Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 8 февраля 2018 г. № 127
МОСКВА
Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений
(В редакции постановлений Правительства Российской Федерации от 13.04.2019 № 452, от 24.12.2021 № 2431, от 19.08.2022 № 1463, от 20.12.2022 № 2360, от 19.09.2024 № 1281, от 07.11.2025 № 1762)
В соответствии с пунктом 1 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые:
Правила категорирования объектов критической информационной инфраструктуры Российской Федерации;
перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.
2. Финансирование расходов, связанных с реализацией настоящего постановления государственными органами и государственными учреждениями, осуществляется за счет и в пределах бюджетных ассигнований, предусмотренных соответствующим бюджетом на обеспечение деятельности субъектов критической информационной инфраструктуры.
Председатель Правительства Российской Федерации Д.Медведев
УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 8 февраля 2018 г. № 127
ПРАВИЛА категорирования объектов критической информационной инфраструктуры Российской Федерации
(В редакции постановлений Правительства Российской Федерации от 13.04.2019 № 452, от 24.12.2021 № 2431, от 19.08.2022 № 1463, от 20.12.2022 № 2360, от 19.09.2024 № 1281, от 07.11.2025 № 1762)
1. Настоящие Правила устанавливают порядок и сроки категорирования объектов критической информационной инфраструктуры Российской Федерации (далее соответственно - критическая информационная инфраструктура, категорирование) .
2. Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.
3. Категорированию подлежат объекты критической информационной инфраструктуры, соответствующие типам информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, включенным в перечни типовых отраслевых объектов критической информационной инфраструктуры, предусмотренные пунктом 4 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - перечни типовых отраслевых объектов критической информационной инфраструктуры) . (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
4. Определение категорий значимости объектов критической информационной инфраструктуры (далее - категория значимости) осуществляется на основании показателей критериев значимости объектов критической информационной инфраструктуры и их значений, предусмотренных перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденным постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее соответственно - перечень показателей критериев значимости, показатели критериев значимости) .
5. Категорирование включает в себя:
а) выявление информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, соответствующих типовым объектам критической информационной инфраструктуры, включенным в перечни типовых отраслевых объектов критической информационной инфраструктуры; (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
б) (Подпункт утратил силу - Постановление Правительства Российской Федерации от 07.11.2025 № 1762)
в) (Подпункт утратил силу - Постановление Правительства Российской Федерации от 07.11.2025 № 1762)
г) (Подпункт утратил силу - Постановление Правительства Российской Федерации от 19.09.2024 № 1281)
д) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.
6. Объекту критической информационной инфраструктуры по результатам категорирования присваивается в соответствии с перечнем показателей критериев значимости категория значимости с наивысшим значением.
Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей) , оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.
В случае если объект критической информационной инфраструктуры по одному из показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости не проводится. (Дополнение абзацем - Постановление Правительства Российской Федерации от 13.04.2019 № 452)
В случае если объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается. (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
61. Установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, расчет значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры и присвоение ему одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения такой категории осуществляются в соответствии с настоящими Правилами и отраслевыми особенностями категорирования объектов критической информационной инфраструктуры, предусмотренными пунктом 5 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - отраслевые особенности категорирования) . (Дополнение пунктом - Постановление Правительства Российской Федерации от 07.11.2025 № 1762)
7. Устанавливаются 3 категории значимости. Самая высокая категория - первая, самая низкая - третья.
8. В отношении создаваемого объекта критической информационной инфраструктуры, в том числе в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных. (В редакции постановлений Правительства Российской Федерации от 13.04.2019 № 452, от 07.11.2025 № 1762)
Для создаваемого объекта критической информационной инфраструктуры, указанного в абзаце первом настоящего пункта, категория значимости может быть уточнена в ходе его проектирования.
9. Для объектов, принадлежащих одному субъекту критической информационной инфраструктуры, но используемых для целей контроля и управления технологическим и (или) производственным оборудованием, принадлежащим другому субъекту критической информационной инфраструктуры, категорирование осуществляется на основе исходных данных, представляемых субъектом критической информационной инфраструктуры, которому принадлежит технологическое и (или) производственное оборудование.
Категорирование объектов критической информационной инфраструктуры, в составе которых используются программные и (или) программно-аппаратные средства, принадлежащие и эксплуатируемые иными государственными органами, государственными учреждениями, российскими юридическими лицами, осуществляется субъектом критической информационной инфраструктуры с учетом данных о последствиях нарушения или прекращения функционирования указанных программных и (или) программно-аппаратных средств, представляемых этими государственными органами, государственными учреждениями, российскими юридическими лицами. (Дополнение абзацем - Постановление Правительства Российской Федерации от 13.04.2019 № 452) (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
10. Исходными данными для категорирования являются:
а) сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи) ;
б) (Подпункт утратил силу - Постановление Правительства Российской Федерации от 07.11.2025 № 1762)
в) состав информации, обрабатываемой объектами критической информационной инфраструктуры, сервисы по управлению, контролю или мониторингу, предоставляемые объектами критической информационной инфраструктуры;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт безопасности объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта безопасности предусмотрена законодательством Российской Федерации) ; (В редакции Постановления Правительства Российской Федерации от 13.04.2019 № 452)
д) сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта критической информационной инфраструктуры от других таких объектов;
е) угрозы безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа;
ж) перечни типовых отраслевых объектов критической информационной инфраструктуры; (Дополнение подпунктом - Постановление Правительства Российской Федерации от 20.12.2022 № 2360) (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
з) иные данные, определенные отраслевыми особенностями категорирования. (Дополнение подпунктом - Постановление Правительства Российской Федерации от 07.11.2025 № 1762)
11. Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, в состав которой включаются: (В редакции Постановления Правительства Российской Федерации от 13.04.2019 № 452)
а) руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо;
б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;
в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;
г) работники подразделения по защите государственной тайны субъекта критической информационной инфраструктуры (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну) ;
д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.
111. По решению руководителя субъекта критической информационной инфраструктуры и в соответствии с отраслевыми особенностями категорирования в состав комиссии могут быть включены иные лица, не указанные в пункте 11 настоящих Правил. (Дополнение пунктом - Постановление Правительства Российской Федерации от 13.04.2019 № 452) (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
112. По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии по категорированию объектов критической информационной инфраструктуры в этих филиалах, представительствах.
Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта критической информационной инфраструктуры.
(Дополнение пунктом - Постановление Правительства Российской Федерации от 13.04.2019 № 452)
113. Комиссия по категорированию подлежит расформированию в следующих случаях:
а) прекращение субъектом критической информационной инфраструктуры выполнения функций (полномочий) или осуществления видов деятельности в областях (сферах) , установленных пунктом 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
б) ликвидация, реорганизация субъекта критической информационной инфраструктуры и (или) изменение его организационно-правовой формы, в результате которых были утрачены признаки субъекта критической информационной инфраструктуры.
(Дополнение пунктом - Постановление Правительства Российской Федерации от 13.04.2019 № 452)
12. В состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.
13. Комиссию по категорированию возглавляет руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо.
14. Комиссия по категорированию в ходе своей работы:
а) выявляет объекты критической информационной инфраструктуры, соответствующие типовым объектам, включенным в перечни типовых отраслевых объектов критической информационной инфраструктуры; (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
б) (Подпункт утратил силу - Постановление Правительства Российской Федерации от 07.11.2025 № 1762)
в) (Подпункт утратил силу - Постановление Правительства Российской Федерации от 07.11.2025 № 1762)
г) рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации;
д) анализирует угрозы безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры; (В редакции Постановления Правительства Российской Федерации от 13.04.2019 № 452)
е) оценивает в соответствии с перечнем показателей критериев значимости и с учетом отраслевых особенностей категорирования масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры, определяет значения каждого из показателей критериев значимости или обосновывает их неприменимость; (В редакции постановлений Правительства Российской Федерации от 13.04.2019 № 452, от 07.11.2025 № 1762)
ж) устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.
141. При проведении работ, предусмотренных подпунктами "г" и "д" пункта 14 настоящих Правил, должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение функционирования объектов критической информационной инфраструктуры или нарушение заданных параметров его проектного или штатного функционирования, которые могут быть определены отраслевыми особенностями категорирования, и нанесение максимально возможного ущерба. (Дополнение пунктом - Постановление Правительства Российской Федерации от 13.04.2019 № 452) (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
142. В случае если функционирование одного объекта критической информационной инфраструктуры зависит от функционирования другого объекта критической информационной инфраструктуры, оценка масштаба возможных последствий, предусмотренная подпунктом "е" пункта 14 настоящих Правил, проводится исходя из предположения о прекращении или нарушении заданных параметров проектного или штатного функционирования вследствие компьютерной атаки объекта критической информационной инфраструктуры, от которого зависит оцениваемый объект. (Дополнение пунктом - Постановление Правительства Российской Федерации от 13.04.2019 № 452) (В редакции Постановления Правительства Российской Федерации от 07.11.2025 № 1762)
143. (Дополнение пунктом - Постановление Правительства Российской Федерации от 13.04.2019 № 452) (Утратил силу - Постановление Правительства Российской Федерации от 07.11.2025 № 1762)
15. (Пункт утратил силу - Постановление Правительства Российской Федерации от 19.09.2024 № 1281)
16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. (В редакции Постановления Правительства Российской Федерации от 13.04.2019 № 452)
Допускается оформление единого акта по результатам категорирования нескольких объектов критической информационной инфраструктуры, принадлежащих одному субъекту критической информационной инфраструктуры. (Дополнение абзацем - Постановление Правительства Российской Федерации от 13.04.2019 № 452)
Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры.
Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости.
17. Субъект критической информационной инфраструктуры в течение 10 рабочих дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают: (В редакции Постановления Правительства Российской Федерации от 13.04.2019 № 452)
а) сведения об объекте критической информационной инфраструктуры;
б) сведения о субъекте критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит объект критической информационной инфраструктуры;
в) сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи;
г) сведения о ли