уктуры, в том числе средствах, используемых для обеспечения безопасности объекта критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии) ;
е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз;
ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры либо сведения об отсутствии таких последствий;
з) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости, содержащие полученные значения по каждому из рассчитываемых показателей критериев значимости с обоснованием этих значений или информацию о неприменимости показателей к объекту с соответствующим обоснованием; (В редакции Постановления Правительства Российской Федерации от 13.04.2019 № 452)
и) организационные и технические меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры, либо сведения об отсутствии необходимости применения указанных мер.
18. Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются в печатном и электронном виде по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры. (В редакции Постановления Правительства Российской Федерации от 13.04.2019 № 452)
По вновь создаваемым объектам критической информационной инфраструктуры сведения, указанные в подпунктах "а" - "в" и "з" пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту критической информационной инфраструктуры, а сведения, указанные в подпунктах "г" - "ж" и "и" пункта 17 настоящих Правил, - в течение 10 рабочих дней после ввода объекта критической информационной инфраструктуры в эксплуатацию (принятия на снабжение) . (Дополнение абзацем - Постановление Правительства Российской Федерации от 13.04.2019 № 452)
19. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, проверяет сведения о результатах присвоения категорий значимости в порядке, предусмотренном частями 6 - 8 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
191. В случае изменения сведений, указанных в пункте 17 настоящих Правил, субъект критической информационной инфраструктуры направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, новые сведения в печатном и электронном виде не позднее 20 рабочих дней со дня их изменения по форме, предусмотренной пунктом 18 настоящих Правил. (Дополнение пунктом - Постановление Правительства Российской Федерации от 24.12.2021 № 2431) (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
192. Государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, осуществляют мониторинг представления субъектами критической информационной инфраструктуры, выполняющими функции (полномочия) или осуществляющими виды деятельности в соответствующих областях (сферах) , актуальных и достоверных сведений, указанных в пункте 17 настоящих Правил. (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
В отношении субъектов критической информационной инфраструктуры, подведомственных государственным органам и российским юридическим лицам, указанным в абзаце первом настоящего пункта, мониторинг представления актуальных и достоверных сведений осуществляется этими государственными органами и российскими юридическими лицами.
Мониторинг осуществляется регулярно путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил. Актуальность и достоверность сведений может подтверждаться государственными органами и российскими юридическими лицами, указанными в абзаце первом настоящего пункта, путем ознакомления с объектами критической информационной инфраструктуры по месту их нахождения.
При выявлении по результатам мониторинга нарушения сроков работ по категорированию, представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, неактуальных либо недостоверных сведений государственные органы и российские юридические лица, указанные в абзаце первом настоящего пункта, направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о выявленных нарушениях в срок не позднее 30 дней со дня их выявления. (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
(Дополнение пунктом - Постановление Правительства Российской Федерации от 24.12.2021 № 2431) (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
193. К мониторингу, указанному в пункте 192 настоящих Правил, государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, могут привлекать подведомственные им организации в части оценки актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил. (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
Организации, привлекаемые к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, должны иметь в соответствии с Законом Российской Федерации "О государственной тайне" лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" лицензию на деятельность по технической защите конфиденциальной информации в части оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации и (или) услуг по мониторингу информационной безопасности средств и систем информатизации. (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
Состав организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, в соответствии с критериями, определяемыми указанными органами и российскими юридическими лицами по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры. (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
Перечни организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, размещаются государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, на их официальных сайтах в информационно-телекоммуникационной сети "Интернет". (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
Порядок проведения в отношении субъектов критической информационной инфраструктуры, осуществляющих деятельность в каждой из областей (сфер) , приведенных в пункте 8 статьи 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", оценки актуальности и достоверности сведений, указанных в пункте 17 настоящих Правил, определяется государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности. (В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
(Дополнение пунктом - Постановление Правительства Российской Федерации от 19.08.2022 № 1463)
20. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных частью 12 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры. (В редакции Постановления Правительства Российской Федерации от 13.04.2019 № 452)
УТВЕРЖДЕН постановлением Правительства Российской Федерацииот 8 февраля 2018 г. № 127 (в редакции постановления Правительства Российской Федерацииот 13 апреля 2019 г. № 452)
ПЕРЕЧЕНЬ показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений
(В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360)
Показатель | Значение показателя | |||
III категория | II категория | I категория | ||
I. Социальная значимость | ||||
1. | Причинение ущерба жизни и здоровью людей (человек) | более или равно 1, но менее или равно 50 | более 50, но менее или равно 500 | более 500 |
2. | Прекращение1 или нарушение функционирования2 объектов обеспечения жизнедеятельности населения3, оцениваемые: | |||
| а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; | в пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | |
| б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) | более или равно 2, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | |
3. | Прекращение1 или нарушение функционирования2 объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств, оцениваемые: | |||
| а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; | в пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | |
| б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) | более или равно 2, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | |
(В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360) | ||||
4. | Прекращение1 или нарушение функционирования2 сети связи, оцениваемые по количеству абонентов, для которых могут быть недоступны услуги связи (тыс. человек) | более или равно 3, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 |
| 5. | Отсутствие доступак государственной услуге, оцениваемое: | |||
а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) | менее или равно 24, но более 12 | менее или равно 12, но более 6 | менее или равно 6 | |
б) во времени с момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги, в течение которого государственная услугане может быть оказана(в процентах от времени предоставления услуги, предусмотренного административным регламентом) | менее или равно 30 | более 30, но менееили равно 70 | более 70 | |
(Позиция в редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360) | ||||
II. Политическая значимость | ||||
6. | Прекращение1 или нарушение функционирования2 государственного органа в части невыполнения возложенной на него функции (полномочия) | прекращение1 или нарушение функционирования2 органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение1 или нарушение функционирования2 федерального органа государственной власти | прекращение1 или нарушение функционирования2 Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации |
7. | Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации | нарушение условий договора межведомственного характера (срыв переговоров или подписания) | нарушение условий межправительственного договора (срыв переговоров или подписания) | нарушение условий межгосударственного договора (срыв переговоров или подписания) |
III. Экономическая значимость | ||||
8. | Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом4, стратегическим предприятием4, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период) | более или равно 1, но менее или равно 10 | более 10, но менее или равно 20 | более 20 |
(В редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360) | ||||
| 9. | Возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период) | более 0, 0003, но менее или равно 0, 0006 | более 0, 0006, но менее или равно 0, 001 | более 0, 001 |
(Позиция в редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360) | ||||
| 10. | Прекращение1 или нарушение2 проведения клиентами операций по осуществлению перевода денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оцениваемые среднедневным (по отношению к числу календарных днейв году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) | менее или равно 70 | более 70, но менее или равно 120 | более 120 |
(Позиция в редакции Постановления Правительства Российской Федерации от 20.12.2022 № 2360) | ||||
| 101. | Прекращение1 или нарушение2 проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом, среднедневной размер обязательств которого по передаче денежных средств в валюте Российской Федерации по итогам клиринга за последние 12 месяцев (трлн. рублей) | менее 1 | более или равно 1, но менее 10 | более или равно 10 |
(Дополнение позицией - Постановление Правительства Российской Федерации от 20.12.2022 № 2360) | ||||
| 102. | Прекращение1 или нарушение2 проведения учетно-расчетных операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным депозитариеми регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии (оцениваемые за последние 12 месяцев в тыс. штук) | менее 10 | более или равно 10, но менее 25 | более или равно 25 |
(Дополнение позицией - Постановление Правительства Российской Федерации от 20.12.2022 № 2360) | ||||
| 103. | Прекращение1 или нарушение2 проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда (млрд. рублей) | более или равно 50, но менее 1000 | более или равно 1000, но менее 2000 | более или равно 2000 |
(Дополнение позицией - Постановление Правительства Российской Федерации от 20.12.2022 № 2360) | ||||
| 104. | Прекращение1 или нарушение2 проведения операций по выплатам, перестрахованию, инв | |||