Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

п.8, ст. 2 187ФЗ установлен перечень хозяйствующих субъектов, которые могут относится к критической информационной инфраструктуре - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Для обеспечения устойчивого функционирования при проведении в отношении субъектов кии компьютерных атак законодательно предусмотрен следующий порядок действий:
Требуется -
1.    Создать комиссию по категорированию, которая выявит перечень всех процессов, выполняемых в рамках своей деятельности, выделит среди них критичные процессы (управленческие, технологические, производственные и другие), нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

2.    Определить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, управления и контроля ими.

3.    Согласовать полученный перечень со ФСТЭК в течение пяти дней.

4.    Присвоить объекту КИИ одну из трёх категорий значимости или установить отсутствие необходимости присвоения категории.

При выборе категории объект оценивается по показателям критериев значимости. Всего предусматривается 14 показателей, определяющих социальную, политическую, экономическую значимость объекта КИИ, а также его значимость для обеспечения правопорядка, обороны и безопасности страны. Для категорирования потребуется описание бизнес-процессов предприятия, моделирование угроз безопасности, сбор и анализ данных об инцидентах.

5.    По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.

6.    Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.