По сути смотрят: сколько людей пострадает, какой масштаб остановки услуг/процессов, какой экономический ущерб, будет ли вред экологии, есть ли влияние на оборону/безопасность/правопорядок. По каждому направлению в правилах есть конкретные измеримые показатели и пороги, по которым объект попадает в 1, 2 или 3 категорию.
Что говорит законодательство
187-ФЗ устанавливает, что субъект КИИ присваивает категорию значимости объекту в соответствии с критериями значимости и показателями их значений, а если объект не соответствует критериям/показателям – категория не присваивается.
Сами критерии и показатели (с пороговыми значениями) закреплены в Постановлении Правительства РФ № 127 (перечень показателей критериев значимости и их значения).
В перечне ПП №127 критерии сгруппированы по 5 блокам:
- Социальная значимость
- Политическая значимость
- Экономическая значимость
- Экологическая значимость
- Значимость для обеспечения обороны страны, безопасности государства и правопорядка
Для каждого показателя в ПП №127 установлены значения, соответствующие III / II / I категории (I – самая высокая).
Как это работает на практике
На практике значимость определяют так:
- Берут “наихудший сценарий”: что будет, если по объекту пройдёт целенаправленная атака и критический процесс реально нарушится/остановится. Это прямо заложено в правилах категорирования.
- Проверяют применимость показателей из ПП №127 к вашему объекту. Например:
- для социальной – возможный вред жизни/здоровью, масштаб нарушения жизнеобеспечения (территория/численность), недоступность услуг связи/транспорта/госуслуг и т.п.
- для политической – срыв выполнения функций госорганов или последствия уровня международных обязательств.
- для экономической – ущерб (в т.ч. для стратегических/госкорп структур), влияние на бюджеты, а в финсекторе – масштаб нарушения операций.
- для экологической – территория/численность, которые могут попасть под вредные воздействия.
- для обороны/безопасности/правопорядка – нарушения в работе пунктов управления/ситуационных центров, показателей ГОЗ, профильных ИС и т.д.
- Считают значения (люди, территория, время простоя, объём операций, проценты/ущерб и пр.) и сопоставляют с порогами в ПП №127 – получается категория по каждому применимому показателю.
- Итоговая категория объекта обычно берётся по наихудшему (наивысшему) результату: если по одному показателю “вышли” на I категорию – объект будет I категории.
- Если ни один показатель не применим или объект не достигает пороговых значений, категория значимости не присваивается.
Выводы и рекомендации
Критерии значимости в КИИ – это 5 групп последствий (социальные, политические, экономические, экологические, оборона/безопасность/правопорядок), а “решение” принимается по конкретным показателям и порогам из ПП №127.
Рекомендации:
- считать последствия от критического процесса, а не “от сервера/ПО как железки”;
- фиксировать расчёты и источники данных (статистика, регламенты, SLA, объёмы операций, зоны обслуживания) – это потом главный аргумент при проверке;
- обязательно моделировать наихудший сценарий целевой атаки и зависимостей (если один объект зависит от другого).
