ме
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 13 апреля 2026 г. № 402
МОСКВА
Об утверждении отраслевых особенностей категорирования
объектов критической информационной инфраструктуры
Российской Федерации в сфере связи
В соответствии со статьей 6 Федерального закона "О безопасности
критической информационной инфраструктуры Российской Федерации"
Правительство Российской Федерации постановляет:
1. Утвердить согласованные с Федеральной службой
по техническому и экспортному контролю прилагаемые отраслевые
особенности категорирования объектов критической информационной
инфраструктуры Российской Федерации в сфере связи.
2. Настоящее постановление вступает в силу с 1 сентября 2026 г.
и действует до 1 сентября 2032 г.
pe ДОКУМЕНТ ПОДПИСАН
hitting, ЭЛЕКТРОННОЙ ПОАПИСЬЮ
Председатель Правительства освоив
"Действителен c 26 06.2025 no 19.09.2026
Российской Федерации одела Правительтьо Робонйской М.Мишустин
a У
УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 13 апреля 2026 г. № 402
ОТРАСЛЕВЫЕ ОСОБЕННОСТИ
категорирования объектов критической информационной
инфраструктуры Российской Федерации в сфере связи
I. Общие положения
1. Настоящий документ определяет порядок установления
соответствия объекта критической информационной инфраструктуры
Российской Федерации в сфере связи (далее - объект критической
информационной инфраструктуры) критериям значимости и показателям
их значений в целях присвоения ему одной из категорий значимости
и включает в себя отраслевой признак значимости объектов критической
информационной — инфраструктуры, соответствующий — критериям
значимости и показателям их значений, а также порядок расчета
значений показателей критериев значимости с учетом особенностей
функционирования объекта критической информационной
инфраструктуры.
2. Настоящий документ применяется при категорировании объектов
критической информационной инфраструктуры (далее - категорирование)
государственными органами, государственными учреждениями,
российскими юридическими лицами, которым на праве собственности,
аренды или на ином законном основании принадлежат информационные
системы, информационно-телекоммуникационные сети, автоматизированные
системы управления, функционирующие в сфере связи, а также
российскими юридическими лицами, которые обеспечивают
взаимодействие указанных систем или сетей (далее - субъекты
критической информационной инфраструктуры).
3. Категорирование осуществляется в соответствии со статьей 7
Федерального закона "О безопасности критической информационной
инфраструктуры Российской Федерации", Правилами категорирования
объектов критической информационной инфраструктуры Российской
Федерации и перечнем показателей критериев значимости объектов
критической информационной инфраструктуры Российской Федерации
и их значений, утвержденными постановлением Правительства Российской
Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил
категорирования объектов критической информационной инфраструктуры
Российской Федерации, а также перечня показателей критериев
значимости объектов критической информационной инфраструктуры
Российской Федерации и их значений" (далее соответственно - Правила,
перечень показателей критериев значимости), перечнем типовых
отраслевых объектов критической информационной инфраструктуры
Российской Федерации, утвержденным распоряжением Правительства
Российской Федерации от 26 февраля 2026 г. № 360-р.
4. Отраслевым признаком значимости объекта критической
информационной инфраструктуры является количество абонентов,
в том числе пользователей услугами связи - юридических лиц, которым
оператор связи оказывает услуги связи с использованием объекта
критической информационной инфраструктуры.
П. Порядок установления соответствия объекта критической
информационной инфраструктуры критериям значимости и показателям
их значений в целях присвоения ему одной из категорий значимости
5.Для проведения категорирования решением руководителя
субъекта критической информационной инфраструктуры создается
постоянно действующая комиссия по категорированию, состав которой
определяется в соответствии с Правилами, с учетом следующих
особенностей:
а) в состав комиссий по категорированию субъектов критической
информационной инфраструктуры, являющихся федеральными органами
исполнительной власти, находящимися в ведении Министерства
цифрового развития, связи и массовых коммуникаций Российской
Федерации, а также федеральными государственными учреждениями,
функции и полномочия учредителя которых осуществляет Министерство,
и федеральными государственными унитарными предприятиями, права
собственника имущества которых осуществляет Министерство,
по согласованию с Министерством включаются представители
Министерства;
б)в состав комиссий по категорированию субъектов критической
информационной инфраструктуры, являющихся федеральными
государственными учреждениями, функции и полномочия учредителя
которых осуществляет Федеральная служба по надзору в сфере связи,
информационных технологий и массовых коммуникаций, и федеральными
государственными унитарными предприятиями, права собственника
имущества которых осуществляет Служба, по согласованию со Службой
включаются представители Службы;
в) в состав комиссий по категорированию субъектов критической
информационной инфраструктуры, являющихся операторами
универсального обслуживания, по согласованию с Министерством
цифрового развития, связи и массовых коммуникаций Российской
Федерации включаются представители Министерства.
6. Комиссия по категорированию на основе анализа исходных
данных, указанных в пункте 10 настоящего документа, осуществляет оценку
масштаба возможных последствий в случае возникновения компьютерных
инцидентов на объекте критической информационной инфраструктуры
и моделирует ущерб от возникновения компьютерного инцидента,
произошедшего в результате компьютерной атаки.
Комиссия по категорированию осуществляет оценку масштаба
возможных последствий в случае возникновения компьютерных
инцидентов на объекте критической информационной инфраструктуры
посредством соотнесения показателей масштаба возможных последствий
в случае возникновения компьютерных инцидентов Ha объекте
критической информационной инфраструктуры с показателями критериев
значимости, применимыми к субъекту критической информационной
инфраструктуры в соответствии с пунктом 8 настоящего документа,
и их значениями.
Показатель масштаба возможных последствий в случае
возникновения компьютерных инцидентов на объекте критической
информационной инфраструктуры оценивается (исчисляется) комиссией
по категорированию путем последовательной реализации следующих
этапов:
анализ сведений о технологических (в том числе информационных)
процессах, осуществляемых с использованием объекта критической
информационной инфраструктуры;
анализ потенциального ущерба от возникновения компьютерного
инцидента, произошедшего в результате компьютерной атаки,
в соответствии с показателями критериев значимости, применимыми
к субъекту критической информационной инфраструктуры в соответствии
с пунктом 8 настоящего документа, и их значениями;
оценка потенциального ущерба от возникновения компьютерного
инцидента, произошедшего в результате компьютерной атаки,
который наносится технологическим (в том числе информационным)
процессам, осуществляемым с использованием объекта критической
информационной инфраструктуры, посредством соотнесения такого
ущерба с показателями критериев значимости, применимыми к субъекту
критической информационной инфраструктуры в — соответствии
с пунктом 8 настоящего документа, и их значениями.
7. На основании оценки масштаба возможных последствий в случае
возникновения компьютерных инцидентов на объекте критической
информационной инфраструктуры комиссия по категорированию
устанавливает по каждому из показателей критериев значимости,
применимых к субъекту критической информационной инфраструктуры
в соответствии с пунктом 8 настоящего документа:
а) невозможность применения показателя критерия значимости
и его значений;
6) применимость показателя критерия значимости и его значений.
8.К объектам критической информационной инфраструктуры
применимы показатели критериев значимости, указанные:
а) в субпозиции "а" позиции 4 и в позиции 9 перечня показателей
критериев значимости, - в отношении всех субъектов критической
информационной инфраструктуры;
6) в субпозиции "б" позиции 4 перечня показателей критериев
значимости, - в отношении субъектов критической информационной
инфраструктуры, являющихся участниками закупок, при наличии
действующих контрактов на оказание услуг связи, в том числе
государственных и муниципальных контрактов на оказание услуг связи,
или договоров об оказании услуг связи, заключенных с Центральным
банком Российской Федерации;
в) в позиции 6 перечня показателей критериев значимости, -
в отношении субъектов критической информационной инфраструктуры,
являющихся участниками закупок, при наличии действующих контрактов
на оказание услуг связи, в том числе государственных и муниципальных
контрактов на оказание услуг связи, или договоров об оказании услуг
связи, заключенных с Центральным банком Российской Федерации,
в случае, если в условиях отсутствия услуг связи, предусмотренных
указанными контрактами или договорами, государственный орган
и (или) организация, созданная на основании федерального закона,
не смогут осуществлять возложенную на них функцию (полномочие);
г) в позиции 8 перечня показателей критериев значимости, -
в отношении субъектов критической информационной инфраструктуры,
которые являются государственной корпорацией, государственным
унитарным предприятием, государственной компанией, организацией
оборонно-промышленного комплекса либо включенным в перечень
стратегических предприятий и стратегических акционерных обществ,
утвержденный Указом Президента Российской Федерации от 4 августа
2004г. № 1009 "Об утверждении перечня стратегических предприятий
и стратегических акционерных обществ", стратегическим предприятием
или стратегическим акционерным обществом.
9. Показатели критериев значимости, не указанные в пункте 8
настоящего документа, рассматриваются субъектами критической
информационной инфраструктуры в случае, предусмотренном пунктом 142
Правил.
10. Исходными данными для категорирования помимо данных,
указанных в пункте 10 Правил, являются:
а) техническая и проектная документация (при наличии) на объект
критической информационной инфраструктуры;
6) возможные типы компьютерных атак, компьютерных инцидентов
и их последствий в отношении объекта критической информационной
инфраструктуры, в том числе:
описание актуальных для субъекта критической информационной
инфраструктуры источников компьютерных атак и методов реализации
таких компьютерных атак;
конфигурация программных и (или) технических средств, пригодных
для реализации компьютерных атак;
возможные уязвимости, используемые источниками компьютерных
атак;
диапазон компьютерных инцидентов, потенциально возникающих
в результате реализации компьютерных атак.
6
Ш. Порядок расчета значений показателей критериев значимости
с учетом особенностей функционирования объекта критической
информационной инфраструктуры
11.В целях расчета значений показателей критериев значимости,
указанных B пункте 8 настоящего документа, комиссия
по категорированию, если иное не установлено настоящим документом,
использует следующие методы расчета значений показателей критериев
значимости:
а) метод расчета наихудших последствий, заключающийся
в количественном (расчетном) и(или) качественном оценивании
максимально возможного ущерба, который может быть нанесен субъекту
критической информационной инфраструктуры B результате
компьютерной атаки и компьютерного инцидента (далее - расчетный
метод);
6) метод моделирования компьютерных атак, компьютерных
инцидентов и их негативных последствий, заключающийся в разработке
и анализе вероятных сценариев компьютерных атак, компьютерных
инцидентов и их последствий, определенных в том числе на основании
сведений о компьютерных атаках, компьютерных инцидентах
и их негативных последствиях в отношении объектов критической
информационной инфраструктуры, включенных в перечень типовых
отраслевых объектов критической информационной инфраструктуры
Российской Федерации, утвержденный распоряжением Правительства
Российской Федерации от 26 февраля 2026 г. № 360-р.
12. Категория значимости объекта критической информационной
инфраструктуры присваивается по наивысшему из значений показателей
критериев значимости, полученных в результате использования методов,
указанных в пункте 11 настоящего документа.
13. При расчете значения показателя критерия значимости,
указанного в субпозиции "а" позиции 4 перечня показателей критериев
значимости, в целях определения количества абонентов, для которых
могут быть недоступны услуги связи, оценивается количество абонентов,
в том числе пользователей услугами связи - юридических лиц,
с которыми операторами связи заключены договоры об оказании услуг
связи.
В случае использования объекта критической информационной
инфраструктуры, в отношении которого проводится категорирование, для
оказания нескольких услуг связи расчет значения показателя критерия
значимости, указанного в субпозиции "а" позиции 4 перечня показателей
критериев значимости, осуществляется в отношении каждой такой услуги.
Категория значимости присваивается объекту критической
информационной инфраструктуры по совокупности значений такого
показателя критерия значимости, полученных в результате расчетов
применительно к каждой такой услуге.
14. Значение показателя критерия значимости, указанного
в субпозиции "б" позиции 4 перечня показателей критериев значимости,
рассчитывается по уровню и количеству органов государственной власти
или организаций, для которых могут быть нарушены или недоступны
услуги связи и которые перечислены в значениях такого показателя
критерия значимости.
15. При расчете значения показателя критерия значимости,
указанного в позиции 6 перечня показателей критериев значимости,
оценивается вероятность прекращения или нарушения функционирования
государственных органов или организаций, созданных на основании
федеральных законов, перечисленных в значениях такого показателя
критерия значимости, в части невыполнения возложенной на них функции
(полномочия) в связи с невозможностью реализации процесса,
обеспечиваемого объектом критической информационной
инфраструктуры.
16. Значение показателя критерия значимости, указанного
в позиции 8 перечня показателей критериев значимости (Пз), процентов,
рассчитывается расчетным методом по формуле:
Дфакт ~ Доередний
Пз= х100,,
д средний
где:
Дук - Уровень дохода субъекта критической информационной
инфраструктуры (с учетом налога на добавленную стоимость, акцизов
и иных обязательных платежей) за оцениваемый период, рублей;
Доредний - годовой объем доходов субъекта критической
информационной инфраструктуры, усредненный за прошедший 5-летний
период, рублей.
17. При расчете значения показателя критерия значимости,
указанного в позиции 8 перечня показателей критериев значимости (Пз),
используются в том числе:
а) усредненная за прошедший 5-летний период годовая сумма
уплаченных (подлежащих уплате) субъектом критической
информационной инфраструктуры налогов в федеральный бюджет,
определенная на основании налоговой отчетности
и представляемых в Федеральную налоговую службу налоговых
деклараций;
6) годовой объем доходов субъекта критической информационной
инфраструктуры, усредненный за прошедший 5-летний период (Дереднии ),
определенный на основании данных управленческого учета
и бухгалтерского учета;
в) максимально допустимый период простоя, определенный
на основании регламентов проведения профилактических работ
информационных систем, информационно-телекоммуникационных сетей
и автоматизированных систем управления субъекта критической
информационной инфраструктуры;
г) время, требуемое для устранения последствий компьютерной
атаки, определяемое на основании эксплуатационных, технических,
договорных и (или) иных документов. При отсутствии таких документов
указанное время определяется на основании статистических данных
за прошедший 5-летний период, а в случае отсутствия таких
статистических данных это время принимается равным 10 дням.
18. Значение показателя критерия значимости, указанного
в позиции 9 перечня показателей критериев значимости (По), процентов,
рассчитывается расчетным методом по формуле:
I, = АВыплат „|0,
средний
где:
ДАВыплат - снижение выплат (отчислений) в бюджеты бюджетной
системы Российской Федерации, осуществляемых субъектом критической
информационной инфраструктуры, рублей;
Б - прогнозируемый годовой доход федерального бюджета,
усредненный за планируемый 3-летний период, рублей.
средний
19. Для расчета значения показателя критерия значимости,
указанного в позиции 9 перечня показателей критериев значимости (По):
а) прогнозируемый годовой доход федерального бюджета,
усредненный за планируемый З-летний период (Бе»сдний), Определяется
с учетом положений федерального закона о федеральном бюджете и иных
положений законодательства Российской Федерации;
6) определяется годовая сумма налогов, уплачиваемых субъектом
критической информационной инфраструктуры в бюджеты бюджетной
системы Российской Федерации, исходя из данных, представляемых
в Федеральную налоговую службу. При определении указанной суммы
налогов учитываются в полном объеме в том числе следующие затраты:
затраты на ликвидацию и устранение последствий компьютерных
атак и компьютерных инцидентов;
затраты на оплату труда персонала и условно-постоянные расходы
за время простоя и (или) деградации технологического процесса;
затраты на оплату труда персонала, привлекаемого к сверхурочной
работе для ликвидации последствий нарушений, вызванных простоем
и (или) деградацией технологического процесса;
потери от уплаты неустоек (штрафов, пеней) и прочих выплат
за невыполнение условий договоров об оказании услуг связи в результате
простоя и (или) деградации технологического процесса;
в) определяется максимально возможный период прекращения
оказания услуг связи в результате нарушения и(или) прекращения
функционирования объекта критической информационной
инфраструктуры, в отношении которого осуществляется категорирование,
и оценивается максимально возможное снижение прибыли организации
связи от оказания услуг связи с использованием объекта критической
информационной инфраструктуры, в отношении которого осуществляется
категорирование, в течение такого периода.