6.2.1. Порядок расчета критериев значимости объектов КИИ.

До начала расчета показателей критериев значимости объекта КИИ Организации определяется применимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, для оценки значимости ИС, ИТКС, АСУ Организации.

Для показателей критериев значимости объекта КИИ Организации, по которым обоснована их неприменимость, расчет показателей критериев значимости не проводится.

Расчет показателей критериев значимости объектов КИИ, установленных постановлением Правительства РФ от 08.02.2018 N 127, проводится для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

В случае, если ИС, ИТКС, АСУ Организации по одному из показателей критериев значимости отнесена к первой категории, расчет по остальным показателям критериев значимости не проводится.

В случае, если ИС, ИТКС, АСУ Организации не соответствует ни одному значению показателя критериев значимости, категория значимости объекту КИИ не присваивается.

В случае, если функционирование одного объекта КИИ зависит от функционирования другого объекта КИИ, оценка масштаба возможных последствий проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта КИИ, от которого зависит оцениваемый объект.

В случае, если ИС, ИТКС, АСУ Организации обрабатывают информацию, необходимую для обеспечения нескольких критических процессов Организации, и (или) осуществляют управление, контроль или мониторинг нескольких критических процессов Организации, оценка показателей критериев значимости производится для каждого критического процесса Организации, а категория значимости присваивается по наивысшему значению показателя.

В соответствии с настоящими Методическими рекомендациями предлагается использование таблиц, в которых сразу фиксируются результаты расчета показателя в целях упрощения процедуры оценивания критичности. Для каждого показателя, по которому производится расчет, приведена соответствующая таблица. Комиссией оценивается значение каждого критерия, затем выбирается категория по значениям, приведенным в первом столбце согласно постановлению Правительства РФ от 08.02.2018 N 127. В последний столбец вносится полученное значение коэффициента критичности. В конце, после всех критериев, производится расчет по приведенной формуле, в которую вносятся полученные выше значения коэффициентов. Полученный в результате расчета коэффициент определяет категорию значимости объекта КИИ.

6.2.2. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей".

Расчет показателя критерия "Причинение ущерба жизни и здоровью людей" <6> для Организации производится с учетом масштаба возможных последствий в результате компьютерной атаки на объект(-ы) Организации и с учетом количества людей (человек), которым в результате воздействия компьютерной атаки на ИС, ИТКС, АСУ Организации будет причинен или возможно будет причинен ущерб жизни или здоровью, а также с учетом, что:

--------------------------------

<6> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 1, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- объекты КИИ Организации относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации или к объектам транспортной инфраструктуры;

- Организация имеет в своем составе подразделения транспортной инфраструктуры и ИС, АСУ, ИТКС, задействованные в критических процессах Организации, участвуют в обработке информации, необходимой для управления, контроля или мониторинга опасными производственными объектами или объектами транспортной инфраструктуры.

Под причинением ущерба жизни и здоровью людей в настоящих Методических рекомендациях понимается вред, причиненный здоровью человека, выраженный в нарушении анатомической целостности и физиологической функции органов и тканей человека в результате воздействия физических, химических, биологических и психических факторов внешней среды <7>.

--------------------------------

<7> Пункт 2 Правил определения степени тяжести вреда, причиненного здоровью человека (утв. Постановлением Правительства РФ от 17.08.2007 N 522).

Алгоритм расчета показателя критерия "Причинение ущерба жизни и здоровью людей" приведен в таблице 2:

Пример:

Организации: ООО Транспортная, оказывающая транспортные услуги.

ИС: автоматизированная информационная система управления световой индикацией.

Критический процесс: управление световой индикацией (далее - управление светофорами) на территории одного муниципального образования <8>.

--------------------------------

<8> Статья 2 Федерального закона от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации". Статьи 5, 65 Конституции Российской Федерации.

Описание процесса: критический процесс непосредственно влияет на безопасность осуществления перевозок грузов и пассажиров в пределах одного муниципального образования.

При рассмотрении критического процесса комиссия по категорированию приняла во внимание то обстоятельство, что в случае компьютерной атаки на ИС возможно изменение режимов работы светофоров на всей территории одного муниципального образования. Что приведет к созданию опасной ситуации и возможным дорожно-транспортным происшествиям (далее - ДТП), которые могут возникнуть как между участниками автомобильного движения, так и с участием пешеходов.

В данном случае, оценка масштаба причинения ущерба жизни и здоровью людей проводится исходя из масштаба возможных последствий от нарушения или прекращения функционирования системы управления светофорами.

Комиссией установлено, что ИС управляет светофорами в количестве 100 ед., из них 40 ед. находятся на аварийно-опасных участках автомобильного движения. В случае, если в результате компьютерной атаки на систему управления светофорами, на указанных участках может быть нарушена работа светофоров, соответственно создастся ситуация, при которой с высокой долей вероятности нарушение работы ИС может привести к значительным ДТП, в результате которых могут получить вред здоровью порядка 40 человек.

На основании изложенного обстоятельства, комиссии принимает решение об установлении объекту КИИ - автоматизированной информационной системе управления световой индикацией - коэффициента критичности К₁ = 1.

6.2.3. Расчет показателя критерия "Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения".

Расчет показателя критерия "Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения" <9> для Организации не производится, поскольку к объектам КИИ Организации не относятся объекты водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения населения.

--------------------------------

<9> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 2, утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под объектами обеспечения жизнедеятельности следует понимать объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение населения <10>.

--------------------------------

<10> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 2 (сноска <3> - Объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение населения), утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.4. Расчет показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры <11>, транспортных средств, в том числе высокоавтоматизированных транспортных средств".

--------------------------------

<11> Пункт 5 статьи 1 Федерального закона от 09.02.2007 N 16-ФЗ "О транспортной безопасности".

Расчет показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств" <12> для Организации производится с учетом видов деятельности, осуществляемых Организацией, и видов транспорта, используемого Организацией в процессе осуществления деятельности.

--------------------------------

<12> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 3, утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под прекращением функционирования следует понимать полное прекращение выполнения критического процесса <13>.

--------------------------------

<13> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <1> - Полное прекращение выполнения критического процесса), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под нарушением функционирования следует понимать отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования <14>.

--------------------------------

<14> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <2> - Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования объектов транспортной инфраструктуры, транспортных средств, в том числе высокоавтоматизированных транспортных средств" приведен в Таблице 3 и Таблице 4.

Таблица 3. Оценивание по территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг.

Таблица 4. Оценка по количеству людей, для которых могут быть недоступны транспортные услуги.

На примере Организации, ранее рассмотренной в п. 6.2.2 настоящих Методических рекомендаций.

Комиссия принимает во внимание то обстоятельство, что Организация - ООО Транспортная осуществляет свою деятельность в пределах одного муниципального образования, что соответствует третьему уровню значимости (К_2а = 1).

При этом комиссия принимает во внимание то обстоятельство, что светофоры установлены в одном муниципальном образовании, в котором проживает около 20000 человек и проживающие на территории муниципального образования люди являются непосредственными пользователями услуги, регулируемой системой управления светофорами.

На основании экспертного мнения члены комиссии устанавливают, что не менее 10% от жителей указанного муниципального образования ежедневно могут являться участниками дорожного движения в качестве водителей личного автомобиля (иных средств передвижения), в качестве пассажиров общественного транспорта, в качестве пешеходов.

Принимая во внимание данное обстоятельство, комиссия устанавливает, что 2000 человек не получат транспортную услугу в результате компьютерной атаки.

Время восстановления работоспособности ИС согласно технической документации на событие компьютерной атаки в Организации установлено не более 4 часов (RTO <15> = 4 часа).

--------------------------------

<15> RTO (Recovery Time Objective) - показатель времени восстановления (RTO) определяет количество времени с момента наступления разрушительного события до момента, когда затронутые ресурсы должны быть полностью работоспособны и готовы поддерживать цели организации.

Предполагается, что средняя продолжительность рабочего дня человека, проживающего в указанном муниципальном образовании, составляет порядка 10 часов. Гипотетически за указанное время восстановления работы ИС около 800 жителей не получат транспортную услугу.

Полученное значение соответствует третей категории (К_2б = 1). Так как значения, полученные в результате оценивания по двум критериям, получились одинаковыми, комиссией выносится решение о присвоении объекту КИИ третьей категории значимости (К₂ = 1).

6.2.5. Расчет показателя критерия "Прекращение или нарушение функционирования сети связи".

Расчет показателя критерия "Прекращение или нарушение функционирования сети связи" <16> для Организации не производится, поскольку Организация не является оператором связи.

--------------------------------

<16> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 4, утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.6. Расчет показателя критерия "Отсутствие доступа к государственной услуге <17>".

--------------------------------

<17> Статья 2 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".

Расчет показателя критерия "Отсутствие доступа к государственной услуге" <18> для Организации производится с учетом того, что Организация является государственным органом власти, оказывающим государственные услуги, или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС, задействованной в процессе оказания государственной услуги и нарушение функционирования ИС, АСУ, ИТКС, имеющихся у Организации и участвующей в обработке информации, необходимой для оказания государственной услуги, влечет за собой нарушение и (или) прекращение доступа к государственной услуге.

--------------------------------

<18> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 5, утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Отсутствие доступа к государственной услуге" приведен в Таблице 5 и Таблице 6.

Таблица 5. Оценка по максимально допустимому времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги.

Таблица 6. Оценка по времени с момента приема запроса о предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана.

6.2.7. Расчет показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)".

Расчет показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" <19> для Организации производится с учетом того, что Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС, задействованной в процессе выполнения возложенной на государственный орган власти функции (полномочия).

--------------------------------

<19> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 6, утв. постановлением Правительства РФ от 08.02.2018 N 127.

Показатель критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" рассчитывается и оценивается по масштабу органа управления государственным или муниципальным транспортом, в деятельности (функционировании) которого задействованы ИС, АСУ, ИТКС Организации.

Исходя из масштаба государственного органа власти, указанного в пункте 6 Перечня, делается заключение о присвоении объекту КИИ Организации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

Под прекращением функционирования следует понимать полное прекращение выполнения критического процесса <20>.

--------------------------------

<20> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <1> - Полное прекращение выполнения критического процесса), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под нарушением функционирования следует понимать отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования <21>.

--------------------------------

<21> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <2> - Отклонение значений параметров критического процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" приведен в Таблице 7:

Пример: Для рассмотренной ранее организации ООО Транспортная данный показатель не применим.

Исчерпывающий список Организаций приведен в Таблице 7.

Примером нарушения исполнения функционирования органа исполнительной власти можно рассматривать компьютерную атаку на ИС электронного документооборота и/или на инфраструктуру Организации.

6.2.8. Расчет показателя критерия "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации" <22> для Организации производится с учетом того, что:

--------------------------------

<22> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 7, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС, задействованной в процессе подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации;

- Организация является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию ИС, АСУ, ИТКС и нарушение функционирования ИС, АСУ, ИТКС, имеющейся у Организации, участвующей в обработке информации, необходимой для подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации, влечет за собой нарушение условий международного договора Российской Федерации.

Алгоритм расчета показателя критерия "Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации" в Таблице 8:

Пример: Организация ООО Транспортная не является стороной в международных договорах Российской Федерации, соответственно для ООО Транспортная данный показатель не применим.

6.2.9. Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры".

Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры" <23> для Организации производится с учетом того, что Организация является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием.

--------------------------------

<23> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 8, утв. постановлением Правительства РФ от 08.02.2018 N 127.

При этом при расчете критерия могут учитываться следующие факторы:

- усредненный суммарный годовой размер выплачиваемых Организацией в бюджеты Российской Федерации налогов, определенный на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях за предыдущий пятилетний период;

- усредненный размер годового дохода, определенный на основании сведений управленческого и бухгалтерского учета за прошлый пятилетний период;

- максимально допустимый период простоя, определенный на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ Организации;

- время, требуемое для устранения последствий компьютерной атаки, определяемое на основании эксплуатационных, технических, договорных и (или) иных документов, а при отсутствии таких документов используются статистические данные за прошлый пятилетний период, в случае отсутствия статистических данных за прошлый пятилетний период принимается значение - 10 суток;

- полученный возможный ущерб Организации от компьютерной атаки сопоставляется с показателем усредненного размера годового дохода и определяется показатель возможного ущерба;

- рассчитанный показатель возможного ущерба Организации сопоставляется с показателями, приведенными в пункте 8 Перечня, и делается заключение о присвоении объекту КИИ Организации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

Стратегические акционерные общества и стратегические предприятия включены в перечень <24> стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ".

--------------------------------

<24> Указ Президента РФ от 04.08.2004 N 1009 "Об утверждении Перечня стратегических предприятий и стратегических акционерных обществ".

Алгоритм расчета показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры" приведен в Таблице 9:

Пример: Категорируемым объектом КИИ является автоматизированная система управления перевозками Организации (ГУП). Категорируемый объект КИИ обеспечивает критический процесс (технологический процесс) управления междугородними и международными перевозками опасных грузов. Данный критический процесс непосредственно влияет на безопасность осуществления междугородних и международных перевозок опасных грузов. В описываемом случае оценка масштаба причинения ущерба Организации проводится исходя из масштаба возможных последствий от нарушения или прекращения функционирования автоматизированной системы управления перевозками.

Пример:

Организация: ГК Березка

ИС: Управление энтероскопами на объектах транспортной отрасли

Критический процесс: Обеспечение безопасности на объектах транспорта

Описание процесса: в соответствии с действующими требованиями по обеспечению безопасности в организации запрещается предоставлять доступ посетителям на защищаемую территорию без проведения обследования предметов на выявление запрещенных элементов.

Комиссия, принимая во внимание особенности критического процесса, фиксирует, что компьютерная атака на ИС может привести как к недоступности услуги, вследствие чего посетителей не будут допускать на защищаемую территорию, так и к возникновению опасных ситуаций, которые могут сопровождаться разрушением объектов и/или причинением иного финансового и материального ущерба Организации. В зависимости от степени влияния и уровня вероятной угрозы выбирается соответствующий коэффициент, в данном случае на основании экспертного мнения, с учетом стоимости активов, которые находятся в зоне риска, принято решение об утверждении уровня ущерба в 12%, что соответствует второй категории значимости.

6.2.10. Расчет показателя критерия "Возникновение ущерба бюджету Российской Федерации".

Расчет показателя критерия "Возникновение ущерба бюджету Российской Федерации" <25> для Организации производится с учетом того, что Организация является организацией, на которую в соответствии с Налоговым кодексом Российской Федерации возложена обязанность уплачивать соответственно налоги, сборы, страховые взносы.

--------------------------------

<25> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9, утв. постановлением Правительства РФ от 08.02.2018 N 127.

Исходными данными для расчета численного значения показателя ущерба бюджетам могут являться (включая, но не ограничиваясь):

1. величины затрат и потерь субъекта КИИ, которые могут быть вызваны прекращением или нарушением критических процессов, обеспечиваемых объектом КИИ;

2. значения возможного времени нарушения выполнения (невыполнения) рассматриваемых критических процессов;

3. прогнозируемые годовые доходы федерального бюджета Российской Федерации по годам за планируемый трехлетний период;

4. объем выплат (отчислений) субъекта КИИ в бюджеты Российской Федерации в виде налога на прибыль, осуществленных за прошедший год;

5. величина прибыли субъекта КИИ за прошедший год;

6. доля акций компании, принадлежащая Российской Федерации и (или) субъекту Российской Федерации;

7. доля от прибыли субъекта КИИ за прошедший год, выплаченная в качестве дивидендов;

8. объем налоговых выплат (отчислений) от дивидендов, осуществленных субъектом КИИ за прошедший год;

9. объем выплат (отчислений) дивидендов, осуществленных субъектом КИИ за прошедший год;

10. размер снижения выплат (отчислений) сторонних организаций в бюджеты Российской Федерации вследствие прекращения или нарушения функционирования рассматриваемого объекта КИИ;

11. размер снижения сборов в бюджеты Российской Федерации в случае прекращения или нарушения функционирования объекта КИИ, предназначенного для организации сборов в бюджеты Российской Федерации.

Величины затрат и потерь, которые могут быть вызваны прекращением или нарушением критических процессов субъекта КИИ, оцениваются экспертным методом на основе анализа возможных максимальных экономических ущербов от прекращения или нарушения всех критических процессов, обеспечиваемых объектом КИИ, причиной которых могут являться компьютерные инциденты.

Алгоритм расчета показателя критерия "Возникновение ущерба бюджету Российской Федерации" приведен в Таблице 10:

6.2.11. Расчет показателя критерия "Прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств".

Расчет показателя критерия "Прекращение или нарушение проведения клиентами операций по осуществлению перевода денежных средств" <26> для Организации не производится, поскольку Организация не осуществляет операций по банковским счетам и (или) без открытия банковского счета и не является системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем.

--------------------------------

<26> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10, утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.12. Расчет показателя критерия "Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом".

Расчет показателя критерия "Прекращение или нарушение проведения операций по исполнению обязательств, осуществляемых субъектом критической информационной инфраструктуры, являющимся центральным контрагентом" <27> для Организации не производится, поскольку Организация не осуществляет клиринговую деятельность.

--------------------------------

<27> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.1, утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.13. Расчет показателя критерия "Прекращение или нарушение проведения учетно-расчетных операций".

Расчет показателя критерия "Прекращение или нарушение проведения учетно-расчетных операций" <28> для Организации не производится, поскольку Организация не является центральным депозитарием и регистратором финансовых транзакций, среднедневное количество ценных бумаг (ISIN) российских эмитентов, которые учитывались на счетах в центральном депозитарии.

--------------------------------

<28> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.2, утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.14. Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, передаче или размещению денежных средств".

Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, передаче или размещению денежных средств" <29> для Организации не производится, поскольку Организация не является негосударственным пенсионным фондом, которые оцениваются суммой пенсионных накоплений и пенсионных резервов негосударственного пенсионного фонда.

--------------------------------

<29> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.3, утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.15. Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям".

Расчет показателя критерия "Прекращение или нарушение проведения операций по выплатам, перестрахованию, инвестициям" <30> для Организации не производится, поскольку Организация не является страховой организацией.

--------------------------------

<30> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.4, утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.16. Расчет показателя критерия "Прекращение или нарушение функций по переводу денежных средств".

Расчет показателя критерия "Прекращение или нарушение функций по переводу денежных средств" <31> для Организации не производится, поскольку Организация не является оператором услуг информационного обмена (не кредитной организацией).

--------------------------------

<31> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 10.5, утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.17. Расчет показателя критерия "Вредные воздействия на окружающую среду".

Расчет показателя критерия "Вредные воздействия на окружающую среду" <32> для Организации производится с учетом того, что объекты КИИ Организации относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации и к объектам транспортной инфраструктуры или имеют в своем составе подразделения транспортной инфраструктуры, и ИС, АСУ, ИТКС, имеющиеся у Организации, задействованные в критических процессах Организации, участвуют в обработке информации, необходимой для управления, контроля или мониторинга опасными производственными объектами и объектами транспортной инфраструктуры.

--------------------------------

<32> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 11, утв. постановлением Правительства РФ от 08.02.2018 N 127.

Под вредными воздействиями на окружающую среду следует понимать ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия <33>

--------------------------------

<33> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (сноска <5> - Ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия), утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Вредные воздействия на окружающую среду" приведен в Таблице 11 и Таблице 12.

Таблица 11. Оценка по территории, на которой окружающая среда может подвергнуться вредным воздействиям.

Таблица 12. Оценка по количеству людей, которые могут быть подвержены вредным воздействиям.

Пример: Категорируемым объектом КИИ является автоматизированная система пожаротушения в серверном помещении Организации. Для тушения пожаров в местах, где находится техника или металлические конструкции, зачастую используются газовые огнетушащие вещества: хладон 23, аргон и пр., оказывающие удушающее воздействие на организм человека. Следовательно, даже при отсутствии вредных воздействий на окружающую среду, автоматизированная система предприятия, использующего газовое пожаротушение, будет отнесена к критической. Значение категории значимости объекта КИИ будет зависеть от усредненного за период времени количества людей в серверных помещениях.

6.2.18. Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)".

Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)" <34> для Организации не производится, поскольку Организация не выполняет функции пункта управления (ситуационного центра) органа государственной власти субъекта Российской Федерации или города федерального значения, федерального органа государственной власти или государственной корпорации, Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации.

--------------------------------

<34> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 12, утв. постановлением Правительства РФ от 08.02.2018 N 127.

6.2.19. Расчет показателя критерия "Снижение показателей государственного оборонного заказа".

Расчет показателя критерия "Снижение показателей государственного оборонного заказа" <35> для Организации производится (в части снижения объемов продукции (работ, услуг).

--------------------------------

<35> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 13, утв. постановлением Правительства РФ от 08.02.2018 N 127.

В части увеличения времени изготовления единицы продукции с заданным объемом, расчет указанного показателя не производится в том случае, если Организация обеспечивает эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС, задействованной в процессе выполнения государственного оборонного заказа и влияющей на снижение объемов продукции (работ, услуг) в заданный период времени.

Алгоритм расчета показателя критерия "Снижение показателей государственного оборонного заказа" приведен в Таблице 13.

Таблица 13. Оценивание по снижению объемов продукции (работ, услуг)

6.2.20. Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка".

Расчет показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка" <36> для Организации производится в том случае, если Организация обеспечивает эксплуатацию ИС, АСУ, ИТКС и критические процессы Организации осуществляют управление, контроль или мониторинг ИС, АСУ, ИТКС в области обеспечения обороны страны, безопасности государства и правопорядка.

--------------------------------

<36> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 14, утв. постановлением Правительства РФ от 08.02.2018 N 127.

Алгоритм расчета показателя критерия "Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка" приведен в Таблице 14: