Постановление Правительства РФ от 8 февраля 2018 г. № 127

Постановление Правительства РФ от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"

Ключевые выдержки из Постановления правительства от 8 февраля 2018 г. № 127:

1. Цель постановления:

утвердить правила категорирования объектов КИИ;
утвердить перечень показателей критериев значимости объектов КИИ и их значений.

2. Категорированию подлежат объекты КИИ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ.

3. Определение категорий значимости объектов КИИ осуществляется на основании показателей критериев значимости объектов КИИ и их значений, предусмотренных перечнем показателей критериев значимости объектов КИИ и их значений.

4. Исходные данные по категорированию включают в себя:

сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
состав информации, обрабатываемой объектами КИИ, сервисы по управлению, контролю или мониторингу, предоставляемые объектами КИИ;
декларацию промышленной безопасности опасного производственного объекта, декларацию безопасности гидротехнического сооружения и паспорт безопасности объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект КИИ;
сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами КИИ;
сведения об угрозах безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа;
данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа.

5. Категорирование включает в себя:

определение процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ;
выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка;
определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
формирование перечня объектов КИИ, подлежащих категорированию;
оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

6. Устанавливаются три категории значимости. Самая высокая категория - первая, самая низкая - третья.

Источник

Срок действия: не ограничен

Ответственность:

Административная ответственность по ст. 13.12.1 КоАП РФ
Уголовная ответственность по ст. 274.1 УК РФ, если был причинен вред КИИ

Ответственные лица

Руководители государственных органов (организаций)
Зам. руководителя по ИБ

Связанные документы:

Федеральный закон № 187-ФЗ от 26 июля 2017 г. “О безопасности критической информационной инфраструктуры Российской Федерации”

ИТ-решения, которые закрывают требования нормативных документов

Kaspersky Symphony XDR превью Мощная платформа для многоуровневого обнаружения атак, мониторинга, расследования, проактивного поиска угроз и реагирования на сложные инциденты.
Kaspersky DDoS Protection превью Минимизирует влияние DDoS-атак, обеспечивая постоянную доступность всей инфраструктуры и важнейших онлайн-ресурсов.
Kaspersky Scan Engine превью Комплексная защита веб-приложений, прокси-серверов, сетевых хранилищ данных и почтовых шлюзов.
HOSTVM VDI превью Специализированное ПО для построения инфраструктуры виртуальных рабочих столов (VDI)
Серверная виртуализация HOSTVM превью Платформа для виртуализации серверов, рабочих мест, приложений, которая позволяет реализовать полнофункциональную инфраструктуру виртуализации корпоративного уровня с использованием российского ПО.