Постановление Правительства РФ от 07.03.2026 N 246 "Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере науки"

II. Порядок проведения категорирования объектов критической информационной инфраструктуры

II. Порядок проведения категорирования объектов критической

информационной инфраструктуры

6. Проведение категорирования объектов критической информационной инфраструктуры включает в себя:

а) выявление информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, соответствующих типовым объектам критической информационной инфраструктуры, включенным в перечень типовых отраслевых объектов критической информационной инфраструктуры;

б) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;

в) присвоение каждому объекту критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения ему одной из категорий значимости.

7. В случае осуществления модернизации объектов критической информационной инфраструктуры решением субъекта критической информационной инфраструктуры объект критической информационной инфраструктуры может быть разделен на несколько отдельных объектов критической информационной инфраструктуры.

8. В случае выявления субъектом критической информационной инфраструктуры объекта критической информационной инфраструктуры, который не соответствует типам информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, включенных в перечни типовых отраслевых объектов критической информационной инфраструктуры, но масштаб возможных последствий возникновения компьютерных инцидентов на котором соответствует критериям значимости и показателям их значений, субъект критической информационной инфраструктуры присваивает объекту критической информационной инфраструктуры одну из категорий значимости, наиболее подходящих для выявления объекта критической информационной инфраструктуры, и направляет сведения об объекте критической информационной инфраструктуры, а также предложения о дополнении перечней типовых отраслевых объектов критической информационной инфраструктуры в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.

Сведения об объекте критической информационной инфраструктуры, подлежащие направлению в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, установлены пунктом 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".

9. При применении к объектам критической информационной инфраструктуры перечня показателей критериев значимости следует учитывать следующие особенности:

а) показатель, предусмотренный позицией 1 перечня показателей критериев значимости, применим в случае, если при выполнении научно-исследовательских работ, опытно-конструкторских работ и (или) научно-исследовательских и опытно-конструкторских работ предусматривается использование вредных веществ, в том числе опасных химических веществ;

б) показатель, предусмотренный позицией 7 перечня показателей критериев значимости, применим в случае, если субъект критической информационной инфраструктуры выполняет научно-исследовательские работы, опытно-конструкторские работы и (или) научно-исследовательские и опытно-конструкторские работы в рамках международного договора Российской Федерации;

в) показатель, предусмотренный позицией 9 перечня показателей критериев значимости, применим в случае, если субъект критической информационной инфраструктуры выполняет научно-исследовательские работы, опытно-конструкторские работы и (или) научно-исследовательские и опытно-конструкторские работы;

г) показатель, предусмотренный позицией 11 перечня показателей критериев значимости, применим в случае, если при выполнении научно-исследовательских работ, опытно-конструкторских работ и (или) научно-исследовательских и опытно-конструкторских работ предусматривается использование вредных веществ, в том числе опасных химических веществ;

д) показатель, предусмотренный позицией 13(1) перечня показателей критериев значимости, применим в случае выполнения субъектом критической информационной инфраструктуры научно-исследовательских работ, опытно-конструкторских работ и (или) научно-исследовательских и опытно-конструкторских работ в рамках государственного оборонного заказа.

10. При оценке масштаба возможных последствий в случае возникновения компьютерных инцидентов при проведении компьютерных атак на объекты критической информационной инфраструктуры необходимо:

а) рассматривать наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, следствием которых являются прекращение или нарушение проектного или штатного функционирования объектов критической информационной инфраструктуры и нанесение максимально возможного ущерба (отсутствие организационных, технических и иных мер безопасности, реализованных на объектах критической информационной инфраструктуры и в субъекте критической информационной инфраструктуры в целом, дублирование процесса аналоговыми приборами или переход на бумажные носители информации);

б) учитывать зависимость технологических процессов от осуществления иных процессов, выполняемых субъектом критической информационной инфраструктуры;

в) учитывать зависимость функционирования одного объекта критической информационной инфраструктуры от функционирования другого объекта критической информационной инфраструктуры;

г) оценивать возможность реализации угрозы безопасности информации для объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.

11. Проведение категорирования объектов критической информационной инфраструктуры осуществляется субъектом критической информационной инфраструктуры исходя из возможности возникновения компьютерных атак и компьютерных инцидентов (при выполнении научно-исследовательских работ и (или) опытно-конструкторских работ не ниже седьмого уровня готовности разрабатываемых или разработанных технологий, а также получении научных и (или) научно-технических результатов не ниже седьмого уровня готовности разрабатываемых или разработанных технологий, определяемых в соответствии с порядком определения уровней готовности разрабатываемых или разработанных технологий, а также научных и (или) научно-технических результатов, соответствующих каждому уровню готовности технологий, утверждаемым в соответствии с пунктом 3(1) Положения о единой государственной информационной системе учета научно-исследовательских, опытно-конструкторских и технологических работ гражданского назначения, утвержденного постановлением Правительства Российской Федерации от 12 апреля 2013 г. N 327 "О единой государственной информационной системе учета научно-исследовательских, опытно-конструкторских и технологических работ гражданского назначения") и зависит от показателей критериев значимости перечня показателей критериев значимости, указанных в пункте 9 настоящего документа.

I. Общие положения III. Порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры