• Посилання скопійовано
Документ підготовлено в системі iplex

Про затвердження Методичних рекомендацій щодо категоризації обєктів критичної інфраструктури

Адміністрація Державної служби спеціального звязку та захисту інформації України | Наказ, Акт, Форма, Рекомендації від 15.01.2021 № 23
Реквізити
  • Видавник: Адміністрація Державної служби спеціального звязку та захисту інформації України
  • Тип: Наказ, Акт, Форма, Рекомендації
  • Дата: 15.01.2021
  • Номер: 23
  • Статус: Документ діє
  • Посилання скопійовано
Реквізити
  • Видавник: Адміністрація Державної служби спеціального звязку та захисту інформації України
  • Тип: Наказ, Акт, Форма, Рекомендації
  • Дата: 15.01.2021
  • Номер: 23
  • Статус: Документ діє
Документ підготовлено в системі iplex
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
15.01.2021 № 23
Про затвердження Методичних рекомендацій щодо категоризації об'єктів критичної інфраструктури
З метою виконання вимог статті 6 Закону України "Про основні засади забезпечення кібербезпеки України" та пункту 5 Методики категоризації об'єктів критичної інфраструктури, затвердженої постановою Кабінету Міністрів України від 09 жовтня 2020 року № 1109, а також відповідно до пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411,
НАКАЗУЮ:
1. Затвердити Методичні рекомендації щодо категоризації об'єктів критичної інфраструктури, що додаються.
2. Опублікувати Методичні рекомендації щодо категоризації об'єктів критичної інфраструктури на офіційному сайті Державної служби спеціального зв'язку та захисту інформації України.
3. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України полковника Потія О.В.
Голова Служби
підполковник

Ю. Щиголь
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації України
15 січня 2021 року № 23
МЕТОДИЧНІ РЕКОМЕНДАЦІЇ
щодо категоризації об'єктів критичної інфраструктури
I. Загальні положення
1. Ці Методичні рекомендації розроблені на виконання вимог статті 6 Закону України "Про основні засади забезпечення кібербезпеки України" та пункту 5 Методики категоризації об'єктів критичної інфраструктури, затвердженої постановою Кабінету Міністрів України від 09 жовтня 2020 року № 1109 (далі - Постанова КМУ 1109).
2. Віднесення об'єктів до об'єктів критичної інфраструктури є обов'язковою умовою для формування цілісної системи захисту критичної інфраструктури, зокрема й у контексті захисту її від загроз у кіберпросторі, зважаючи на роль інформаційних технологій у процесах забезпечення функціонування сучасних інфраструктурних об'єктів.
З урахуванням потреб національної безпеки і необхідності запровадження системного підходу до вирішення завдань із захисту інфраструктурних об'єктів від сучасних загроз на загальнодержавному рівні вироблення критеріїв і визначення порядку віднесення об'єктів до об'єктів критичної інфраструктури є першим кроком на шляху створення цілісної системи захисту критичної інфраструктури.
3. Головним критерієм віднесення об'єктів до об'єктів критичної інфраструктури є визнання того, що наслідки порушення сталого функціонування одного або низки об'єктів критичної інфраструктури можуть спричинити надзвичайні ситуації та/або мати негативний вплив на стан екологічної, енергетичної, економічної, фінансової безпеки, на стан обороноздатності держави, порушити систему управління нею. Тому передусім необхідно визначити важливість інфраструктурних об'єктів для надання основних послуг у всіх секторах економіки та сферах діяльності задля впровадження низки заходів щодо захисту таких об'єктів від реалізації можливості виникнення кризових ситуацій.
4. Постанова КМУ 1109 визначає механізм і критерії віднесення об'єктів до об'єктів критичної інфраструктури, перелік секторів (підсекторів), основних послуг критичної інфраструктури держави та механізм віднесення об'єктів критичної інфраструктури до однієї з категорій критичності. Постанову КМУ 1109 розроблено з урахуванням вимог законодавства ЄС, зокрема:
Директиви Європейського Парламенту та Ради (ЄС) 2016/1148 від 06 липня 2019 року "Про заходи високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу";
Директиви Ради 2008/114/ЄС від 08 грудня 2008 року "Про ідентифікацію і визначення європейських критичних інфраструктур та оцінювання необхідності покращення їх охорони та захисту".
Постанова КМУ 1109 затверджує:
Порядок встановлює категорії критичності об'єктів критичної інфраструктури, механізм ідентифікації таких об'єктів уповноваженими органами державної влади, відповідальними за сектор (підсектор) критичної інфраструктури та їх категоризацію уповноваженими органами спільно з операторами основних послуг, а також визначає необхідність формування Національного переліку об'єктів критичної інфраструктури та секторальних переліків об'єктів критичної інфраструктури та посадових осіб, які будуть відповідальні за їх формування.
Перелік визначає перелік основних послуг, які надаються об'єктами критичної інфраструктури і є послугами та функціями, що надаються органами державної влади, державними установами, підприємствами та організаціями будь-якої форми власності, збої та переривання у наданні (виконанні) яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України.
Перелік визначає також сектори та підсектори, об'єкти інфраструктури яких належать до критичної інфраструктури, за умови, що такі об'єкти надають основні послуги, визначені для такого сектору або підсектору. Треба зазначити, що перелік секторів (підсекторів), основних послуг гармонізовано з відповідним переліком, який наведено в Директиві ЄС 2016/1148 .
Методика визначає процедуру віднесення об'єктів критичної інфраструктури до певної категорії критичності.
5. Для визначення категорії об'єкта критичної інфраструктури уповноважені органи у своїх секторах разом з операторами критичної інфраструктури проводять бальну оцінку критичності кожного об'єкта критичної інфраструктури за допомогою форм із секторальними та міжсекторальними критеріями визначення рівня негативного впливу, які наведені у додатках до Методики.
Зазначені критерії враховують важливість об'єкта критичної інфраструктури на основі аналізу потенційної шкоди, яку суспільство, навколишнє середовище, економіка та національна безпека держави можуть зазнати внаслідок порушення або припинення функціонування об'єкта інфраструктури. Важливість об'єктів інфраструктури оцінюється за допомогою низки секторальних та міжсекторальних критеріїв.
Сума всіх балів, що отримується під час оцінки об'єкта критичної інфраструктури згідно із секторальними та міжсекторальними критеріями визначення рівня негативного впливу, використовується для розрахунку узагальненої нормованої оцінки рівня критичності об'єкта за формулою та правилом, які наведені у Методиці.
6. Методика та категорії критичності об'єктів критичної інфраструктури є необхідними механізмами процедури віднесення об'єктів до об'єктів критичної інфраструктури та призначені для мінімізації витрат суб'єктами господарювання на заходи з кіберзахисту та визначення оптимальної моделі віднесення об'єктів до об'єктів критичної інфраструктури, за якої об'єктам критичної інфраструктури різної категорії будуть висуватися вимоги з кіберзахисту, що є адекватними рівню негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України у випадку порушення їх функціонування або збоїв чи переривань у наданні (виконанні) основних послуг.
7. Методичні рекомендації можуть бути використані для організації та проведення робіт, які проводяться уповноваженим органом державної влади, відповідальним за сектор (підсектор) критичної інфраструктури, з метою визначення (ідентифікації) та категоризації об'єктів критичної інфраструктури, що віднесені до сфери його управління.
II. Порядок утворення робочої групи з категоризації, її завдання
1. В уповноваженому органі державної влади, відповідальному за сектор (підсектор) критичної інфраструктури, створюється постійно діюча робоча група з ідентифікації та категоризації об'єктів критичної інфраструктури. До складу робочої групи рекомендується включати співробітників уповноваженого органу, які відповідають за функціонування основних підрозділів уповноваженого органу. Керівником такої робочої групи має призначатися заступник керівника уповноваженого органу, який за розподілом обов'язків відповідає за забезпечення безпеки (інформаційної/кібербезпеки) уповноваженого органу або/та об'єктів критичної інфраструктури галузі.
2. Завданням робочої групи є:
1) ідентифікація об'єктів критичної інфраструктури у відповідному секторі критичної інфраструктури;
2) проведення категоризації об'єктів критичної інфраструктури;
3) підготовка секторального переліку об'єктів критичної інфраструктури;
4) подання відомостей щодо категорованих об'єктів критичної інфраструктури галузі до Національного переліку об'єктів критичної інфраструктури (у разі його створення).
3. До складу робочої групи уповноважений орган залучає представників об'єктів критичної інфраструктури.
Ролі Склад робочої групи
Керівник Заступник керівника уповноваженого органу, який за розподілом обов'язків відповідає за забезпечення безпеки (інформаційної/кібербезпеки) уповноваженого органу або/та об'єктів критичної інфраструктури галузі
Члени Співробітники уповноваженого органу
Представники об'єктів критичної інфраструктури/операторів основних послуг
Юридичні особи та підприємці, які на законних підставах володіють або використовують потенційні об'єкти критичної інфраструктури для впровадження своєї діяльності у галузі
Запрошені експерти Представники інших органів державної влади, установ та організацій (за потреби).
4. У разі потреби робоча група може бути розділена на підгрупи з розподілом їх членів за профілем і належністю до певного сектору/сектору або виду основної послуги, які надають потенційні об'єкти критичної інфраструктури. Рішення щодо відокремлення підгруп приймає керівник уповноваженого органу в наказі про організацію робочої групи (це зазначається в наказі про утворення робочої групи).
5. У разі потреби до складу робочої групи можуть залучатися представники інших органів державної влади, установ та організацій різних форм власності. До них можуть належати СБУ, Адміністрація Держспецзв'язку, інші органи державної влади, установи НАН України, експертні організації тощо. Рекомендації, які надають залучені представники органів, установ та організацій, обов'язкові для розгляду робочою групою.
У разі потреби до робочої групи залучаються посадові особи з відповідною формою допуску до державної таємниці.
6. Вимоги до членів робочої групи:
опікування проблемами об'єктів критичної інфраструктури (забезпечення їх сталого функціонування охорони, оборони, забезпечення фізичного та інших видів захисту) сектору критичної інфраструктури для члена робочої групи має бути основною діяльністю за посадовими обов'язками;
знання вимог чинного законодавства України щодо забезпечення безпеки та стійкості критичної інфраструктури, а також основних вимог Постанови КМУ 1109 та Директиви Ради 2008/114/ЄС від 08 жовтня 2008 року про ідентифікацію і визначення європейських критичних інфраструктур та оцінювання необхідності покращення їх охорони та захисту.
III. Етапи роботи робочої групи
1. Робота робочої групи проводиться у два етапи.
2. На першому етапі робоча група провадить діяльність з ідентифікації об'єктів критичної інфраструктури у відповідному секторі та категоризації об'єктів критичної інфраструктури у терміни, визначені наказом про утворення робочої групи.
Під час такої роботи до засідань робочої групи залучаються представники підприємств галузі як державної, так і приватної форми власності, які потенційно можна ідентифікувати як об'єкти критичної інфраструктури та щодо яких необхідно провести категоризацію.
3. Результатами роботи робочої групи на цьому етапі є:
сформований і затверджений керівником уповноваженого органу секторальний перелік об'єктів критичної інфраструктури;
класифіковані за сектором (підсектором), основними послугами та категоріями об'єкти критичної інфраструктури;
надані уповноваженому органу із захисту критичної інфраструктури відомості до Національного переліку об'єктів критичної інфраструктури (у разі його створення).
4. На другому етапі робоча група збирається у разі потреби (але не рідше ніж один раз на півроку) з метою ідентифікації нових об'єктів критичної інфраструктури в галузі та їх додавання до секторального переліку об'єктів критичної інфраструктури, з інших питань, що належать до компетенції робочої групи.
На цьому етапі здійснюється додавання вперше ідентифікованих об'єктів критичної інфраструктури до галузевого та Національного переліку об'єктів критичної інфраструктури, віднесення ідентифікованих об'єктів критичної інфраструктури до певної категорії критичності, зміна категорії критичності об'єктів критичної інфраструктури, вилучення об'єктів критичної інфраструктури із цього переліку.
Також на цьому етапі робоча група може розглядати пропозиції щодо формування нових критеріїв віднесення об'єктів до об'єктів критичної інфраструктури галузі у зв'язку з появою нових видів діяльності, встановленням нових основних послуг/функцій, щодо яких визначено завдання забезпечення їх захисту, необхідністю внесення змін до секторальних і міжсекторальних критеріїв визначення рівня негативного впливу тощо.
IV. Права та обов'язки робочої групи
1. З метою якісного проведення ідентифікації та категоризації об'єктів критичної інфраструктури (послідовність дій із ідентифікації та категоризації наведено у додатку 3) робоча група має право:
запрошувати інформацію у власників об'єктів, які перебувають у сфері управління уповноваженого органу, проводити консультації разом з уповноваженими представниками потенційних об'єктів критичної інфраструктури задля віднесення підприємства до сектору (підсектору) критичної інфраструктури та визначення основної послуги (основних послуг), які таким підприємством надаються;
для отримання доступу до конфіденційної інформації приватних компаній ініціювати перед керівником уповноваженого органу підписання угоди з такими компаніями про нерозголошення інформації, отриманої членами робочої групи при роботі з віднесення об'єктів до об'єктів критичної інфраструктури та при роботі з їх класифікацією за категоріями критичності.
2. При визначенні сфери діяльності підприємства робоча група має враховувати дані:
Єдиного державного реєстру підприємств та організацій України та національного класифікатора видів економічної діяльності України ДК 009:2010;
ліцензій, сертифікатів та інших дозвільних документів на види діяльності;
установчих документів, статутів, положень організацій, де прописані основні і допоміжні види діяльності;
переліку секторів (підсекторів), основних послуг критичної інфраструктури держави.
3. Робоча група має надати на затвердження керівнику уповноваженого органу сформований перелік об'єктів критичної інфраструктури не пізніше ніж через півроку з початку своєї роботи.
4. Відповідальність за організацію роботи робочої групи та її матеріально-технічне забезпечення несе керівник уповноваженого органу.
Керівник уповноваженого органу повинен визначити відповідальний підрозділ, який забезпечує формування та супроводження секторального переліку об'єктів критичної інфраструктури.
V. Послідовність дій робочої групи з віднесення об'єктів до об'єктів критичної інфраструктури та їх категоризації
1. Послідовність дій робочої групи з віднесення об'єктів до об'єктів критичної інфраструктури та їх категоризації повинна відповідати Порядку та Методиці, які затверджені Постановою КМУ 1109.
2. Приклад віднесення об'єкта до об'єкта критичної інфраструктури та його категоризації наведено в додатку 1 до цих Методичних рекомендацій. Під час розгляду кожного окремого потенційного об'єкта критичної інфраструктури залучаються його представники (представники оператора основних послуг), уповноваженні на прийняття рішення від імені цього об'єкта критичної інфраструктури (оператора основних послуг).
3. Рішення робочої групи щодо віднесення об'єкта до об'єкта критичної інфраструктури та певної категорії критичності оформлюється актом за прикладом, який наведено у додатку 2. Акт підписується членами робочої групи з категоризації, затверджується керівником або власником об'єкта критичної інфраструктури та заступником керівника уповноваженого органу за сектор (підсектор), відповідального за це питання, відповідно до розподілу обов'язків.
4. Відомості про об'єкти критичної інфраструктури, що належать до I, II, III та IV категорій критичності, вносяться до секторального переліку об'єктів критичної інфраструктури.
5. Уповноважений орган на підставі відомостей про об'єкти критичної інфраструктури, що перебувають у його власності чи розпорядженні, та відомостей, отриманих від операторів основних послуг його сектору (підсектору), рішення робочої групи формує та веде секторальний перелік об'єктів критичної інфраструктури відповідно до пункту 6 Порядку, затвердженого Постановою КМУ 1109.
6. Об'єкти критичної інфраструктури в секторальному переліку мають бути розподілені за категоріями критичності.
7. Керівник уповноваженого органу повинен визначити відповідальний підрозділ, який забезпечує формування та супроводження секторального переліку об'єктів критичної інфраструктури.
8. Крім цього, уповноважений орган повинен отримати від об'єкта критичної інфраструктури та зберігати належним чином інформацію, яка дозволила ідентифікувати об'єкт як об'єкт критичної інфраструктури, а також категоризувати його. Це дані щодо:
належності об'єкта критичної інфраструктури до певного сектору(ів) (підсектору(ів)) критичної інфраструктури;
типу основної послуги (основних послуг), яку(і) об'єкт критичної інфраструктури надає;
повної назви організації, форми власності, ЄДРПОУ власника (розпорядника) об'єкта критичної інфраструктури, місцезнаходження організації;
керівника власника (розпорядника) об'єкта критичної інфраструктури (прізвище, ім'я, по батькові, номери контактних телефонів, email);
найменування об'єкта критичної інфраструктури, фактичної адреси місцезнаходження об'єкта критичної інфраструктури;
отримання об'єктом критичної інфраструктури основних послуг від інших об'єктів критичної інфраструктури, ненадання яких вплине на функціонування об'єкта критичної інфраструктури;
надання об'єктом критичної інфраструктури основних послуг іншим об'єктам критичної інфраструктури, ненадання яких вплине на функціонування інших об'єктів критичної інфраструктури;
рівнів негативного впливу, які особа, суспільство, навколишнє природне середовище, економіка, національна безпека та обороноздатність країни можуть зазнати внаслідок порушення або припинення функціонування об'єкта критичної інфраструктури відповідно до критеріїв, зазначених у додатках 1 і 2 до Методики.
9. Уповноважений орган оновлює секторальний перелік об'єктів критичної інфраструктури кожні два роки або у разі суттєвих змін, що відбулися у критичній інфраструктурі його сектору або підсектору (створення, модернізація, припинення функціонування об'єктів критичної інфраструктури).
VI. Категорія об'єкта критичної інфраструктури
1. Категорія об'єкта критичної інфраструктури визначається за такою процедурою:
1) робоча група ідентифікує всі об'єкти критичної інфраструктури свого сектору (підсектору) критичної інфраструктури згідно з Порядком;
2) робоча група відповідно до Порядку для кожного об'єкта свого сектору (підсектору) критичної інфраструктури визначає, які основні послуги надає цей об'єкт;
3) робоча група разом з оператором основних послуг проводить оцінку критичності об'єкта критичної інфраструктури, використовуючи секторальні та міжсекторальні критерії визначення рівня негативного впливу, наведені у додатках 1 та 2 до Методики, які враховують:
рівень негативного впливу на надання основних послуг у разі знищення, пошкодження або порушення функціонування об'єкта критичної інфраструктури;
соціальну значущість об'єкта критичної інфраструктури;
суспільну значущість об'єкта критичної інфраструктури;
економічну значущість об'єкта критичної інфраструктури;
наявність взаємозв'язків між об'єктами критичної інфраструктури;
значущість об'єкта критичної інфраструктури для забезпечення національної безпеки та обороноздатності країни.
2. Під час заповнення форми додатка 1 до Методики обирається рівень негативного впливу в рамках сектору або підсектору об'єкта критичної інфраструктури та у графі "Оцінка РК i" виставляється бал, який відповідає рівню негативного впливу, опис якого характеризує наслідки, які можуть настати у разі порушення функціонування об'єкта критичної інфраструктури.
3. Під час заповнення форми додатка 2 до Методики обирається рівень негативного впливу за кожним критерієм , наведеним у формі, та у графі "Оцінка РК i" виставляється бал, який відповідає рівню негативного впливу, опис якого характеризує наслідки, які можуть настати у разі порушення функціонування об'єкта критичної інфраструктури.
4. Підсумовуються всі бали, що були отримані під час оцінки об'єкта критичної інфраструктури, згідно з формами, наведеними в додатках 1 і 2 до Методики.
5. Розраховується узагальнена нормована оцінка рівня критичності за такою формулою:
Сума РКі
РК = ------------,
ОКІ Сума РКmax
де:
РКОКІ - узагальнена нормована оцінка рівня критичності об'єкта критичної інфраструктури;
РКi - сума балів, які отримав об'єкт критичної інфраструктури за всіма критеріями критичності (додатки 1 та 2 до Методики);
РКmax - максимальна можлива сума балів (розраховується, виходячи з того, що об'єкт отримує максимальні бали за всіма критеріями оцінки рівня негативного впливу).
__________
Примітка:
У Методиці залежно від сектору використовуються 17 або 18 критеріїв. Тому для об'єктів критичної інфраструктури, що належать до секторів критичної інфраструктури згідно з пунктами 1, 3-7 додатка 1, максимальна можлива сума балів буде дорівнювати sumРКmax = 18 x 4 = 72 балів; для об'єктів критичної інфраструктури, що належать до секторів згідно з пунктами 2, 8-13 додатка 1, максимальна можлива сума балів буде дорівнювати sumРКmax = 17 x 4 = 68 балів.
6. Рішення щодо категорії критичності об'єкта критичної інфраструктури приймається на основі узагальненої нормованої оцінки рівня критичності об'єкта критичної інфраструктури відповідно до такого правила:
I категорія критичності, якщо 0,8 РК ОКІ менше або дорівнює 1;
II категорія критичності, якщо 0,63 РК ОКІ менше або дорівнює 0,8;
III категорія критичності, якщо 0,37 РК ОКІ менше або дорівнює 0,63;
IV категорія критичності, якщо 0,2 < РК ОКІ менше або дорівнює 0,37;
об'єкт не є критичним, якщо РК ОКІ менше або дорівнює 0,2.
7. Відомості про об'єкти критичної інфраструктури, що належать до об'єктів I та II категорій критичності, уповноважений орган надає до уповноваженого органу у сфері захисту критичної інфраструктури для формування Національного переліку об'єктів критичної інфраструктури (у разі створення).
8. Відомості про об'єкти критичної інфраструктури, що належать до об'єктів I, II, III та IV категорій критичності, вносяться до секторального переліку об'єктів критичної інфраструктури, який формується та ведеться уповноваженим органом у відповідному секторі (підсекторі).
Приклад застосування Методики з метою здійснення розрахунків з категоризації об'єкта критичної інфраструктури наведено у додатку 1 до цих Методичних рекомендацій.
9. Рішення робочої групи щодо віднесення об'єкта до об'єкта критичної інфраструктури та певної категорії критичності оформлюється актом за прикладом, який наведено у додатку 2 до цих Методичних рекомендацій. Акт підписують члени робочої групи з категоризації, затверджує керівник або власник об'єкта критичної інфраструктури та заступник керівника уповноваженого органу за сектор (підсектор), відповідального за це питання, відповідно до розподілу обов'язків.
10. Інформація про рішення уповноваженого органу щодо категоризації об'єктів критичної інфраструктури доводиться до відома оператора (власника) об'єкта критичної інфраструктури.
11. Уповноважений орган надає відомості про об'єкти критичної інфраструктури I та II категорій критичності, які знаходяться в сфері його регулювання відповідно до Переліку, до Національного переліку об'єктів критичної інфраструктури (у разі його створення) та уповноваженому органу у сфері захисту критичної інфраструктури у формі та спосіб, що визначені таким органом, з дотриманням вимог законодавства щодо захисту інформації.
Т.в.о. директора
Департаменту кіберзахисту
Адміністрації Держспецзв'язку
полковник



Ю. Циплинський
Додаток 1
до Методичних рекомендацій
щодо категоризації об'єктів
критичної інфраструктури
(пункт 2 розділу V)
ПРИКЛАД
категоризації об'єкта критичної інфраструктури
1. Розглянемо порядок категоризації об'єкта критичної інфраструктури на прикладі кваліфікованого надавача електронних довірчих послуг (далі - КНЕДП). Оператор основних послуг - державне підприємство "ЗЕТ".
2. КНЕДП належить до об'єкта, який надає послуги з надання кваліфікованих електронних довірчих послуг формування, перевірки та підтвердження чинності:
кваліфікованого сертифіката електронного підпису чи печатки;
кваліфікованої електронної позначки часу.
3. Далі в таблиці 1 знаходимо основну послугу "Електронні довірчі послуги", яка відповідає підсектору "інформаційні технології інформаційного сектору". Уповноважений орган - Міністерство цифрової трансформації України.
4. Далі визначається рівень негативного впливу об'єкта критичної інфраструктури за секторальним критерієм (додаток 1 до Методики віднесення об'єкта критичної інфраструктури до однієї з категорій критичності ). Згідно з додатком 1 КНЕДП буде оцінюватися за критерієм пункту 4 цього додатка. У разі інциденту в КНЕДП надання електронних довірчих послуг буде припинено для всіх клієнтів центру (більше ніж 900000). Тому за секторальним критерієм КНЕДП отримує 4 бали.
Далі наведено приклад заповнення додатка 1 до Методики віднесення об'єкта критичної інфраструктури до однієї з категорій критичності.
Сектор/підсектор Рівень негативного впливу: катастрофічні наслідки (4 бали) Рівень негативного впливу: критичні наслідки (3 бали) Рівень негативного впливу: значні наслідки (2 бали) Рівень негативного впливу: незначні наслідки (1 бал) Оцінка РКi
4. Послуги, що надаються інформаційним сектором: у разі знищення, пошкодження або порушення функціонування об'єкта критичної інфраструктури припиниться або порушиться надання основних послуг об'єктом для більш як 145000 жителів на території більш як однієї області АБО на території не менш як трьох міст обласного значення для більш як 20000 жителів на території однієї області АБО на території більш як одного району міста - обласного центру, АБО на всій території одного міста обласного значення для більш як 2000 жителів для менше як 2000 жителів 4
час відновлення функціонування у штатному режимі не може перевищувати 6 годин час відновлення функціонування у штатному режимі може становити від 6 до 24 годин час відновлення функціонування у штатному режимі може становити від однієї до трьох діб час відновлення функціонування у штатному режимі може бути більше трьох діб 4
Сумарна оцінка РКi 8
5. Далі проводиться оцінка за міжсекторальними критеріями (додаток 2 до Методики). Приклад оцінки наведено у таблиці додатка 2 до Методики. Оцінка проводиться шляхом вибору варіанта негативного впливу за кожним критерієм та обґрунтування вибору:
1) соціальна значущість об'єкта критичної інфраструктури.
У разі припинення надання послуг КНЕДП прямої небезпеки для життя та здоров'я людей не існує, тому РК1 = 0. Також за географічним критерієм небезпеки для життя та здоров'я людей не існує РК2 = 0. Заподіяння шкоди навколишньому природному середовищу не має місця. Тому РК4 = 0, РК5 = 0 та РК6 = 0;
2) суспільна значущість об'єкта критичної інфраструктури.
КНЕДП є великим надавачем в інфраструктурі надання електронних довірчих послуг. У разі припинення його функціонування може бути припинено виконання основних послуг та порушено роботу органів державної влади (у разі реалізації у повному обсязі електронного документообігу, електронного судочинства тощо). Тому РК7 = 4. Також здійснюється значний вплив на довіру населення до державних інституцій, як наслідок - невиконання ними відповідних функцій. Тому РК8 = 4. На цей час шкода іншим державам - партнерам України не може бути завдана, але можуть бути порушення міжнародних угод - РК9 = 3;
3) економічна значущість об'єкта критичної інфраструктури.
Припинення надання послуг КНЕДП призведе до заподіяння збитків об'єкту критичної інфраструктури (тобто державному підприємству) на 23% (згідно зі звітністю за останні роки). Збитки державному бюджету на цей час незначні (поширення довірчих послуг недостатнє). Збитки місцевим бюджетам також незначні (також через недостатню поширеність послуг). Тому РК10 = 4, РК11 = 1, РК12 = 1;
4) взаємозв'язок між об'єктами критичної інфраструктури.
Переривання надання послуг КНЕДП не вплине на роботу інших надавачів електронних довірчих послуг. Водночас переривання надання послуг КНЕДП призведе до порушень надання послуг в інших секторах, де діяльність пов'язана з використанням електронного підпису та довірчих послуг (наприклад, фінансовий сектор). Тому РК13 = 0, РК14 = 4;
5) значущість об'єкта критичної інфраструктури для забезпечення національної безпеки та обороноздатності країни.
Припинення роботи КНЕДП не вплине на функціонування пунктів управління (ситуаційних центрів). Тому РК15 = 0. Зниження показників державного оборонного замовлення не очікується. Тому РК16 = 0, РК17 = 0.
Далі наведено приклад заповнення додатка 2 до Методики віднесення об'єкта критичної інфраструктури до однієї з категорій критичності.
№ з/п Негативний вплив Рівень негативного впливу: катастрофічні наслідки (4 бали) Рівень негативного впливу: критичні наслідки (3 бали) Рівень негативного впливу: значні наслідки (2 бали) Рівень негативного впливу: незначні наслідки (1 бал) Рівень негативного впливу: надто малий (0 балів) Оцінка РКi
I. Соціальна значущість об'єкта критичної інфраструктури
1. Заподіяння шкоди життю та здоров'ю людей Кількість населення, що може постраждати
небезпека для життя або здоров'я більш як 75000 людей небезпека для життя та здоров'я більш як 5000 людей небезпека для життя або здоров'я більш як 50 людей небезпека для життя або здоров'я менш як 50 людей не критично РК1 = 0
Географічний масштаб
небезпека для життя та здоров'я мешканців на території однієї АБО більш як однієї області, АБО на території трьох та більше міст обласного значення небезпека для життя та здоров'я мешканців на території однієї області АБО міського району міста обласного центру, АБО на всій території одного міста обласного значення небезпека для життя та здоров'я для людей на території об'єкта та для мешканців, що проживають у безпосередній близькості до розміщення об'єкта небезпека для життя та здоров'я людей на території об'єкта не критично РК2 = 0
2. Заподіяння шкоди навколишньому природному середовищу Економічні втрати
нанесені збитки більш як на 30 млн грн нанесено збитків більш як на 18 млн грн нанесено збитків більш як на 2 млн грн нанесено збитків менше як на 2 млн грн не критично РК3 = 0
Географічний масштаб
шкідливий вплив розповсюджується на територію більш як однієї області АБО на території не менш як трьох міст обласного значення шкідливий вплив розповсюджується на територію однієї області АБО на територію більш як одного міста обласного значення шкідливий вплив розповсюджується на територію одного міста обласного значення шкідливий вплив розповсюджується на територію об'єкта інфраструктури не критично РК4 = 0
Час
шкідливий вплив на навколишнє природне середовище та безпечні умови життя зберігається протягом більш як одного року шкідливий вплив на навколишнє природне середовище та безпечні умови життя зберігається протягом від півроку до одного року шкідливий вплив на навколишнє природне середовище та безпечні умови життя зберігається протягом від одного місяця до півроку шкідливий вплив на навколишнє природне середовище та безпечні умови життя зберігається протягом одного місяця не критично РК5 = 0
II. Суспільна значущість об'єкта критичної інфраструктури
3 Припинення або порушення функціонування державних органів припинення або порушення функціонування Верховної Ради України, Кабінету Міністрів України, Конституційного Суду України, Верховного Суду, а також Офісу Президента України, Ради національної безпеки та оборони України припинення або порушення функціонування центральних органів виконавчої влади та облдержадміністрацій припинення або порушення роботи районних держадміністрацій, територіальних органів центральних органів виконавчої влади припинення або порушення роботи органів місцевого самоврядування не критично РК6 = 4
4. Негативний вплив на довіру людей до державних інституцій матиме значний вплив матиме великий вплив матиме середній вплив матиме незначний вплив не критично РК7 = 4
5 Шкода інтересам інших держав - партнерів України так, принаймні двом країнам або порушення умов міжнародного договору, укладеного від імені України так, принаймні одній країні або порушення умов міжнародного договору, укладеного від імені Уряду України можливі негативні наслідки для інших держав, але їх вплив навряд чи буде значним держави не постраждають або немає порушення умов міжнародного договору, укладеного від імені міністерства, іншого центрального органу виконавчої влади, державного органу не критично РК8 = 3
III. Економічна значущість об'єкта критичної інфраструктури
6. Заподіяння збитків об'єкту інфраструктури (у відсотках прогнозованого обсягу річного доходу за всіма видами діяльності) більш як 15 відсотків від 10 до 15 відсотків від 5 до 10 відсотків менш як 5 відсотків не критично РК9 = 4
7. Заподіяння збитків державному бюджету (зниження прибутків бюджету у відсотках прогнозованого річного прибутку бюджету) більш як 0,1 відсотка від 0,1 до 0,05 відсотка від 0,05 до 0,01 відсотка менш як 0,01 відсотка не критично РК10 = 1
8. Заподіяння збитків місцевим бюджетам (зниження прибутків бюджету у відсотках прогнозованого річного прибутку бюджету) більш як 0,1 відсотка від 0,1 до 0,05 відсотка від 0,05 до 0,01 відсотка менш як 0,01 відсотка не критично РК11 = 1
IV. Взаємозв'язок між об'єктами критичної інфраструктури
9. Негативний вплив на безперервне та стійке функціонування іншого об'єкта інфраструктури, що забезпечує надання таких самих основних послуг матиме негативний вплив (якщо так, вкажіть який) не матиме впливу не критично РК12 = 0
10. Негативний вплив на безперервне та стійке функціонування іншого об'єкта інфраструктури, що надає інші основні послуги матиме негативний вплив (якщо так, вкажіть який) не матиме впливу не критично РК13 = 4
V. Значущість об'єкта критичної інфраструктури для забезпечення оборони країни та безпеки держави
11. Припинення або порушення (невиконання встановлених показників) функціонування пунктів управління (ситуаційного центру), що оцінюється на рівні (значущості) пункту управління або ситуаційного центру припинення або порушення функціонування пунктів управління Верховного Головнокомандувача Збройних Сил, Головнокомандувача Збройних Сил, Начальника Генерального штабу Збройних Сил або ситуаційного центру Офісу Президента України, Кабінету Міністрів України, Ради національної безпеки та оборони України припинення або порушення функціонування пунктів управління або ситуаційного центру центральних органів виконавчої влади, пунктів управління Сухопутних військ, Повітряних Сил, Військово-Морських Сил, десантно-штурмових військ, сил спеціальних операцій, Національної гвардії, Держприкордонслужби припинення або порушення функціонування обласної державної адміністрації, ситуаційних центрів територіальних органів центральних органів виконавчої влади не критично РК14 = 0
12. Зниження показників державного оборонного замовлення Зниження обсягів продукції (робіт, послуг) у заданий період часу (у відсотках)
більш як 15 відсотків від 10 до 15 відсотків від 5 до 10 відсотків менш як 5 відсотків не критично РК15 = 0
Збільшення часу виготовлення продукції (робіт, послуг) із заданим обсягом (відсотків встановленого часу на виготовлення продукції)
більш як 40 відсотків від 10 до 40 відсотків від 5 до 10 відсотків менш як 5 відсотків не критично РК16 = 0
Сумарна оцінкаРКi
6. Визначення категорії критичності.
РКі 8 + 21 29
РК = -------- = -------- = ---- = 0,4.
ОКІ РКmax 18 * 4 72
Відповідно до правила:
I категорія критичності, якщо 0,8 < РК ОКІ менше або дорівнює 1;
II категорія критичності, якщо 0,63 < РК ОКІ менше або дорівнює 0,8;
III категорія критичності, якщо 0,37 < РК ОКІ менше або дорівнює 0,63;
IV категорія критичності, якщо 0,2 < РК ОКІ менше або дорівнює 0,37;
об'єкт не є критичним, якщо РК ОКІ менше або дорівнює 0,2.
КНЕДП може бути віднесено до III категорії критичності.
Додаток 2
до Методичних рекомендацій
щодо категоризації об'єктів
критичної інфраструктури
(пункт 3 розділу V)
ПРИКЛАД
акта категоризації об'єкта критичної інфраструктури
Додаток 3
до Методичних рекомендацій
щодо категоризації об'єктів
критичної інфраструктури
(пункт 1 розділу IV)
ПОСЛІДОВНІСТЬ ДІЙ
із ідентифікації та категоризації об'єктів критичної інфраструктури
( Текст взято з сайту Держспецзв’язку України http://www.cip.gov.ua )