ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
ЗАКОНЫ КОММЕНТАРИИ СУДЕБНАЯ ПРАКТИКА
Гражданский кодекс часть 1
Глава 1. ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
Глава 2. ВОЗНИКНОВЕНИЕ ГРАЖДАНСКИХ ПРАВ И ОБЯЗАННОСТЕЙ, ОСУЩЕСТВЛЕНИЕ И ЗАЩИТА ГРАЖДАНСКИХ ПРАВ
Глава 3. ГРАЖДАНЕ (ФИЗИЧЕСКИЕ ЛИЦА)
Глава 4. ЮРИДИЧЕСКИЕ ЛИЦА
Глава 5. УЧАСТИЕ РОССИЙСКОЙ ФЕДЕРАЦИИ, СУБЪЕКТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ, МУНИЦИПАЛЬНЫХ ОБРАЗОВАНИЙ В ОТНОШЕНИЯХ, РЕГУЛИРУЕМЫХ ГРАЖДАНСКИМ ЗАКОНОДАТЕЛЬСТВОМ
Глава 6. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 7. ЦЕННЫЕ БУМАГИ
Глава 8. НЕМАТЕРИАЛЬНЫЕ БЛАГА И ИХ ЗАЩИТА
Глава 9. СДЕЛКИ
Глава 9.1. РЕШЕНИЯ СОБРАНИЙ
Глава 10. ПРЕДСТАВИТЕЛЬСТВО. ДОВЕРЕННОСТЬ
Глава 11. ИСЧИСЛЕНИЕ СРОКОВ
Глава 12. ИСКОВАЯ ДАВНОСТЬ
Глава 13. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 14. ПРИОБРЕТЕНИЕ ПРАВА СОБСТВЕННОСТИ
Глава 15. ПРЕКРАЩЕНИЕ ПРАВА СОБСТВЕННОСТИ
Глава 16. ОБЩАЯ СОБСТВЕННОСТЬ
Глава 17. ПРАВО СОБСТВЕННОСТИ И ДРУГИЕ ВЕЩНЫЕ ПРАВА НА ЗЕМЛЮ
Глава 18. ПРАВО СОБСТВЕННОСТИ И ДРУГИЕ ВЕЩНЫЕ ПРАВА НА ЖИЛЫЕ ПОМЕЩЕНИЯ
Глава 19. ПРАВО ХОЗЯЙСТВЕННОГО ВЕДЕНИЯ, ПРАВО ОПЕРАТИВНОГО УПРАВЛЕНИЯ
Глава 20. ЗАЩИТА ПРАВА СОБСТВЕННОСТИ И ДРУГИХ ВЕЩНЫХ ПРАВ
Глава 21. ПОНЯТИЕ ОБЯЗАТЕЛЬСТВА
Глава 22. ИСПОЛНЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 23. ОБЕСПЕЧЕНИЕ ИСПОЛНЕНИЯ ОБЯЗАТЕЛЬСТВ
Глава 24. ПЕРЕМЕНА ЛИЦ В ОБЯЗАТЕЛЬСТВЕ
Глава 25. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 26. ПРЕКРАЩЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 27. ПОНЯТИЕ И УСЛОВИЯ ДОГОВОРА
Глава 28. ЗАКЛЮЧЕНИЕ ДОГОВОРА
Глава 29. ИЗМЕНЕНИЕ И РАСТОРЖЕНИЕ ДОГОВОРА
Гражданский кодекс часть 2
Глава 30. КУПЛЯ-ПРОДАЖА
Глава 31. МЕНА
Глава 32. ДАРЕНИЕ
Глава 33. РЕНТА И ПОЖИЗНЕННОЕ СОДЕРЖАНИЕ С ИЖДИВЕНИЕМ
Глава 34. АРЕНДА
Глава 35. НАЕМ ЖИЛОГО ПОМЕЩЕНИЯ
Глава 36. БЕЗВОЗМЕЗДНОЕ ПОЛЬЗОВАНИЕ
Глава 37. ПОДРЯД
Глава 38. ВЫПОЛНЕНИЕ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИХ, ОПЫТНО-КОНСТРУКТОРСКИХ И ТЕХНОЛОГИЧЕСКИХ РАБОТ
Глава 39. ВОЗМЕЗДНОЕ ОКАЗАНИЕ УСЛУГ
Глава 40. ПЕРЕВОЗКА
Глава 41. ТРАНСПОРТНАЯ ЭКСПЕДИЦИЯ
Глава 42. ЗАЕМ И КРЕДИТ
Глава 43. ФИНАНСИРОВАНИЕ ПОД УСТУПКУ ДЕНЕЖНОГО ТРЕБОВАНИЯ
Глава 44. БАНКОВСКИЙ ВКЛАД
Глава 45. БАНКОВСКИЙ СЧЕТ
Глава 46. РАСЧЕТЫ
Глава 47. ХРАНЕНИЕ
Глава 47.1. УСЛОВНОЕ ДЕПОНИРОВАНИЕ (ЭСКРОУ)
Глава 48. СТРАХОВАНИЕ
Глава 49. ПОРУЧЕНИЕ
Глава 50. ДЕЙСТВИЯ В ЧУЖОМ ИНТЕРЕСЕ БЕЗ ПОРУЧЕНИЯ
Глава 51. КОМИССИЯ
Глава 52. АГЕНТИРОВАНИЕ
Глава 53. ДОВЕРИТЕЛЬНОЕ УПРАВЛЕНИЕ ИМУЩЕСТВОМ
Глава 54. КОММЕРЧЕСКАЯ КОНЦЕССИЯ
Глава 55. ПРОСТОЕ ТОВАРИЩЕСТВО
Глава 56. ПУБЛИЧНОЕ ОБЕЩАНИЕ НАГРАДЫ
Глава 57. ПУБЛИЧНЫЙ КОНКУРС
Глава 58. ПРОВЕДЕНИЕ ИГР И ПАРИ
Глава 59. ОБЯЗАТЕЛЬСТВА ВСЛЕДСТВИЕ ПРИЧИНЕНИЯ ВРЕДА
Глава 60. ОБЯЗАТЕЛЬСТВА ВСЛЕДСТВИЕ НЕОСНОВАТЕЛЬНОГО ОБОГАЩЕНИЯ
Гражданский кодекс часть 3
Глава 61. ОБЩИЕ ПОЛОЖЕНИЯ О НАСЛЕДОВАНИИ
Глава 62. НАСЛЕДОВАНИЕ ПО ЗАВЕЩАНИЮ
Глава 63. НАСЛЕДОВАНИЕ ПО ЗАКОНУ
Глава 64. ПРИОБРЕТЕНИЕ НАСЛЕДСТВА
Глава 65. НАСЛЕДОВАНИЕ ОТДЕЛЬНЫХ ВИДОВ ИМУЩЕСТВА
Глава 66. ОБЩИЕ ПОЛОЖЕНИЯ
Гражданский кодекс часть 4
Глава 69. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 70. АВТОРСКОЕ ПРАВО
Глава 71. ПРАВА, СМЕЖНЫЕ С АВТОРСКИМИ
Глава 72. ПАТЕНТНОЕ ПРАВО
Глава 73. ПРАВО НА СЕЛЕКЦИОННОЕ ДОСТИЖЕНИЕ
Глава 74. ПРАВО НА ТОПОЛОГИИ ИНТЕГРАЛЬНЫХ МИКРОСХЕМ

Методические рекомендации по определению и категорированию объектов критической информационной (утв. Минэнерго России, ФСТЭК России)

Согласовано
Минэнерго России
исх. от 31.07.2019 N ЧА-8630/15
ФСТЭК России
исх. от 26.08.2019 N 240/25/4048
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ОПРЕДЕЛЕНИЮ И КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ
КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
ТОПЛИВНО-ЭНЕРГЕТИЧЕСКОГО КОМПЛЕКСА
АННОТАЦИЯ
Настоящие методические рекомендации в соответствии с положениями Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон N 187-ФЗ) предназначены для субъектов топливно-энергетического комплекса (далее - ТЭК) в сферах электроэнергетики, нефтедобывающей, нефтеперерабатывающей, нефтехимической, газовой, угольной, сланцевой и торфяной промышленности, а также нефтепродуктообеспечения, теплоснабжения и газоснабжения в части категорирования объектов критической информационной инфраструктуры (далее - КИИ).
Настоящие методические рекомендации не распространяются на Министерство энергетики Российской Федерации и иные государственные органы Российской Федерации.
Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов критической информационной инфраструктуры ТЭК. Предполагается, что в субъектах ТЭК изучены нормативные документы, регламентирующие процедуру категорирования, в связи с чем содержание указанных документов подробно не рассматривается.
Категорирование объекта ТЭК в соответствии с Федеральным законом от 21 июля 2011 г. N 256-ФЗ "О безопасности объектов топливно-энергетического комплекса" не является основанием для не проведения процедуры категорирования в соответствии с Федеральным законом N 187-ФЗ.
Методические рекомендации предназначены для членов комиссий по категорированию, создаваемых субъектами ТЭК, и их работников, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры.
Методические рекомендации разработаны на основании материалов, представленных субъектами ТЭК, и не содержит информацию ограниченного доступа.
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящем документе используются термины и соответствующие им определения, введенные действующими нормативными правовыми актами Российской Федерации, а также государственными стандартами и методическими документами.
Автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;
Безопасность критический информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении нее компьютерных атак;
Значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
Комиссия по категорированию - постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры субъекта критической информационной инфраструктуры;
Компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;
Критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
Объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
ИСПОЛЬЗУЕМЫЕ СОКРАЩЕНИЯ
АСУ ТП
Автоматизированная система управления технологическими процессами
ГО и ЧС
Гражданская оборона и чрезвычайные ситуации
ЕГРЮЛ
Единый государственный реестр юридических лиц
ИНН
Идентификационный номер налогоплательщика
ИА
Исполнительный аппарат
ИС
Информационная система
ИТ
Информационные технологии
ИТКС
Информационно-телекоммуникационная сеть
КЗ
Контролируемая зона
КИИ
Критическая информационная инфраструктура
КПП
Код причины постановки на учет
ТЭК
Топливно-энергетический комплекс
ФСТЭК России
Федеральная служба по техническому и экспортному контролю Российской Федерации
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие методические рекомендации детализируют и стандартизируют процедуру категорирования объектов КИИ, принадлежащих на праве собственности, аренды или на ином законном основании государственным учреждениям, российским юридическим лицам и/или индивидуальным предпринимателям и используемых ими для осуществления видов деятельности в сфере топливно-энергетического комплекса.
Общий порядок осуществления категорирования определен Правилами категорирования объектов КИИ Российской Федерации (далее - Правила) и Перечнем показателей критериев значимости объектов КИИ Российской Федерации и их значений (далее - Перечень), утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - постановление N 127) в редакции Постановления Правительства Российской Федерации от 13 апреля 2019 г. N 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127".
Методические рекомендации применяются субъектами ТЭК для:
- определения процессов в рамках видов деятельности, осуществляемых субъектами ТЭК;
- выявления управленческих, технологических, производственных, финансово-экономических и/или иных процессов в рамках осуществления видов деятельности субъекта ТЭК, нарушение и/или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы) из числа типовых процессов субъекта ТЭК;
- определения информационных систем (далее - ИС), информационно-телекоммуникационных сетей (далее - ИТКС) и автоматизированных систем управления технологическими процессами (далее - АСУ ТП), которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управление, контроль или мониторинг критических процессов (далее совместно именуемых объекты КИИ), из числа типовых ИС, ИТКС и АСУ ТП, принадлежащих субъектам ТЭК;
- формирования перечня объектов КИИ, подлежащих категорированию (далее - перечень объектов КИИ);
- оценки для каждого объекта КИИ в соответствии с перечнем объектов КИИ масштаба возможных последствий в случае возникновения компьютерных инцидентов;
- присвоения каждому из объектов КИИ одной из категорий значимости либо принятия решения об отсутствии необходимости присвоения ему одной из категорий значимости;
- подготовки сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.
Общая схема работ по категорированию объектов ТЭК в соответствии со ст. 7 Федерального закона N 187-ФЗ представлена на рис. 1.
Рисунок 1. Общая схема категорирования
В соответствии с ч. 1 ст. 7 Федерального закона N 187-ФЗ "категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения".
Процедуры категорирования объектов КИИ условно разделяются на первичную и последующие.
Первичная процедура категорирования объектов КИИ обуславливается вступлением в силу Федерального закона 187-ФЗ и подзаконных нормативных актов. В ходе выполнения первичной процедуры категорирования объектов КИИ формируется перечень объектов КИИ субъекта КИИ, подлежащих категорированию, который впоследствии утверждается и направляется во ФСТЭК России.
Последующие процедуры категорирования производятся в случаях:
а) создания нового объекта КИИ или перехода на праве собственности, аренды или ином законном основании по владение и (или) эксплуатацию субъектом КИИ уже существующего объекта КИИ;
б) изменения значимого объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;
в) изменения объекта КИИ, не являющегося значимым объектом КИИ, в результате которого такой объект стал значимым, на основании которых ему должна быть присвоена определенная категория значимости;
г) проведения периодического пересмотра установленной категории значимости или отсутствия необходимости назначения одной из категорий значимости объекта КИИ, осуществляемого (не реже, чем один раз в 5 лет);
д) изменения показателей критериев значимости объектов КИИ или их значений.
2. ОТНЕСЕНИЕ ГОСУДАРСТВЕННОГО УЧРЕЖДЕНИЯ, РОССИЙСКОГО
ЮРИДИЧЕСКОГО ЛИЦА И (ИЛИ) ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ
К СУБЪЕКТАМ КИИ
Отнесение любого государственного учреждения, российского юридического лица и/или индивидуального предпринимателя к субъектам КИИ осуществляется исходя из его соответствия первым двум условиям (одновременно) или третьему условию:
1. Государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель осуществляет один или несколько из основных видов своей деятельности в одной или нескольких сферах (областях) деятельности, предусмотренных п. 8 ст. 2 Федерального закона N 187-ФЗ.
2. Государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю принадлежат на праве собственности, аренды или на ином законном основании любые ИС, ИТКС и АСУ ТП.
3. Российское юридическое лицо и/или индивидуальный предприниматель обеспечивает взаимодействие ИС, ИТКС и АСУ ТП, принадлежащих государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю, осуществляющему свою деятельность в одной или нескольких сферах (областях) деятельности, предусмотренных п. 8 ст. 2 Федерального закона N 187-ФЗ.
Если одно из первых двух условий и третье условие не выполняются, то государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель не является субъектом КИИ, если условия выполняются (одновременно первые два условия или третье условие), то является субъектом КИИ.
Область применения методических рекомендаций в отношении субъектов ТЭК как субъектов КИИ уточняется следующим образом:
- сферой деятельности, предусмотренной п. 8 ст. 2 Федерального закона N 187-ФЗ является энергетика или топливно-энергетический комплекс;
- в качестве субъектов КИИ рассматриваются государственные учреждения, российские юридические лица и/или индивидуальные предприниматели, при этом не учитывается, является ли субъект ТЭК государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и/или стратегическим акционерным обществом, стратегическим предприятием.
3. КОМИССИЯ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ
Для проведения мероприятий по категорированию в соответствии с п. 11 Правил решением руководителя субъекта КИИ создается постоянно действующая комиссия по категорированию. Состав комиссии определен пунктами 11, 11.1, 11.2 и 12, руководитель комиссии определяется в соответствии с п. 13 Правил.
Форма приказа о создании комиссии приведена в приложении 1.
Рекомендуемый состав комиссии.
1. Председатель комиссии по категорированию объектов КИИ
2. Заместитель председателя комиссии
3. Член комиссии - ответственный за ГО и ЧС
4. Член комиссии - ответственный за предоставление экономических показателей
5. Член комиссии - ответственный за выполнение процесса/владелец процесса
6. Член комиссии - ответственный за ИС, ИТКС, АСУ ТП
7. Член комиссии - ответственный за обеспечение безопасности объектов КИИ
8. Член комиссии - аналитик (группа аналитиков)
9. Член комиссии - ответственный по направлению информационной безопасности
10. Член комиссии - ответственный по направлению информационных технологий
11. Другие члены комиссии, определенные п. 11 Правил.
В состав комиссии по категорированию могут включаться представители Министерства энергетики Российской Федерации по согласованию с данным министерством.
4. ОПРЕДЕЛЕНИЕ ПРОЦЕССОВ В РАМКАХ ВИДОВ ДЕЯТЕЛЬНОСТИ,
ОСУЩЕСТВЛЯЕМЫХ СУБЪЕКТОМ КИИ
В настоящем документе под процессом понимается последовательность связанных действий или задач, необходимых для достижения определенного результата.
Все процессы субъекта КИИ, предлагается условно подразделить на следующие группы:
- основные (операционные) - процессы, непосредственно ориентированные на оказание услуги и/или производство товара и обеспечивающие получение дохода для субъекта КИИ. Так, например, для электроэнергетики, согласно Федерального закона от 26 марта 2003 г. N 35-ФЗ "Об электроэнергетике", эти процессы обеспечивают:
- работу в сферах оптового и розничного рынков электрической энергии и мощности;
- оказание услуг по передаче электрической энергии;
- оперативно-технологическое управление;
- коммерческий учет электрической энергии (мощности);
- управления - процессы, отвечающие за управление деятельностью субъекта КИИ;
- поддержки функционирования - процессы, предназначенные для обеспечения основных процессов субъекта КИИ необходимыми ресурсами и создающими инфраструктуру компании;
- развития - процессы совершенствования деятельности субъекта КИИ, нацеленные на получение прибыли в долгосрочной перспективе (совершенствование производства продукции/услуги, технологии производства или оказания услуг, внедрение нового оборудования, а также инновационные процессы).
В случае, если применение вышеописанного подхода к выявлению процессов субъекта ТЭК представляется затруднительным, возможно использование другого подхода, основанного на методологии Enhanced Telecom Operations Map