ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
ЗАКОНЫ КОММЕНТАРИИ СУДЕБНАЯ ПРАКТИКА
Гражданский кодекс часть 1
Гражданский кодекс часть 2

Постановление Правительства РФ от 27.06.2026 N 796 "Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в области оборонной промышленности"

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 27 июня 2026 г. N 796
ОБ УТВЕРЖДЕНИИ ОТРАСЛЕВЫХ ОСОБЕННОСТЕЙ
КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ
ОБОРОННОЙ ПРОМЫШЛЕННОСТИ
В соответствии с пунктом 5 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
Утвердить прилагаемые отраслевые особенности категорирования объектов критической информационной инфраструктуры Российской Федерации в области оборонной промышленности.
Председатель Правительства
Российской Федерации
М.МИШУСТИН
Утверждены
постановлением Правительства
Российской Федерации
от 27 июня 2026 г. N 796
ОТРАСЛЕВЫЕ ОСОБЕННОСТИ
КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ
ОБОРОННОЙ ПРОМЫШЛЕННОСТИ
I. Общие положения
1. Настоящий документ предназначен для проведения категорирования объектов критической информационной инфраструктуры Российской Федерации, функционирующих в области оборонной промышленности (далее - объект критической информационной инфраструктуры), являющихся информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления.
2. Настоящий документ определяет порядок установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений в целях присвоения объекту критической информационной инфраструктуры одной из категорий значимости и порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры.
3. Категорирование объектов критической информационной инфраструктуры осуществляется в соответствии со статьей 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации и перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее соответственно - Правила категорирования, перечень), и настоящим документом.
4. В целях осуществления категорирования объектов критической информационной инфраструктуры решением руководителя субъекта критической информационной инфраструктуры в соответствии с пунктами 11 - 13 Правил категорирования создается постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры (далее - комиссия по категорированию).
II. Порядок установления соответствия объекта
критической информационной инфраструктуры критериям
значимости и показателям их значений в целях присвоения
объекту критической информационной инфраструктуры
одной из категорий значимости
5. В целях установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений субъектом критической информационной инфраструктуры должны быть определены объекты критической информационной инфраструктуры, подлежащие категорированию, а также выявлены процессы, нарушение или прекращение которых может привести к прекращению или нарушению функционирования объектов критической информационной инфраструктуры.
6. Субъект критической информационной инфраструктуры по окончании присвоения категории значимости объектам критической информационной инфраструктуры направляет в адрес организации, определенной Министерством промышленности и торговли Российской Федерации, в соответствии с абзацем третьим пункта 19(3) Правил категорирования следующие документы:
а) копии протоколов заседаний комиссии по категорированию;
б) копии актов категорирования объектов критической информационной инфраструктуры.
7. В рамках настоящего документа для целей категорирования применяются позиции 1 - 4, 6 - 13(1) показателей, указанных в перечне.
8. В случае обнаружения зависимости одного объекта критической информационной инфраструктуры от другого объекта критической информационной инфраструктуры (в том числе принадлежащего на праве собственности, аренды и ином законном основании другому субъекту критической информационной инфраструктуры), такому объекту критической информационной инфраструктуры по результатам категорирования в соответствии с перечнем или в соответствии с итогами категорирования объекта критической информационной инфраструктуры, зависимость от которого была выявлена, присваивается категория значимости с наивысшим значением.
9. Пересмотр установленных категорий значимости, решений об отсутствии необходимости присвоения одной из категорий значимости осуществляется субъектом критической информационной инфраструктуры в отношении принадлежащих ему объектов критической информационной инфраструктуры в случаях, установленных пунктом 191 Правил категорирования, но не реже одного раза:
в год - для объектов критической информационной инфраструктуры, в отношении которых принято решение об отсутствии необходимости присвоения им одной из категорий значимости;
в 2 года - для объектов критической информационной инфраструктуры, которым присвоена третья категория значимости;
в 3 года - для объектов критической информационной инфраструктуры, которым присвоена вторая категория значимости;
в 5 лет - для объектов критической информационной инфраструктуры, которым присвоена первая категория значимости.
III. Отраслевые признаки значимости объектов критической
информационной инфраструктуры, соответствующие критериям
значимости и показателям их значений
10. Отраслевыми признаками значимости объектов критической информационной инфраструктуры являются:
а) использование объекта критической информационной инфраструктуры в поставке товаров, выполнении работ, оказании услуг по договорам или контрактам в рамках государственного оборонного заказа;
б) использование объекта критической информационной инфраструктуры в поставке товаров, выполнении работ, оказании услуг субъектами критической информационной инфраструктуры по договорам или контрактам, контроль качества и приемка результатов работы которых сопровождается военными представительствами Министерства обороны Российской Федерации;
в) обеспечение функционирования объектом критической информационной инфраструктуры опасного производства объекта, имеющего декларацию промышленной безопасности опасного производственного объекта в соответствии с Федеральным законом "О промышленной безопасности опасных производственных объектов".
11. В целях определения категории значимости объектов критической информационной инфраструктуры для каждого объекта критической информационной инфраструктуры:
а) определяется соответствие объекта критической информационной инфраструктуры отраслевым признакам значимости объектов критической информационной инфраструктуры, указанным в пункте 10 настоящего документа;
б) оценивается вероятность нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры в случае возникновения компьютерного инцидента;
в) оценивается масштаб последствий при нарушении или прекращении функционирования объекта критической информационной инфраструктуры в случае возникновения компьютерного инцидента.
IV. Порядок расчета значений показателей критериев
значимости с учетом особенностей функционирования объекта
критической информационной инфраструктуры
12. В целях расчета значения показателя, указанного в позиции 1 перечня, комиссией по категорированию проводятся:
а) осмотр объекта критической информационной инфраструктуры;
б) опрос персонала объекта критической информационной инфраструктуры;
в) анализ паспорта безопасности опасного производственного объекта, декларации промышленной безопасности объекта критической информационной инфраструктуры, проектной и эксплуатационной документации на объект критической информационной инфраструктуры;
г) прогнозирование нанесения ущерба жизни и здоровью людей, основанное на моделировании последствий компьютерного инцидента;
д) анализ планов по предупреждению и ликвидации чрезвычайных ситуаций природного и техногенного характера;
е) анализ статистических данных по нештатным ситуациям в организации и иных документов, указывающих на потенциальную опасность объекта критической информационной инфраструктуры;
ж) определение наличия опасных факторов, источниками которых являются производственное и (или) технологическое оборудование, обрабатываемое или хранимое в нем сырье и (или) параметры (характеристики) и условия его обработки, в обеспечении функционирования которых участвует рассматриваемый объект критической информационной инфраструктуры;
з) определение расположения безопасных зон, защищаемых от опасных факторов объекта критической информационной инфраструктуры (жилые, общественно-деловые, производственные зоны, зоны инженерной и транспортной инфраструктуры, зоны сельскохозяйственного использования, зоны рекреационного назначения, зоны особо охраняемых территорий, зоны специального назначения, зоны размещения военных объектов и иные виды безопасных зон);
и) определение количества человек, потенциально находящихся в зоне поражения при возникновении чрезвычайной ситуации, в том числе не являющихся персоналом субъекта критической информационной инфраструктуры;
к) определение числа потенциальных потребителей продукции или услуг.
13. В целях расчета значений показателей позиции 2 перечня комиссии по категорированию в ходе своей работы необходимо провести оценку наихудшего сценария возможных негативных последствий на объекте критической информационной инфраструктуры, которые повлекут за собой прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения. После экспертного анализа возможных последствий на территории, на которой возможно нарушение обеспечения жизнедеятельности населения, комиссия по категорированию принимает решение о присвоении категории значимости объекту критической информационной инфраструктуры:
а) в соответствии с субпозицией "а" позиции 2 перечня - исходя из границ субъектов Российской Федерации, а также муниципальных образований;
б) в соответствии с субпозицией "б" позиции 2 перечня - исходя из информации о количестве человек, проживающих на такой территории.
14. Порядок расчета значений показателей, указанных в позиции 3 перечня, определяется отраслевыми особенностями категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере транспорта.
15. Порядок расчета значения показателей, указанных в позиции 4 перечня, определяется отраслевыми особенностями категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере связи.
16. В целях расчета значения показателя позиции 6 перечня комиссии по категорированию необходимо провести оценку контрактов, выполняемых с использованием объекта критической информационной инфраструктуры. После экспертного анализа контрактов комиссия по категорированию принимает решение о присвоении категории значимости объекту критической информационной инфраструктуры, задействованному в обеспечении функционирования государственного органа или организации, созданной на основании федерального закона, в части выполнения возложенных на них функций (полномочий).
17. В целях расчета значения показателя позиции 7 перечня комиссии по категорированию необходимо провести оценку контрактов, выполняемых с использованием объекта критической информационной инфраструктуры. После экспертного анализа контрактов комиссия по категорированию принимает решение о присвоении категории значимости объекту критической информационной инфраструктуры, задействованному в проведении переговоров, или подписании планируемого к заключению международного договора Российской Федерации, оцениваемого по уровню международного договора Российской Федерации.
18. Значение показателя ущерба субъекту критической информационной инфраструктуры (U8), указанного в позиции 8 перечня, определяется по формуле:
где:
Uy8 - ущерб субъекту критической информационной инфраструктуры от компьютерного инцидента;
Rгод - усредненный объем годового дохода за прошедший 5-летний период.
19. Ущерб субъекту критической информационной инфраструктуры от компьютерного инцидента (Uy8) определяется по формуле:
Uу8 = C + A + X,
C - суммарные затраты на объект критической информационной инфраструктуры;
A - затраты на возмещение ущерба, причиненного потерпевшим и их имуществу (в рублях) (если прекращение или нарушение работоспособности объекта критической информационной инфраструктуры не влечет за собой никакого ущерба, A = 0);
X - ущерб, зафиксированный субъектом критической информационной инфраструктуры либо вышестоящей организацией в ходе уже произошедших компьютерных инцидентов по отношению к объекту критической информационной инфраструктуры либо аналогичным объектам за весь период существования, фактически является суммой расходов, понесенных субъектом критической информационной инфраструктуры либо вышестоящей организацией, полученной в ходе ликвидации последствий уже случившихся компьютерных инцидентов (рассчитывается только в том случае, если компьютерные инциденты уже происходили и субъект критической информационной инфраструктуры либо вышестоящая организация располагает данными об указанных происшествиях, если иные ситуации не зафиксированы, X = 0).
20. Усредненный объем годового дохода за прошедший 5-летний период (Rгод) определяется по формуле:
где:
n - значение 1-го года в рассматриваемый 5-летний период;
Di - доход субъекта критической информационной инфраструктуры за i-й год (в рублях).
21. Рассчитанный показатель ущерба субъекту критической информационной инфраструктуры (U8) сопоставляется с показателями, приведенными в позиции 8 перечня, и дается заключение о присвоении или об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости.
22. Суммарные затраты на объект критической информационной инфраструктуры (C) определяются по формуле:
C = Cо + Cп + Cи,
Cо - общая стоимость самого объекта критической информационной инфраструктуры (в рублях);
Cп - стоимость пусконаладочных работ (в рублях);
Cи - иные затраты на объект критической информационной инфраструктуры.
23. Затраты на возмещение ущерба, причиненного потерпевшим и их имуществу (A), определяются по формуле:
где:
m - количество потерпевших, которым необходимо возмещение вреда, причиненного их жизни и здоровью;
p - количество потерпевших, которым необходимо возмещение вреда, причиненного в связи с нарушением условий их жизнедеятельности;
t - количество потерпевших - физических лиц, которым необходимо возмещение вреда, причиненного их имуществу;
u - количество потерпевших - юридических лиц, которым необходимо возмещение вреда, причиненного их имуществу.
Количество потерпевших рассчитывается на основе декларации промышленной безопасности объекта критической информационной инфраструктуры либо экспертным методом на основе анализа возможных максимальных последствий.
24. Значение показателя ущерба федеральному бюджету (U9), указанного в позиции 9 перечня, определяется по формуле:
где:
Uy9 - снижение выплат (отчислений) в федеральный бюджет, осуществляемых субъектом критической информационной инфраструктуры, которое может быть следствием отклонения значений параметров процессов функционирования объектов критической инфраструктуры, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования (в рублях);
Nуср - усредненный размер прогнозируемого годового дохода федерального бюджета за прошедший 3-летний период (прогнозируемый годовой доход федерального бюджета, усредненный за планируемый 3-летний период, с учетом федерального закона о федеральном бюджете на очередной финансовый год и плановый период).
25. Усредненный размер прогнозируемого годового дохода федерального бюджета за прошедший 3-летний период (прогнозируемый годовой доход федерального бюджета, усредненный за планируемый 3-летний период, с учетом федерального закона о федеральном бюджете на очередной финансовый год и плановый период) (Nуср) определяется по формуле:
где:
Ni - прогнозируемый доход федерального бюджета за i-й год (в рублях);
b - значение 1-го года в рассматриваемый 3-летний период.
26. Расчет снижения выплат (отчислений) в федеральный бюджет, осуществляемых субъектом критической информационной инфраструктуры, которое может быть следствием отклонения значений параметров процессов функционирования объектов критической информационной инфраструктуры, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования (Uy9), для каждого объекта критической информационной инфраструктуры определяется по формуле:
KН - коэффициент выплат (отчислений) в федеральный бюджет, осуществленных субъектом критической информационной инфраструктуры за предыдущий 3-летний период.
27. Коэффициент выплат (отчислений) в федеральный бюджет, осуществленных субъектом критической информационной инфраструктуры за предыдущий 3-летний период (KН), определяется по формуле:
KH = RC / D,
Rс - усредненный годовой размер выплачиваемых субъектом критической информационной инфраструктуры в федеральный бюджет в соответствии с Налоговым кодексом Российской Федерации налогов за предыдущий 3-летний период;
D - усредненный годовой доход субъекта критической информационной инфраструктуры за прошедший 3-летний период (в рублях).
28. Объем усредненного годового дохода субъекта критической информационной инфраструктуры за прошедший 3-летний период (D) определяется по формуле:
где:
b - значение 1-го года в рассматриваемый 3-летний период;
Di - прогнозируемый доход субъекта критической информационной инфраструктуры за i-й год (в рублях).
29. Рассчитанный показатель ущерба федеральному бюджету (U9) сопоставляется с показателями, указанными в позиции 9 перечня, и дается заключение о присвоении либо об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости.
30. Порядок расчета значений показателей, указанных в позициях 10 - 10(7) перечня, определяется отраслевыми особенностями категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка.
31. В целях расчета значений показателей, указанных в позиции 11 перечня, комиссии по категорированию необходимо провести оценку наихудшего сценария возможных негативных последствий на территориях субъектов Российской Федерации (муниципальных образований), на которых окружающая среда может подвергнуться вредным воздействиям, которые могут произойти вследствие компьютерного инцидента на объекте критической информационной инфраструктуры.
32. После экспертного анализа возможных последствий на территориях субъектов Российской Федерации (муниципальных образований), на которых окружающая среда может подвергнуться вредным воздействиям, комиссия по категорированию принимает решение о присвоении категории значимости объекту критической информационной инфраструктуры:
а) в соответствии с субпозицией "а" позиции 11 перечня - исходя из границ субъектов Российской Федерации (муниципальных образований);
б) в соответствии с субпозицией "б" позиции 11 перечня - исходя из информации о количестве человек, проживающих на указанных территориях.
33. Для расчета значения показателя, указанного в позиции 12 перечня, комиссией по категорированию проводится оценка контрактов, выполняемых с использованием объекта критической информационной инфраструктуры. После экспертного анализа контрактов комиссия по категорированию принимает решение о присвоении категории значимости объекту критической информационной инфраструктуры, используемому для обеспечения работоспособности и штатного (резервного) функционирования (возможности выполнения установленных показателей) пункта управления (ситуационного центра), оцениваемых в уровне (значимости) пункта управления (ситуационного центра).
где:
Vmax _ максимальный объем продукции (работ, услуг), поставляемой (выполняемых, оказываемых) в рамках выполнения государственного оборонного заказа, который может быть поставлен (выполнен, оказан) объектом критической информационной инфраструктуры при максимальной скорости выпуска единицы продукции (выполнения работы, оказания услуги) за время выполнения государственного оборонного заказа;
VИНЦ - объем продукции (работ, услуг), поставляемой (выполняемых, оказываемых) в рамках выполнения государственного оборонного заказа, который был бы поставлен (выполнен, оказан) во время устранения компьютерного инцидента при максимальной скорости выпуска единицы продукции (выполнения работы, оказания услуги);
VГОЗ - полный объем требуемой по государственному оборонному заказу продукции (работ, услуг).
36. Максимальный объем продукции (работ, услуг), поставляемой (выполняемых, оказываемых) в рамках выполнения государственного оборонного заказа, который может быть поставлен (выполнен, оказан) объектом критической информационной инфраструктуры при максимальной скорости выпуска единицы продукции (выполнения работы, оказания услуги) за время выполнения государственного оборонного заказа (Vmax), определяется по формуле:
где:
Bmax - максимальная скорость выпуска единицы продукции (выполнения работы, оказания услуги) по государственному оборонному заказу, определенная на основании эксплуатационных, технических и (или) иных документов на объект критической информационной инфраструктуры и (или) оборудование, включенное в контур объекта критической информационной инфраструктуры, в том числе резервное, а также на основании производства аналогичной продукции (аналогичных работ, услуг) за прошедший 3-летний период;
TГОЗ - время, предусмотренное контрактом на выполнение государственного оборонного заказа в полном объеме.
37. Объем продукции (работ, услуг), поставляемой (выполняемых, оказываемых) в рамках выполнения государственного оборонного заказа, который был бы поставлен (выполнен, оказан) во время устранения компьютерного инцидента при максимальной скорости выпуска единицы продукции (выполнения работы, оказания услуги), определяется по формуле:
где Tинц - время единичного (разового) нарушения в работе объекта критической информационной инфраструктуры с полным прекращением регламентной работы самого объекта критической информационной инфраструктуры и (или) объекта, управляемого или обеспечиваемого объектом критической информационной инфраструктуры на основании эксплуатационных, технических, договорных и (или) иных документов, в рамках которых определяется время, требуемое для устранения последствий компьютерного инцидента.
38. Расчет значения показателя увеличения времени изготовления единицы продукции с заданным государственным оборонным заказом объемом (T), указанного в субпозиции "б" позиции 13 перечня, определяется по формуле:
где:
tнорм - сумма времени проведения всех операций, связанных с производством единицы продукции (выполнением работы, оказанием услуги) по государственному оборонному заказу, которые при штатном функционировании объекта критической информационной инфраструктуры выполняются объектом критической информационной инфраструктуры, определенная на основании эксплуатационных, технических и (или) иных документов на объект критической информационной инфраструктуры и (или) оборудование, включенное в контур объекта критической информационной инфраструктуры, а также на основании производства аналогичной продукции (выполнения аналогичной работы, оказания аналогичных услуг) по государственному оборонному заказу за прошедший 3-летний период;
tненорм - сумма времени проведения всех операций, направленных на производство единицы продукции (выполнения работы, оказания услуги) по государственному оборонному заказу, которые при штатном функционировании объекта критической информационной инфраструктуры производятся (выполняются, оказываются) этим объектом критической информационной инфраструктуры, а вследствие компьютерного инцидента на объект критической информационной инфраструктуры - альтернативным способом или с учетом времени, необходимого для восстановления штатного функционирования объекта критической информационной инфраструктуры.
39. Сумма времени проведения всех операций, направленных на производство единицы продукции (выполнения работы, оказания услуги) по государственному оборонному заказу, которые при штатном функционировании объекта критической информационной инфраструктуры производятся (выполняются, оказываются) этим объектом
39. критической информационной инфраструктуры, а вследствие компьютерного инцидента на объект критической информационной инфраструктуры - альтернативным способом или с учетом времени, необходимого для восстановления штатного функционирования объекта критической информационной инфраструктуры (tненорм), определяется по формуле:
где:
c - количество участков объекта критической информационной инфраструктуры, задействованных в производстве продукции (выполнении работ, оказании услуг) по государственному оборонному заказу, которые являются отдельной информационной системой, автоматизированной системой управления, информационно-телекоммуникационной сетью, вывод из строя которых не приведет к приостановке производства продукции (выполнения работ, оказания услуг) по государственному оборонному заказу;
Tненорм - время, затраченное на выполнение нештатных операций по производству продукции (выполнению работ, оказанию услуг) по государственному оборонному заказу, связанное с нарушением технологии производства, вызванным компьютерным инцидентом, в том числе произошедшим в результате компьютерной атаки на объекте критической информационной инфраструктуры.
В случае если компьютерный инцидент вызвал полную остановку процедуры производства продукции (выполнения работ, оказания услуг) по государственному оборонному заказу, осуществляемой объектом критической информационной инфраструктуры, а работы указанного объекта критической информационной инфраструктуры невозможно заменить альтернативным способом, расчет значений показателей, предусмотренных пунктами 37 и 38 настоящего документа, не производится.
40. В целях расчета значения показателя, указанного в позиции 13(1) перечня, комиссии по категорированию необходимо провести оценку контрактов, выполняемых с использованием объекта критической информационной инфраструктуры. После экспертного анализа контрактов комиссия по категорированию принимает решение о присвоении категории значимости объекту критической информационной
40. инфраструктуры, используемому для производства товаров (выполнения работ, оказания услуг) по государственному оборонному заказу, в зависимости от статуса субъекта критической информационной инфраструктуры в кооперации головного исполнителя поставок продукции (выполнения работ, оказания услуг) по государственному оборонному заказу.