъектами КИИ в сфере связи комиссии.
3. Определение объектов КИИ, подлежащих категорированию.
4. Определение категорий значимости объектов КИИ, либо принятие решения об отсутствии необходимости присвоения объектам КИИ одной из категорий значимости.
5. Решение комиссии оформляется актом, который должен содержать сведения об объекте КИИ, сведения о присвоенной объекту КИИ категории значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий значимости.
6. Сведения, утвержденные в акте, направляются в печатном и электронном виде по форме, утверждаемой федеральным органом исполнительной власти, уполномоченном в области обеспечения безопасности КИИ.
2. Определение принадлежности к Субъектам КИИ в сфере связи
Организации, осуществляющие деятельность в сфере связи, отнесены к Субъектам КИИ в сфере связи в соответствии с Федеральным законом N 187-ФЗ.
Условием принадлежности российского юридического лица и/или индивидуального предпринимателя к Субъектам КИИ в сфере связи является наличие действующей лицензии на осуществление деятельности в области оказания услуг связи в соответствии с постановлением Правительства Российской Федерации от 30.12.2020 N 2385 "О лицензировании деятельности в области оказания услуг связи и признании утратившими силу некоторых актов Правительства Российской Федерации", либо наличие в собственности и (или) владении точки обмена трафиком и (или) центра обработки данных.
3. Формирование Субъектом КИИ в сфере связи, комиссии
по категорированию объектов КИИ
Согласно пункту 2 Правил категорирование объектов КИИ осуществляется Субъектом КИИ в сфере связи самостоятельно, для чего решением (приказом) руководителя Субъекта КИИ в сфере связи создается комиссия.
Пример приказа о создании комиссии приведен в Приложении 1.
По решению руководителя Субъекта КИИ в сфере связи, имеющего филиалы и представительства, могут создаваться отдельные комиссии для категорирования объектов КИИ в этих филиалах и представительствах.
- председатель комиссии: руководитель Субъекта КИИ в сфере связи (президент, генеральный директор или т.п.) или уполномоченное им лицо;
- работники Субъекта КИИ в сфере связи, являющиеся специалистами в области осуществляемых видов деятельности (специалисты в области телекоммуникаций (сетей электросвязи));
- работники в области информационных технологий и связи (специалисты, эксплуатирующие и обеспечивающие функционирование (администрирование) ИС, АСУ и/или ИТКС);
- работники Субъекта КИИ в сфере связи, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов КИИ (специалисты, обеспечивающие функционирование (администрирование) систем и средств защиты информации);
- работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций согласно Положению о создании (назначении) в организациях структурных подразделений (работников), уполномоченных на решение задач в области гражданской обороны, утвержденному постановлением Правительства Российской Федерации от 10.07.1999 N 782;
- работники, ответственные за эксплуатацию основного технологического оборудования, технологическую (промышленную) безопасность;
- работники подразделения по защите государственной тайны Субъекта КИИ в сфере связи (в случае, если с использованием объекта КИИ обрабатывают информацию, составляющую государственную тайну, и Субъект КИИ в сфере связи обладает лицензией на проведение работ с использованием сведений, составляющих государственную тайну, выданной Федеральной службой безопасности Российской Федерации).
По решению Субъекта КИИ в сфере связи в состав комиссии могут быть включены другие работники организации (например, экономисты, работники налоговой и юридической служб).
4. Идентификация объектов КИИ, подлежащих категорированию
В общем виде процедура составления списка объектов КИИ, подлежащих категорированию, состоит из следующих последовательных действий:
1. Выявление собственниками и (или) владельцами ТОТ наличия хотя бы в одном из договоров на оказание услуг информации о том, что в инфраструктуре потребителя услуги ТОТ присутствуют значимые объекты КИИ, непосредственно подключенные к ТОТ в соответствии с требованиями (ТУ) по обеспечению безопасности значимых объектов КИИ в зависимости от заявленной категории значимости.
Выявление собственниками и (или) владельцами ЦОД наличия договора с субъектом КИИ на размещение объектов КИИ в таком ЦОД.
В случае, если такие объекты КИИ не были выявлены, действия пунктов 2 - 4, настоящего раздела МУ, для собственников и (или) владельцев ТОТ и (или) ЦОД не выполняются.
2. Выявление критических процессов, осуществляемое Субъектом КИИ в сфере связи, исходя из того, что нарушение и/или прекращение этого процесса может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы).
3. Идентификация ИС, ИТКС и АСУ, КИ в рамках которых могут оказать влияние на критические процессы (в разрезе процессов) - при этом влияние на один процесс могут оказывать несколько ИС, ИТКС, АСУ и наоборот - одна и та же ИС, ИТКС или АСУ может оказывать влияние на несколько процессов.
4. Формирование списка объектов КИИ подлежащих категорированию. В ходе формирования списка решением Субъекта КИИ в сфере связи в состав каждого объекта КИИ могут быть включены одна или несколько систем, в том числе различного типа (ИС, АСУ или ИТКС). При объединении в составе одного объекта КИИ нескольких систем, должно выполняться условие взаимозависимости этих систем друг от друга, т.е. выполнение и/или обеспечение ими единого критического процесса (например, предоставление услуг связи определенного типа).
После формирования списка объектов КИИ рекомендуется провести повторную идентификацию ИС, ИТКС и АСУ на предмет возможного оказания влияния с их стороны на уже выявленные объекты КИИ из списка (в случае возникновения КА и/или КИ). В случае выявления таких АС - они также должны быть включены в состав ранее идентифицированных объектов КИИ или войти в состав нового объекта КИИ, подлежащего категорированию. Повторную идентификацию рекомендуется повторять, пока не перестанут выявляться новые системы, влияющие на объекты КИИ из списка.
5. Решение об отсутствии объектов КИИ, подлежащих категорированию, должно быть оформлено путем составления акта об отсутствии объектов КИИ, подлежащих категорированию, согласно Приложению 7.
6. При осуществлении пересмотра установленных ранее категорий значимости решением Субъекта КИИ в сфере связи, объект КИИ, состоявший из нескольких систем, может быть разделен на несколько отдельных объектов КИИ.
4.1. Выявление критических процессов
Выявление процессов, нарушение или прекращение которых может привести к аварийным ситуациям и недопустимым событиям у Субъектов КИИ в сфере связи (прекращение или нарушение функционирования сети связи и/или услуг по хранению и обработке информации), осуществляется комиссией путем анализа на применимость показателей значимости (как факта недопустимого события), согласно Правилам ко всем бизнес-процессам Субъекта КИИ в сфере связи.
Ниже представлены показатели из Перечня, которые не применимы к процессам типового Субъекта КИИ в сфере связи (Таблица N 1). В то же время Субъект КИИ в сфере связи может иметь действующие государственные контракты или договорные отношения иного типа, в рамках которых, Заказчик может уведомить Исполнителя (Субъекта КИИ в сфере связи) о возможных негативных последствиях, которые повлияют на применимость данных показателей.
Неприменимые показатели Перечня
Наименование показателя значимости, согласно Правилам | Расшифровка показателя и нумерация согласно Правилам | |
2. Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения | ||
3. Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств | ||
10. Прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств, осуществляемых субъектом КИИ, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем | ||
10.1. Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом КИИ, являющимся центральным контрагентом, среднедневной размер обязательств которого по передаче денежных средств в валюте Российской Федерации по итогам клиринга за последние 12 месяцев | ||
10.2. Прекращение или нарушение проведения учетно-расчетных операций, осуществляемых субъектом КИИ, являющимся центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии | ||
10.3. Прекращение или нарушение проведения операций по выплатам, передаче или размещению денежных средств, осуществляемых субъектом КИИ, являющимся негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда | ||
10.4. Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых субъектом КИИ, являющимся страховой организацией, оцениваемые объемом активов | ||
12. Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра) | ||
14. Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю |
Принимая во внимание, что в МУ рассматриваются Субъекты КИИ в сфере связи, осуществляющие деятельность в сфере связи, включая возмездное оказание услуг электросвязи любому пользователю услуг связи на территории Российской Федерации, в том числе государственным органам власти, а также осуществляющие взаимодействие ИС, ИТКС и АС, функционирующих в сферах, определенных пунктом 8 статьи 2 Федерального закона N 187-ФЗ, то применимыми для Субъекта КИИ в сфере связи являются нижеследующие показатели Перечня:
- показатель социальной значимости "прекращение или нарушение функционирования сети связи, оцениваемое по количеству абонентов, для которых могут быть недоступны услуги связи" затрагивает основной вид деятельности Субъектов КИИ в сфере связи - предоставление услуг связи абонентам;
- показатель социальной значимости "отсутствие доступа к государственной услуге" рассмотрен для Субъектов КИИ сферы связи, имеющих договорные отношения с государственными органами (ОК 006-2011. "Общероссийский классификатор органов государственной власти и управления" (утв. приказом Росстандарта от 26.04.2011 N 60-ст) (далее - Классификатор)) способных в действительности оказать такое влияние на работу государственного органа (например, в случае если Субъект КИИ в сфере связи - единственный и безальтернативный для обеспечения функционирования критической системы);
- показатель политической значимости "прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" рассмотрен для Субъектов КИИ в сфере связи, имеющих соответствующий действующий государственный контракт с органом государственной власти;
- показатель политической значимости "нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации" рассмотрен для Субъектов КИИ в сфере связи, имеющих соответствующий действующий заключенный договор с международными обязательствами;
- показатель экономической значимости "возникновение ущерба субъекту КИИ, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности" рассмотрен для Субъектов КИИ в сфере связи с учетом того, что они являются государственными корпорациями, государственными унитарными предприятиями, государственными компаниями, организациями с участием государства, стратегическими акционерными обществами, организациями оборонно-промышленного комплекса, стратегическими предприятиями;
- показатель экономической значимости "возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет" рассмотрен для случая, если расчетные показатели пункта 4 раздела 10 МУ для Субъекта КИИ в сфере связи сопоставимы со значениями показателя критерия значимости из Перечня;
- показатель экономической значимости "прекращение или нарушение выполнения функций по переводу денежных средств, осуществляемых субъектом КИИ, являющимся оператором услуг информационного обмена" рассмотрен для Субъектов КИИ в сфере связи, имеющих статус оператора услуг информационного обмена;
- показатель значимости для обеспечения обороны страны, безопасности государства и правопорядка "Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ, оцениваемое в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции) или в увеличении времени изготовления единицы продукции с заданным объемом (процентов установленного времени на изготовление единицы продукции)" рассмотрен для Субъектов КИИ в сфере связи в случае выполнения государственного оборонного заказа.
Помимо обозначенных выше видов негативных последствий по решению Субъекта КИИ в сфере связи могут быть дополнительно рассмотрены и другие виды негативных последствий и связанные с ними показатели критериев значимости объектов КИИ, приведенные в Перечне.
При этом с учетом положений Федерального закона N 187-ФЗ в качестве причины возникновения негативных последствий рассматривается только КИ вследствие КА, т.е. не рассматриваются случаи, когда:
- Субъект КИИ в сфере связи прекращает и/или ограничивает оказание услуг электросвязи на основании Правил оказания услуг связи (Правила оказания телематических услуг связи, утвержденные постановлением Правительства Российской Федерации от 31.12.2021 N 2607, Правила оказания услуг связи по передаче данных, утвержденные постановлением Правительства Российской Федерации от 31.12.2021 N 2606, Правила оказания услуг телефонной связи, утвержденные постановлением Правительства Российской Федерации от 30.12.2024 N 1994) или договора возмездного оказания услуг между абонентом и оператором связи;
- прекращение и/или нарушение оказания услуг электросвязи вызвано техногенной аварией, природным явлением и/или стихийным бедствием;
- прекращение и/или нарушение оказания услуг электросвязи вызвано непреднамеренными действиями Субъекта КИИ в сфере связи, пользователей услугами связи или третьих лиц (обрыв линий связи, создание аварийных ситуаций в отношении средств связи и т.п.).
Отнесение бизнес-процесса к критическим определяется возможностью возникновения последствий, приведенных в Перечне, в случае его остановки или нарушения.
Выявление критических процессов осуществляется в несколько этапов.
4.1.1. Этап 1. Выявление критических процессов на основании Перечня ТОКИИ
Выявление критических процессов на основании Перечня ТОКИИ (Приложение 5) осуществляется путем рассмотрения графы "Осуществляемые критические процессы ТОКИИ". Субъекту КИИ в сфере связи надлежит сопоставить имеющиеся у него процессы с перечисленными в Перечне для принятия решения об отнесении их к критическим.
4.1.2. Этап 2. Выявление критических процессов на основании eTOM
Для выявления иных критических процессов рекомендуется взять за основу eTOM (ГОСТ Р 53633.0-2009 "Информационные технологии (ИТ). Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Общая структура бизнес-процессов", ГОСТ Р 53633.2-2009 "Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация ресурсов", ГОСТ Р 53633.4-2015 "Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация услуг").
Модель eTOM предназначена для стандартизации моделей управления оборудованием, сетями и услугами электросвязи в организациях, предоставляющих услуги связи и телекоммуникации. Ключевой задачей применения стандартов является использование его положений при автоматизации деятельности организаций связи: за счет применения стандартов обеспечивается возможность построения систем автоматизации из компонентов со стандартными интерфейсами.
В Приложении 3 приведен перечень типовых процессов модели eTOM с анализом возможности отнесения их к критическим процессам. Субъекту КИИ в сфере связи надлежит сопоставить имеющиеся у него процессы с процессами модели eTOM, а затем, на основании рекомендаций по применимости показателей значимости, принять решение об отнесении процессов к критическим.
4.2. Идентификация и выявление объектов КИИ, подлежащих категорированию
Субъекту КИИ в сфере связи необходимо проанализировать все имеющиеся у него АС на предмет обработки ими информации, необходимой для обеспечения критических процессов, и (или) осуществления управления, контроля или мониторинга критических процессов.
АС, в которых выявлено выполнение и (или) обеспечение критических процессов, а также АС, которые Субъект КИИ в сфере связи может сопоставить с типовыми отраслевыми объектами КИИ из Перечня ТОКИИ, и будут являться объектами КИИ, подлежащими категорированию.
Для выявления прочих АС, требующих включения в список объектов КИИ, подлежащих категорированию, необходимо проверить возможность их отнесения, исходя из их функционального назначения, к одной из логических групп: управляющим, обеспечивающим, вспомогательным или инфраструктурным системам (Рисунок 1 и Таблица N 2).
Отличительной особенностью управляющих АС является возможность воздействовать на функционирование оборудования путем изменения его конфигурации. В то же время, выход из строя управляющих АС на работу оборудования, как правило, не влияет.
Отличительной особенностью обеспечивающих АС является влияние на оказание услуг связи абонентам. В случае выхода из строя обеспечивающих АС, оказание услуг связи абонентам невозможно или возможно в аварийном/резервном режиме. Обеспечивающие АС не воздействуют на работу управляющих АС, однако взаимодействуют с ними, например, с целью получения информации (телеметрии).
В дополнение к рассматриваемому показателю - прекращение или нарушение функционирования сети связи, необходимо рассмотреть применимость значений показателей критериев значимости объектов КИИ в соответствии с Правилами и Перечнем (социальная значимость, политическая, экономическая, экологическая или значимость для обеспечения обороны страны, безопасности государства и правопорядка).
Стоит отметить, что выведение из строя управляющих и вспомогательных систем в результате КА или КИ в большинстве случаев не способно напрямую повлиять на предоставление услуг связи абонентам (за исключением использования систем для усиления КА с целью вызвать аварийные ситуации и недопустимые события).
Рисунок 1 - Логические группы АС
Основные или потенциально значимые ОКИИ (в соответствии с критериями Постановления правительства Российской Федерации от 8 февраля 2018 г. N 127) | Вспомогательные или потенциальные объекты КИИ без категории значимости | ||||||||||||
Линии связи - линии передачи, физические цепи и линейно-кабельные сооружения связи | Оборудование - Объекты управления, непосредственно обеспечивающие представление услуг связи | Управляющие АС - системы, содержащие функционал управления оборудованием связи | Обеспечивающие АС - системы, функциональность которых влияет на предоставление услуг связи | Вспомогательные АС - системы обрабатывающие информацию из оборудования, основных систем. Влияние на них в результате КА и КИ не способно повлиять на предоставление услуг связи | |||||||||
Инфраструктурные АС, на базе которых функционируют АС в области связи | |||||||||||||
Отличительной особенностью инфраструктурных АС является влияние на обеспечение функционирования линий связи, оборудования, управляющих, обеспечивающих и вспомогательных АС. В случае злонамеренного воздействия на инфраструктурные АС возможно прекращение или нарушение функционирования сети связи по причине выхода из строя линий связи и оборудования, обеспечивающего работоспособность АС остальных групп (например, нарушение температурного режима, отключение электропитания, злоумышленное включение систем пожаротушения и т.п.).
Примеры различных видов АС приведены в Приложении 4.
Рассмотренные выше группы АС применимы к Перечню ТОКИИ.
Отнесение ТОКИИ, функционирующих в сфере
связи, к управляющим, обеспечивающим
или вспомогательным АС
АС, отнесенные к Управляющим и Обеспечивающим группам - обязательно включаются в список объектов КИИ, подлежащих категорированию.
АС, отнесенные к Инфраструктурным и Вспомогательным группам - Субъекту КИИ в сфере связи надлежит сопоставить имеющиеся у него процессы с процессами модели eTOM, а затем, на основании рекомендаций по применимости показателей значимости, принять решение об отнесении процессов к критическим.
4.3. Дополнительные рекомендации по формированию списка объектов КИИ, подлежащих категорированию
Формирование списка объектов КИИ осуществляется Субъектом КИИ в сфере связи с учетом Перечня типовых объектов КИИ, утвержденных Минцифры России, исходя из реального состава ИС, АСУ и ИТКС, принадлежащих Субъекту КИИ в сфере связи на праве собственности, аренды или на ином законном основании. Отсутствие выявленного Субъектом КИИ в сфере связи объекта КИИ в Перечне типовых объектов КИИ не является основанием для неприсвоения ему категории значимости.
Дополнительные рекомендации по формированию списка объектов КИИ Субъекта КИИ в сфере связи, подлежащих категорированию:
1. Если у Субъекта КИИ в сфере связи несколько однотипных объектов КИИ (например, несколько автоматизированных систем расчетов), то в список объектов КИИ, подлежащих категорированию, каждый объект КИИ включается отдельно с указанием отличительного признака идентичности (порядковый/инвентарный номер, географическая привязка и т.п.).
2. В качестве наименования объекта КИИ указывается наименование, приведенное в одном из следующих локальных актов, оформленных Субъектом КИИ в сфере связи, или документов:
- акт ввода в эксплуатацию, оформленный Субъектом КИИ в сфере связи согласно Требованиям [16];
- паспорт организации связи по информационной безопасности, оформленный Субъектом КИИ в сфере связи согласно национальному стандарту [9];
- сертификат соответствия в системе сертификации в области связи (применимо только для сертифицированного средства);
- эксплуатационная документация от производителя или наименование производителя (например, Автоматизированная система расчетов от "Наименование производителя").
Данные наименования используются с целью однозначной идентификации объекта КИИ в инфраструктуре Субъектом КИИ в сфере связи (при необходимости вводятся порядковые/инвентарные номера или другие идентификаторы).
5. Оценка масштаба возможных последствий в случае
возникновения КИ на объектах КИИ
Оценка масштаба возможных последствий в случае возникновения КИ на объектах КИИ, принадлежащих Субъекту КИИ в сфере связи, осуществляется Субъектом КИИ в сфере связи, исходя из:
- фактической абонентской емкости объекта КИИ (количества абонентов);
- наличия возможности реализации угроз безопасности информации (возникновение КИ) на объектах КИИ, последствиями которых будут нарушение и/или прекращение функционирования сети связи;
- ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом), стратегическим предприятием), оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший пятилетний период);
- ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом КИИ (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период);
- наличия действующего государственного контракта на оказание услуг связи органу государственной власти.
5.1. Главный отраслевой показатель
Главным отраслевым показателем в отрасли связи выступает Показатель социальной значимости - "Прекращение или нарушение функционирования сети связи, оцениваемое по количеству абонентов, для которых могут быть недоступны услуги связи" - он затрагивает основной вид деятельности Субъектов КИИ сферы связи - предоставление услуг связи абонентам.
При этом в связи с отраслевой спецификой, важным аспектом расчета показателя "Прекращение или нарушение функционирования сети связи" является факт оказания Субъектом КИИ в отрасли связи услуг Субъектам КИИ, являющимся государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием (далее - "Контрагенты отдельных категорий").
В случае, если услуги связи предоставляются по крайней мере одному контрагенту отдельных категорий на договорной основе, сам факт наличия такого договора устанавливает значение показателя "Прекращение или нарушение функционирования сети связи", в соответствие, как минимум III категории значимости, вне зависимости от значений остальных, применимых к конкретному объекту КИИ, показателей, в т.ч. по количеству абонентов.
В таблице N 3 приведены примеры расчета показателя "Прекращение или нарушение функционирования сети связи" для типовых объектов КИИ отрасли связи.
Примеры расчета показателя социальной
значимости "прекращение или нарушение
функционирования сети связи, оцениваемое
по количеству абонентов, для которых
могут быть недоступны услуги связи"
для групп типовых отраслевых объектов КИИ,
функционирующих в сфере связи
5.2. Расчетные методы определения количества абонентов
В случае невозможности определения количества абонентов по договорам об оказании услуг связи, заключенными Субъектом КИИ в сфере связи с абонентами или по иным причинам в рамках показателя социальной значимости "прекращение или нарушение функционирования сети связи, оцениваемое по количеству абонентов, для которых могут быть недоступны услуги связи" предлагаются следующие расчетные методы определения количества абонентов:
5.2.1. Метод 1 - по численности населения в зоне обслуживания
Применимо к Субъекту КИИ в сфере связи с одной или несколькими из следующих лицензий: услуги местной телефонной связи с использованием таксофонов, услуги местной телефонной связи с использованием средств коллективного доступа, услуги телеграфной связи, услуги связи для целей эфирного вещания, услуги связи для целей проводного радиовещания, - количество абонентов может быть определено следующим расчетным методом:
- определяется территория оказания услуги связи в соответствии с выданной Субъекту КИИ в сфере связи лицензией на оказание услуги связи;
- определяется зона обслуживания в рамках лицензии на оказание услуги связи, в которой Субъект КИИ в сфере связи разместил и ввел в эксплуатацию сеть связи в соответствии с приказом Минцифры России от 18.02.2022 N 132 "Об утверждении Требований к порядку ввода сетей связи в эксплуатацию", либо соответствующий радиус покрытия в рамках выделенных Субъекту КИИ в сфере связи радиочастот, с точностью до муниципального образования или объекта недвижимости, и на которую влияет объект КИИ;
- определяется численность домохозяйств в соответствующей зоне обслуживания или радиуса покрытия Субъекта КИИ в сфере связи, на которую влияет объект КИИ, (соответствующем муниципальном образовании) согласно данным Росстата по результатам переписи населения 2020 или 2024 годов или численность работников (команды) на объекте недвижимости (воздушных и морских судах, судах внутреннего плавания);
- численность домохозяйств (или численность населения), в зоне обслуживания или радиуса покрытия, на которую влияет объект КИИ, или численность работников (команды) на объекте недвижимости (воздушных и морских судах, судах внутреннего плавания), на который влияет объект КИИ, приравнивается к числу абонентов соответствующего Субъекта КИИ в сфере связи для целей МУ.
5.2.2. Метод 2 - по количеству абонентов взаимодействующих операторов связи
Применимо к иным случаям, например, для услуг предоставления каналов связи или для средств органов государственной власти, учреждений в ведении Минцифры России или Роскомнадзора, в том числе Центра мониторинга и управления сетями связи общего пользования, количество абонентов может быть определено следующим расчетным методом:
- определяются операторы связи, с которыми взаимодействует Субъект КИИ в сфере связи;
- определяются зоны обслуживания взаимодействующих операторов связи, на которые влияет прекращение или нарушение функционирования объекта КИИ;
- определяется количество абонентов в зонах обслуживания взаимодействующих операторов связи;
- с учетом вариантов резервирования взаимодействующих операторов применяется поправочный коэффициент: количество абонентов в зонах обслуживания взаимодействующих операторов связи делится на количество способов резервирования;
- исходя из суммы количества абонентов в зонах обслуживания взаимодействующих операторов с учетом применимых поправочных коэффициентов делается вывод о потенциально количестве абонентов.
5.2.3. Метод 3 - по категории значимости размещаемого и (или) взаимодействующего объекта КИИ
Применимо к ЦОД может быть использован следующий подход:
- определяются все субъекты КИИ, которые на договорной основе размещают свои объекты КИИ в таком ЦОД;
- определяются категории значимости размещенных Объектов КИИ;
- категория значимости соответствующего объекта КИИ ЦОД определяется по наивысшей категории значимости размещенного объекта КИИ.
- формируется перечень взаимодействующих с ТОТ значимых объектов КИИ потребителей услуг ТОТ, непосредственно подключенных к ТОТ и указанных в договорах на оказание услуг, с указанием их категории значимости;
- категория значимости соответствующего объекта КИИ ТОТ определяется по наивысшей категории значимости объекта КИИ из вышеуказанного перечня.
5.3. План мероприятий по оценке масштаба возможных последствий
В рамках оценки масштаба возможных последствий в случае возникновения КИ на объектах КИИ, принадлежащих Субъекту КИИ в сфере связи, для каждого конкретного объекта КИИ осуществляются действия в следующем порядке:
- оценивается фактическая абонентская емкость конкретного объекта КИИ, исходя из количества обслуживаемых абонентов, с учетом типа объекта КИИ;
- оценивается наличие возможности реализации угроз безопасности информации (возникновение КИ), последствиями которых будут нарушение и/или прекращение функционирования сети связи, услуг по хранению и обработке информации, с использованием модели нарушителя и перечня основных угроз безопасности информации.
Необходимо рассматривать наихудшие сценарии, учитывающие проведение целенаправленных КА на объект КИИ, результатом которых является максимально возможный ущерб. При этом не должны рассматриваться организационные и технические меры по безопасности и непрерывности, реализованные на объекте КИИ и в Субъекте КИИ в целом. Наихудший сценарий предполагает нанесение максимального ущерба в условиях, что никакие компенсирующие меры не сработают и оказание услуг альтернативными решениями (дублирование процесса аналоговыми приборами или переход на "бумажные" носители информации и пр. нетехнологическими решениями) будет невозможно.
Если для конкретного объекта КИИ существует возможность реализации угроз безопасности информации (возникновение КИ), последствиями которых будут нарушение и/или прекращение функционирования сети связи, то конкретному объекту КИИ потенциально может быть присвоена одна из категорий значимости (требуется оценка масштаба возможных негативных последствий), если нет, то отсутствует необходимость присвоения объекту КИИ одной из категорий значимости;
- сопоставляется фактическая абонентская емкость объекта КИИ со значениями (диапазонами значений), приведенными в таблице ниже для показателя "Прекращение или нарушение функционирования сети связи" (см. Таблица N 4).
Значения показателя "Прекращение
или нарушение функционирования
сети связи"
Прекращение или нарушение функционирования сети связи, оцениваемые по количеству людей, для которых могут быть недоступны услуги связи (человек) | |||
- для сопоставления со значениями, приведенными в таблице ниже для показателя "Возникновение ущерба бюджету Российской Федерации" (см. Таблица N 5), рассчитываются значения потенциально возможного ущерба бюджету Российской Федерации.
Определяется актуальный годовой размер выплачиваемых оператором связи налогов в бюджет Российской Федерации, исходя из данных, предоставляемых оператором связи в Федеральную налоговую службу:
- Nf - налог на прибыль организации (сумма указывается в декларации по форме КНД 1151006, код строки 190 для федерального бюджета).
Используя максимально допустимый период простоя (AtMAo, календарных дней), закрепленный в локальных актах Субъекта КИИ в сфере связи, с учетом условий договора возмездного оказания услуг между абонентом и оператором связи <1>, осуществляется расчет значения потенциально возможного ущерба бюджету Российской Федерации, исходя из того, что рассматривается самый худший сценарий, т.е. Субъект КИИ в сфере связи в этот период с учетом условий договора не оказывает возмездные услуги электросвязи и не получает прибыль:
--------------------------------
<1> Учитываются условия авансирования оказания услуг, отсрочки платежа, возмещения средств абоненту и т.п., а также согласованные временные показатели для ремонтных, регламентных работ и форс-мажорных обстоятельств.
- значение для федерального бюджета Российской Федерации:
Сопоставляются полученные значения, отнесенные к размеру соответствующего прогнозируемого годового дохода бюджета, со значениями (диапазонами значений) для показателя "Возникновение ущерба бюджету Российской Федерации" (Таблица N 5), для каждого конкретного объекта КИИ.
Значения показателя "Возникновение
ущерба бюджету Российской Федерации"
С учетом положений Федерального закона от 30.11.2024 N 419-ФЗ "О федеральном бюджете на 2025 год и на плановый период 2026 и 2027 годов" пороговые значения потенциально возможного ущерба для федерального бюджета Российской Федерации, оцененные в тысячах рублей, приведены в таблице ниже (Таблица N 6).
Пороговые значения
для федерального бюджета
При проведении расчетов, дополнительно необходимо оценивать сопутствующий экономический ущерб субъекта КИИ, вызванный простоем и/или деградацией технологического процесса, включающий:
- затраты на ликвидацию и устранение последствий КА;
- затраты на оплату труда персоналу и условно-постоянные расходы за время простоя и/или деградации технологического процесса;
- затраты на оплату труда персонала, привлекаемого сверхурочно, для ликвидации последствий нарушений, вызванных простоем и/или деградацией технологического процесса;
- потери от выплаты неустоек, штрафов, пени и прочее за невыполнение условий договоров в результате простоя и/или деградации технологического процесса;
При условии наличия действующего государственного контракта на оказание услуг связи органу государственной власти проверяется наличие в зоне обслуживания конкретным объектом КИИ данного органа государственной власти. Только в случае, если орган государственной власти попадает в зону обслуживания конкретным объектом КИИ, возможные последствия сопоставляется со значениями, приведенными в таблице ниже для показателя "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" (Таблица N 7).
Значения показателя "Прекращение
или нарушение функционирования
государственного органа в части
невыполнения возложенной
на него функции (полномочия)"
Показателями, применимыми для оценки категории значимости объекта КИИ в отрасли связи также выступают:
- показатель социальной значимости "отсутствие доступа к государственной услуге" (Таблица N 8);
Значения показателя "Отсутствие
доступа к государственной услуге"
- показатель экономической значимости "прекращение или нарушение выполнения функций по переводу денежных средств, осуществляемых субъектом КИИ, являющимся оператором услуг информационного обмена" (Таблица N 9);
Значения показателя "Прекращение
или нарушение выполнения функций
по переводу денежных средств,
осуществляемых субъектом КИИ,
являющимся оператором услуг
информационного обмена"
- показатель "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации" рассматривается субъектом КИИ в сфере связи в случае наличия заключенных договоров с международными обязательствами (Таблица N 10);
Значения показателя "Нарушение
условий международного договора
Российской Федерации, срыв переговоров
или подписания планируемого к заключению
международного договора Российской
Федерации, оцениваемые по уровню
международного договора
Российской Федерации"
- показатель "снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) Субъектом КИИ, оцениваемое в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции) или в увеличении времени изготовления единицы продукции с заданным объемом (процентов установленного времени на изготовление единицы продукции)" рассматривается для Субъектов КИИ в сфере связи в случае выполнения государственного оборонного заказа (Таблица N 11);
Значения показателя "Снижение
показателей государственного оборонного
заказа, выполняемого (обеспечиваемого)
субъектом КИИ"
- показатель "Возникновение ущерба КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности" рассматривается в случае, если Субъект КИИ в сфере связи является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией с участием государства, стратегическим акционерным обществом, организацией оборонно-промышленного комплекса, стратегическим предприятием (Таблица N 12).
Значения показателя "Возникновение
ущерба субъекту КИИ, который является
государственной корпорацией,
государственным унитарным предприятием,
государственной компанией, организацией
оборонно-промышленного комплекса,
стратегическим акционерным обществом,
стратегическим предприятием, оцениваемого
в снижении уровня дохода (с учетом налога
на добавленную стоимость, акцизов
и иных обязательных платежей)
по всем видам деятельности"
6. Принятие решения об установлении категории значимости
объекту КИИ
Принятие решения об установлении категории значимости конкретному объекту КИИ, принадлежащему Субъекту КИИ в сфере связи, осуществляется Субъектом КИИ в сфере связи на базе значения оценки масштаба возможных последствий в случае возникновения КИ на объекте КИИ, исходя из того, что Правилами устанавливаются 3 категории значимости: самая высокая категория - первая, самая низкая - третья. Рекомендованный настоящими МУ алгоритм подготовки к принятию решения о присвоении категории приведен на Рисунке 2.
Рисунок 2 - Блок-схема подготовки
к принятию решения о присвоении категории
значимости объекту КИИ
Оценка производится по каждому из значений показателя критериев значимости ("Прекращение или нарушение функционирования сети связи", "Возникновение ущерба бюджету Российской Федерации" и "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" <2>), а категория значимости присваивается объекту КИИ по наивысшему значению одного из этих показателей. Обоснование неприменимости остальных показателей из Перечня приведено в Приложении 3.
--------------------------------
<2> Если по решению Субъекта КИИ в сфере связи были дополнительно рассмотрены и другие виды негативных последствий и связанные с ними показатели критериев значимости объектов КИИ, приведенные в Перечне, то производится оценка по каждому из значений дополнительно выбранных показателей критериев значимости.
При оценке масштаба возможных последствий в случае возникновения КИ при проведении КА на объект КИИ целесообразно:
- рассматривать наихудшие сценарии последствий проведения КА на объекты КИИ, результатом которых может стать нарушение или прекращение критического процесса и нанесение максимально возможного ущерба (не учитывая организационные и технические меры безопасности, резервирования и т.п. компенсирующих мероприятий);
- учитывать зависимость процессов от осуществления иных процессов, выполняемых субъектом КИИ;
- учитывать зависимость функционирования одного объекта КИИ от функционирования другого объекта КИИ;
- оценить возможности реализации угроз безопасности информации в отношении объекта КИИ, а также имеющиеся данные, в том числе статистические, о КИ, произошедших ранее на объектах КИИ соответствующего типа.
Категория значимости объектов КИИ ТОТ и ЦОД определяется согласно расчетному методу N 3, приведенному в пункте 5.2 настоящих МУ.
Решение комиссии по каждому объекту КИИ оформляется актом, в том числе и для случая, когда у Субъекта КИИ в сфере связи отсутствуют объекты КИИ, подлежащие категорированию. Рекомендации по заполнению соответствующих актов приведены в Приложениях 6 и 7.
Акт должен быть утвержден приказом руководителя Субъекта КИИ в сфере связи или уполномоченным им лицом (акт будет выступать приложением к соответствующему приказу).
Субъект КИИ в сфере связи обеспечивает хранение акта (приказа об утверждении акта, в случае его наличия) до вывода из эксплуатации объекта КИИ или до изменения его категории значимости согласно части 12 статьи 7 Федерального закона N 187-ФЗ.
Рекомендации по заполнению содержательной части формы направления сведений о результатах категорирования для типовых объектов КИИ, принадлежащих Субъекту КИИ в сфере связи, в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ, приведены в Приложении 2.
Список использованных источников
1. Федеральный закон от 07.07.2003 N 126-ФЗ "О связи".
2. Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
3. Федеральный закон от 30.11.2024 N 419-ФЗ "О федеральном бюджете на 2025 год и на плановый период 2026 и 2027 годов".
4. Федеральный закон от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
5. Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства Российской Федерации от 08.02.2018 N 127.
6. Постановление Правительства Российской Федерации от 30.12.2020 N 2385 "О лицензировании деятельности в области оказания услуг связи и признании утратившими силу некоторых актов Правительства Российской Федерации".
7. Положение о создании (назначении) в организациях структурных подразделений (работников), уполномоченных на решение задач в области гражданской обороны, утв. постановлением Правительства Российской Федерации от 10.07.1999 N 782.
8. ГОСТ Р 53633.0-2009 "Информационные технологии (ИТ). Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Общая структура бизнес-процессов".
9. ГОСТ Р 53633.2-2009 "Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация ресурсов".
10. ГОСТ Р 53633.4-2015 "Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация услуг".
11. ГОСТ Р 53109-2008 "Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности".
12. Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утв. приказом ФСТЭК России от 22.12.2017 N 236.
13. ГОСТ Р 52448-2005 "Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения".
14. Правила оказания телематических услуг связи, утв. постановлением Правительства Российской Федерации от 31.12.2021 N 2607.
15. Правила оказания услуг связи по передаче данных, утв. постановлением Правительства Российской Федерации от 31.12.2021 N 2606.
16. Правила оказания услуг телефонной связи, утв. постановлением Правительства Российской Федерации от 30.12.2024 N 1994.
17. Концепция управления качеством связи в Российской Федерации. Министерство связи и массовых коммуникаций Российской Федерации (проект от 2015 г.).
18. Требования к порядку ввода сетей электросвязи в эксплуатацию, утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 18.02.2022 N 132.
18. ОК 006-2011. Общероссийский классификатор органов государственной власти и управления" (утв. приказом Росстандарта от 26.04.2011 N 60-ст) (ред. от 26.09.2024).
О СОЗДАНИИ КОМИССИИ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ,
ПРИНАДЛЕЖАЩИХ СУБЪЕКТАМ КИИ В СФЕРЕ СВЯЗИ
О создании комиссии по категорированию объектов критической информационной инфраструктуры "наименование Субъекта КИИ в сфере связи" |
В соответствии с требованиями Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", Постановления Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений", а также в целях исполнения Положения о работе Комиссии по категорированию объектов критической информационной инфраструктуры наименование субъекта КИИ в сфере связи, утвержденного Приказом наименование Субъекта КИИ в сфере связи от "XX" XX 202X г. N XXXX, | |
Утвердить состав постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры "наименование Субъекта КИИ в сфере связи (Приложение N 1 к настоящему Приказу, далее - Комиссия). | |
Назначить заместителем председателя Комиссии "Должность" "ФИО". | |
Членам Комиссии при необходимости привлекать работников структурных подразделений наименование Субъекта КИИ в сфере связи для реализации требований настоящего Приказа. | |
"Должность" "ФИО" осуществлять правовое сопровождение деятельности Комиссии. | |
Контроль за исполнением настоящего Приказа оставляю за собой. | |
субъекта КИИ в сфере связи" |
ПО ЗАПОЛНЕНИЮ СОДЕРЖАТЕЛЬНОЙ ЧАСТИ ФОРМЫ НАПРАВЛЕНИЯ
СВЕДЕНИЙ О РЕЗУЛЬТАТАХ КАТЕГОРИРОВАНИЯ ДЛЯ ТОКИИ,
ПРИНАДЛЕЖАЩИХ СУБЪЕКТАМ КИИ В СФЕРЕ СВЯЗИ
Условные обозначения, используемые в таблицах ниже (Таблицы N 13 - 21):
- {текст} - сведения, которые должны быть заменены Субъектом КИИ в сфере связи на реальные.
- [текст] - сведения, не подлежащие отражению в заполненной Субъекта КИИ в сфере связи форме (комментарий для заполняющего лица).
- <текст> - сведения, требующие выбора Субъектом КИИ в сфере связи из предложенных вариантов (неприменимые варианты удаляются Субъектом КИИ в сфере связи).
Сведения об объекте КИИ
Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети) | [Указывается наименование ИС/АСУ ТП/ИТС. Может использоваться произвольное наименование, основные критерии: - оно должно быть уникальным в рамках Организации и однозначно идентифицировать систему; - данное название должно использоваться во всех документах, касающихся данной системы] {Системы мониторинга и управления центральными станциями (HUB) и сетями VSAT (Космическая связь) технологических сетей связи, присоединенных к сети связи общего пользования} | |
Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта | [Подразделение/филиал/представительство: Адрес: - почтовый индекс; - название республики, края, области, автономного округа (области); - название населенного пункта (города, поселка и т.п.); - название улицы, номер дома, номер корпуса.] | |
Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" | ||
[Указывается задача/цель функционирования объекта] {Предназначена для круглосуточного мониторинга центральными станциями и сетями VSAT технологических сетей связи, присоединенных к сети связи общего пользования в городе Москва} | ||
Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть) | [Указываются к какому типу относится объект п. 1 - информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть] {Информационная система} | |
Архитектура объекта (одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура) | [Выбирается тип архитектуры из указанных вариантов или приводится уточнение их вариаций: одноранговая сеть, клиент-серверная система, "тонкий клиент", сеть передачи данных, SCADA система, распределенная система управления или иная архитектура] {Клиент-серверная система} |
Сведения о Субъекте КИИ
Сведения о взаимодействии объекта
КИИ и сетей электросвязи
Сведения о лице, эксплуатирующем
объект КИИ
Наименование юридического лица или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, эксплуатирующего объект | эксплуатантов] 1. Наименование Субъекта КИИ в сфере связи [если субъект КИИ в сфере связи сам эксплуатирует объект КИИ] 2. Название юридического лица [если оно эксплуатирует объект КИИ]. Фамилия, имя, отчество индивидуального предпринимателя [если он эксплуатирует объект КИИ] {ПАО "Связь} | |
Адрес местонахождения юридического лица или адрес места жительства индивидуального предпринимателя, эксплуатирующего объект | [Указывается последовательно с учетом введенной в п. 4.1. сквозной нумерации эксплуатантов] [1. Адрес: название улицы, номер дома; - название населенного пункта (города, поселка и т.п.); - название района; - название республики, края, области, автономного округа (области); - почтовый индекс 2. Адрес: ...] | |
Элемент (компонент) объекта, который эксплуатируется лицом (центр обработки данных, серверное оборудование, телекоммуникационное оборудование, технологическое, производственное оборудование (исполнительные устройства), иные элементы (компоненты) | [Указывается последовательно с учетом введенной в п. 4.1. сквозной нумерации эксплуатантов] Указываются соответствующие компоненты/сегменты/зоны ответственности в случае, если эксплуатацией объекта занимается лицо, отличающееся от субъекта КИИ. В случае, если эксплуатацию осуществляет субъект КИИ - указывается "объект целиком эксплуатируется субъектом"] {Объект эксплуатируется целиком} | |
ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта | [Указываются соответствующие ИНН субъекта и КПП его обособленных подразделений в которых размещаются сегменты распределенного объекта] | |
{КПП 12345} |
Сведения о программных
и программно-аппаратных средствах,
используемых на объекте КИИ
Сведения об угрозах безопасности
информации и категориях нарушителей
в отношении объекта КИИ
Возможные последствия в случае
возникновения КИ
Категория значимости, которая присвоена
объекту КИИ или сведения об отсутствии
необходимости присвоения одной из категорий
значимости, а также сведения о результатах
оценки показателей критериев значимости
Организационные и технические меры,
применяемые для обеспечения безопасности
значимого объекта КИИ
Организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта) | [Указывается существующий перечень организационных мер защиты] {Разработан комплект документов, регламентирующий обеспечение безопасности объектов КИИ в соответствии с мерами из Требований по обеспечению безопасности значимых объектов КИИ РФ, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. N 239. - Организация и обеспечение безопасности контролируемой зоны; - Учет и контроль съемных носителей - Проведение инструктажей и обучения пользователей по вопросам ИБ} | |
Технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с требованиями по обеспечению безопасности значимых объектов | [Указывается существующий перечень технических мер защиты в соответствии с мерами из Требований по обеспечению безопасности значимых объектов КИИ РФ, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. N 239.] {- АВЗ.1, АВЗ.2 - средство антивирусной защиты Kaspersky Endpoint Security 10, сертификат соответствия ФСТЭК N 3025; - СОВ.1, СОВ.2 - Check Point Security Gateway версии R77.10, соответствия ФСТЭК N 3634; - ОДТ.4 - резервное копирование защищаемой информации на отказоустойчивой СХД HP C8R15A.} |
По решению Субъекта КИИ в сфере связи, исходя из особенностей организации бизнес-процессов Субъекта КИИ в сфере связи, перечень критических процессов и применимость к ним показателей значимости может быть изменена.
Список типовых критических процессов,
нарушение или прекращение которых может
привести к аварийным ситуациям
и недопустимым событиям
Классификация типа по ПП N 127 | Применимость показателей значимости по ПП N 127 к процессам | |||||||||
Прекращение или нарушение функционирования сети связи, оцениваемое по количеству абонентов, для которых могут быть недоступны услуги связи | Возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период) | Прекращение или нарушение выполнения функций по переводу денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся оператором услуг информационного обмена (некредитной организацией), который оценивается количеством заключенных договоров с кредитными организациями | ||||||||
Организация планирования, учета и контроля наличия и состояния сетей, оборудования и линий связи в целях обеспечения бесперебойной работы объектов связи. Проведение планирования развития сети, мониторинга, учета в информационных системах | ||||||||||
Формирование оперативных планов развития сети в соответствии с данными мониторинга, бюджетами, анализа ресурсов сети. Определение показателей эффективности плана (пропускная способность сети, затраты на эксплуатацию сети, затраты на развитие сети, протяженность работоспособной сети и др.). Разработка направлений развития и выбор технологических решений | ||||||||||
Разработка и согласование требований к оборудованию (маршрутизаторов узлов связи, коммутаторов доступа, устройств включения/переключения/отключения услуг связи, станций, серверов и т.д.). Доставка, установка/инсталляция, тестирование, ввод в эксплуатацию, регистрация в информационных системах учета | ||||||||||
Определение метрик и условий сбора данных мониторинга, контроль состояния сетей связи, объектов и оборудования. Подготовка, внедрение, поддержка и развитие информационных систем обработки и анализа данных для мониторинга сетей и оборудования. Настройка уведомлений о событиях на сетях связи, изменениях в параметрах эксплуатации | ||||||||||
Определение показателей характеризующих состояние сетей и объектов связи в различных разрезах. Подготовка аналитик и отчетов по параметрам сети и качеству сервисов, отчетность для руководства организации и контрольных (надзорных) органов. Подготовка рекомендация) или запросов на экспертную проработку решений) по результатам анализа для модернизации/оптимизации систем управления сетями | ||||||||||
Определение (идентификация) объектов, оборудования и линий связи, подлежащих списанию в соответствии с текущими планами развития сети, бюджетами и имеющимися ресурсами | ||||||||||
Создание и поддержка систем планирования, учета и анализа ресурсов, обеспечивающих функционирование сетевой инфраструктуры | ||||||||||
Материально-техническое обеспечение объектов, оборудования и линий связи | Планирование, подготовка к приобретению, размещению и использованию материальных ресурсов, необходимых для эксплуатации объектов, оборудования и линий связи. Подготовка функциональных требований к материалам/инструментам/устройствам. Постановка на учет, хранение и защита от повреждений и потерь, проведение инвентаризации запасных частей, инструментов и принадлежностей эксплуатирующих подразделений | |||||||||
Метрологическое обеспечение оборудования, объектов и линий связи | Планирование, проведение, учет и контроль измерения и испытания оборудования, объектов, сетей и линий связи, включая мероприятия по поверке и калибровке средств измерений в соответствии со стандартами и нормами метрологии и требованиями системы менеджмента качества | |||||||||
Планирование профилактического обслуживания, частичной замены, модернизации, контроля соответствия эксплуатируемых элементов сети предъявляемым к ним требованиям с целью повышения отказоустойчивости сетевой инфраструктуры и улучшений качества предоставляемых услуг | ||||||||||
Организация системы своевременного обнаружения сбоев, отказов, повреждений, аварий и других нарушений эксплуатации объектов сетевой инфраструктуры, обеспечения формирования наряда и организации выезда бригад, выполнения работ по локализации, исправлению и устранению/минимизации негативных последствий, контроль качества исполнения/закрытия нарядов, а также пост-анализ проведения работ и подготовка рекомендаций для эксплуатирующих подразделений | ||||||||||
Построение и функционирования системы регистрации, анализа и реагирования на инциденты на сетях связи, определение порядка обработки информации с участием различных подразделений и координирующего Ситуационного центра | ||||||||||
Первичная диагностика и регистрация сетевого инцидента, принятие решений о необходимости информирования ситуационного центра, проверка наличия ранее зарегистрированного инцидента, соответствующего текущему. Обработка и передача информации об инциденте: классификация, анализ затронутых сервисов, определение зоны ответственности, формирование и маршрутизация заявки на решение | ||||||||||
Проведение мероприятий по исполнению заявки на решение сетевого инцидента в соответствии с его классификацией, зоной ответственности. Устранение неисправности, регистрация в информационных системах результата выполненных работ, информирование эксплуатирующего подразделения о закрытии заявки на решение сетевого инцидента | ||||||||||
Контроль по системам учета и мониторинга полноты выполненных работ по устранению неисправностей, определение системных причин, оценка соблюдения порядка и сроков решения инцидентов | ||||||||||
Организация взаимодействия с потенциальными клиентами в целях обеспечения заключения с ними договоров на оказание услуг в соответствии как с их потребностями, ожиданиями и интересами, так и техническими/технологическими возможностями организации | ||||||||||
Структурирование каналов продаж и подключения услуг на основе сегментации клиентов, технологических характеристик продуктов/услуг, географии и системы взаимоотношений с контрагентами. Формирование систем для информационного и документационного обеспечения продаж и подключения услуг | ||||||||||
Формирование заказа, выбор параметров продуктового предложения | Проведение работ по формированию заказа на продажу и подключение услуг: коммуникация с клиентом, выбор услуги/продукта/сервиса, регистрация обращения, автоматическая проверка технической возможности, проверка на дубли, выбор/создание лицевого счета, выбор абонентского оборудования (при необходимости) | |||||||||
Подтверждение/уточнение технической возможности подключения услуги, проверки на ограничения/стоп-факторы, выбор варианта предоставления оборудования при необходимости (аренда, продажа, продажа в рассрочку), организация доставки/инсталляции оборудования при необходимости | ||||||||||
Формирование документов, определение и согласование с клиентом порядка оплаты заказа (стартового платежа), инсталляция оборудования и его тестирование при необходимости, регистрация в информационных системах данных о выполнении заказа на подключение услуги | ||||||||||
Организация и проведение расчетов клиентами за оказание услуг связи в соответствии с выбранными моделями тарификации, способа оплаты и методами сбора данных в ходе оказания услуги. Формирование и доставка соответствующих документов | ||||||||||
Сбор и загрузка данных и их атрибутов для корректной тарификации по продуктам/услугам, получение данных с оборудования и сетей, агрегация, фильтрация и предварительная обработка данных в центре хранения данных | ||||||||||
Расчет, тарификация, формирование счетов на оплату (абонентской платы/постоплаты/других). Выбор шаблона документа, формирование, проверка (и исправление ошибок) | ||||||||||
Проверка, размещение/печать и доставка счетов/платежных документов клиенту/агенту. Обеспечение доставки счетов и электронных документов. Выполнение контрольных мероприятий | ||||||||||
Организация обмена данными и информацией по корректировкам/изменениям данных по оплате (реквизитов, способа оплаты/способа доставки). Организация сбора задолженности. Предоставление рассрочки/отсрочки, услуги "обещанный платеж", детализации, слияние/разделение лицевых счетов | ||||||||||
Организация обмена информацией с клиентом по вопросам: статуса его подключенных услуг, тарифов, акций, дополнительных услуг, а также баланса/задолженности, запросов на обслуживание и на решение технических проблем, претензий к объему и качеству услуг | ||||||||||
Прием и регистрация вопрос/обращения, идентификация канала обращения (горячая линия, личный кабинет, соцсети и т.д.), определение тематики обращения, поиск информации, оформление и передача ответа клиенту | ||||||||||
Организация работы 1, 2, 3 линии техподдержки. Прием и регистрация обращений, диагностика, формирование заданий в системах маршрутизации задач другим подразделениям, мониторинг выполнения, перевод (эскалация) на следующую линию при необходимости | ||||||||||
Регистрация и маршрутизация поступающих претензий, обработка: анализ ситуации, взаимодействие с клиентом, подготовка и оформление заданий на дополнительные работы/устранение недостатков, подготовка ответа клиенту по его претензии, внесение данных в информационные системы | ||||||||||
Организация предоставления услуг клиентам, обеспечение предоставления услуги от старта до окончания на основании запроса клиента | ||||||||||
Прием и получение запросов клиентов на дополнительные услуги и (или) изменение их параметров, в том числе смену учетных данных, замену номера или технологии, блокировку/разблокировку, отказ | ||||||||||
Анализ и определение характеристик каналов и оборудования для расширения спектра услуг для клиента, замены услуг, оценка существующих и перспективных вариантов решения | ||||||||||
Предпродажная подготовка, расчет вариантов работ (в том числе монтажа/ демонтажа оборудования и строительства/модернизаци и сети) | ||||||||||
Заключение дополнительного соглашения с клиентом и изменение параметров услуги | Подготовка и согласование с клиентом договора (соглашения), организация реализации соответствующего технического решения (в т.ч. строительно-монтажные работы, закупка, монтаж/демонтаж оборудования, приемо-сдаточные испытания, отражение изменений в информационных системах учета) | |||||||||
Оформление расторжения договора (соглашения), отключение/деактивация услуги и высвобождение ресурсов, отражение изменений в информационных системах учета | ||||||||||
Организация и функционирование системы, обеспечивающей долгосрочное управление организацией | ||||||||||
Формулирование долгосрочных целей, ключевых ценностей и принципов; создание и согласование миссии и видения, а также способов их внедрения во все аспекты управления, включая стратегическое планирование, принятие решений и операционную деятельность | ||||||||||
Анализ существующих и потенциальных возможностей сетей связи, технологий, услуг, рыночных стратегий конкурентов, потребностей и ожиданий целевой аудитории клиентов и заинтересованных лиц, условий и ограничений | ||||||||||
Выбор стратегии, формирование и реализация стратегических планов и программ | Определение и оценка путей достижения долгосрочных целей (направлений развития), определение ключевых элементов бизнес-модели, сравнение основных вариантов стратегии с точки зрения их влияния на ключевые элементы, выбор стратегии, детализация стратегических планов, построения системы мониторинга реализации/корректировки стратегии | |||||||||
Организация управления развитием продуктовой линейки и соответствующих тарифных планов, в том числе управления жизненным циклом продукта от идеи до коммерческой эксплуатации, в целях обеспечения прибыльности и конкурентоспособности продуктов на рынке | ||||||||||
Организация сопровождения жизненного цикла продукта: инициация, сбор и оценка идей, принятие решения о создании/изменении продукта и расчет модели окупаемости, пилотирование, проектирование (в т.ч. разработка продуктовой спецификации), тестирование, коммерческая эксплуатация, перевод в архив/закрытие продукта | ||||||||||
Определение принципов и порядка тарифообразования - установления тарифов на услуги связи и телекоммуникации. Определение ценовой стратегии на базе анализа конкурентов и сегментации целевой аудитории. Разработка и внедрение тарифных планов и условий предоставления услуг, а также мониторинг эффективности тарифной политики | ||||||||||
Организация системы, обеспечивающей реализацию стратегии роста и расширения деятельности организации за счет оптимизации инвестиций, привлечения капитала, исследования потенциала и перспектив развития и повышения удовлетворенности клиентов | ||||||||||
Управление капиталом, управление инвестициями, привлечение/размещение денежных средств | ||||||||||
Управление процедурами подготовки и проведения сделок по слиянию и поглощению. Идентификация и анализ потенциальных кандидатов, оценка их финансового состояния, потенциала и рисков, разработка условий сделки, проведение и постанализ интеграции | ||||||||||
Обеспечение разработки инноваций в целях повышения конкурентоспособности и улучшения качества продуктов и услуг. Проведение исследований, экспериментов, тестирования новых идей, технологий и концепций | ||||||||||
Разработка и реализация мероприятий по информированию клиентов об услугах/продуктах, анализ целевой аудитории, организация и проведение постоянных и разовых акций по привлечению/удержанию/повышению лояльности клиентов | ||||||||||
Организация системы планирование, контроля и анализа финансовой деятельности организации, управление доходов и расходов, обеспечение финансовой устойчивости | ||||||||||
Определение экономической стратегии, анализ и контроль макро- и микроэкономических показателей | ||||||||||
Планирование, анализ и контроль финансовых показателей, взаимодействие с кредитными организациями, банками, факторинговыми и лизинговыми компаниями, порядок планирования и управления денежными потоками, а также работа с дебиторской задолженностью | ||||||||||
Организация системы учета, анализа и контроля расчетов, в т.ч. ввода в информационные системы первичных финансовых документов, проведение операций, формирования бухгалтерской, налоговой, корпоративной и прочих видов отчетности в соответствии с принятыми политиками, стандартами и требованиями законодательства | ||||||||||
Формирование системы обеспечения на базе анализа потребностей в товарах и услугах для деятельности организации. Поиск и оценка поставщиков, разработка планов и бюджетов закупок, оформление закупочной документации, размещение на площадках/платформах закупок, мониторинг конкурентных торгов и закупок у единственного поставщика, анализ ценовых предложений участников закупочной процедуры, согласование цен и сроков. Анализ эффективности закупочной деятельности | ||||||||||
Организация системы оформления, оплаты, приемки, размещения и доставки в соответствии с контрактами с поставщиками товаров и услуг | ||||||||||
Управление рисками, комплаенс, непрерывностью и устойчивостью | Управление рисками, комплаенс, непрерывностью и устойчивостью | Формирование и обеспечение функционирования систем, нацеленных на эффективность, устойчивость и повышение качества | ||||||||
Управление рисками, комплаенс, непрерывностью и устойчивостью | Идентификация, классификация, оценка (расчет) рисков, моделирование, выявление ключевых индикаторов риска. Формирование и реализации стратегии воздействия, планирование мер и мероприятий и корректирующих действий. Реализация риск-ориентированного подхода к построению систем управления | |||||||||
Управление рисками, комплаенс, непрерывностью и устойчивостью | Обеспечение регламентации деятельности в целях соблюдений норм и требований законодательства, нормативно-правовых актов в области регулирования предпринимательской деятельности, связи и телекоммуникаций, а также гражданского, административного, финансового, трудового права | |||||||||
Управление рисками, комплаенс, непрерывностью и устойчивостью | Управление непрерывностью (определение критичных систем, формирование планов восстановления) | Анализ и систематизация проблем, угроз и негативных последствий в целях идентификации критичных для деятельности организации систем, процессов, технологий. Разработка системы индикаторов/данных, мониторинг которых необходим для обеспечения своевременного реагирования и нейтрализации негативного воздействия. Формирование и реализация планов восстановления на базе различных сценариев | ||||||||
Управление рисками, комплаенс, непрерывностью и устойчивостью | Планирование, сбор, анализ показателей/метрик, характеризующих степень выполнения поставленных задач | |||||||||
Управление рисками, комплаенс, непрерывностью и устойчивостью | Построение и обеспечение развития системы менеджмента качества, нацеленной на удовлетворение потребностей и ожиданий потребителей и контрагентов, повышение удовлетворенности продуктами/услугами/сервисами | |||||||||
Управление рисками, комплаенс, непрерывностью и устойчивостью | Проведение независимой объективной проверки выполнения планов деятельности организации и ее подразделений (блоков) в соответствии с поставленными целями, предоставленными ресурсами (бюджетами), заданными условиями и ограничениями, в установленном порядке согласно внутренним нормативным документам. Выработка рекомендаций по повышению эффективности систем внутреннего контроля, управления рисками и корпоративного управления | |||||||||
Формирование и обеспечение функционирования систем, направленных на защиту от угроз и рисков физического, экономического ущерба, информационной безопасности, коммерческой тайны и тайны связи, рисков нарушения законодательства | ||||||||||
Построение комплексной системы защиты информационных ресурсов, нацеленной на предупреждение, предотвращение рисков и угроз, своевременное выявление уязвимостей информационных систем, локализацию инцидентов, отражение кибератак и других мер защиты в целях обеспечения устойчивого развития и выполнения норм и требований контрольных (надзорных) органов | ||||||||||
Формирование системы профилактики коррупции, хищения активов, искажения отчетности и других рисков и угроз финансовой устойчивости. Мониторинг событий и сделок в соответствии с законодательством о противодействии коррупции и ПОД/ФТ | ||||||||||
Организация системы мер и мероприятий по предотвращению нарушений установленных правил доступа на объекты и сооружения связи, преднамеренных и непреднамеренных повреждений и утрат товарно-материальных ценностей | ||||||||||
Формирование и обеспечение функционирования систем, направленных на планирование, приобретение, распределение, перемещение, ведение учета и отчетности по использованию различных видов ресурсов (финансовых, человеческих, информационных, материальных) для деятельности | ||||||||||
Организация системы сбора, структурирования и оформления бюджетных планов организации связи и ее единиц, порядок подготовки, согласования, утверждения и мониторинга и анализа исполнения планов и бюджетов | ||||||||||
Формирование системы обеспечения деятельности организации человеческими ресурсами в необходимом количестве, с нужными компетенциями, в соответствующие сроки. Планирование и бюджетирование ФОТ. Организация обучения и развития персонала | ||||||||||
Обеспечение функционирования системы охраны труда: необходимых предупреждающих и (или) реагирующих действий исходя из оценки существенности профессиональных рисков. Координация взаимодействия с государственными системами обеспечения ГО и ЧС | ||||||||||
Поддержка делопроизводства и документооборота, сопровождение информационных систем создания, маршрутизации, согласования, рассылки, хранения, мониторинга, актуализации, архивирования корпоративных документов | ||||||||||
Формирование и обеспечение функционирования системы обеспечения офисов необходимыми товарами, материалами, оргтехникой, инструментами, транспортом. Организация и сопровождение сервисов снабжения, управления складскими запасами, планирования и учет материальных ресурсов | ||||||||||
Планирование и проведение работ по строительству, реконструкции и ремонту зданий, строений и сооружений, их инженерному оборудованию, коммуникациям, условиям эксплуатации. Приобретение, оформление прав и учет коммерческой, офисной, производственной и других типов недвижимости | ||||||||||
Управление процедурами обеспечения деятельности необходимыми ресурсами в сфере ИТ (оборудование, техника, информационные системы, общее, прикладное, специализированное ПО), поддержка эксплуатации информационных ресурсов, управление разработкой, инцидентами, поддержка пользователей и т.д. | ||||||||||
Определение групп заинтересованных сторон, оценка их влияния на деятельность организации и влияния деятельности организации на них. Построение системы информационного обмена с заинтересованными сторонами, разработка принципов раскрытия информации, определение приоритетных каналов коммуникации, реализация политик в соответствии с правилами корпоративного управления и социальной ответственности | ||||||||||
Определение, мониторинг и анализ интересов общества и его основных групп в целях разработки оптимальной стратегии информирования о целях, задачах, перспективах развития и других аспектах деятельности организации. Планирование и проведение мероприятий по информированию о значимых событиях и достижениях | ||||||||||
Взаимодействие с регулирующими и контролирующими органами и органами власти | Планирование, организация каналов коммуникации и реализация информационного обмена в соответствии с условиями и требованиями контрольных (надзорных) органов. Участие в проектах и программах в общих интересах организации и органов власти | |||||||||
Организация, проведение, учет экспортно-импортных операций. Обеспечение деятельности на мировом рынке | ||||||||||
Примеры АС с привязкой
к предоставляемым услугам связи
Перечень ТОКИИ,
функционирующих в сфере связи
Код ОКВЭД2 | Осуществляемые критические процессы типовым отраслевым объектом КИИ | |||
Автоматизированные системы управления и мониторинга сетей электросвязи/Системы управления сетью (Network Management Systems (NMS))/Системы мониторинга и управления центральными станциями (HUB) и сетями VSAT (Космическая связь) в составе сети связи общего пользования | Системы, предназначенные для управления и мониторинга сетей электросвязи | 60 - Деятельность в области телевизионного и радиовещании 61 - Деятельность в сфере телекоммуникации 63 - Деятельность в области информационных технологий | Автоматизация и информационное обеспечение работников Субъекта КИИ в сфере связи в рамках задач управления неисправностями (инцидентами), контроль выполнения задач по устранению неисправностей. В т.ч.: - Осуществление удаленного контроля данных в реальном времени. - Обеспечение взаимодействия сервисов. - Оперативно-технологическое управление. - Управление технологическим состоянием. | |
Системы, обеспечивающие мониторинг абонентского оборудования сетей электросвязи | ||||
Системы, обеспечивающие управление системы централизованного управления оборудованием | ||||
Автоматизированные системы управления и мониторинга сетей электросвязи/Системы управления сетью (Network Management Systems (NMS))/Системы мониторинга и управления центральными станциями (HUB) и сетями VSAT (Космическая связь) в составе выделенных сетей связи | Системы, обеспечивающие управление сегмента управления активным сетевым оборудованием региональной сети передачи данных | Автоматизация и информационное обеспечение работников Субъекта КИИ в сфере связи в рамках задач мониторинга. В т.ч.: - Обеспечение непрерывного мониторинга объектов сетей электросвязи и абонентского оборудования. - Оповещение и выполнение защитных действий при обнаружении проблем предоставления услуг на сетях связи. | ||
Системы, обеспечивающие управление предоставлением сотовой связи | ||||
Автоматизированные системы управления и мониторинга сетей электросвязи/Системы управления сетью (Network Management Systems (NMS))/Системы мониторинга и управления центральными станциями (HUB) и сетями VSAT (Космическая связь) технологических сетей связи, присоединенных к сети связи общего пользования | Системы, обеспечивающие мониторинг абонентского обслуживания | - Осуществление сбора и хранения данных о различных параметрах, связанных с предоставлением услуг на сетях связи. | ||
Системы взаимодействия и управления внешними устройствами и инфраструктурой электросвязи | ||||
Автоматизация и информационное обеспечение работников Субъекта КИИ в сфере связи в рамках задач управления конфигурациями. В т.ч.: - Обеспечение сбора и анализа данных, поступающих в региональную сеть передачи данных. - Обеспечение сбора и передача технологической информации. | ||||
Автоматизированные системы управления и мониторинга сетей электросвязи/Системы управления сетью (Network Management Systems (NMS))/Системы мониторинга и управления центральными станциями (HUB) и сетями VSAT (Космическая связь) в составе сетей связи специального назначения | Автоматизация и информационное обеспечение работников Субъекта КИИ в сфере связи в рамках задач управления производительностью. В т.ч.: - Обеспечение регистрации текущих и итоговых показателей системы. - Формирует и реализует сигналы управления, обеспечивающие ведение оптимального режима. - Корректирует алгоритмы функционирования при изменениях условий работы оборудования. | |||
Автоматизация и информационное обеспечение работников Субъекта КИИ в сфере связи в рамках задач управления изменениями. В т.ч.: - Обеспечение сбора и хранения данных. - Проведение предварительного анализа информации и ее отправка (при необходимости). - Формирование программ переключений | ||||
Выделенные транзитные пункты сигнализации (Signaling Transfer Point (STP)/Diameter Routing Agent (DRA)) сети связи общего пользования | Системы, обеспечивающие управление выделенными транзитными пунктами сигнализации | 60 - Деятельность в области телевизионного радиовещания | Управление сетью сигнализации. обработка сообщений сигнализации. Обеспечение передачи сигнального трафика, маршрутизация сигнальных сообщений. | |
Выделенные транзитные пункты сигнализации (Signaling Transfer Point (STP)/Diameter Routing Agent (DRA)) выделенных сетей связи | 61 - Деятельность в сфере телекоммуникаций | |||
63 - Деятельность в области информационных технологий | Осуществление защиты от несанкционированного доступа в сеть общеканальной сигнализации N 7. Осуществление учета сигнального графика для взаиморасчетов между операторами связи. | |||
Выделенные транзитные пункты сигнализации (Signaling Transfer Point (STP)/Diameter Routing Agent (DRA)) технологических сетей связи, присоединенных к сети связи общего пользования | ||||
Выделенные транзитные пункты сигнализации (Signaling Transfer Point (STP)/Diameter Routing Agent (DRA)) сетей связи специального назначения | ||||
Выделенные сети передачи данных для управления и мониторинга сетей электросвязи (Data Communication Network (DCN) сетей общего пользования | Системы, обеспечивающие передачу данных для управления и мониторинга сетей электросвязи | 60 - Деятельность в области телевизионного радиовещания | Обеспечение передачи данных информации между автоматизированными системами управления и мониторинга сетей связи и объектами управления (обработка (передача) информации). | |
61 - Деятельность в сфере телекоммуникаций | ||||
63 - Деятельность в области информационных технологий | ||||
Выделенные сети передачи данных для управления и мониторинга сетей электросвязи (Data Communication Network (DCN)) выделенных сетей связи | ||||
Выделенные сети передачи данных для управления и мониторинга сетей электросвязи (Data Communication Network (DCN)) технологических сетей связи, присоединенных к сети связи общего пользования | ||||
Выделенные сети передачи данных для управления и мониторинга сетей электросвязи (Data Communication Network (DCN)) сетей связи специального назначения | ||||
Системы, обеспечивающие управление инфраструктурой подвижной спутниковой связи сети общего пользования | 61.3 - Деятельность в области спутниковой связи | Обеспечение связи между земными станциями, которые могут быть как стационарными, так и подвижными. Обеспечение трансляции информации с одного пункта на другой. | ||
Системы, обеспечивающие управление инфраструктурой подвижной спутниковой связи выделенных сетей связи | ||||
Системы, обеспечивающие управление инфраструктурой подвижной спутниковой связи технологических сетей связи, присоединенных к сети связи общего пользования | ||||
Системы, обеспечивающие управление инфраструктурой подвижной спутниковой связи сетей связи специального назначения | ||||
61.10.1 - Деятельность по предоставлению услуг телефонной связи | Распознавание инициации вызова. Передача сигнала готовности к приему информации (длинный гудок). Прием данных о набираемом номере и их запоминание. Идентификация вызываемого абонента и его поиск. Проверка канала связи и либо соединение с абонентом, либо передача вызывающему сигнала, что линия занята (короткие гудки). Принятие информации о завершении соединения и разрыв связи. Обеспечение записи разговоров. Ограничение доступа к платным сервисам и междугородней связи. Обеспечение записи и хранения информации о вызываемых номерах и длительности соединения. Обеспечение конференцсвязи. Обеспечение переадресации вызовов. Обеспечение подключение к системе оповещения по громкой связи. Объединение нескольких автоматических телефонных станций в одну сеть. | |||
61.10.1 - Деятельность по предоставлению услуг телефонной связи | Обеспечение предоставления услуг телефонной связи. Обеспечение передачи телефонных и нетелефонных сообщений в пределах страны и международной сети. | |||
Системы, обеспечивающие управление оборудованием телеграфного комплекса | 61.10 - Деятельность в области связи па базе проводных технологий | Обеспечение эффективного использования телеграфных сетей, передачи наиболее важных сообщений. Обеспечение наилучшего возможного качества обслуживания отдельных арендаторов и потребителей в любых условиях работы сетей. | ||
Системы, входящие в состав узла связи, обеспечивающие идентификацию и аутентификацию (опорного регистра местонахождения и центра аутентификации HLR/AuC) абонентов подвижной радиосвязи. | Системы, обеспечивающие управление предоставлением абонентам услуг подвижной радиосвязи. | 61.10.1 - Деятельность по предоставлению услуг телефонной связи | Обеспечение идентификации и аутентификации абонентов подвижной радиосвязи. |
ПО ЗАПОЛНЕНИЮ АКТА ПО ИТОГАМ КАТЕГОРИРОВАНИЯ ОБЪЕКТА КИИ,
ПРИНАДЛЕЖАЩЕГО СУБЪЕКТУ КИИ В СФЕРЕ СВЯЗИ
"Должность руководителя
Субъекта КИИ в сфере связи"
__________________ "ФИО"
категорирования объекта критической информационной
инфраструктуры "Полное наименование объекта КИИ"
Комиссия по категорированию объектов критической информационной инфраструктуры "наименование Субъекта КИИ в сфере связи", назначенная Приказом от XX.XX.202X N XXXX "О создании комиссии по категорированию объектов критической информационной инфраструктуры "наименование Субъекта КИИ в сфере связи" (далее - Комиссия) в соответствии с требованиями Федерального закона от 26.07.2017 N 187 "О безопасности критической информационной инфраструктуры Российской Федерации", постановления Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" по результатам заседания:
1. Определила сведения об объекте КИИ (Приложение N 1), который обрабатывает информацию, необходимую для обеспечения критических процессов "наименование Субъекта КИИ в сфере связи".
2. Оценила масштаб возможных последствий в случае возникновения компьютерных инцидентов на объект КИИ в соответствии с перечнем показателей критериев значимости (Приложение N 2).
По результатам проделанной работы принято решение "о присвоении "__" категории значимости"/об отсутствии необходимости присвоения категорий значимости" объекту КИИ "полное наименование объекта КИИ".
к Акту категорирования объекта
критической информационной инфраструктуры
"Полное наименование объекта КИИ"
от "__" ______ 20__ г.
Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети) | Указывается наименование ИС/АСУ ТП/ИТС. Может использоваться произвольное наименование, основные критерии: - оно должно быть уникальным в рамках Организации и однозначно идентифицировать систему; - данное название должно использоваться во всех документах, касающихся данной системы Например: {Системы мониторинга и управления центральными станциями (HUB) и сетями VSAT (Космическая связь) технологических сетей связи, присоединенных к сети связи общего пользования} | |
Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта | Подразделение/филиал/представительство: Адрес: - почтовый индекс; - название республики, края, области, автономного округа (области); - название населенного пункта (города, поселка и т.п.); - название улицы, номер дома, номер корпуса. Например: {127427, ЦФО, г. Москва, ул. Связи, дом 36, корпус. 5} | |
Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" | ||
Указывается задача/цель функционирования объекта Например: {Предназначена для круглосуточного мониторинга центральными станциями и сетями VSAT технологических сетей связи, присоединенных к сети связи общего пользования в городе Москва} | ||
Тип объекта (информационная система, автоматизированная система управления или информационно-телекоммуникационная сеть) | {Информационная система} |
к Акту категорирования объекта
критической информационной инфраструктуры
"Полное наименование объекта КИИ"
от "__" ______ 20__ г.
о результатах оценки показателей критериев значимости
Пример заполнения значения в случае, если показатель не применим | Пример заполнения значения в случае, если показатель применим | ||||
Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается примерное количество человек, которым может быть причинен ущерб жизни и здоровью. | {В состав "Наименование объекта КИИ" не входят элементы, которые могут в результате реализованных в их отношении компьютерных атак, оказать физическое, химическое, биологическое или психическое воздействие на анатомическую целостность или физиологические функции органов и тканей человека} | {Согласно паспорту безопасности опасного объекта, а также на основании анализа возможных негативных последствий развития инцидентов, связанных с компьютерными атаками, возможен сценарии чрезвычайной ситуации (вывод системы за пределы допустимых параметров работы с последующим возгоранием, а также механическим повреждениям и разрушений оборудования и производственных помещений), который может возникнуть на объекте, может привести к причинению ущерба жизни и здоровью порядка {количество} человек} | |||
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, оцениваемые: | |||||
а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается примерное количество человек, которым может быть причинен объектам обеспечения жизнедеятельности населения | {"Наименование объекта КИИ" не оказывает управляющие воздействия на автоматизируемый процесс и не оказывает влияние на возникновение аварийной ситуации на объекте} | {Нарушение функционирования "Наименование объекта КИИ" оказывает воздействие на обеспечение жизнедеятельности населения в количестве "_" человек, так как "Наименование объекта КИИ" участвует (или осуществляет управление, или мониторинг указанных процессов и оказывает на них влияние) в процессах обеспечения жизнедеятельности населения (в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений)} | ||
б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) | |||||
Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые: | |||||
а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается влияние на объекты транспортной инфраструктуры | {"Наименование объекта КИИ" не осуществляет управление, контроль и мониторинг процессов объектов транспортной инфраструктуры} | {Нарушение функционирования "Наименование объекта КИИ" оказывает влияние на нарушение объектов транспортной инфраструктуры, так как "Наименование объекта КИИ" участвует или осуществляет управление или мониторинг указанных процессов и оказывает на них влияние) в каких-либо процессах автоматизации объектов транспортной инфраструктуры} | ||
б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) | |||||
Прекращение или нарушение функционирования сети связи, оцениваемые по количеству абонентов, для которых могут быть недоступны услуги связи (тыс. человек) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается количество тыс. человек, которым может быть недоступна услуга связи. | {Недоступность "Наименование объекта КИИ" не сможет повлечь за собой прекращение или нарушение функционирования сети связи для "значения показателя"} | {Недоступность "Наименование объекта КИИ" может повлечь за собой прекращение или нарушение функционирования сети связи для "значения показателя"} | ||
а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается время, в течение которого будет недоступна государственная услуга. | {"Наименование объекта КИИ" не является системой, оказывающей государственные услуги и не обрабатывает информацию, обеспечивающую предоставление государственных услуг} | {"Наименование объекта КИИ" является системой, оказывающей государственные услуги и обрабатывает информацию, обеспечивающую предоставление государственных услуг. В случае нарушения функционирования "Наименование объекта КИИ" государственная услуга может быть недоступна для получателей такой услуги в течение "_" часов)} | ||
б) во времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом) | |||||
Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается время, в течении которого будет недоступна государственная услуга. | {"Наименование Субъекта КИИ в сфере связи" не является государственным органом} | {"Наименование Субъекта КИИ в сфере связи" является государственным органом. "Наименование объекта КИИ" обеспечивает функционирование государственных органов: - Правительство РФ; - } | ||
Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указываются международные договоры, которые могут быть сорваны | {"Наименование Субъекта КИИ в сфере связи" не является участником международных договоров Российской Федерации, и не планирует проведение переговоров или подписание международных договоров} | {"Наименование объекта КИИ" обеспечивает соблюдение условий международного договора Российской Федерации. В случае нарушения функционирования "Наименование объекта КИИ" "Наименование Субъекта КИИ в сфере связи" нарушит условия международных договоров Российской Федерации} | ||
Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший пятилетний период) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб субъекту КИИ в процентах от годового объема доходов субъекта КИИ, усредненного за прошедший пятилетний период, в случае нарушения функционирования объекта КИИ | {"Наименование Субъекта КИИ в сфере связи" не является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием} | {"Наименование Субъекта КИИ в сфере связи" является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием. В случае нарушения функционирования "Наименование объекта КИИ" "Наименование Субъекта КИИ в сфере связи" окажет ущерб субъекту КИИ, который является государственной корпорацией, оцениваемого в снижении уровня дохода в XX%} | ||
Возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб бюджету Российской Федерации, в случае нарушения функционирования объекта КИИ | {Возникновение компьютерных инцидентов на "Наименование объекта КИИ" не приведет к возникновению ущерба бюджету РФ} | {Нарушение функционирования "Наименование объекта КИИ" может привести к снижению доходов федерального бюджета на "число" млн. рублей (расчетная сумма выплат налогов, пошлин и иных отчислений в бюджет, которая будет не выплачена из-за остановки производства на прогнозируемый срок в 3 дня)} | ||
Прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оцениваемые среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование Субъекта КИИ в сфере связи" не является системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка} | {"Наименование Субъекта КИИ в сфере связи" является системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка. Сбой функционирования "Наименование объекта КИИ" может привести к прекращению или нарушению клиентами операций по осуществлению перевода денежных средств в размере "осуществляемых операций" (млн. единиц)"} | ||
Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом, среднедневной размер обязательств которого по передаче денежных средств в валюте Российской Федерации по итогам клиринга за последние 12 месяцев (трлн. рублей) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование Субъекта КИИ в сфере связи" не является центральным контрагентом} | {"Наименование Субъекта КИИ в сфере связи" является центральным контрагентом. Сбой функционирования "Наименование объекта может привести к прекращению или нарушению проведения операций по исполнению обязательств в размере "осуществляемых операций (трлн. рублей)"} | ||
Прекращение или нарушение проведения учетно-расчетных операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии (оцениваемые за последние 12 месяцев в тыс. штук) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование Субъекта КИИ в сфере связи" не является центральным депозитарием и регистратором финансовых транзакций} | {"Наименование Субъекта КИИ в сфере связи" является центральным депозитарием и регистратором финансовых транзакций. Сбой функционирования "Наименование объекта КИИ" может привести к прекращению или нарушению проведения учетно-расчетных операций, в размере "оцениваемые за последние 12 месяцев в тыс. штук)"} | ||
Прекращение или нарушение проведения операций по выплатам, передаче или размещению денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда (млрд. рублей) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование Субъекта КИИ в сфере связи" не является являющимся негосударственным пенсионным фондом} | {"Наименование Субъекта КИИ в сфере связи" является являющимся негосударственным пенсионным фондом. Сбой функционирования "Наименование объекта КИИ" может привести к прекращению или нарушению проведения операций по выплатам, передаче или размещению денежных средств операций, в размере "млрд. рублей)"} | ||
Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых субъектом критической информационной инфраструктуры, являющимся страховой организацией, оцениваемые объемом активов (млрд. рублей) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование Субъекта КИИ в сфере связи" не является центральным контрагентом} | {"Наименование Субъекта КИИ в сфере связи" является центральным контрагентом. Сбой функционирования "Наименование объекта КИИ" может привести к прекращению или нарушению проведения операций по выплатам, перестрахованию, инвестициям, в размере "млрд. рублей"} | ||
Прекращение или нарушение выполнения функций по переводу денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся оператором услуг информационного обмена (некредитной организацией), который оценивается количеством заключенных договоров с кредитными организациями | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование объекта КИИ" не выполняет функции по переводу денежных средств} | {"Наименование объекта КИИ" выполняет функции по переводу денежных средств. Сбой функционирования "Наименование объекта КИИ" может привести к прекращению или нарушению выполнения функций по переводу денежных средств, в размере "млрд. рублей"} | ||
а) на территории, на которой окружающая среда может подвергнуться вредным воздействиям; | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование объекта КИИ" связи" не оказывает управляющие воздействия на автоматизируемый процесс и не оказывает влияние на возникновение аварийной ситуации на объекте} | {Согласно паспорту безопасности "Наименование объекта КИИ", наиболее опасный сценарии чрезвычайной ситуации, который может возникнуть на объекте, может повлечь вредные выбросы в атмосферу в масштабах территории "название территории". Наиболее опасный сценарий чрезвычайной ситуации, который может возникнуть на объекте, приводящий к вредным выбросам в атмосферу, которым будут подвержены "число жителей" млн. человек, проживающих в зоне потенциального воздействия} | ||
б) по количеству людей, которые могут быть подвержены вредным воздействиям (тыс. человек) | |||||
Значимость для обеспечения обороны страны, безопасности государства и правопорядка | |||||
Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра), оцениваемые в уровне (значимости) пункта управления или ситуационного центра | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование объекта КИИ" не является частью (элементом) пункта управления (ситуационным центром) и не осуществляет управление, контроль и мониторинг процессов, обеспечивающих функционирование какого-либо пункта управления (ситуационного центра)} | {"Наименование объекта КИИ" является частью (элементом) пункта управления (ситуационным центром) и осуществляет управление, контроль и мониторинг процессов, обеспечивающих функционирование какого-либо пункта управления (ситуационного центра). В случае нарушение функционирования {"Наименование объекта КИИ" может привести к прекращению или нарушению (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), так как {"Наименование объекта КИИ" участвует в управлении или мониторинге процессов пунктов управления (ситуационных центров)} | ||
Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом критической информационной инфраструктуры, оцениваемое: | |||||
а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции); | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя | {"Наименование объекта КИИ" не обеспечивает выполнение, управление, контроль и мониторинг государственного оборонного заказа} | {Нарушение функционирования "Наименование объекта КИИ" может привести к снижению показателей государственного оборонного заказа в "период времени" (процентов заданного объема продукции), так как объект задействован в процессах реализации, управления или контроля данных процессов} | ||
б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции) | |||||
Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов) | Указывается обоснование по показателю значимости из постановления Правительства N 127. В случае применимости, указывается ущерб от сбоя. | {"Наименование Субъекта КИИ в сфере связи" не имеет критических процессов по обеспечению функционирования информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка} | {Нарушение функционирования "Наименование объекта КИИ" может привести к прекращению или нарушению функционирования (невыполнению установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, так как "Наименование объекта КИИ" задействован в процессах реализации, управления или контроля данных процессов} | ||
ПО ЗАПОЛНЕНИЮ АКТА ОБ ОТСУТСТВИИ ОБЪЕКТОВ КИИ,
ПОДЛЕЖАЩИХ КАТЕГОРИРОВАНИЮ
"Должность руководителя Субъекта КИИ в сфере связи" __________________ "ФИО" | |
об отсутствии объектов критической информационной инфраструктуры, подлежащих категорированию |
Комиссия по категорированию объектов критической информационной инфраструктуры "Наименование Субъекта КИИ в сфере связи", назначенная Приказом "Наименование Субъекта КИИ в сфере связи" от XX.XX.XXXX N XXXX "О создании комиссии по категорированию объектов критической информационной инфраструктуры "Наименование Субъекта КИИ в сфере связи" (далее - Комиссия) во исполнение пунктов 5 (г), 14 (в) и 15 постановления Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" определила, что (выбрать один или несколько актуальных пунктов): | |
системы и сервисы "Наименование Субъекта КИИ в сфере связи" (Приложение N 1) не входят в перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере связи; | |
отсутствуют управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках осуществления видов деятельности в сфере связи, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы); | |
отсутствуют системы и сервисы, обеспечивающие обработку информации, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. | |
По результатам проделанной работы принято решение об отсутствии объектов критической информационной инфраструктуры, подлежащих категорированию. |
комиссии: |
к Акту об отсутствии
объектов критической
информационной инфраструктуры,
подлежащих категорированию
от "__" _______ 20__ г.
систем и сервисов, выявленных комиссией по категорированию
Мотивированное основание отсутствия необходимости присвоения одной из категорий значимости и реквизиты подтверждающего внутреннего документа | |||
ФЗ о страховых пенсиях
ФЗ о пожарной безопасности
ФЗ об ОСАГО
ФЗ об образовании
ФЗ о государственной гражданской службе
ФЗ о государственном оборонном заказе
О защите прав потребителей
ФЗ о противодействии коррупции
ФЗ о рекламе
ФЗ об охране окружающей среды
ФЗ о полиции
ФЗ о бухгалтерском учете
ФЗ о защите конкуренции
ФЗ о лицензировании отдельных видов деятельности
ФЗ об ООО
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
ФЗ о прокуратуре
ФЗ о несостоятельности (банкротстве)
ФЗ о персональных данных
ФЗ о госзакупках
ФЗ об исполнительном производстве
ФЗ о воинской службе
ФЗ о банках и банковской деятельности
Уменьшение неустойки
Проценты по денежному обязательству
Ответственность за неисполнение денежного обязательства
Уклонение от исполнения административного наказания
Расторжение трудового договора по инициативе работодателя
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
Особенности правового положения казенных учреждений
Общие основания прекращения трудового договора
Порядок рассмотрения сообщения о преступлении
Судебный порядок рассмотрения жалоб
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
Документы, прилагаемые к исковому заявлению
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
Форма и содержание искового заявления