Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 6 февраля 2026 г. № 92
МОСКВА
Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка
В соответствии со статьей 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
Утвердить согласованные с Федеральной службой по техническому и экспортному контролю и Центральным банком Российской Федерации прилагаемые отраслевые особенности категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка.
Председатель Правительства Российской Федерации М.Мишустин
УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 6 февраля 2026 г. № 92
ОТРАСЛЕВЫЕ ОСОБЕННОСТИ категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка
I. Общие положения
1. Настоящий документ определяет порядок установления соответствия объекта критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка (далее - объект критической информационной инфраструктуры) критериям значимости и показателям их значений в целях присвоения объекту критической информационной инфраструктуры одной из категорий значимости и порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры.
II. Порядок установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений в целях присвоения объекту критической информационной инфраструктуры одной из категорий значимости
2. Для корректного проведения категорирования объекта критической информационной инфраструктуры при установлении соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений в целях присвоения объекту критической информационной инфраструктуры одной из категорий значимости следует учитывать отраслевую специфику, а также перечни типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации, установленные в соответствии с пунктом 4 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - перечни типовых отраслевых объектов критической информационной инфраструктуры) .
3. Субъектами критической информационной инфраструктуры в банковской сфере и иных сферах финансового рынка являются государственный орган, юридическое лицо, выполняющее функции (полномочия) в банковской сфере и иных сферах финансового рынка, или подведомственная им организация, кредитная организация или некредитная финансовая организация, которые осуществляют указанный в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России) " вид деятельности, субъект национальной платежной системы, лицо, оказывающее профессиональные услуги на финансовом рынке, которым принадлежат на праве собственности, аренды или на ином законном основании информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, обеспечивающие выполнение функций субъекта критической информационной инфраструктуры в банковской сфере и иных сферах финансового рынка (далее соответственно - информационные системы, субъекты критической информационной инфраструктуры) .
Наличие информационных систем, принадлежащих субъекту критической информационной инфраструктуры на праве собственности, аренды или на ином законном основании, определяется на основании:
результатов инвентаризации информационных ресурсов и промышленных систем, используемых субъектом критической информационной инфраструктуры;
финансово-хозяйственных документов субъекта критической информационной инфраструктуры;
документов о вводе в эксплуатацию информационных систем.
4. Проведение категорирования объектов критической информационной инфраструктуры осуществляется в соответствии с Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - Правила категорирования) , а также в соответствии с настоящим разделом.
5. В случае изменения перечней типовых отраслевых объектов критической информационной инфраструктуры в части объектов критической информационной инфраструктуры или перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденного постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - перечень показателей критериев значимости) , субъект критической информационной инфраструктуры осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения объектам критической информационной инфраструктуры таких категорий в соответствии с Правилами категорирования. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, в соответствии с Правилами категорирования.
Субъект критической информационной инфраструктуры после подтверждения федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры, результатов пересмотра категорий значимости направляет в течение 10 рабочих дней (со дня получения указанного подтверждения) информацию об актуальных значимых объектах критической информационной инфраструктуры в уполномоченный орган или юридическому лицу, которые определены в соответствии с пунктом 35 настоящего документа.
6. Субъект критической информационной инфраструктуры ежегодно, не позднее 10-го рабочего дня календарного года, представляет в уполномоченный орган или юридическому лицу, которые определены в соответствии с пунктом 35 настоящего документа, информацию о текущем перечне значимых объектов критической информационной инфраструктуры, а также решение о пересмотре установленных категорий значимости или решений об отсутствии необходимости пересмотра установленных категорий значимости для принадлежащих ему объектов критической информационной инфраструктуры по результатам их оценки за предшествующий календарный год.
7. В целях проведения категорирования объектов критической информационной инфраструктуры решением руководителя субъекта критической информационной инфраструктуры в соответствии с пунктом 11 Правил категорирования создается постоянно действующая комиссия по категорированию (далее - комиссия) .
По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены иные лица, не указанные в пункте 11 Правил категорирования.
Решение руководителя субъекта критической информационной инфраструктуры о создании комиссии оформляется распорядительным (организационным) актом, составленным в соответствии с правилами документооборота, принятыми субъектом критической информационной инфраструктуры.
Регламентация работы комиссии осуществляется путем утверждения субъектом критической информационной инфраструктуры положения о комиссии с учетом проводимых ею работ, предусмотренных пунктом 14 Правил категорирования.
8. Субъекты критической информационной инфраструктуры проводят категорирование объектов критической информационной инфраструктуры, которые соответствуют типам информационных систем, включенных в перечни типовых отраслевых объектов критической информационной инфраструктуры.
9. В случае выявления субъектом критической информационной инфраструктуры вновь создаваемых объектов критической информационной инфраструктуры, которые не соответствуют типам информационных систем, включенных в перечни типовых отраслевых объектов критической информационной инфраструктуры, но масштаб возможных последствий в случае возникновения компьютерных инцидентов на которых соответствует показателям критериев значимости и их значениям, субъект критической информационной инфраструктуры присваивает указанному объекту одну из категорий значимости и направляет сведения о таком объекте, указанные в пункте 17 Правил категорирования, а также предложения о дополнении перечней типовых отраслевых объектов критической информационной инфраструктуры в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, а также в уполномоченный орган или юридическому лицу, которые определены в соответствии с пунктом 35 настоящего документа.
Если субъект критической информационной инфраструктуры эксплуатирует на законном основании информационные системы, обеспечивающие его деятельность по основному виду экономической деятельности, но функционирующие в иной сфере, при рассмотрении комиссией для их включения в список объектов критической информационной инфраструктуры учитываются разделы перечней типовых отраслевых объектов критической информационной инфраструктуры для иных сфер.
10. Для установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений субъект критической информационной инфраструктуры использует перечни типовых отраслевых объектов критической информационной инфраструктуры и руководствуется настоящим разделом и разделом III настоящего документа.
11. Признаком значимости объекта критической информационной инфраструктуры, соответствующего критериям значимости и показателям их значений, является наличие информационной системы в перечнях типовых отраслевых объектов критической информационной инфраструктуры.
12. В случае выявления субъектом критической информационной инфраструктуры объектов критической информационной инфраструктуры, не соответствующих типам информационных систем, включенных в перечни типовых отраслевых объектов критической информационной инфраструктуры, но масштаб возможных последствий в случае возникновения компьютерных инцидентов на которых соответствует показателям критериев значимости и их значениям, субъект критической информационной инфраструктуры проводит расчет показателя критерия значимости, наиболее подходящего для выявленного объекта.
13. Оценка показателей критериев значимости объектов критической информационной инфраструктуры проводится для каждой информационной системы, являющейся типовым объектом критической информационной инфраструктуры.
14. Все типовые объекты критической информационной инфраструктуры оцениваются по показателю, предусмотренному позицией 9 перечня показателей критериев значимости.
15. Типовые объекты критической информационной инфраструктуры, принадлежащие на праве собственности, аренды или на ином законном основании субъектам критической информационной инфраструктуры, являющимся государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваются по показателю, предусмотренному позицией 8 перечня показателей критериев значимости.
16. Информационные системы органов государственной власти и подведомственных им организаций, обеспечивающие выполнение функций (осуществление полномочий) в банковской сфере и иных сферах финансового рынка, оцениваются по показателям, предусмотренным позициями 6 и 7 перечня показателей критериев значимости.
17. Информационные системы, размещенные в центре обработки данных и обеспечивающие предоставление информационных, вычислительных и телекоммуникационных ресурсов, возможностей и услуг для функционирования значимых объектов критической информационной инфраструктуры (за исключением информационных систем Центрального банка Российской Федерации, кредитных организаций, некредитных финансовых организаций, бюро кредитных историй, операторов услуг платежной инфраструктуры, оператора платформы цифрового рубля и операторов услуг информационного обмена) , оцениваются по показателям, предусмотренным позициями 6 и 7 перечня показателей критериев значимости.
18. Информационные системы Центрального банка Российской Федерации, обеспечивающие функции по переводу денежных средств, оцениваются по показателям, предусмотренным позициями 6 и 10 перечня показателей критериев значимости.
19. Информационные системы дистанционного банковского обслуживания оцениваются по показателю, предусмотренному позицией 10 перечня показателей критериев значимости.
20. Информационные системы, являющиеся автоматизированными банковскими системами, оцениваются по показателю, предусмотренному позицией 10 перечня показателей критериев значимости.
21. Информационные системы, реализующие процессинг, оцениваются по показателю, предусмотренному позицией 10 перечня показателей критериев значимости.
22. Информационные системы, обеспечивающие формирование документов и сообщений, прием и передачу документов и сообщений, проверку и обработку документов и сообщений, выполнение клиринговых расчетов, загрузку и выгрузку информации из системы хранения данных, взаимодействие с другими системами, оцениваются по показателю, предусмотренному позицией 101 перечня показателей критериев значимости.
23. Информационные системы, обеспечивающие получение информации из других систем, хранение информации, конфиденциальность, целостность, доступность хранимой информации, передачу информации в другие системы, оцениваются по показателю, предусмотренному позицией 102 перечня показателей критериев значимости.
24. Информационные системы, обеспечивающие учет регистратором финансовых транзакций информации о совершении финансовых сделок и об операциях по ним с использованием финансовой платформы, оцениваются по показателю, предусмотренному позицией 102 перечня показателей критериев значимости.
25. Информационные системы формирования и ведения учета информации о каждом зарегистрированном лице для обеспечения реализации его прав в рамках деятельности негосударственного пенсионного фонда по негосударственному пенсионному обеспечению, формированию долгосрочных сбережений и (или) обязательному пенсионному страхованию оцениваются по показателю, предусмотренному позицией 103 перечня показателей критериев значимости.
26. Информационные системы учета договоров страхования, платежей, убытков, перестрахования оцениваются по показателю, предусмотренному позицией 104 перечня показателей критериев значимости.
27. Информационные системы предоставления клиентам информационного обеспечения и (или) возможности удаленного доступа к личному кабинету оцениваются по показателю, предусмотренному позицией 104 перечня показателей критериев значимости.
28. Информационные системы формирования и ведения учета информации о клиентах микрофинансовых компаний оцениваются по показателю, предусмотренному позицией 106 перечня показателей критериев значимости.
29. Информационные системы, обеспечивающие сбор, обработку, хранение и предоставление кредитной информации, оцениваются по показателю, предусмотренному позицией 107 перечня показателей критериев значимости.
30. Информационные системы, обеспечивающие осуществление деятельности операторов услуг платежной инфраструктуры (за исключением информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей Центрального банка Российской Федерации) , оцениваются по показателю, предусмотренному позицией 10 перечня показателей критериев значимости.
31. Информационные системы, обеспечивающие перевод денежных средств на основании договоров услуг обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг, оцениваются по показателю, предусмотренному позицией 105 перечня показателей критериев значимости.
32. Информационные системы, влияющие на операционную надежность объектов критической информационной инфраструктуры, указанных в пунктах 19 - 21 настоящего документа, оцениваются по показателю, предусмотренному позицией 10 перечня показателей критериев значимости.
33. Информационные системы, влияющие на операционную надежность объектов критической информационной инфраструктуры, указанных в пунктах 22 - 28 настоящего документа, оцениваются по показателям, предусмотренным позициями 101 - 104 и 106 перечня показателей критериев значимости.
34. Информационные системы, влияющие на функционирование объектов критической информационной инфраструктуры, указанных в пунктах 30 и 31 настоящего документа, оцениваются по показателям, предусмотренным позициями 10 и 105 перечня показателей критериев значимости.
35. Сведения, указанные в пунктах 5, 6 и 9, направляются:
субъектами критической информационной инфраструктуры (за исключением субъектов критической информационной инфраструктуры, являющихся кредитными организациями или некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России) " виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке) - в Министерство финансов Российской Федерации;
субъектами критической информационной инфраструктуры (в части субъектов критической информационной инфраструктуры, являющихся кредитными организациями или некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России) " виды деятельности, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке) - в Центральный банк Российской Федерации.
III. Порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры
36. Расчет значений показателей, установленных перечнем показателей критериев значимости, осуществляется с учетом особенностей функционирования объектов критической информационной инфраструктуры.
37. В целях расчета значения показателя, предусмотренного позицией 6 перечня показателей критериев значимости, проводится оценка информационных систем государственного органа или организаций, созданных на основании федерального закона, на предмет выполнения или невыполнения возложенных на него функций (полномочий) (в отношении Центрального банка Российской Федерации - в части функций по осуществлению перевода денежных средств) с последующим присвоением объектам критической информационной инфраструктуры категорий значимости согласно значениям соответствующего показателя, указанным в перечне показателей критериев значимости.
38. В целях расчета значения показателя, предусмотренного позицией 7 перечня показателей критериев значимости, проводится оценка информационных систем государственного органа на предмет нарушения условий международного догово