СПРАВКА
Источник публикации
М.: ФГБУ "Институт стандартизации", 2025
Примечание к документу
Документ вводится в действие с 01.01.2026 на период до 01.01.2027 (Приказ Росстандарта от 19.06.2025 N 19-пнст).
Название документа
"ПНСТ 1008-2025. Предварительный национальный стандарт Российской Федерации. Информационная инфраструктура в жилищно-коммунальном хозяйстве. Требования к обеспечению информационной безопасности"
(утв. и введен в действие Приказом Росстандарта от 19.06.2025 N 19-пнст)
"ПНСТ 1008-2025. Предварительный национальный стандарт Российской Федерации. Информационная инфраструктура в жилищно-коммунальном хозяйстве. Требования к обеспечению информационной безопасности"
(утв. и введен в действие Приказом Росстандарта от 19.06.2025 N 19-пнст)
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 19 июня 2025 г. N 19-пнст
ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА
В ЖИЛИЩНО-КОММУНАЛЬНОМ ХОЗЯЙСТВЕ
ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Information infrastructure in housing and utilities.
Information security requirements
ПНСТ 1008-2025
ОКС 35.030
Срок действия
с 1 января 2026 года
до 1 января 2027 года
1 РАЗРАБОТАН Ассоциацией предприятий сферы ЖКХ "Объединенный жилищно-коммунальный совет" (Совет ЖКХ)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 393 "Услуги (работы, процессы) в сфере жилищно-коммунального хозяйства и формирования комфортной городской среды"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 июня 2025 г. N 19-пнст
Правила применения настоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и 6).
Федеральное агентство по техническому регулированию и метрологии собирает сведения о практическом применении настоящего стандарта. Данные сведения, а также замечания и предложения по содержанию стандарта можно направить не позднее чем за 4 мес до истечения срока его действия разработчику настоящего стандарта по адресу: 119435 Москва, ул. Малая Пироговская, д. 13, стр. 1, БЦ "П13", этаж 3, оф. III/1/302, gkhsovet@yandex.ru, и/или в Федеральное агентство по техническому регулированию и метрологии по адресу: 123112 Москва, Пресненская набережная, д. 10, стр. 2.
В случае отмены настоящего стандарта соответствующая информация будет опубликована в ежемесячном информационном указателе "Национальные стандарты" и также будет размещена на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Стандарт устанавливает общие требования к обеспечению информационной безопасности информационной инфраструктуры, включая критическую информационную инфраструктуру объектов жилищно-коммунального хозяйства.
Стандарт предназначен для применения органами государственной власти и местного самоуправления, ресурсоснабжающими и управляющими организациями, операторами капитального ремонта и работы с твердыми коммунальными отходами, телекоммуникационными операторами, расчетными центрами, кредитными организациями, сервисными компаниями ЖКХ, а также подрядными организациями, привлекаемыми для выполнения определенных работ (услуг), и собственниками (потребителями), выступающими в роли заказчика таких услуг.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 29322 (IEC 60038:2009) Напряжения стандартные
ГОСТ 30494 Здания жилые и общественные. Параметры микроклимата в помещениях
ГОСТ 34858 Газы углеводородные сжиженные топливные. Технические условия
ГОСТ Р 51232 Вода питьевая. Общие требования к организации и методам контроля качества
ГОСТ Р 51929 Услуги жилищно-коммунального хозяйства и управления многоквартирными домами. Термины и определения
ГОСТ Р 54130 Качество электрической энергии. Термины и определения
ГОСТ Р 54964 Оценка соответствия. Экологические требования к объектам недвижимости
ГОСТ Р 56037 Услуги жилищно-коммунального хозяйства и управления многоквартирными домами. Услуги диспетчерского и аварийно-ремонтного обслуживания. Общие требования
ГОСТ Р 56038 Услуги жилищно-коммунального хозяйства и управления многоквартирными домами. Услуги управления многоквартирными домами. Общие требования
ГОСТ Р ИСО 37120 Устойчивое развитие сообщества. Показатели городских услуг и качества жизни
ГОСТ Р ИСО 37122 Устойчивое развитие сообществ. Показатели для умных городов
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3.1 В настоящем стандарте применены термины по ГОСТ Р 51929 и [4], а также следующие термины с соответствующими определениями:
3.1.1
критическая информационная инфраструктура; КИИ: Объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. |
3.1.2
объекты критической информационной инфраструктуры: Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. |
3.1.3
субъекты критической информационной инфраструктуры: государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. |
3.1.4 субъекты критической информационной инфраструктуры жилищно-коммунального хозяйства: Субъекты критической информационной инфраструктуры (КИИ), прямо или опосредованно участвующие в процессах управления жилищно-коммунального хозяйства (ЖКХ) и предоставления услуг теплоснабжения, электроснабжения, горячего и холодного водоснабжения, газоснабжения, водоотведения (отведения сточных бытовых вод), диспетчерского и аварийно-ремонтного обслуживания, учет и контроль коммунальных ресурсов и коммунальных услуг, расчетов за жилищно-коммунальные услуги, управления многоквартирными домами, информирования о жилищно-коммунальных услугах, а также телекоммуникационные операторы, провайдеры Интернет и кредитные организации, обеспечивающие деятельность организаций ЖКХ.
3.1.5
безопасность критической информационной инфраструктуры: Состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак. |
3.1.6
компьютерная атака: Целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации. |
3.1.7
автоматизированная система управления: Комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами. |
3.1.8
значимый объект критической информационной инфраструктуры: Объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры. |
3.1.9 риск для устойчивого, надежного функционирования и развития жилищно-коммунального хозяйства: Вероятность наступления событий или условий, которые могут привести к нарушению стабильной работы, снижению надежности, эффективности или качества предоставления услуг предприятиями и организациями жилищно-коммунального комплекса.
Примечание - Такие риски могут быть обусловлены внешними и внутренними факторами, включая дестабилизирующие воздействия на критическую информационную инфраструктуру, нехватку технологий и компонентов, сбои и аварии при эксплуатации оборудования, недостаток энергетических или других ресурсов, а также природные, техногенные или социальные угрозы, влияющие на обеспечение комфортных и безопасных условий проживания граждан.
3.1.10 доступность технологий и компонентов: Наличие и возможность использования технологий, оборудования, программно-аппаратных комплексов, запасных частей и иных компонентов, необходимых для устойчивого, надежного функционирования, модернизации и развития объектов критической информационной инфраструктуры жилищно-коммунального хозяйства.
Примечание - Доступность означает как физическое присутствие на рынке технологий и компонентов, так и наличие внешних ограничений, таких как санкции, экспортный контроль или лицензионные ограничения, которые препятствуют их приобретению, обслуживанию и применению.
3.1.11 дестабилизирующее воздействие на критическую информационную инфраструктуру жилищно-коммунального хозяйства (дестабилизирующее воздействие на КИИ ЖКХ): Совокупность намеренных или непреднамеренных действий, событий или факторов, приводящих к нарушению стабильной работы, снижению надежности, эффективности или качества предоставления услуг предприятиями и организациями жилищно-коммунального комплекса.
Примечание - К таким воздействиям относятся компьютерные атаки, технические или программные сбои, отказ оборудования или аварии, ограничения в доступности технологий и компонентов, а также внешние воздействия природного, техногенного или социального характера, которые причиняют негативные социальные, экономические, экологические или иные последствия.
3.2 В настоящем стандарте применены следующие сокращения:
АСУ ТП - автоматизированные системы управления технологическими процессами;
ДПАК - доверенный программно-аппаратный комплекс;
ЖКХ - жилищно-коммунальное хозяйство;
ИКТ - информационно-коммуникационные технологии;
ИС - информационные системы;
ИТ - информационные технологии;
ИТКС - информационно-телекоммуникационные сети;
КИИ - критическая информационная инфраструктура;
ПАК - программно-аппаратный комплекс;
ТЭК - топливно-энергетический комплекс;
ФСТЭК России - Федеральная служба по техническому и экспортному контролю Российской Федерации.
4.1 Основным требованием информационной безопасности критической информационной инфраструктуры ЖКХ является предотвращение рисков для устойчивого, надежного функционирования и развития ЖКХ, в том числе в условиях ограничений в доступности технологий и компонентов, а также дестабилизирующих воздействий на КИИ, компьютерных атак, приводящих к существенному снижению эффективности работы инженерных сетей и объектов городской коммунальной инфраструктуры (в соответствии с [4]).
4.2 Информационная безопасность должна обеспечиваться субъектами КИИ ЖКХ на всех уровнях структуры инженерных систем города.
4.3 Для эффективного взаимодействия инженерных систем ЖКХ необходимо обеспечить совместимость, актуальность, конфиденциальность, подлинность, целостность, доступность и качество данных.
4.4 Для обмена данными инженерных систем ЖКХ требуются четыре ключевых типа представления:
- операционное представление, которое изучает характеристики таких сущностей, как здания, население и организации, и использует данные для повышения их ценности для города;
- критическое представление: мониторинг инцидентов и текущих ситуаций в режиме реального времени с участием всех соответствующих организаций из разных секторов, которые работают вместе для достижения желаемого результата или реагирования;
- аналитическое представление: исследование экосистемы данных для определения закономерностей, корреляций и прогнозов. Это позволяет разрабатывать или внедрять системы и услуги, оценивать воздействие предлагаемых изменений в системах и услугах или выявлять проблемы и возможности для города;
- стратегическое представление: глобальное рассмотрение результатов, связанных со стратегическими целями, решениями и планами.
4.5 Для обеспечения независимости и безопасности критической информационной инфраструктуры жилищно-коммунального хозяйства субъектам КИИ ЖКХ необходимо:
- определение процессов в рамках видов деятельности, осуществляемых субъектами КИИ ЖКХ;
- выявление управленческих, технологических, производственных, финансово-экономических и/или иных процессов в рамках осуществления видов деятельности субъекта КИИ ЖКХ, нарушение и/или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим и правовым последствиям (далее - критические процессы) из числа типовых процессов субъекта КИИ ЖКХ;
- определение ИС, ИТКС и АСУ ТП, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и/или осуществляют управление, контроль или мониторинг критических процессов (далее совместно именуемых объекты КИИ) из числа типовых ИС, ИТКС и АСУ ТП, принадлежащих субъектам КИИ ЖКХ;
- формирование перечня объектов КИИ, подлежащих категорированию (далее - перечень объектов КИИ);
- оценка для каждого объекта КИИ в соответствии с перечнем объектов КИИ масштаба возможных последствий в случае возникновения компьютерных инцидентов или отказов;
- присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения ему одной из категорий значимости;
- подготовка сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ;
- внедрение средств защиты информации и создание систем обеспечения информационной безопасности на объектах КИИ;
- обеспечение преимущественного использования на объектах КИИ ЖКХ отечественного программного обеспечения и доверенных программно-аппаратных комплексов, в которых при наличии каналов передачи данных должна быть организована криптографическая защита каналов передачи данных и управления с использованием аппаратных средств на базе интегральных схем первого уровня.
4.6 Одновременно для каждого объекта КИИ в соответствии с перечнем субъекты КИИ ЖКХ могут разрабатываться:
- модель эксплуатации ИС, ИТКС и АСУТП и их компонентов с учетом сроков, режимов и условий эксплуатации, климатических и механических воздействующих факторов, электропитания, экологических требований, пожарозащищенности, вандалостойкости, ремонтопригодности и других параметров, влияющих на надежность их функционирования;
- модель угроз ИС, ИТКС и АСУ ТП и их компонентов, включающую как компьютерные атаки, так и процесс прерывания жизненного цикла при их поставке, монтаже и эксплуатации, в том числе замены, ремонта, обслуживания.
4.7 Субъекты КИИ ЖКХ должны проводить экспертный анализ и оценивать заложенные меры по нейтрализации угроз, определять масштаб возможных последствий отказов, что определяет уровень технологической независимости и безопасности КИИ ЖКХ.
5 Категорирование объектов критической информационной инфраструктуры жилищно-коммунального хозяйства
5.1 В соответствии с [3] (часть 1, статья 7) категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
5.2 Для осуществления категорирования объектов КИИ ЖКХ необходимо использовать следующие документы [7], [8], [9].
5.3 Процедуры категорирования объектов КИИ условно разделяются на первичную и последующие.
5.4 Первичная процедура категорирования объектов КИИ обусловливается вступлением в силу [3] и подзаконных нормативных актов. В ходе выполнения первичной процедуры категорирования объектов КИИ формируется перечень объектов КИИ субъекта КИИ, подлежащих категорированию, который впоследствии утверждается и направляется во ФСТЭК России.
5.5 Последующие процедуры категорирования необходимо производить в случаях:
а) создания нового объекта КИИ или перехода на праве собственности, аренды или ином законном основании во владение и (или) эксплуатацию субъектом КИИ уже существующего объекта КИИ;
б) изменения значимого объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;
в) изменения объекта КИИ, не являющегося значимым объектом КИИ, в результате которого такой объект стал значимым, на основании которых ему должна быть присвоена определенная категория значимости;
г) проведения периодического пересмотра установленной категории значимости или отсутствия необходимости назначения одной из категорий значимости объекта КИИ, осуществляемого не реже, чем один раз в 5 лет;
д) изменения показателей критериев значимости объектов КИИ или их значений.
5.6 Общая схема работ по категорированию объектов КИИ в соответствии с [3] (статья 7) представлена на рисунке 1.
5.7 При составлении перечней объектов КИИ ЖКХ необходимо учитывать рекомендации Министерства энергетики Российской Федерации в виде перечней типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере энергетики и топливно-энергетического комплекса [10], [11].
6 Отнесение государственного учреждения, российского юридического лица и (или) индивидуального предпринимателя к субъектам критической информационной инфраструктуры жилищно-коммунального хозяйства
6.1 К субъектам КИИ ЖКХ относятся государственные учреждения, российские юридические лица и/или индивидуальные предприниматели, прямо или опосредованно участвующие в управлении жилищно-коммунальным хозяйством и предоставлении жилищно-коммунальных услуг. В перечень субъектов КИИ ЖКХ могут входить организации, предоставляющие услуги теплоснабжения, электроснабжения, горячего и холодного водоснабжения, газоснабжения, водоотведения (отведения сточных бытовых вод), диспетчерского и аварийно-ремонтного обслуживания, учет и контроль коммунальных ресурсов и коммунальных услуг, расчетов за жилищно-коммунальные услуги, управления многоквартирными домами, информирования о жилищно-коммунальных услугах, а также телекоммуникационные операторы, провайдеры Интернет и кредитные организации, обеспечивающие деятельность организаций ЖКХ.
6.2 Отнесение государственного учреждения, российского юридического лица и/или индивидуального предпринимателя к субъектам КИИ ЖКХ осуществляется исходя из его соответствия первым двум условиям (одновременно) или третьему условию:
а) государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель осуществляет один или несколько из основных видов своей деятельности в одной или нескольких сферах (областях) деятельности, предусмотренных [3] (пункт 8, статья 2);
б) государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю принадлежат на праве собственности, аренды или на ином законном основании ИС, ИТКС и АСУ ТП КИИ ЖКХ;
в) российское юридическое лицо и/или индивидуальный предприниматель обеспечивает взаимодействие ИС, ИТКС и АСУ ТП, принадлежащих государственному учреждению, российскому юридическому лицу и/или индивидуальному предпринимателю, осуществляющему свою деятельность в одной или нескольких сферах (областях) деятельности, предусмотренных [3] (пункт 8, статья 2).
Если одно из первых двух условий и третье условие не выполняются, то государственное учреждение, российское юридическое лицо и/или индивидуальный предприниматель не являются субъектами КИИ ЖКХ, если условия выполняются (одновременно первые два условия или третье условие), то являются субъектами КИИ ЖКХ.
7 Определение процессов в рамках видов деятельности, осуществляемых субъектом критической информационной инфраструктуры жилищно-коммунального хозяйства
В настоящем стандарте под процессом следует понимать последовательность связанных действий или задач, необходимых для достижения определенного результата.
7.1 Все процессы субъекта КИИ ЖКХ условно подразделяются на следующие группы:
а) основные (операционные) - процессы, непосредственно ориентированные на оказание услуги и/или поставку энергоресурсов и обеспечивающие получение дохода для субъекта КИИ ЖКХ.
Пример - Для электроэнергетики, согласно Федеральному закону от 26 марта 2003 г. N 35-ФЗ "Об электроэнергетике", эти процессы обеспечивают:
- работу в сферах оптового и розничного рынков электрической энергии и мощности;
- оказание услуг по передаче электрической энергии;
- оперативно-технологическое управление;
- коммерческий учет электрической энергии (мощности);
б) управление - процессы, отвечающие за управление деятельностью субъекта КИИ;
в) поддержка функционирования - процессы, предназначенные для обеспечения основных процессов субъекта КИИ необходимыми ресурсами и создающие инфраструктуру компании;
г) развитие - процессы совершенствования деятельности субъекта КИИ, нацеленные на получение прибыли в долгосрочной перспективе (совершенствование производства продукции/услуги, технологии производства или оказания услуг, внедрение нового оборудования, а также инновационные процессы).
7.2 В случае, если применение вышеописанного подхода к выявлению процессов субъекта ТЭК представляется затруднительным, возможно использование другого подхода, основанного на методологии Enhanced Telecom Operations Map (eTOM). Модель eTOM определяет архитектуру бизнес-процессов операторов телекоммуникационных услуг, но может быть применена и в других областях, в том числе в топливно-энергетическом комплексе. Описание процессов в соответствии с данной моделью представлено на рисунке 2.
7.3 Определение исходных данных для категорирования осуществляется на основании действий, предусмотренных в правилах [7] (пункт 5):
а) определение процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ ЖКХ;
б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов КИИ, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);
в) определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;
г) формирование перечня объектов КИИ, подлежащих категорированию (далее - перечень объектов).
7.4 В соответствии с правилами [7] (пункт 14.3) необходимо оценивать критичность процессов с учетом масштаба последствий от нарушения или прекращения функционирования предприятия ЖКХ - субъекта КИИ ЖКХ. Для описания процессов рекомендуется использовать формулировки, описывающие сам процесс, а не дублировать названия обеспечивающих их ИС, ИТКС и АСУ ТП.
субъекта КИИ ЖКХ
7.5 Для каждого выявленного процесса должна быть проведена оценка критичности его нарушения с точки зрения возможных негативных социальных, политических, экономических, экологических последствий, последствий для обеспечения обороны страны, безопасности государства и правопорядка.
7.6 Рекомендуется использовать перечень критериев значимости объектов и их значения из постановления [7] (приложение 1). Необходимо определить для каждого рассматриваемого процесса, способно ли его нарушение повлечь последствия, определенные в перечне [7].
7.7 Значения показателей критериев значимости оцениваются комиссионно на основании результатов интервью или иным способом, полученных в ходе обследования. По каждому показателю оценивается возможность наступления указанных видов последствий (возможно/невозможно). По результатам обработки предоставленной информации формируется перечень показателей критериев значимости, применимых для субъекта КИИ ЖКХ.
7.8 Критическим является процесс, для которого хотя бы по одному из оцениваемых показателей критериев значимости было сделано заключение о возможности соответствующего ущерба.
8 Оценка масштаба возможных последствий в случае дестабилизирующих воздействий на объекты критической информационной инфраструктуры жилищно-коммунального хозяйства, включая аспекты функциональной безопасности
8.1 В соответствии с правилами [7] (пункт 14) комиссия по категорированию проводит оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте КИИ и присвоение каждому из объектов КИИ одной из категорий значимости либо принимает решение об отсутствии необходимости присвоения им одной из категорий значимости.
8.2 Полученные в ходе оценки данные, а также присвоенная категория значимости вносятся в акт категорирования.
8.3 Для определения актуальных угроз для объектов КИИ рекомендуется использовать базу данных угроз ФСТЭК России <1>, а также руководствоваться Информационным сообщением ФСТЭК России [12].
--------------------------------
<1> bdu.fstec.ru.
8.4 В случае, если на объекте КИИ имеется разработанная "Модель угроз и нарушителя безопасности информации", в которой рассматриваются все имеющиеся на данный момент угрозы безопасности информации, определенные в банке данных угроз безопасности информации ФСТЭК, следует руководствоваться выводами, сделанными в "Модели угроз и нарушителя безопасности информации" для данного объекта КИИ.
8.5 Для оценки дестабилизирующих воздействий, связанных с рисками для устойчивого, надежного функционирования и развития, в том числе в условиях ограничений в доступности технологий и компонентов, необходимо учитывать изменение показателей городской инфраструктуры, городских услуг и качества жизни. ГОСТ Р ИСО 37120, ГОСТ Р ИСО 37122 устанавливают показатели, определения, методологию измерения и рассматривают направления и практики, позволяющие обеспечить комфортное и безопасное проживание и необходимые показатели для применения систем менеджмента в административно-территориальных образованиях.
8.6 При оценке изменения качества коммунальных услуг при дестабилизирующих воздействиях на КИИ ЖКХ необходимо руководствоваться положениями [13], а также ГОСТ Р 54130, ГОСТ 29322, ГОСТ 30494, ГОСТ 34858, ГОСТ Р 51232, ГОСТ Р 56038, ГОСТ Р 56037, ГОСТ Р 54964.
9 Внедрение средств защиты информации и создание систем обеспечения информационной безопасности на объектах критической информационной инфраструктуры жилищно-коммунального хозяйства
Внедрение средств защиты информации и создание систем обеспечения информационной безопасности на объектах КИИ ЖКХ производится в соответствии с требованиями ФСТЭК России [14], [15] и Федеральной службы безопасности Российской Федерации.
10 Обеспечение преимущественного использования на объектах критической информационной инфраструктуры жилищно-коммунального хозяйства отечественного программного обеспечения и доверенных программно-аппаратных комплексов
Субъекты КИИ ЖКХ должны обеспечить переход на использование на объектах КИИ ЖКХ отечественного программного обеспечения и доверенных программно-аппаратных комплексов в соответствии с утвержденными требованиями [2], [16], [17].
[1] | Жилищный кодекс Российской Федерации от 29 декабря 2004 г. (принят Федеральным законом N 188-ФЗ) | |
Указ Президента Российской Федерации от 30 марта 2022 г. N 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" | ||
Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" | ||
Концепция проекта цифровизации городского хозяйства "Умный город" (утверждена приказом Министерства строительства и жилищно-коммунального хозяйства Российской Федерации от 25 декабря 2020 г. N 866/пр) | ||
[5] | ИСО/МЭК 30182:2017 | Информационные технологии. Умный город. Совместимость данных |
[6] | ISO/IEC/DIS 30145-3 | Информационные технологии. Умный город. Типовая архитектура ИКТ умного города. Часть 3. Инженерные системы умного города |
Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" | ||
Методические рекомендации по определению и категорированию объектов критической информационной инфраструктуры топливно-энергетического комплекса (согласовано с Минэнерго России (Письмо от 31 июля 2019 г. N ЧА-8630/15), ФСТЭК России (Письмо от 26 августа 2019 г. N 240/25/4048)) | ||
Указание Банка России от 5 февраля 2024 г. N 6679-У "О порядке осуществления Банком России контроля и мониторинга за соблюдением кредитными организациями реализации планов мероприятий кредитных организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах" | ||
Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере топливно-энергетического комплекса. Министерство энергетики Российской Федерации. [сайт] - URL: http://opendata.gosmonitor.ru/standard/3.0; https://minenergo.gov.ru/opendata/7715847529-perechen-obektov-kii-tek-2023 (дата обращения 25.09.2024) | ||
Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере энергетики. Министерство энергетики Российской Федерации. [сайт] - URL: http://opendata.gosmonitor.ru/standard/3.0; https://minenergo.gov.ru/opendata/7715847529-perechen-obektov-kii-2023 (дата обращения 25.09.2024) | ||
Информационное сообщение Федеральной службы по техническому и экспортному контролю Российской Федерации от 4 мая 2018 г. N 240/22/2339 "О методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации" | ||
Постановление Правительства Российской Федерации от 6 мая 2011 г. N 354 "О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов" | ||
Приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" | ||
Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" | ||
Постановление Правительства Российской Федерации от 22 августа 2022 г. N 1478 "Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" | ||
Постановление Правительства Российской Федерации от 14 ноября 2023 г. N 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" | ||
УДК 004.7:644:006.88 | ОКС 35.030 |
Ключевые слова: безопасность, жилищно-коммунальное хозяйство, информационная инфраструктура, критическая информационная инфраструктура, объекты информационной инфраструктуры, услуги, оказываемые на объектах, показатели и критерии оценки уровня доступности, дестабилизирующее информационное воздействие на ЖКХ, повышение устойчивости ЖКХ | |