Top.Mail.Ru
Блог/Новости

Кабмин утвердил режим категорирования КИИ в ракетно‑космической отрасли

Полина Недашковская
4 мин 10

Правительство РФ утвердило режим категорирования объектов критической информационной инфраструктуры (КИИ) в ракетно-космической промышленности. Оценка строится на анализе масштаба возможных последствий компьютерных инцидентов для производственных, технологических и управленческих процессов отрасли. По итогам оценки объектам присваиваются категории значимости, а операторы получают обязанности по защите и отчетности.

Содержание

Что меняется

  • В отрасли вводится единый порядок категорирования КИИ и определения уровней значимости объектов.
  • Фиксируются критерии оценки последствий инцидентов (влияние на обороноспособность, безопасность, устойчивость отраслевых программ, экономику и социальную сферу).
  • Определяются обязанности операторов КИИ: инвентаризация, оценка, утверждение категорий, уведомление уполномоченного органа, поддержание мер защиты и их актуализация.

Ключевые параметры режима

Параметр Что установлено
Сфера действия Объекты КИИ, используемые в ракетно-космической промышленности (производство, испытания, управление, связь, навигация, НИОКР и др.).
Кто обязан Организации отрасли — операторы КИИ, владеющие или эксплуатирующие информационные системы, АСУ ТП, сети связи и иные ресурсы, подпадающие под требования 187-ФЗ.
Что оценивают Масштаб последствий компьютерных инцидентов: влияние на обороноспособность и безопасность, непрерывность отраслевых программ и полетов, устойчивость технологических цепочек, экономику и социальную сферу.
Категории значимости Присваиваются категории 1, 2 или 3 уровня значимости в зависимости от тяжести возможных последствий.
Процедура Инвентаризация объектов; определение критичных процессов и ресурсов; анализ угроз и уязвимостей; расчет последствий; комиссионное решение о категории; утверждение руководителем; оформление и хранение материалов.
Уведомление Направление сведений об отнесении объектов к значимым и их категории в уполномоченный орган (в установленном порядке и сроках).
Актуализация Пересмотр категории при изменениях архитектуры, технологий, угроз, последствий инцидентов либо по результатам проверок и расследований.
Требования после категорирования Внедрение и поддержание мер защиты по установленным уровням безопасности, проведение оценки соответствия/аттестации, подготовка персонала, реагирование и отчетность.
Ответственность За нарушение требований безопасности значимых объектов КИИ предусмотрена административная ответственность в соответствии с законодательством РФ.

Критерии оценки последствий

  • Обороноспособность и безопасность: влияние на выполнение гособоронзаказа, безопасность полетов и космических запусков.
  • Непрерывность отраслевых процессов: простои производств, разрывы технологических цепочек, срывы пусковых и испытательных графиков.
  • Экономический ущерб: прямые потери, ущерб инфраструктуре и оборудованию, штрафные санкции по контрактам.
  • Социальные последствия: затрагивание занятости, социальной стабильности моногородов и наукоградов.
  • Межведомственное и международное взаимодействие: влияние на кооперацию, экспортные обязательства, международные программы.

Что делать операторам КИИ

  1. Определить периметр КИИ: провести инвентаризацию систем, АСУ ТП, сетей и сервисов.
  2. Организовать комиссию по категорированию, утвердить методику и состав исполнителей.
  3. Провести оценку последствий и присвоить категории 1–3 (при наличии оснований).
  4. Утвердить решения руководителем и оформить комплект материалов.
  5. Уведомить уполномоченный орган в установленном порядке.
  6. Реализовать меры защиты по уровню значимости и поддерживать их актуальность.

Кому это важно

  • Операторам КИИ ракетно-космической отрасли (производственные, испытательные, эксплуатационные организации).
  • Субподрядчикам и интеграторам, чьи решения включены в контур КИИ.
  • Ответственным за ИБ, ИТ-директорам, руководителям направлений цифровизации.

Ответы на вопросы

Вопрос Ответ
Какие объекты подпадают под категорирование? Информационные системы, АСУ ТП, сети и иные ресурсы, используемые в отрасли и влияющие на критичные процессы.
Что является основой для присвоения категории? Оценка масштаба последствий возможных компьютерных инцидентов по установленным критериям.
Нужно ли уведомлять государственный орган? Да. Сведения о значимых объектах КИИ и их категориях направляются в уполномоченный орган в установленном порядке.
Когда пересматривать категорию? При изменениях архитектуры и функций систем, появлении новых угроз, изменении последствий инцидентов, а также по результатам проверок.
Какая ответственность предусмотрена? За нарушение требований безопасности КИИ — административная ответственность по законодательству РФ.

Нормативная база

  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Постановление Правительства РФ об установлении режима категорирования объектов КИИ в ракетно-космической промышленности.
  • Методические документы уполномоченных органов (в т. ч. ФСТЭК России, Минцифры России) по оценке последствий и категорированию объектов КИИ.

Это полезная страница?

Ваш голос поможет улучшить наш сайт:

  •  Обновлено:
Автор статьи
Полина Недашковская Автор статьи опыт 9 лет

Опытный юрист с более чем 9-летним стажем работы с запросами клиентов и компаний. Эксперт в области гражданского права, специализируется на сложных делах, требующих глубоких знаний и нестандартных решений. Регулярно публикует статьи в юридическом журнале AMULEX, делясь с читателями экспертным взглядом и анализом актуальных правовых вопросов.

об эксперте ⟶
Блог
Подписаться
Уведомить о
guest
0 Комментарии
Популярные
Новые Старые
Межтекстовые Отзывы
Посмотреть все комментарии
Информация, представленная на странице, не является юридической консультацией или правовым заключением и не может быть применима в иной конкретной ситуации. Для получения профессиональной юридической поддержки рекомендуется обратиться к нам. Статья основана на анализе действующих нормативных актов на момент публикации и актуальна только на дату публикации.