Постановление Правительства РФ от 13.04.2026 N 402
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 13 апреля 2026 г. N 402
ОБ УТВЕРЖДЕНИИ ОТРАСЛЕВЫХ ОСОБЕННОСТЕЙ
КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ СВЯЗИ
В соответствии со статьей 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
1. Утвердить согласованные с Федеральной службой по техническому и экспортному контролю прилагаемые отраслевые особенности категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере связи.
2. Настоящее постановление вступает в силу с 1 сентября 2026 г. и действует до 1 сентября 2032 г.
Председатель Правительства
Российской Федерации
М.МИШУСТИН
Утверждены
постановлением Правительства
Российской Федерации
от 13 апреля 2026 г. N 402
ОТРАСЛЕВЫЕ ОСОБЕННОСТИ
КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ СВЯЗИ
I. Общие положения
1. Настоящий документ определяет порядок установления соответствия объекта критической информационной инфраструктуры Российской Федерации в сфере связи (далее - объект критической информационной инфраструктуры) критериям значимости и показателям их значений в целях присвоения ему одной из категорий значимости и включает в себя отраслевой признак значимости объектов критической информационной инфраструктуры, соответствующий критериям значимости и показателям их значений, а также порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры.
2. Настоящий документ применяется при категорировании объектов критической информационной инфраструктуры (далее - категорирование) государственными органами, государственными учреждениями, российскими юридическими лицами, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере связи, а также российскими юридическими лицами, которые обеспечивают взаимодействие указанных систем или сетей (далее - субъекты критической информационной инфраструктуры).
3. Категорирование осуществляется в соответствии со статьей 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации и перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее соответственно - Правила, перечень показателей критериев значимости), перечнем типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации, утвержденным распоряжением Правительства Российской Федерации от 26 февраля 2026 г. N 360-р.
4. Отраслевым признаком значимости объекта критической информационной инфраструктуры является количество абонентов, в том числе пользователей услугами связи - юридических лиц, которым оператор связи оказывает услуги связи с использованием объекта критической информационной инфраструктуры.
II. Порядок установления соответствия объекта критической
информационной инфраструктуры критериям значимости
и показателям их значений в целях присвоения
ему одной из категорий значимости
5. Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, состав которой определяется в соответствии с Правилами, с учетом следующих особенностей:
а) в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся федеральными органами исполнительной власти, находящимися в ведении Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, а также федеральными государственными учреждениями, функции и полномочия учредителя которых осуществляет Министерство, и федеральными государственными унитарными предприятиями, права собственника имущества которых осуществляет Министерство, по согласованию с Министерством включаются представители Министерства;
б) в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся федеральными государственными учреждениями, функции и полномочия учредителя которых осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, и федеральными государственными унитарными предприятиями, права собственника имущества которых осуществляет Служба, по согласованию со Службой включаются представители Службы;
в) в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся операторами универсального обслуживания, по согласованию с Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации включаются представители Министерства.
6. Комиссия по категорированию на основе анализа исходных данных, указанных в пункте 10 настоящего документа, осуществляет оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры и моделирует ущерб от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки.
Комиссия по категорированию осуществляет оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры посредством соотнесения показателей масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа, и их значениями.
Показатель масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры оценивается (исчисляется) комиссией по категорированию путем последовательной реализации следующих этапов:
анализ сведений о технологических (в том числе информационных) процессах, осуществляемых с использованием объекта критической информационной инфраструктуры;
анализ потенциального ущерба от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки, в соответствии с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа, и их значениями;
оценка потенциального ущерба от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки, который наносится технологическим (в том числе информационным) процессам, осуществляемым с использованием объекта критической информационной инфраструктуры, посредством соотнесения такого ущерба с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа, и их значениями.
7. На основании оценки масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры комиссия по категорированию устанавливает по каждому из показателей критериев значимости, применимых к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа:
а) невозможность применения показателя критерия значимости и его значений;
б) применимость показателя критерия значимости и его значений.
8. К объектам критической информационной инфраструктуры применимы показатели критериев значимости, указанные:
а) в субпозиции "а" позиции 4 и в позиции 9 перечня показателей критериев значимости, - в отношении всех субъектов критической информационной инфраструктуры;
б) в субпозиции "б" позиции 4 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, являющихся участниками закупок, при наличии действующих контрактов на оказание услуг связи, в том числе государственных и муниципальных контрактов на оказание услуг связи, или договоров об оказании услуг связи, заключенных с Центральным банком Российской Федерации;
в) в позиции 6 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, являющихся участниками закупок, при наличии действующих контрактов на оказание услуг связи, в том числе государственных и муниципальных контрактов на оказание услуг связи, или договоров об оказании услуг связи, заключенных с Центральным банком Российской Федерации, в случае, если в условиях отсутствия услуг связи, предусмотренных указанными контрактами или договорами, государственный орган и (или) организация, созданная на основании федерального закона, не смогут осуществлять возложенную на них функцию (полномочие);
г) в позиции 8 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, которые являются государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса либо включенным в перечень стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ", стратегическим предприятием или стратегическим акционерным обществом.
9. Показатели критериев значимости, не указанные в пункте 8 настоящего документа, рассматриваются субъектами критической информационной инфраструктуры в случае, предусмотренном пунктом 14(2) Правил.
10. Исходными данными для категорирования помимо данных, указанных в пункте 10 Правил, являются:
а) техническая и проектная документация (при наличии) на объект критической информационной инфраструктуры;
б) возможные типы компьютерных атак, компьютерных инцидентов и их последствий в отношении объекта критической информационной инфраструктуры, в том числе:
описание актуальных для субъекта критической информационной инфраструктуры источников компьютерных атак и методов реализации таких компьютерных атак;
конфигурация программных и (или) технических средств, пригодных для реализации компьютерных атак;
возможные уязвимости, используемые источниками компьютерных атак;
диапазон компьютерных инцидентов, потенциально возникающих в результате реализации компьютерных атак.
III. Порядок расчета значений показателей критериев
значимости с учетом особенностей функционирования объекта
критической информационной инфраструктуры
11. В целях расчета значений показателей критериев значимости, указанных в пункте 8 настоящего документа, комиссия по категорированию, если иное не установлено настоящим документом, использует следующие методы расчета значений показателей критериев значимости:
а) метод расчета наихудших последствий, заключающийся в количественном (расчетном) и (или) качественном оценивании максимально возможного ущерба, который может быть нанесен субъекту критической информационной инфраструктуры в результате компьютерной атаки и компьютерного инцидента (далее - расчетный метод);
б) метод моделирования компьютерных атак, компьютерных инцидентов и их негативных последствий, заключающийся в разработке и анализе вероятных сценариев компьютерных атак, компьютерных инцидентов и их последствий, определенных в том числе на основании сведений о компьютерных атаках, компьютерных инцидентах и их негативных последствиях в отношении объектов критической информационной инфраструктуры, включенных в перечень типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации, утвержденный распоряжением Правительства Российской Федерации от 26 февраля 2026 г. N 360-р.
12. Категория значимости объекта критической информационной инфраструктуры присваивается по наивысшему из значений показателей критериев значимости, полученных в результате использования методов, указанных в пункте 11 настоящего документа.
13. При расчете значения показателя критерия значимости, указанного в субпозиции "а" позиции 4 перечня показателей критериев значимости, в целях определения количества абонентов, для которых могут быть недоступны услуги связи, оценивается количество абонентов, в том числе пользователей услугами связи - юридических лиц, с которыми операторами связи заключены договоры об оказании услуг связи.
В случае использования объекта критической информационной инфраструктуры, в отношении которого проводится категорирование, для оказания нескольких услуг связи расчет значения показателя критерия значимости, указанного в субпозиции "а" позиции 4 перечня показателей критериев значимости, осуществляется в отношении каждой такой услуги. Категория значимости присваивается объекту критической информационной инфраструктуры по совокупности значений такого показателя критерия значимости, полученных в результате расчетов применительно к каждой такой услуге.
14. Значение показателя критерия значимости, указанного в субпозиции "б" позиции 4 перечня показателей критериев значимости, рассчитывается по уровню и количеству органов государственной власти или организаций, для которых могут быть нарушены или недоступны услуги связи и которые перечислены в значениях такого показателя критерия значимости.
15. При расчете значения показателя критерия значимости, указанного в позиции 6 перечня показателей критериев значимости, оценивается вероятность прекращения или нарушения функционирования государственных органов или организаций, созданных на основании федеральных законов, перечисленных в значениях такого показателя критерия значимости, в части невыполнения возложенной на них функции (полномочия) в связи с невозможностью реализации процесса, обеспечиваемого объектом критической информационной инфраструктуры.
16. Значение показателя критерия значимости, указанного в позиции 8 перечня показателей критериев значимости (П8), процентов, рассчитывается расчетным методом по формуле:
где:
Дфакт - уровень дохода субъекта критической информационной инфраструктуры (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) за оцениваемый период, рублей;
Дсредний - годовой объем доходов субъекта критической информационной инфраструктуры, усредненный за прошедший 5-летний период, рублей.
17. При расчете значения показателя критерия значимости, указанного в позиции 8 перечня показателей критериев значимости (П8), используются в том числе:
а) усредненная за прошедший 5-летний период годовая сумма уплаченных (подлежащих уплате) субъектом критической информационной инфраструктуры налогов в федеральный бюджет, определенная на основании налоговой отчетности и представляемых в Федеральную налоговую службу налоговых деклараций;
б) годовой объем доходов субъекта критической информационной инфраструктуры, усредненный за прошедший 5-летний период (Дсредний), определенный на основании данных управленческого учета и бухгалтерского учета;
в) максимально допустимый период простоя, определенный на основании регламентов проведения профилактических работ информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления субъекта критической информационной инфраструктуры;
г) время, требуемое для устранения последствий компьютерной атаки, определяемое на основании эксплуатационных, технических, договорных и (или) иных документов. При отсутствии таких документов указанное время определяется на основании статистических данных за прошедший 5-летний период, а в случае отсутствия таких статистических данных это время принимается равным 10 дням.
18. Значение показателя критерия значимости, указанного в позиции 9 перечня показателей критериев значимости (П9), процентов, рассчитывается расчетным методом по формуле:
где:
- снижение выплат (отчислений) в бюджеты бюджетной системы Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры, рублей;
Бсредний - прогнозируемый годовой доход федерального бюджета, усредненный за планируемый 3-летний период, рублей.
19. Для расчета значения показателя критерия значимости, указанного в позиции 9 перечня показателей критериев значимости (П9):
а) прогнозируемый годовой доход федерального бюджета, усредненный за планируемый 3-летний период (Бсредний), определяется с учетом положений федерального закона о федеральном бюджете и иных положений законодательства Российской Федерации;
б) определяется годовая сумма налогов, уплачиваемых субъектом критической информационной инфраструктуры в бюджеты бюджетной системы Российской Федерации, исходя из данных, представляемых в Федеральную налоговую службу. При определении указанной суммы налогов учитываются в полном объеме в том числе следующие затраты:
затраты на ликвидацию и устранение последствий компьютерных атак и компьютерных инцидентов;
затраты на оплату труда персонала и условно-постоянные расходы за время простоя и (или) деградации технологического процесса;
затраты на оплату труда персонала, привлекаемого к сверхурочной работе для ликвидации последствий нарушений, вызванных простоем и (или) деградацией технологического процесса;
потери от уплаты неустоек (штрафов, пеней) и прочих выплат за невыполнение условий договоров об оказании услуг связи в результате простоя и (или) деградации технологического процесса;
в) определяется максимально возможный период прекращения оказания услуг связи в результате нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, в отношении которого осуществляется категорирование, и оценивается максимально возможное снижение прибыли организации связи от оказания услуг связи с использованием объекта критической информационной инфраструктуры, в отношении которого осуществляется категорирование, в течение такого периода.