Постановление Правительства РФ от 31.03.2026 N 356 "Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры, функционирующих в сфере ракетно-космической промышленности"

Утвердить прилагаемые отраслевые особенности категорирования объектов критической информационной инфраструктуры, функционирующих в сфере ракетно-космической промышленности.

1. Настоящий документ предназначен для проведения категорирования объектов критической информационной инфраструктуры, функционирующих в сфере ракетно-космической промышленности (далее - объекты критической информационной инфраструктуры), являющихся информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления, принадлежащих на праве собственности, аренды или на ином законном основании субъектам критической информационной инфраструктуры.

2. Настоящий документ определяет порядок установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений в целях присвоения объекту одной из категорий значимости и порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры.

3. Категорирование объектов критической информационной инфраструктуры осуществляется в соответствии со статьей 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации и перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (далее - перечень), которые утверждены постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений", и настоящим документом.

4. В целях осуществления категорирования объектов критической информационной инфраструктуры решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры (далее - комиссия по категорированию) согласно пунктам 11 - 13 Правил, указанных в пункте 3 настоящего документа.

Работа комиссии по категорированию регламентируется внутренним нормативным актом субъекта критической информационной инфраструктуры.

5. В целях установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений субъектом критической информационной инфраструктуры должны быть определены объекты критической информационной инфраструктуры, подлежащие категорированию, а также выявлены процессы, нарушение или прекращение которых может привести к прекращению или нарушению функционирования объектов критической информационной инфраструктуры.

6. В случае выявления субъектом критической информационной инфраструктуры каналов взаимодействия различных информационных систем, информационно-телекоммуникационных сетей или автоматизированных систем управления решением субъекта критической информационной инфраструктуры такие системы могут быть объединены в один объект критической информационной инфраструктуры.

7. В случае модернизации объектов критической информационной инфраструктуры решением субъекта критической информационной инфраструктуры объект критической информационной инфраструктуры может быть разделен на несколько отдельных объектов критической информационной инфраструктуры.

8. Субъект критической информационной инфраструктуры по окончании присвоения категории значимости объектам критической информационной инфраструктуры направляет в Государственную корпорацию по космической деятельности "Роскосмос" следующие документы:

а) копии протоколов заседаний комиссии по категорированию;

б) копии актов категорирования объектов критической информационной инфраструктуры.

9. В рамках настоящего документа для целей категорирования применяются следующие показатели, указанные в перечне:

а) показатель, указанный в позиции 1 перечня, - всеми субъектами критической информационной инфраструктуры, за исключением Государственной корпорации по космической деятельности "Роскосмос";

б) показатели, указанные в позициях 8 и 9 перечня, всеми субъектами критической информационной инфраструктуры;

в) показатель, указанный в позиции 11 перечня, - всеми субъектами критической информационной инфраструктуры, объекты критической информационной инфраструктуры которых относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации, за исключением объектов критической информационной инфраструктуры Государственной корпорации по космической деятельности "Роскосмос";

г) показатель, указанный в позиции 13 перечня, - всеми субъектами критической информационной инфраструктуры, которые являются государственными заказчиками государственного оборонного заказа, головными исполнителями, исполнителями и соисполнителями государственного оборонного заказа;

д) показатель, указанный в позиции 13(1) перечня, - всеми субъектами критической информационной инфраструктуры, которые являются головными исполнителями по государственному оборонному заказу, исполнителями контракта по государственному оборонному заказу, заключившими контракт с головным исполнителем государственного оборонного заказа, соисполнителями, субподрядчиками или поставщиками в рамках контракта по государственному оборонному заказу совместно с исполнителем, заключившим контракт с головным исполнителем государственного оборонного заказа.

10. В целях определения категории значимости объектов критической информационной инфраструктуры для каждого объекта критической информационной инфраструктуры:

а) определяется участие объекта критической информационной инфраструктуры в выполнении процессов (функций) субъекта критической информационной инфраструктуры, которому на праве собственности, аренды или на ином законном основании принадлежит данный объект критической информационной инфраструктуры, а также участие и (или) выполнение объектом критической информационной инфраструктуры процессов (функций) другого субъекта критической информационной инфраструктуры;

б) определяется участие объекта критической информационной инфраструктуры в выполнении и (или) обеспечении выполнения субъектом критической информационной инфраструктуры государственного оборонного заказа;

в) оценивается вероятность нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры в случае возникновения компьютерного инцидента;

г) оценивается масштаб последствий при нарушении или прекращении функционирования объекта критической информационной инфраструктуры в случае возникновения компьютерного инцидента.

11. Для расчета значения показателя, указанного в позиции 1 перечня, комиссией по категорированию проводится:

анализ проектной и эксплуатационной документации объекта критической информационной инфраструктуры на наличие опасных факторов, источниками которых являются производственное и (или) технологическое оборудование, используемое и (или) хранимое в них сырье;

прогнозирование нанесения ущерба жизни и здоровью людей, основанное на моделировании последствий компьютерного инцидента;

анализ статистических данных по произошедшим ранее нештатным ситуациям на объекте критической информационной инфраструктуры;

определение количества человек, потенциально находящихся в зоне поражения при возникновении чрезвычайной ситуации.

12. Показатель, указанный в позиции 8 перечня, рассчитывается комиссией по категорированию по формуле:

где:

U% - ущерб субъекту критической информационной инфраструктуры (в процентах);

U - ущерб субъекту критической информационной инфраструктуры от компьютерного инцидента, который рассчитывается по формуле:

где:

Rгод - усредненный размер годового дохода субъекта критической информационной инфраструктуры в соответствии с показателями управленческого и бухгалтерского учета за предыдущий 5-летний период;

tустр - время, необходимое на устранение последствий компьютерного инцидента в соответствии с эксплуатационными, техническими, регламентными и (или) иными документами;

tрегл - время, требуемое для проведения операций технического обслуживания (ремонта) в соответствии с техническими регламентами.

В случае если (tустр - tрегл) является отрицательным значением, в основе расчетов определяется величина tрегл.

13. Показатель, указанный в позиции 9 перечня, рассчитывается комиссией по категорированию по формуле:

где:

U% - ущерб федеральному бюджету от компьютерного инцидента (в процентах);

U - ущерб субъекту критической информационной инфраструктуры от компьютерного инцидента, который рассчитывается по формуле:

где:

Rгод - усредненный размер годового дохода субъекта критической информационной инфраструктуры в соответствии с показателями управленческого и бухгалтерского учета за предыдущий 3-летний период;

tустр - время, необходимое на устранение последствий компьютерного инцидента в соответствии с эксплуатационными, техническими, регламентными и (или) иными документами;

tрегл - время, требуемое для проведения операций технического обслуживания (ремонта) в соответствии с техническими регламентами.

В случае если (tустр - tрегл) является отрицательным значением, в основе расчетов определяется величина tрегл.

14. Расчет показателя, указанного в позиции 11 перечня, проводится на основании:

а) наличия у субъекта критической информационной инфраструктуры объектов критической информационной инфраструктуры, которые относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации;

б) наличия у субъекта критической информационной инфраструктуры объектов критической информационной инфраструктуры, задействованных в производственных процессах и обработке информации, необходимой для управления, контроля или мониторинга опасных производственных объектов;

в) сравнения масштаба территории, на которой окружающая среда может быть подвергнута вредным воздействиям, со значениями показателя, указанными в субпозиции "а" позиции 11 перечня;

г) сравнения данных о количестве людей, потенциально подверженных вредным воздействиям, со значениями показателя, указанными в субпозиции "б" позиции 11 перечня.

15. Порядок расчета показателей, указанных в позициях 13 и 13(1) перечня, определяется отраслевыми особенностями категорирования объектов критической информационной инфраструктуры в сфере оборонной промышленности.