Специалисты компании РосБезопасность помогут провести категорирование объектов транспортной инфраструктуры и транспортных средств. Для получения консультации по данному вопросу Вы можете оставить заявку или обратиться по телефону . Категорирование объектов транспортной инфраструктуры и транспортных средств (ОТИ и ТС) - это отнесение их к определенным категориям с учетом степени угрозы совершения акта незаконного вмешательства и его возможных последствий.
Категорирование ОТИ и ТС
Категорирование ОТИ и ТС осуществляется компетентным органом (Росавтодор, Росжелдор, Росморречфлот, Росавиация). При заказе услуг транспортной безопасности в компании РосБезопасность - специалисты бесплатно помогут Вам подготовить комплект документов необходимый для проведения категорирования объектов транспортной инфраструктуры и транспортных средств.
Скидки
У нас развита гибкая система скидок на оказываемые услуги:
- При повторном обращении (скидка 10%)
- При заказе смежных документов по транспортной безопасности (скидка 10%)
- При обращении со ссылкой на организации, которые сотрудничали с нами ранее (скидка 5%)
- При количестве объектов 2 и более (скидка 5%)
Категорирование объектов транспортной инфраструктуры. Срок действия, периодичность проведения
В случае изменения того или иного критерия категория, присвоенная объекту транспортной инфраструктуры/транспортному средству может быть изменена. Об изменении категории компетентный орган информирует субъект транспортной инфраструктуры в срок, не превышающий 15 рабочих дней с момента присвоения или изменения ранее присвоенной категории.
Наказание, штрафы за невыполнение требований в области транспортной безопасности
Отсутствие документации транспортной безопасности объекта свидетельствует о невыполнении предусмотренных законодательством обязанностей, что влечет ответственность, предусмотренную ст. 11.15.1:
- Неисполнение требований по обеспечению транспортной безопасности либо неисполнение требований по соблюдению транспортной безопасности, совершенные по неосторожности, если эти действия (бездействие) не содержат уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от двадцати тысяч до тридцати тысяч рублей; на индивидуальных предпринимателей - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей .
- Повторное совершение административного правонарушения, - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей - от пятидесяти тысяч до семидесяти тысяч рублей либо административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от ста тысяч до двухсот тысяч рублей либо административное приостановление деятельности на срок до девяноста суток .
Категорирование транспортных средств в (Росавтодор, Росжелдор, Росморречфлот, Росавиация) также необходимо транспортным средствам, которые используются для перевозки пассажиров, перевозки опасных грузов и т.п. Категорирование транспортных средств используемых для перевозки пассажиров вместимостью 8 и более человек необходимо для уведомления органов Ространснадзора о ведении такой деятельности. Также уведомление о присвоенной категории транспортному средству необходимо направлять в Ространснадзор для получения разрешения на перевозку, транспортировку опасных грузов и особо опасных грузов. Отсутствие категории транспортного средства повлечет отказ в получении такого разрешения.
Критерии категорирования объектов транспортной инфраструктуры и транспортных средств
Объекты транспортной инфраструктуры и транспортные средства подлежат обязательному категорированию.
Основными критериями категорирования объектов транспортной инфраструктуры (ОТИ)/ транспортных средств (ТС) являются:
- степень угрозы совершения акта незаконного вмешательства в деятельность объектов транспортной инфраструктуры/ транспортных средств, которая определяется на основании количественных показателей статистических данных о совершенных и предотвращенных актах незаконного вмешательства на территории Российской Федерации, за период последних 12-ти месяцев до момента категорирования.
- возможные последствия совершения акта незаконного вмешательства в деятельность объектов транспортной инфраструктуры/ транспортных средств, которые определяются на основании количественных показателей о возможных погибших или получивших вред здоровью людей, о возможном материальном ущербе.
Для объектов транспортной инфраструктуры устанавливается 5 (пять) категорий, для транспортных средств 4 (четыре) категории. Для каждого вида транспорта Министерством транспорта РФ определен перечень объектов транспортной инфраструктуры и транспортных средств, которые не подлежат категорированию.
Категорирование транспортных средств. Руководящие документы
Основные руководящие документы, устанавливающие порядок, сроки, а также перечень объектов транспорта подлежащих категорированию:
- Приказ Минтранса России от 21.02.2011 № 62 «О Порядке установления количества категорий и критериев категорирования объектов транспортной инфраструктуры и транспортных средств компетентными органами в области обеспечения транспортной безопасности»
- Приказ Минтранса России от 29.01.2010 № 22 «О Порядке ведения Реестра категорированных объектов транспортной инфраструктуры и транспортных средств»
- Приказ Минтранса России от 23.07.2014 № 196 «Об установлении Перечня объектов транспортной инфраструктуры и транспортных средств, не подлежащих категорированию по видам транспорта».
Зарегистрирован в Минюсте РФ 16 марта 2011 г.
Регистрационный N 20150
В соответствии с пунктом 1 статьи 6 Федерального закона от 9 февраля 2007 г. N 16-ФЗ "О транспортной безопасности" (Собрание законодательства Российской Федерации, 2007, N 7, часть I, ст. 837; 2008, N 30, часть II, ст. 3616; 2009, N 29, ст. 3634; 2010, N 27, ст. 3415) приказываю
:
Утвердить прилагаемый Порядок установления количества категорий и критериев категорирования объектов транспортной инфраструктуры и транспортных средств компетентными органами в области обеспечения транспортной безопасности.
Министр И. Левитин
Порядок установления количества категорий и критериев категорирования объектов транспортной инфраструктуры и транспортных средств
1. Порядок установления количества категорий и критериев категорирования объектов транспортной инфраструктуры и транспортных средств (далее - Порядок) разработан в соответствии с пунктом 1 статьи 6 Федерального закона "О транспортной безопасности" (Собрание законодательства Российской Федерации, 2007, N 7, часть I, ст. 837; 2008, N 30, часть II, ст. 3616; 2009, N 29, ст. 3634).
2. Основными задачами категорирования является отнесение компетентным органом в области обеспечения транспортной безопасности каждого объекта транспортной инфраструктуры (далее - ОТИ) и/или транспортного средства (далее - ТС) к одной из категорий.
3. Устанавливаются не более четырех категорий объектов транспортной инфраструктуры и транспортных средств автомобильного, воздушного, городского наземного электрического, железнодорожного, морского и речного транспорта, метрополитена и объектов транспортной инфраструктуры дорожного хозяйства в порядке убывания их значимости - первая, вторая, третья, четвертая.
5.1. Степень угрозы совершения акта незаконного вмешательства в деятельность объектов транспортной инфраструктуры и/или транспортных средств применительно к отдельным видам транспорта, которая определяется на основании количественных показателей статистических данных (сведений) о совершенных и предотвращенных актах незаконного вмешательства на территории Российской Федерации, в том числе в отношении категорируемых объектов транспортной инфраструктуры и транспортных средств, за период последних 12-ти месяцев до момента категорирования.
5.2. Возможные последствия совершения акта незаконного вмешательства в деятельность объектов транспортной инфраструктуры и/или транспортных средств применительно к отдельным видам транспорта, которые определяются на основании количественных показателей о возможных погибших или получивших вред здоровью людей, о возможном материальном ущербе и ущербе окружающей природной среде.
6. По результатам категорирования ОТИ и/или ТС присваивается категория, соответствующая наивысшему количественному показателю любого из критериев категорирования согласно приложениям N 1 - 6 к Порядку.
7. В случае изменения наивысшего (наивысших) количественных показателей критериев категорирования меняется значение категории, присвоенной ОТИ или ТС.
8. Компетентный орган в области обеспечения транспортной безопасности информирует субъекта транспортной инфраструктуры о присвоении или изменении ранее присвоенной категории ОТИ и/или ТС в срок, не превышающий 15 рабочих дней с момента присвоения или изменения ранее присвоенной категории.
9. Категорированные объекты транспортной инфраструктуры и/или транспортные средства включаются в реестр категорированных объектов транспортной инфраструктуры и/или транспортных средств, который ведется компетентным органом в области обеспечения транспортной безопасности на электронных и бумажных носителях.
Приложение
Порядок
установления количества категорий и критериев категорирования объектов транспортной инфраструктуры и транспортных средств
(утв. приказом Минтранса РФ от 21 февраля 2011 г. N 62)
С изменениями и дополнениями от:
1. Порядок установления количества категорий и критериев категорирования объектов транспортной инфраструктуры и транспортных средств (далее - Порядок) разработан в соответствии с пунктом 1 статьи 6 Федерального закона "О транспортной безопасности" (Собрание законодательства Российской Федерации, 2007, N 7, (ч. I), ст. 837; 2008, N 30, (ч. II), ст. 3616; 2009, N 29, ст. 3634).
2. Основными задачами категорирования является отнесение компетентным органом в области обеспечения транспортной безопасности каждого объекта транспортной инфраструктуры (далее - ОТИ) и/или транспортного средства (далее - ТС) к одной из категорий.
3. Устанавливаются не более пяти категорий объектов транспортной инфраструктуры и четыре категории транспортных средств автомобильного, воздушного, городского наземного электрического, железнодорожного, морского и речного транспорта, метрополитена и объектов транспортной инфраструктуры дорожного хозяйства в порядке убывания их значимости - первая, вторая, третья, четвертая, пятая.
5.1. Степень угрозы совершения акта незаконного вмешательства в деятельность объектов транспортной инфраструктуры и/или транспортных средств применительно к отдельным видам транспорта, которая определяется на основании количественных показателей статистических данных (сведений) о совершенных и предотвращенных актах незаконного вмешательства на территории Российской Федерации (за исключением заведомо ложных сообщений об угрозе совершения и/или совершении акта незаконного вмешательства), в том числе в отношении категорируемых объектов транспортной инфраструктуры и транспортных средств, за период последних 12 месяцев до момента категорирования.
5.2. Возможные последствия совершения акта незаконного вмешательства в деятельность объектов транспортной инфраструктуры и/или транспортных средств применительно к отдельным видам транспорта, которые определяются на основании количественных показателей о возможных погибших или получивших вред здоровью людей, о возможном материальном ущербе.
6. По результатам категорирования ОТИ и/или ТС присваивается категория, соответствующая наивысшему количественному показателю любого из критериев категорирования согласно приложениям N 1-6 к Порядку.
7. В случае изменения наивысшего (наивысших) количественных показателей критериев категорирования меняется значение категории, присвоенной ОТИ или ТС.
8. Компетентный орган в области обеспечения транспортной безопасности информирует субъекта транспортной инфраструктуры о присвоении или изменении ранее присвоенной категории ОТИ и/или ТС в срок, не превышающий 15 рабочих дней с момента присвоения или изменения ранее присвоенной категории.
9. Категорированные объекты транспортной инфраструктуры и/или транспортные средства включаются в реестр категорированных объектов транспортной инфраструктуры и/или транспортных средств, который ведется компетентным органом в области обеспечения транспортной безопасности на электронных и бумажных носителях.
- Приложение N 1. Категории и количественные показатели критериев категорирования объектов транспортной инфраструктуры и транспортных средств автомобильного транспорта и объектов транспортной инфраструктуры дорожного хозяйства
Приложение N 2. Категории и количественные показатели критериев категорирования объектов транспортной инфраструктуры и транспортных средств воздушного транспорта
Приложение N 3. Категории и количественные показатели критериев категорирования объектов транспортной инфраструктуры и транспортных средств железнодорожного транспорта
В соответствии с пунктом 1 части 2 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые:
Показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.
2. Финансирование расходов, связанных с реализацией настоящего постановления государственными органами и государственными учреждениями, осуществляется за счет и в пределах бюджетных ассигнований, предусмотренных соответствующим бюджетом на обеспечение деятельности субъектов критической информационной инфраструктуры.
Правила
категорирования объектов критической информационной инфраструктуры Российской Федерации
1. Настоящие Правила устанавливают порядок и сроки категорирования объектов критической информационной инфраструктуры Российской Федерации (далее соответственно - критическая информационная инфраструктура, категорирование).
2. Категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.
3. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.
4. Определение категорий значимости объектов критической информационной инфраструктуры (далее - категория значимости) осуществляется на основании показателей критериев значимости объектов критической информационной инфраструктуры и их значений, предусмотренных показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденным постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее соответственно - перечень показателей критериев значимости, показатели критериев значимости).
а) определение процессов, указанных в настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);
в) определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию (далее - перечень объектов);
д) оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.
6. Объекту критической информационной инфраструктуры по результатам категорирования присваивается в соответствии с перечнем показателей критериев значимости категория значимости с наивысшим значением.
Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.
В случае если ни один из показателей критериев значимости неприменим для объекта критической информационной инфраструктуры или объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается.
7. Устанавливаются 3 категории значимости. Самая высокая категория - первая, самая низкая - третья.
8. В отношении объекта критической информационной инфраструктуры, создаваемого в рамках создания объекта капитального строительства, категория значимости определяется при формировании заказчиком, техническим заказчиком или застройщиком требований к объекту критической информационной инфраструктуры с учетом имеющихся исходных данных о критических процессах субъекта критической информационной инфраструктуры.
Для создаваемого объекта критической информационной инфраструктуры, указанного в настоящего пункта, категория значимости может быть уточнена в ходе его проектирования.
9. Для объектов, принадлежащих одному субъекту критической информационной инфраструктуры, но используемых для целей контроля и управления технологическим и (или) производственным оборудованием, принадлежащим другому субъекту критической информационной инфраструктуры, категорирование осуществляется на основе исходных данных, представляемых субъектом критической информационной инфраструктуры, которому принадлежит технологическое и (или) производственное оборудование.
10. Исходными данными для категорирования являются:
а) сведения об объекте критической информационной инфраструктуры (назначение, архитектура объекта, применяемые программные и программно-аппаратные средства, взаимодействие с другими объектами критической информационной инфраструктуры, наличие и характеристики доступа к сетям связи);
б) процессы, указанные в настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
в) состав информации, обрабатываемой объектами критической информационной инфраструктуры, сервисы по управлению, контролю или мониторингу, предоставляемые объектами критической информационной инфраструктуры;
г) декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует объект критической информационной инфраструктуры (если разработка указанных деклараций и паспорта предусмотрена законодательством Российской Федерации);
д) сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта критической информационной инфраструктуры от других таких объектов;
е) угрозы безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.
а) руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо;
б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;
в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;
г) работники подразделения по защите государственной тайны субъекта критической информационной инфраструктуры (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);
д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.
12. В состав комиссии по категорированию могут включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с государственными органами и российскими юридическими лицами.
а) определяет процессы, указанные в настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
б) выявляет наличие критических процессов у субъекта критической информационной инфраструктуры;
в) выявляет объекты критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, а также готовит предложения для включения в перечень объектов;
г) рассматривает возможные действия нарушителей в отношении объектов критической информационной инфраструктуры, а также иные источники угроз безопасности информации;
д) анализирует угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах критической информационной инфраструктуры;
е) оценивает в соответствии с перечнем показателей критериев значимости масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры;
ж) устанавливает каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принимает решение об отсутствии необходимости присвоения им категорий значимости.
15. Перечень объектов утверждается субъектом критической информационной инфраструктуры. Перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов критической информационной инфраструктуры.
Перечень объектов в течение 5 рабочих дней после утверждения направляется в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
16. Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
Акт подписывается членами комиссии по категорированию и утверждается руководителем субъекта критической информационной инфраструктуры.
Субъект критической информационной инфраструктуры обеспечивает хранение акта до вывода из эксплуатации объекта критической информационной инфраструктуры или до изменения категории значимости.
17. Субъект критической информационной инфраструктуры в течение 10 дней со дня утверждения акта, указанного в настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:
а) сведения об объекте критической информационной инфраструктуры;
б) сведения о субъекте критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит объект критической информационной инфраструктуры;
в) сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи;
г) сведения о лице, эксплуатирующем объект критической информационной инфраструктуры;
д) сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры, в том числе средствах, используемых для обеспечения безопасности объекта критической информационной инфраструктуры и их сертификатах соответствия требованиям по безопасности информации (при наличии);
е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз;
ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры либо сведения об отсутствии таких последствий;
з) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости;
и) организационные и технические меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры, либо сведения об отсутствии необходимости применения указанных мер.
18. Сведения, указанные в настоящих Правил, и их содержание направляются по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.
19. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, проверяет сведения о результатах присвоения категорий значимости в порядке, предусмотренном частями 6 - 8 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
20. Категория значимости может быть изменена в порядке, предусмотренном для категорирования, в случаях, предусмотренных частью 12 статьи 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
21. Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости в соответствии с настоящими Правилами. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.
Перечень
показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения
| Показатель | Значение показателя | |||
|---|---|---|---|---|
| III категория | II категория | I категория | ||
| I. Социальная значимость | ||||
| 1. | Причинение ущерба жизни и здоровью людей (человек) |
более или равно 1, но менее или равно 50 |
более 50, но менее или равно 500 | более 500 |
| 2. | Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений, оцениваемые: | |||
| а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; | ||||
| б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) | более или равно 5000 | |||
| 3. | Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые: | |||
| а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | |
| б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | |
| 4. | Прекращение или нарушение функционирования сети связи, оцениваемые: | |||
| а) на территории, на которой возможно прекращение или нарушение функционирования сети связи; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | |
| б) по количеству людей, для которых могут быть недоступны услуги связи (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | |
| 5. | Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) | менее или равно 24, но более 12 | менее или равно 12, но более 6 | менее 6 |
| II. Политическая значимость | ||||
| 6. | Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) | прекращение или нарушение функционирования органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования федерального органа государственной власти | прекращение или нарушение функционирования Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации |
| 7. | Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации | нарушение условий договора межведомственного характера (срыв переговоров или подписания) | нарушение условий межправительственного договора (срыв переговоров или подписания) | нарушение условий межгосударствен-ного договора (срыв переговоров или подписания) |
| III. Экономическая значимость | ||||
| 8. | Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности) | более 15 | ||
| 9. | Возникновение ущерба бюджетам Российской Федерации, оцениваемого: | |||
| а) в снижении доходов федерального бюджета, (процентов прогнозируемого годового дохода бюджета); | более 0,005, но менее или равно 0,1 | более 0,1 | ||
| б) в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета); | более 0,001, но менее или равно 0,05 | более 0,05, но менее или равно 0,1 | более 0,1 | |
| в) в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета) | более 0,01, но менее или равно 0,5 | более 0,5, но менее или равно 1 | более 1 | |
| 10. |
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) |
более 3, но менее или равно 70 | более 70, но менее или равно 120 | более 120 |
| IV. Экологическая значимость | ||||
| 11. | Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия), оцениваемые: | |||
| а) на территории, на которой окружающая среда может подвергнуться вредным воздействиям; | вся территория одного муниципального образования или одной внутригородской территории города федерального значения | выход за пределы территории одного муниципального образования или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения | выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения | |
| б) по количеству людей, которые могут быть подвержены вредным воздействиям (тыс. человек) | более или равно 50, но менее 1000 | более или равно 1000, но менее 5000 | более или равно 5000 | |
| V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка | ||||
| 12. | Прекращение или нарушение (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), оцениваемое в уровне (значимости) пункта управления или ситуационного центра | прекращение или нарушение функционирования пункта управления или ситуационного центра органа государственной власти субъекта Российской Федерации или города федерального значения | прекращение или нарушение функционирования пункта управления или ситуационного центра федерального органа государственной власти или государственной корпорации | прекращение или нарушение функционирования пункта управления государством или ситуационного центра Администрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации |
| 13. | Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры, оцениваемое: | |||
| а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции); | более 5, но менее или равно 10 | более 10, но менее или равно 15 | более 15 | |
| б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции) | более 3, но менее или равно 10 | более 10, но менее или равно 40 | более 40 | |
| 14. | Прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов) | менее или равно 4, но более 2 | менее или равно 2, но более 1 | более 1 |
Обзор документа
Комиссия, в частности, анализирует угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ, выявляет наличие критических процессов у субъекта КИИ.
Перечень объектов в течение 5 рабочих дней после утверждения направляется во ФСТЭК России.
После выявления и классификации всех возможных угроз следует выявить все потенциальные уязвимости объекта, а также произвести его категорирование.
Рассмотрим более подробно вопрос, связанный с категорированием.
Под категорированием объекта понимается комплексная оценки его состояния, учитывающая экономическую или другую значимость (оборонную, культурную и др.) в зависимости от характера и концентрации сосредоточенных ценностей, последствий от возможных преступных посягательств на них, сложности обеспечения требуемой безопасности.
Законодательство РФ определяет, что ведомства (МО, МСЧ, МВД, ФСБ и др.), призванные обеспечить защиту сведений, составляющих ту или иную тайну, издают свои руководящие документы, по которым объекты категорируются по степени их важности.
Федеральной службой по техническому и экспортному контролю (ФСТЭК) разработан ряд нормативных документов но категорированию объектов и определению режимных зон внутри объектов.
В соответствии с ними объект может быть отнесен к одной из следующих групп:
Отнесение объекта к той или иной категории важности регламентируется специальным перечнем, утверждаемом Правительством РФ. Местные органы власти могут дополнять этот перечень.
В ряде случаев можно ограничиться тремя зонами (зоны 1, 4 и 6).
Для категорирования объектов по группам безопасности в качестве критерия вводится показатель характера и масштаба возможного ущерба в случае реализации основных угроз безопасности для данного объекта в результате несанкционированного доступа нарушителей.
Рис. 1. Зоны безопасности внутри объектов
На основе этого показателя выделяют следующие категории объектов (табл. 1.) А - особо важные; Б - важные; В - промышленные и коммерческие; Г - культурно-исторические.
Оценка возможных угроз объекту проводится по следующим направлениям:
Безопасность персонала и посетителей: неэффективная защита может привести к ущербу здоровью и даже угрозе жизни людей на объекте;
Безопасность информации, сохранность государственной и коммерческой тайны;
Угрозы материальным ценностям, имуществу и оборудованию.
К высшей категории А относят особо важные объекты, на которых возможный ущерб в случае реализации основных угроз безопасности максимален по характеру и масштабам. Последствия такого ущерба выходят за пределы территории объектов и не могут быть локализованы в пространстве и во времени за счет принятия немедленных ликвидационных мер. Характер ущерба заключается в создании угрозы для жизни и здоровья персонала и населения, а также в негативном воздействии на природную среду.
К категории Б относят важные объекты, на которых характер возможного ущерба заключается в угрозе для жизни и здоровья персонала объекта, а его последствия не выходят за пределы территории объекта и могут быть локализованы путем принятия ликвидационных мер. К этой же категории предлагается отнести объекты, возможный ущерб на которых носит материальный характер, но его масштабы имеют региональное значение.
К особой группе относятся культурно-исторические объекты (категория Г ), где возможный ущерб имеет свою специфику и по масштабу может иметь как региональное, так и международное значение.
В свою очередь, каждую категорию объектов можно классифицировать по масштабу или размеру нанесенного ущерба в результате действий нарушителей. Так, особо важные объекты предлагается дополнительно разделить на три группы безопасности. Номер группы определяет масштаб возможного ущерба, который может иметь последствия соответственно трансграничного, федерального и регионального значений.
Для других категорий объектов можно использовать предложенную в таблице классификацию по группам значимости и уровням защищенности. При установлении уровня защищенности необходимо дополнительно учитывать возможные угрозы безопасности для конкретного объекта, которые определяются в основном сложившейся криминогенной обстановкой в данном регионе.
Принадлежность объекта к соответствующей категории и группе необходимо определять на начальной стадии проектирования системы защиты, так как от этого зависят не только уровень его (защищенности, но и планируемая тактика действий сил охраны, от которой также зависят общие затраты на создание СЗ. Например, для объектов категорий А и Б задачей сил охраны является предотвращение диверсионной акции нарушителем, т.е. нарушитель должен быть обнаружен и обезврежен еще до совершения акции. Для других категорий объектов допускается задержание нарушителя после совершения им акции хищения, а в некоторых случаях даже после того, как он покинул территорию объекта. Очевидно, что силы охраны объектов категорий А- Г имеют неодинаковый запас времени для нейтрализации нарушителя.
Таблица 1.
Разница в тактике действий сил охраны должна учитываться в процессе создания системы безопасности: при определении структуры, количественного состава и оснащенности сил охраны, а также при выборе типов и взаимного расположения инженерных и технических средств защиты.
МВД, в соответствии с РД 78.36.003-2002 разработало свою систему категорирования объектов, где за основу взяты значимость и концентрация материальных, исторических, культурных и культовых ценностей, размещенных на объекте.
По этой схеме все объекты делят на две большие группы (категории): А и В, каждая из которых делится на две подгруппы: AI, AII и БI, БII соответственно.
Объекты подгрупп AI и АII - это особо важные объекты, повышенной опасности и жизнеобеспечения, противоправные действия на которых (кража, грабеж, разбой, терроризм и др.) в соответствии с УК РФ могут привести к крупному, особо крупному экономическому или социальному ущербу государству, обществу, предприятию, экологии или иному владельцу имущества.
Объекты подгрупп БI и БII - это объекты, хищение на которых в соответствии с УК РФ могут привести к ущербу определенного размера.
Своя инструкция по категорированию объектов имеется в Росатоме: «Об утверждении правил физической защиты ядерных материалов, ядерных установок и пунктов хранения ядерных материалов». Согласно этой инструкции все объекты делятся па 4 категории:
1. Высшая (ядерно-опасные объекты: ядерные установки, ядерные материалы и изделия из них).
2. Первая (хранилище специального вооружения, испытания секретной техники, обучения личного состава работе на такой технике, боеприпасы и др.).
3. Вторая (хранилища и объекты спецтехники, ВВ, ГСМ, мат-ценностей).
4. Третья (объекты, не вошедшие по признакам в предыдущие категории).
Объекты высшей категории оборудуются многорубежным периметром с использованием датчиков охранной сигнализации, работающих па различных физических принципах; системами видеонаблюдения и физическими барьерами.
Несколько слов следует сказать об аттестации объектов информатизации. Под этим термином понимается комплекс организованно-технических мероприятий, подтверждающих, что объект соответствует требованиям стандартов РФ или иных нормативно-технических документов по безопасности информации.
Порядок проведения аттестации и выдачи «Аттестата» соответствия устанавливает «Положение по аттестации объектов информатизации по требованиям безопасности информации», утвержденное 25 ноября 1994 года председателем ГТК (сейчас ФСТЭК).
После проведения категорирования объектов и выявления уязвимостей следует провести количественную оценку уязвимостей. Единой методики для проведения такой оценки пока не существует. На каждом предприятии имеются свои методики, представляющие, как правило, конфиденциальные документы.
Наиболее часто при количественной оценке уязвимости применяют: методы экспертных оценок, аудит безопасности системы и отдельных подсистем; методы моделирования; метод порядковых шкал и др.
В методе порядковых шкал в качестве показателя уязвимости объекта используют степень уязвимости: очень высокая, высокая, средняя, ниже средней, низкая или вероятность успешного воздействия нарушителя Р в Обратным показателем в этом случае является показатель эффективности защиты Р о. Эти показатели связаны соотношением P о = 1 - Р в.
При разработке моделей оценки показателей уязвимости необходимо составлять отдельные схемы для каждого возможного маршрута нарушителей. Так как число маршрутов может быть большим, ограничиваются выбором типовых или наиболее опасных маршрутов. При этом слишком велика роль субъективного фактора при проведении оценок. Анализ этих моделей позволяет выделить общие принципы их построения и используемые подходы и методы. Действия нарушителей определяют маршрут (маршруты) движения на объекте и способы действий при преодолении физических барьеров, технических средств охраны и при взаимодействии с силами охраны, а также персоналом объекта. Первые модели были созданы для оценки показателей уязвимости по отдельным маршрутам нарушителей. Маршрут условно отображается отрезками прямой линии с рубежами защиты между отрезками, На рис. 2 Р1 - рубеж защиты периметра территории объекта; Р2 - рубеж защиты периметра локальной зоны объекта; Р3 - рубеж проникновения в здание; Р4 - рубеж проникновения в помещение здания; Y1...Y4 - участки движения нарушителей между рубежами защиты к цели.
Время движения нарушителей к цели является суммой времени преодоления рубежей защиты и движения между рубежами. Время движения по участку определяется скоростью движения нарушителей и длиной участка. Скорость движения обычно берется средней или максимально возможной, но может моделироваться и
Рис. 2. Условное отображение маршрута нарушителя и преодолеваемых рубежей защиты
как случайная величина с некоторым законом распределения. Время преодоления рубежа защиты является функцией от способа его преодоления нарушителями, оснащения нарушителей и от характеристик физических барьеров на рубеже. Последние зависят от типа каждого из барьеров рубежа или конструкции из нескольких барьеров, а также технических средств охраны на рубеже.
Рубеж защиты характеризуется вероятностью формирования сигнала (сигналов) срабатывания средств обнаружения рубежа и возможностью оценки обстановки на участке срабатывания оператором системы охраны с помощью средств дистанционного наблюдения или тревожной группой, направляемой на участок при отсутствии в системе средств наблюдения. Вероятность обезвреживания нарушителей рассчитывается как произведение вероятности перехвата нарушителей тревожной группой и вероятности нейтрализации нарушителей при оказании последними сопротивления. Вероятность перехвата вычисляется путем моделирования движения нарушителей по маршруту и действий сил охраны по сигналам тревоги. Для расчета вероятности нейтрализации используется модель нейтрализации (боестолкновения) - обычно отдельный модуль программы.
Рис. 3. Схема объекта с системой охраны в виде совокупности зон (участков) и элементов защиты (Э3) между этими зонами
На следующем этапе создаются модели, отражающие структуру объекта в целом и позволяющие осуществлять перебор всех возможных маршрутов, определять наиболее слабо защищенные маршруты и элементы защиты па этих маршрутах, планировать решения по усилению защиты и т.д. Схема объекта с системой охраны в таких моделях представляет собой совокупность зон (участков) и элементов защиты (ЭЗ) между этими зонами (пример на рис. 3). На схеме отображаются элементы защиты, расположенные между смежными зонами. Примерами типов элементов защиты являются: периметровое ограждение с комплексом технических средств охраны (ЭЗ-1, ЭЗ-4), проходная (ЭЗ-2), транспортные ворота (ЭЗ-3), шлюз прохода людей со средствами контроля и управления доступом (СКУД) (ЭЗ-5, ЭЗ-8), транспортный шлюз со средствами СКУД (ЭЗ-В), дверь (ЭЗ-9, ЭЗ-12), окно (ЭЗ-10, ЭЗ-13), стена здания (ЭЗ-11), внутренняя стена комнаты (ЭЗ-14), внешняя стена комнаты (ЭЗ-7 - случай, когда помещение выходит на фасад здания), сейфы (ЭЗ-15). После создания собственно схемы объекта для зон и элементов защиты вводятся характеризующие их параметры. Кроме того, задаются параметры, определяющие модель действий нарушителей.
Алгоритм оценки показателя уязвимости обычно реализует перебор каким-либо образом всех возможных маршрутов нарушителей, расчет значений показателя для каждого маршрута, определение наиболее уязвимых маршрутов, точек перехватов нарушителей. Часто в модели реализуются процессы определения слабых элементов защиты, которые нарушители преодолевают без существенной задержки или с низкими вероятностями обнаружения, и оценки обстановки, направленного перебора вариантов усиления этих элементов с выдачей рекомендаций по методам их усиления и комплексирования.
Основная проблема при создании таких моделей - формирование базы исходных данных по значениям параметров, характеризующих зоны, элементы защиты, нарушителей и силы охраны. Получение таких данных экспериментальным путем требует больших затрат времени и ресурсов, часто затруднительно, особенно при учете разных способов действий нарушителей и сил охраны (примеры сложных для определения данных: вероятность прохода человека по поддельному пропуску, вероятность нарушения работоспособности средств охраны без выдачи сигналов отказа и т.д.). Для получения этих данных требуется разработка специальных частных моделей. Но эти проблемы вполне разрешимы.
Практика применения подобных моделей показала, что они весьма удобны и полезны при обосновании проектных решений. Уже сам процесс создания и применения моделей оценки, анализа получаемых результатов дает исключительно богатую информацию для специалистов. Едва ли не главное в использовании моделей - формализация процедур оценок и анализа, снижения субъективного фактора в оценках, ясное представление эффекта реализации конкретной системы охраны.
Для объекта необходимо определить все зоны и помещения, при проникновении в которые нарушители могут нанести объекту ущерб определенной категории. Эти зоны, здания и помещения являются целевыми зонами нарушителей. К ним относятся зоны доступа к особо ценным материалам, оборудованию, носителям информации, а также применения оптовых или диверсионных средств и т.д.
Указанные зоны следует разделить по категориям ущерба. Примерами категорий ущерба являются: неприемлемый ущерб, когда нарушители могут вызвать крупную аварию, похитить особо важные документы, информацию, оборудование; существенный ущерб, когда последствия хищения или диверсии парализуют работу объекта на определенное время; материальный ущерб (большой, средний, малый), когда последствиями будут материальные потери соответствующих масштабов. Категории ущерба упорядочиваются по своей опасности. В целом же категорию зданий и объекта определяет самая опасная категория ущерба особо важных зон в здании и па объекте.