Определены правила присвоения объектам критической информационной инфраструктуры категорий значимости (социальной, политической, экономической, экологической, оборонной, безопасности и правопорядка)
Категорированию подлежат объекты, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и иные процессы. Категорирование включает в себя:
- определение указанных процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта критической информационной инфраструктуры;
- выявление управленческих, технологических, производственных, финансово-экономических и иных процессов, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка;
- определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, или осуществляют управление ими, их контроль или мониторинг;
- формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию;
- оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры (утвержден настоящим Постановлением);
- присвоение каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии такой необходимости.
Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается комиссия по категорированию.
Устанавливаются 3 категории значимости. Для каждого показателя критериев значимости, для которого установлено более одного значения (территория, количество людей), оценка производится по каждому из значений показателя, а категория присваивается по наивысшему значению. Максимальный срок категорирования не должен превышать одного года со дня утверждения перечня соответствующих объектов. Решение комиссии по категорированию оформляется актом.
Субъект критической информационной инфраструктуры не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости.