6.1. Описание процесса категорирования объектов КИИ

Следующий этап, который проводит Комиссия после формирования перечня объектов КИИ, является процесс категорирования.

1. Комиссия рассматривает возможные действия нарушителей в отношении объектов КИИ.

2. Проводится анализ угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ Организации. При рассмотрении угроз рекомендуется использовать, в том числе, банк данных угроз безопасности ФСТЭК <5>.

--------------------------------

<5> Банк угроз ФСТЭК размещен на информационном ресурсе bdu.fstec.ru.

3. Результатом работы Комиссии по категорированию является сформированный перечень угроз безопасности информации с описанием возможных действий нарушителя, реализация которых может привести к возникновению компьютерных инцидентов на объекте КИИ.

4. Перечень угроз безопасности информации может быть разработан как на основании уже имеющихся для объектов КИИ Моделей угроз безопасности информации, в том числе моделей нарушителя, так и на основании актуализированных Моделей угроз безопасности информации.

5. Комиссия проводит оценку объектов КИИ в соответствии с показателями критериев значимости и присваивает каждому из объектов КИИ категорию, либо принимает решение об отсутствии необходимости ее присвоения.

6. Комиссия по категорированию оценивает объекты КИИ по всем показателям критериев значимости и их значений, утвержденным постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее - Показатели критериев значимости) и в зависимости от полученных в ходе оценки значений принимает решение о присвоении объекту КИИ одной из категории значимости, либо об ее отсутствии.

7. Устанавливаются три категории значимости объектов КИИ - первая, вторая и третья. Самая высокая - первая, самая низкая - третья.

8. В случае если объект критической информационной инфраструктуры по одному из Показателей критериев значимости отнесен к первой категории, расчет по остальным показателям критериев значимости не проводится.

9. В случае если ни один из Показателей критериев значимости не применим для объекта КИИ или объект КИИ не соответствует ни одному Показателю из критериев значимости и их значениям, категория значимости не присваивается.

10. Оценка каждого объекта КИИ по показателям критериев значимости проводится с использованием экспертных мнений членов Комиссии по категорированию.

Перед проведением оценки рекомендуется провести оценку применимости Показателей критериев значимости к субъекту КИИ в целом, в целях исключения тех Показателей, которые явно не будут применимы ни к одному из принадлежащих Организации объектов КИИ.

1. При присвоении объекту КИИ категории значимости, принятые на объекте меры защиты не учитываются.

2. Объекту КИИ по результатам категорирования присваивается в соответствии с перечнем Показателей критериев значимости категория значимости с наивысшим значением.

3. Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений Показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

4. Результатом работы Комиссии по категорированию является решение Комиссии по категорированию, оформленное Актом о категорировании объектов КИИ (Приложение N 6).