II. Порядок установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений в целях присвоения ему одной из категорий значимости

5. Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, состав которой определяется в соответствии с Правилами, с учетом следующих особенностей:

а) в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся федеральными органами исполнительной власти, находящимися в ведении Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, а также федеральными государственными учреждениями, функции и полномочия учредителя которых осуществляет Министерство, и федеральными государственными унитарными предприятиями, права собственника имущества которых осуществляет Министерство, по согласованию с Министерством включаются представители Министерства;

б) в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся федеральными государственными учреждениями, функции и полномочия учредителя которых осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, и федеральными государственными унитарными предприятиями, права собственника имущества которых осуществляет Служба, по согласованию со Службой включаются представители Службы;

в) в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся операторами универсального обслуживания, по согласованию с Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации включаются представители Министерства.

6. Комиссия по категорированию на основе анализа исходных данных, указанных в пункте 10 настоящего документа, осуществляет оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры и моделирует ущерб от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки.

Комиссия по категорированию осуществляет оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры посредством соотнесения показателей масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа, и их значениями.

Показатель масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры оценивается (исчисляется) комиссией по категорированию путем последовательной реализации следующих этапов:

анализ сведений о технологических (в том числе информационных) процессах, осуществляемых с использованием объекта критической информационной инфраструктуры;

анализ потенциального ущерба от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки, в соответствии с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа, и их значениями;

оценка потенциального ущерба от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки, который наносится технологическим (в том числе информационным) процессам, осуществляемым с использованием объекта критической информационной инфраструктуры, посредством соотнесения такого ущерба с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа, и их значениями.

7. На основании оценки масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры комиссия по категорированию устанавливает по каждому из показателей критериев значимости, применимых к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа:

а) невозможность применения показателя критерия значимости и его значений;

б) применимость показателя критерия значимости и его значений.

8. К объектам критической информационной инфраструктуры применимы показатели критериев значимости, указанные:

а) в субпозиции "а" позиции 4 и в позиции 9 перечня показателей критериев значимости, - в отношении всех субъектов критической информационной инфраструктуры;

б) в субпозиции "б" позиции 4 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, являющихся участниками закупок, при наличии действующих контрактов на оказание услуг связи, в том числе государственных и муниципальных контрактов на оказание услуг связи, или договоров об оказании услуг связи, заключенных с Центральным банком Российской Федерации;

в) в позиции 6 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, являющихся участниками закупок, при наличии действующих контрактов на оказание услуг связи, в том числе государственных и муниципальных контрактов на оказание услуг связи, или договоров об оказании услуг связи, заключенных с Центральным банком Российской Федерации, в случае, если в условиях отсутствия услуг связи, предусмотренных указанными контрактами или договорами, государственный орган и (или) организация, созданная на основании федерального закона, не смогут осуществлять возложенную на них функцию (полномочие);

г) в позиции 8 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, которые являются государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса либо включенным в перечень стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ", стратегическим предприятием или стратегическим акционерным обществом.

9. Показатели критериев значимости, не указанные в пункте 8 настоящего документа, рассматриваются субъектами критической информационной инфраструктуры в случае, предусмотренном пунктом 14(2) Правил.

10. Исходными данными для категорирования помимо данных, указанных в пункте 10 Правил, являются:

а) техническая и проектная документация (при наличии) на объект критической информационной инфраструктуры;

б) возможные типы компьютерных атак, компьютерных инцидентов и их последствий в отношении объекта критической информационной инфраструктуры, в том числе:

описание актуальных для субъекта критической информационной инфраструктуры источников компьютерных атак и методов реализации таких компьютерных атак;

конфигурация программных и (или) технических средств, пригодных для реализации компьютерных атак;

возможные уязвимости, используемые источниками компьютерных атак;

диапазон компьютерных инцидентов, потенциально возникающих в результате реализации компьютерных атак.