Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры, функционирующих в области атомной энергии
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 16 января 2026 г. № 4
МОСКВА
Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры, функционирующих в области атомной энергии
В соответствии со статьей 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
Утвердить прилагаемые отраслевые особенности категорирования объектов критической информационной инфраструктуры, функционирующих в области атомной энергии.
Председатель Правительства Российской Федерации М.Мишустин
УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 16 января 2026 г. № 4
ОТРАСЛЕВЫЕ ОСОБЕННОСТИ категорирования объектов критической информационной инфраструктуры, функционирующих в области атомной энергии
I. Общие положения
1. Настоящие отраслевые особенности категорирования объектов критической информационной инфраструктуры, функционирующих в области атомной энергии (далее соответственно - категорирование, объекты критической информационной инфраструктуры) , определяют порядок установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений в целях присвоения ему одной из категорий значимости и порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры.
2. Настоящий документ предназначен для использования субъектами критической информационной инфраструктуры, являющимися государственными органами, государственными учреждениями, российскими юридическими лицами, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в области атомной энергии, российскими юридическими лицами, которые обеспечивают взаимодействие указанных систем или сетей (далее - субъекты критической информационной инфраструктуры) .
3. Категорирование осуществляется в соответствии со статьей 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации и перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее соответственно - Правила категорирования, перечень показателей критериев значимости) , и настоящим документом.
II. Порядок установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений с целью присвоения ему одной из категорий значимости
4. Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры в соответствии с пунктом 11 Правил категорирования создается постоянно действующая комиссия по категорированию (далее - комиссия) .
По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии помимо лиц, указанных в пункте 11 Правил категорирования, могут быть включены представители Государственной корпорации по атомной энергии "Росатом", учреждений и акционерных обществ Государственной корпорации по атомной энергии "Росатом" и их дочерних обществ, федеральных государственных унитарных предприятий, в отношении которых Государственная корпорация по атомной энергии "Росатом" осуществляет от имени Российской Федерации права собственника имущества, и федерального государственного бюджетного учреждения, создаваемого в целях организации плавания судов в акватории Северного морского пути, в отношении которого Государственная корпорация по атомной энергии "Росатом" наделена полномочиями по осуществлению от имени Российской Федерации прав собственника имущества, по согласованию с указанными организациями.
5. К субъектам критической информационной инфраструктуры не применяются показатели, указанные в позициях 4, 10, 101 - 107 и 14 перечня показателей критериев значимости.
6. В рамках настоящего документа для целей категорирования применяются следующие показатели, указанные в перечне показателей критериев значимости:
а) показатели, указанные в позициях 1 - 3 и 11 указанного перечня, - всеми субъектами критической информационной инфраструктуры, за исключением Государственной корпорации по атомной энергии "Росатом";
б) показатель, указанный в позиции 5 указанного перечня, - Государственной корпорацией по атомной энергии "Росатом", федеральными органами исполнительной власти, выполняющими функции (полномочия) в области использования атомной энергии, российскими юридическими лицами, подведомственными этим федеральным органам исполнительной власти и Государственной корпорации по атомной энергии "Росатом" и участвующими в предоставлении государственных услуг в области использования атомной энергии;
в) показатели, указанные в позициях 6, 7 и 12 указанного перечня, - Государственной корпорацией по атомной энергии "Росатом";
г) показатели, указанные в позициях 8 и 9 указанного перечня, - всеми субъектами критической информационной инфраструктуры;
д) показатель, указанный в позиции 13 указанного перечня, - всеми субъектами критической информационной инфраструктуры, являющимися государственными заказчиками государственного оборонного заказа, головными исполнителями поставок продукции по государственному оборонному заказу, исполнителями, участвующими в поставках продукции по государственному оборонному заказу;
е) показатель, указанный в позиции 131 указанного перечня, - всеми субъектами критической информационной инфраструктуры, являющимися головными исполнителями поставок продукции, работ и услуг по государственному оборонному заказу, исполнителями контракта по государственному оборонному заказу, заключившими контракт с головным исполнителем государственного оборонного заказа, соисполнителями, субподрядчиками или поставщиками части продукции, работ и услуг в рамках контракта по государственному оборонному заказу совместно с исполнителем, заключившим контракт с головным исполнителем государственного оборонного заказа.
7. Исходными данными для категорирования помимо исходных данных, предусмотренных пунктом 10 Правил категорирования, также являются следующие данные:
а) техническая и проектная документация на объект критической информационной инфраструктуры;
б) договоры сервисного обслуживания объекта критической информационной инфраструктуры;
в) документы по обеспечению эксплуатации, обслуживанию и ремонту рассматриваемого объекта критической информационной инфраструктуры;
г) возможные типы компьютерных атак и компьютерных инцидентов, приводящих к негативным последствиям (ущербу) в отношении рассматриваемого объекта критической информационной инфраструктуры;
д) прогнозируемый сценарий (сценарии) проведения компьютерных атак и возникновения компьютерных инцидентов, приводящих к возникновению негативных последствий (ущербу) в отношении рассматриваемого объекта критической информационной инфраструктуры;
е) информация о негативных последствиях ранее проведенных компьютерных атак и возникших компьютерных инцидентов, полученная по результатам анкетирования работников (служащих) субъекта критической информационной инфраструктуры, обеспечивающих функционирование объекта критической информационной инфраструктуры.
8. При проведении работ в соответствии с подпунктом "е" пункта 14 Правил категорирования комиссия для каждого объекта критической информационной инфраструктуры проводит оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры путем сопоставления значений масштаба возможных последствий в случае возникновения компьютерных инцидентов, определенных в соответствии с пунктом 9 настоящего документа, со значениями показателей критериев значимости объектов критической информационной инфраструктуры, указанных в перечне показателей критериев значимости.
9. Определение комиссией значений масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры включает:
а) сбор комиссией информации о процессах, обеспечиваемых объектом критической информационной инфраструктуры, и специфике негативных последствий в случае возникновения компьютерных инцидентов;
б) анализ негативных последствий и сценариев возникновения компьютерных инцидентов, приводящих к ущербу, в соответствии с показателями критериев значимости;
в) оценку ущерба в результате возникновения компьютерных инцидентов.
10. По результатам сопоставления комиссией значений масштаба возможных последствий со значениями конкретных показателей критериев значимости, указанных в перечне показателей критериев значимости, определяется один из следующих вариантов результата сопоставления:
а) показатель критерия значимости неприменим;
б) показатель критерия значимости применим и последствия компьютерного инцидента соответствуют значению показателя критерия значимости для одной из категорий значимости;
в) показатель критерия значимости применим и последствия компьютерного инцидента не соответствуют ни одному значению показателя критериев значимости.
III. Порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры
11. В зависимости от типа объекта критической информационной инфраструктуры для расчета значений всех показателей критериев значимости, предусмотренных настоящим документом, используется один из следующих методов или их совокупность:
а) экспертный метод, заключающийся в анализе возможного максимального ущерба от прекращения или нарушения процессов, обеспечиваемых объектом критической информационной инфраструктуры, причиной которых могут являться компьютерные атаки и компьютерные инциденты (далее - экспертный метод) ;
б) метод аналогий или сравнений, основанный на анализе последствий произошедших компьютерных атак и компьютерных инцидентов на идентичных объектах критической информационной инфраструктуры (далее - метод аналогий или сравнений) ;
в) метод моделирования компьютерных атак, основанный на анализе последствий смоделированной вероятной компьютерной атаки, которая может привести к возникновению компьютерных инцидентов (далее - метод моделирования) ;
г) расчетный метод, основанный на количественной оценке риска аварии, произошедшей в результате компьютерной атаки или компьютерного инцидента (далее - расчетный метод) .
12. При расчете значения показателя, указанного в позиции 1 перечня показателей критериев значимости, применяются все доступные методы, указанные в пункте 11 настоящего документа, исходя из следующих данных, являющихся отраслевыми признаками значимости объектов критической информационной инфраструктуры:
а) наличие опасных факторов, источниками которых являются производственное и (или) технологическое оборудование, в обеспечении функционирования которого участвует рассматриваемый объект критической информационной инфраструктуры, и (или) конструкции, обрабатываемое или хранимое в них сырье;
б) наличие опасных факторов, источниками которых являются параметры (характеристики) и условия обработки сырья, указанного в подпункте "а" настоящего пункта;
в) количество человек, потенциально находящихся в зоне поражения, при возникновении чрезвычайной ситуации, обусловленной источниками опасных факторов, указанными в подпунктах "а" и "б" настоящего пункта.
13. При расчете значения показателя, указанного в позиции 2 перечня показателей критериев значимости, применяются экспертный и (или) расчетный методы.
Для расчета значения показателя, указанного в субпозиции "а" позиции 2 перечня показателей критериев значимости, используются данные о границах территорий муниципальных образований и границах субъектов Российской Федерации, в которых возможно нарушение обеспечения жизнедеятельности населения в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
Для расчета значения показателя, указанного в субпозиции "б" позиции 2 перечня показателей критериев значимости, количество людей, условия жизнедеятельности которых могут быть нарушены, определяется исходя из численности населения, проживающего на территории, на которой произошло нарушение обеспечения жизнедеятельности населения в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
В качестве факторов, являющихся отраслевыми признаками значимости объектов критической информационной инфраструктуры, влияющих на расчет этого значения показателя, используются:
количество людей, использующих электрическую и (или) тепловую энергию, генерируемую с использованием оцениваемого объекта критической информационной инфраструктуры;
территории муниципальных образований, подключенные к сетям электрического и теплового снабжения, обеспечиваемые с помощью категорируемого объекта критической информационной инфраструктуры.
14. При расчете значения показателя, указанного в позиции 3 перечня показателей критериев значимости, применяются все доступные методы, указанные в пункте 11 настоящего документа.
Для расчета значения показателя, указанного в субпозиции "а" позиции 3 перечня показателей критериев значимости, принимаются пределы территории, на которой осуществляются пассажирские и грузовые перевозки.
Для расчета значения показателя, указанного в субпозиции "б" позиции 3 перечня показателей критериев значимости, используется количество людей, которым предоставляются транспортные услуги.
Для расчета значения показателя, указанного в субпозиции "в" позиции 3 перечня показателей критериев значимости, принимаются пределы территории, на которой осуществляются перевозка, погрузка, разгрузка и хранение опасных грузов, на перевозку которых требуется специальное разрешение, и (или) грузов повышенной опасности.
15. Для расчета значения показателя, указанного в позиции 5 перечня показателей критериев значимости, используются метод моделирования и метод аналогий или сравнений.
При этом для устранения последствий компьютерной атаки принимается период времени, равный минимально допустимому времени, в течение которого государственная услуга может быть недоступна.
16. При расчете значения показателя, указанного в позиции 6 перечня показателей критериев значимости, применяется экспертный метод, в рамках которого оценивается вероятность полного прекращения или нарушения функционирования федерального органа исполнительной власти, выполняющего функции (полномочия) в области использования атомной энергии, и Государственной корпорации по атомной энергии "Росатом" в связи с невозможностью реализации процесса, обеспечиваемого объектом критической информационной инфраструктуры.
17. Для расчета значения показателя, указанного в позиции 7 перечня показателей критериев значимости, применяется экспертный метод, в рамках которого оценивается наличие международных договоров Российской Федерации соответствующего уровня (межведомственного, межправительственного, межгосударственного) , предусматривающих участие субъекта критической информационной инфраструктуры в деятельности, предусмотренной указанными договорами.
Расчет значения показателя, указанного в позиции 7 перечня показателей критериев значимости, осуществляется в отношении информационных систем, автоматизированных систем управления, информационно-телекоммуникационных систем, функционирование которых способно повлиять на нарушение условий международного договора Российской Федерации соответствующего уровня, срыв переговоров или срыв подписания международного договора Российской Федерации, планируемого к заключению.
Значение указанного в настоящем пункте показателя критериев значимости оценивается исходя из уровня международного договора Российской Федерации.
18. При расчете значения показателя, указанного в позиции 8 перечня показателей критериев значимости, применяется расчетный метод. Расчет значений этого показателя проводится путем математических вычислений и выражается как отношение снижения уровня доходов субъекта критической информационной инфраструктуры к объему его доходов за 5-летний период в процентах, определяемое по формуле:
,
где:
- снижение уровня доходов субъекта критической информационной инфраструктуры (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) , исчисляемое в рублях;
- объем доходов субъекта критической информационной инфраструктуры, усредненный за прошедший 5-летний период, исчисляемый в рублях.
Снижение уровня доходов является суммарным экономическим ущербом, вызванным прекращением или нарушением процесса на объекте критической информационной инфраструктуры. Суммарный экономический ущерб субъекта критической информационной инфраструктуры определяется комиссией самостоятельно.
При расчете значений этого показателя критериев значимости учитываются в том числе:
усредненный размер годового дохода, определенный на основании сведений управленческого и бухгалтерского учета за предыдущий 5-летний период;
максимально допустимый период простоя, определенный на основании регламентов проведения профилактических работ информационных систем, автоматизированных систем управления и информационно-телекоммуникационных систем субъекта критической информационной инфраструктуры;
время, требуемое для устранения последствий компьютерной атаки, определяемое на основании эксплуатационных, технических, договорных и (или) иных документов, а при отсутствии таких документов - на основании статистических данных за предыдущий 5-летний период. В случае отсутствия статистических данных за предыдущий 5-летний период принимается значение 10 суток.
19. При расчете значения показателя, указанного в позиции 9 перечня показателей критериев значимости, применяется расчетный метод. Расчет значений этого показателя в процентах осуществляется по формуле:
,
где:
- снижение выплат (отчислений) в федеральный бюджет субъектом критической информационной инфраструктуры, которое может быть следствием прекращения или нарушения критических процессов, исчисляемое в рублях;
- прогнозируемый общий объем доходов федерального бюджета в годовом исчислении, усредненный за планируемый 3-летний период, исчисляемый в рублях.
Снижение выплат (отчислений) в федеральный бюджет субъектами критической информационной инфраструктуры определяется комиссией самостоятельно.
Актуальный годовой размер выплачиваемых субъектом критической информационной инфраструктуры налогов в федеральный бюджет определяется исходя из данных, представляемых в Федеральную налоговую службу.
20. При расчете значения показателя, указанного в позиции 11 перечня показателей критериев значимости, применяются все доступные методы, указанные в пункте 11 настоящего документа. Для расчета значения указанного показателя оценивается количество муниципальных образований (численностью от 2 тыс. человек) , на территорию которых возможен выход вредного воздействия за пределы территории субъекта критической информационной инфраструктуры, а также количество челове