6. Принятие решения об установлении категории значимости объекту КИИ

Принятие решения об установлении категории значимости конкретному объекту КИИ, принадлежащему Субъекту КИИ в сфере связи, осуществляется Субъектом КИИ в сфере связи на базе значения оценки масштаба возможных последствий в случае возникновения КИ на объекте КИИ, исходя из того, что Правилами устанавливаются 3 категории значимости: самая высокая категория - первая, самая низкая - третья. Рекомендованный настоящими МУ алгоритм подготовки к принятию решения о присвоении категории приведен на Рисунке 2.

Рисунок 2 - Блок-схема подготовки

к принятию решения о присвоении категории

значимости объекту КИИ

Оценка производится по каждому из значений показателя критериев значимости ("Прекращение или нарушение функционирования сети связи", "Возникновение ущерба бюджету Российской Федерации" и "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" <2>), а категория значимости присваивается объекту КИИ по наивысшему значению одного из этих показателей. Обоснование неприменимости остальных показателей из Перечня приведено в Приложении 3.

--------------------------------

<2> Если по решению Субъекта КИИ в сфере связи были дополнительно рассмотрены и другие виды негативных последствий и связанные с ними показатели критериев значимости объектов КИИ, приведенные в Перечне, то производится оценка по каждому из значений дополнительно выбранных показателей критериев значимости.

При оценке масштаба возможных последствий в случае возникновения КИ при проведении КА на объект КИИ целесообразно:

- рассматривать наихудшие сценарии последствий проведения КА на объекты КИИ, результатом которых может стать нарушение или прекращение критического процесса и нанесение максимально возможного ущерба (не учитывая организационные и технические меры безопасности, резервирования и т.п. компенсирующих мероприятий);

- учитывать зависимость процессов от осуществления иных процессов, выполняемых субъектом КИИ;

- учитывать зависимость функционирования одного объекта КИИ от функционирования другого объекта КИИ;

- оценить возможности реализации угроз безопасности информации в отношении объекта КИИ, а также имеющиеся данные, в том числе статистические, о КИ, произошедших ранее на объектах КИИ соответствующего типа.

Категория значимости объектов КИИ ТОТ и ЦОД определяется согласно расчетному методу N 3, приведенному в пункте 5.2 настоящих МУ.

Решение комиссии по каждому объекту КИИ оформляется актом, в том числе и для случая, когда у Субъекта КИИ в сфере связи отсутствуют объекты КИИ, подлежащие категорированию. Рекомендации по заполнению соответствующих актов приведены в Приложениях 6 и 7.

Акт должен быть утвержден приказом руководителя Субъекта КИИ в сфере связи или уполномоченным им лицом (акт будет выступать приложением к соответствующему приказу).

Субъект КИИ в сфере связи обеспечивает хранение акта (приказа об утверждении акта, в случае его наличия) до вывода из эксплуатации объекта КИИ или до изменения его категории значимости согласно части 12 статьи 7 Федерального закона N 187-ФЗ.

Рекомендации по заполнению содержательной части формы направления сведений о результатах категорирования для типовых объектов КИИ, принадлежащих Субъекту КИИ в сфере связи, в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ, приведены в Приложении 2.