Руководство по категорированию образца - RukovodstvoRus.ru - инструкции пользования и руководства

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ЭКОЛОГИЧЕСКОМУ, ТЕХНОЛОГИЧЕСКОМУ
И АТОМНОМУ НАДЗОРУ

ПРИКАЗ
от 16 февраля 2022 г. N 44

ОБ УТВЕРЖДЕНИИ РУКОВОДСТВА
ПО БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ АТОМНОЙ ЭНЕРГИИ
«РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ И ПРОВЕДЕНИЮ КАТЕГОРИРОВАНИЯ
РАДИОНУКЛИДНЫХ ИСТОЧНИКОВ ПО РАДИАЦИОННОЙ ОПАСНОСТИ»

В целях реализации полномочий, установленных подпунктом 5.3.18 пункта 5 Положения о Федеральной службе по экологическому, технологическому и атомному надзору, утвержденного постановлением Правительства Российской Федерации от 30 июля 2004 г. N 401, приказываю:

утвердить прилагаемое к настоящему приказу руководство по безопасности при использовании атомной энергии «Рекомендации по организации и проведению категорирования радионуклидных источников по радиационной опасности».

Руководитель
А.В.ТРЕМБИЦКИЙ

1. Руководство по безопасности при использовании атомной энергии «Рекомендации по организации и проведению категорирования радионуклидных источников по радиационной опасности» (РБ-011-22) (далее — Руководство по безопасности) разработано в соответствии со статьей 6 Федерального закона от 21 ноября 1995 г. N 170-ФЗ «Об использовании атомной энергии» в целях содействия соблюдению требований пункта 10 федеральных норм и правил в области использования атомной энергии «Основные правила учета и контроля радиоактивных веществ и радиоактивных отходов в организации» (НП-067-16), утвержденных приказом Федеральной службы по экологическому, технологическому и атомному надзору от 28 ноября 2016 г. N 503 (зарегистрирован Министерством юстиции Российской Федерации 21 декабря 2016 г., регистрационный N 44843) (далее — НП-067-16).

2. Рекомендации настоящего Руководства по безопасности распространяются на организацию и проведение категорирования закрытых радионуклидных источников по радиационной опасности (далее — категорирование ЗРИ).

3. Настоящее Руководство по безопасности предназначено для применения организациями, осуществляющими обращение с ЗРИ в своей деятельности (далее — организация).

4. Категорирование ЗРИ рекомендуется проводить в целях соблюдения принципа дифференцированного подхода к обеспечению безопасности, в том числе в части определения объема мероприятий и процедур по учету и контролю радиоактивных веществ (далее — РВ) в ЗРИ.

5. D-величиной, используемой при вычислении A/D-отношения, называется расчетная активность радионуклида, являющаяся нормирующим фактором, использующимся для разделения широкого диапазона активностей ЗРИ различного радионуклидного состава с целью ранжирования ЗРИ путем отнесения их к одной из категорий опасности.

6. В случае отсутствия учетных данных на ЗРИ (например, при отсутствии паспорта на ЗРИ) рекомендуется провести учетные измерения в целях установления учетных данных.

7. Порядок установления категории ЗРИ и внесения сведений о категории ЗРИ в паспорт (сертификат) на ЗРИ или в отдельный документ (например, приложение к паспорту (сертификату), вкладыш к паспорту (сертификату)) (далее — отдельный документ), в том числе при разукомплектовании партии ЗРИ, рекомендуется устанавливать в организационно-распорядительных документах организации. В нем рекомендуется указывать:

срок установления категории ЗРИ с момента обнаружения факта неустановленной категории ЗРИ;

сведения об организации (подразделении), которая будет проводить учетные измерения;

планируемый состав комиссии по категорированию ЗРИ и ее полномочия;

форму акта о проведении категорирования ЗРИ;

порядок внесения сведений об установленной категории ЗРИ в паспорт на ЗРИ или в отдельный документ.

8. В случае невозможности установления учетных данных организацией-владельцем ЗРИ рекомендуется привлекать организацию, имеющую возможность выполнения учетных измерений и аккредитованную в области обеспечения единства измерений в национальной системе аккредитации, для определения активности и радионуклидного состава данного ЗРИ.

9. В случае если при вычислении A/D-отношения применялась установленная в результате учетных измерений активность ЗРИ и с учетом погрешности измерений максимальное и минимальное значения A/D-отношения могут соответствовать различным категориям радиационной опасности, то при принятии решения об установлении категории ЗРИ рекомендуется устанавливать для него категорию, соответствующую большей радиационной опасности ЗРИ (то есть выбирать категорию с меньшим номером, например четвертую вместо пятой или вторую вместо третьей).

10. Председателем комиссии по категорированию ЗРИ рекомендуется назначать руководителя централизованной службы (назначенного структурного подразделения) по учету и контролю РВ и радиоактивных отходов (далее — РАО) или должностное лицо, ответственное за учет и контроль РВ и РАО в организации-владельце ЗРИ.

11. В состав комиссии, которая будет проводить категорирование ЗРИ, рекомендуется включать представителей службы учета и контроля РВ и РАО и лиц, ответственных за учет и контроль РВ и РАО в подразделениях, которые осуществляют обращение с ЗРИ, категорирование которых будет проводиться.

12. В случае необходимости установления учетных данных при проведении категорирования ЗРИ в состав комиссии рекомендуется включать специалиста по проведению измерений в целях учета и контроля РВ и РАО, в том числе специалиста организации, привлекаемой для выполнения учетных измерений.

13. В состав комиссии рекомендуется включать не менее трех человек.

14. Категорирование ЗРИ рекомендуется проводить, учитывая следующие особенности изготовления и применения ЗРИ:

ЗРИ изготовлен на основе одного радионуклида;

ЗРИ изготовлен на основе смеси радионуклидов;

в радиационном источнике применяется один ЗРИ;

в радиационном источнике применяется более одного ЗРИ.

15. При категорировании ЗРИ, изготовленного на основе одного радионуклида, на начальном этапе рекомендуется определить активность A ЗРИ.

16. В случае если активность ЗРИ и его радионуклидный состав неизвестны, рекомендуется провести учетные измерения в соответствии с установленным в организации порядком в целях установления учетных данных, а при невозможности установления учетных данных организацией-владельцем ЗРИ рекомендуется привлекать организацию в соответствии с рекомендациями, приведенными в пункте 8 настоящего Руководства по безопасности.

17. На следующем этапе рекомендуется определить A/D-отношение на основе активности A, определенной на начальном этапе, и значения D-величины для радионуклида данного ЗРИ в соответствии с таблицей N 2 приложения N 2 к НП-067-16.

18. На заключительном этапе на основании акта комиссии по категорированию ЗРИ в паспорт (сертификат) на ЗРИ или в отдельный документ рекомендуется внести данные о категории ЗРИ, определенной в соответствии с установленными границами категорий опасности ЗРИ, приведенными в приложении N 2 к НП-067-16. Также в паспорт (сертификат) на ЗРИ или в отдельный документ рекомендуется внести номер и дату акта о проведении категорирования ЗРИ.

19. В случае если указанное в таблице N 2 приложения N 2 к НП-067-16 значение D-величины «неограниченно», данный ЗРИ рекомендуется относить к категории опасности 5.

20. Примеры категорирования ЗРИ, изготовленных на основе одного радионуклида, приведены в приложении N 1 к настоящему Руководству по безопасности.

21. При категорировании ЗРИ, изготовленного на основе смеси радионуклидов, на начальном этапе рекомендуется определить активности Ai (где i изменяется от 1 до n) каждого из n входящих в смесь радионуклидов и на основании взятых из таблицы N 2 приложения N 2 к НП-067-16 значений величины Di для i-го радионуклида рассчитать Ai/Di-отношение для каждого из n входящих в ЗРИ радионуклидов (аналогично расчету A/D-отношения для ЗРИ, изготовленного на основе одного радионуклида).

22. В случае если активность ЗРИ и его радионуклидный состав неизвестны, рекомендуется провести учетные измерения в соответствии с установленным в организации порядком в целях установления учетных данных, а при невозможности установления учетных данных организацией-владельцем ЗРИ рекомендуется привлекать организацию в соответствии с рекомендациями, приведенными в пункте 8 настоящего Руководства по безопасности.

23. На следующем этапе рекомендуется определить агрегированное A/D-отношение для ЗРИ, содержащего смесь радионуклидов, путем суммирования Ai/Di-отношений (где i изменяется от 1 до n) для каждого из n входящих в ЗРИ радионуклидов в соответствии с формулой:

, (1)

где:

Ai — активность i-го радионуклида в ЗРИ;

Di — значение D-величины для i-го радионуклида.

24. На заключительном этапе на основании акта комиссии по категорированию ЗРИ в паспорт (сертификат) на ЗРИ или в отдельный документ рекомендуется внести данные о категории ЗРИ, содержащего смесь радионуклидов, определенной в соответствии с установленными границами категорий опасности ЗРИ, приведенными в приложении N 2 к НП-067-16. Также в паспорт (сертификат) на ЗРИ или в отдельный документ рекомендуется внести номер и дату акта о проведении категорирования ЗРИ.

25. Пример категорирования ЗРИ, изготовленного на основе смеси радионуклидов, приведен в приложении N 2 к настоящему Руководству по безопасности.

26. При категорировании совокупности ЗРИ в радиационном источнике на начальном этапе рекомендуется определить активности j-го радионуклида, входящего в i-ый ЗРИ Aij (где i изменяется от 1 до m, а j изменяется от 1 до n).

27. В случае если неизвестна активность каждого ЗРИ в совокупности, рекомендуется провести учетные измерения в соответствии с установленным в организации порядком в целях установления учетных данных, а при невозможности установления учетных данных организацией-владельцем ЗРИ рекомендуется привлекать организацию в соответствии с рекомендациями, приведенными в пункте 12 настоящего Руководства по безопасности.

28. На следующем этапе на основании взятых из таблицы N 2 приложения N 2 к НП-067-16 значений величины Dj для j-го радионуклида рекомендуется рассчитать агрегированное A/D-отношение совокупности нескольких ЗРИ в соответствии с формулой:

, (2)

где:

Ai,j — активность j-го радионуклида в i-м ЗРИ (где i изменяется от 1 до m, а j изменяется от 1 до n);

Dj — значение D-величины для j-го радионуклида.

29. Определенное в соответствии с данными выше рекомендациями значение категории совокупности ЗРИ может быть использовано при установлении категории радиационной опасности комплекса, установки или оборудования (радиационного источника), в которых используется более одного ЗРИ, и в случае аварии эти ЗРИ могут оказать совместное воздействие.

30. Пример категорирования совокупности ЗРИ в радиационном источнике приведен в приложении N 3 к настоящему Руководству по безопасности.

31. Результаты работы комиссии рекомендуется оформлять актом. Рекомендуемый образец акта установления категории ЗРИ, используемого для внесения изменений в сведения о ЗРИ в системе государственного учета и контроля РВ и РАО, приведен в приложении N 4 к настоящему Руководству по безопасности.

32. На основании акта об установлении категории ЗРИ ответственному за учет и контроль РВ и РАО в подразделении в паспорт (сертификат) на ЗРИ (в раздел «Примечания» или аналогичный, или на свободном месте титульного листа) или в отдельный документ рекомендуется внести сведения о категории ЗРИ по радиационной опасности. Также в паспорт (сертификат) на ЗРИ или в отдельный документ рекомендуется внести номер и дату акта о проведении категорирования ЗРИ.

33. Рекомендации по внесению сведений о категории ЗРИ в паспорт (сертификат) на ЗРИ приведены в руководстве по безопасности при использовании атомной энергии «Рекомендации по форме паспорта и составу данных о радионуклидном источнике, необходимых для целей государственного учета и контроля радиоактивных веществ и радиоактивных отходов» (РБ-109-16), утвержденном приказом Федеральной службы по экологическому, технологическому и атомному надзору от 24 марта 2016 г. N 113.

34. На основании полученных при категорировании ЗРИ сведений (категория ЗРИ и, в случае проведения учетных измерений, установленные учетные данные) ответственному за учет и контроль РВ и РАО в подразделении рекомендуется внести в журнал учета ЗРИ сведения о ЗРИ.

Пример 1.

ЗРИ, являющийся источником нейтронного излучения, имеет в соответствии с паспортом следующие характеристики:

тип	ИБН-6;
N источника	ИБН6-768;
дата изготовления	02.03.2021;
N паспорта	284313;
дата оформления паспорта	02.03.2021;
радионуклид, на основе которого изготовлен ЗРИ	239Pu;
значение активности радионуклида в ЗРИ на дату изготовления, Бк, не более	1,3 x 1010.

В соответствии с таблицей N 2 приложения N 2 к НП-067-16 значение D-величины для радионуклида 239Pu составляет D = 6 x 1010 Бк.

В соответствии с приведенными выше сведениями из паспорта на ЗРИ активность радионуклида 239Pu, на основе которого изготовлен ЗРИ, на дату изготовления A = 1,3 x 1010 Бк.

, что соответствует категории 4 — опасность для человека маловероятна (0,01 <= A/D < 1).

Пример 2.

ЗРИ, являющийся источником гамма-излучения и применяемый в гамма-радиографии, облучательных установках, радиоизотопных приборах, имеет в соответствии с паспортом следующие характеристики:

тип	ИГИ-Ц-8-1;
N источника	ИГИЦ81-2944;
дата изготовления	25.02.2021;
N паспорта	534212;
дата оформления паспорта	25.02.2021;
радионуклид, на основе которого изготовлен ЗРИ	137Cs;
значение активности радионуклида в РИ на дату изготовления, Бк, не более	3,03 x 1013.

В соответствии с таблицей N 2 приложения N 2 к НП-067-16 значение D-величины для радионуклида 137Cs составляет D = 1011 Бк.

В соответствии с приведенными выше сведениями из паспорта на ЗРИ активность радионуклида 137Cs, на основе которого изготовлен ЗРИ, на дату изготовления A = 3,03 x 1013 Бк.

, что соответствует категории 2 — очень опасно для человека (10 <= A/D < 1 000).

Пример 3.

ЗРИ, являющийся источником гамма-излучения и применяемый в облучательных установках, имеет в соответствии с паспортом следующие характеристики:

тип	ГИК-А6;
N источника	ГИКА6-986;
дата изготовления	01.03.2021;
N паспорта	733684;
дата оформления паспорта	01.03.2021;
радионуклид, на основе которого изготовлен ЗРИ	60Co;
значение активности радионуклида в ЗРИ на дату изготовления, Бк, не более	3,59 x 1014.

В соответствии с таблицей N 2 приложения N 2 к НП-067-16 значение D-величины для радионуклида 60Co составляет D = 3 x 1010 Бк.

В соответствии с приведенными выше сведениями из паспорта на ЗРИ активность радионуклида 60Co, на основе которого изготовлен ЗРИ, на дату изготовления A = 3,59 x 1014 Бк.

, что соответствует категории 1 — чрезвычайно опасно для человека (A/D >= 1 000).

ЗРИ, являющийся источником альфа-излучения и применяемый в целях калибровки спектрометрической аппаратуры, имеет в соответствии с паспортом следующие характеристики:

тип	ОСАИ У3П8П9;
N источника	У3П8П9-733;
дата изготовления	05.02.2021;
N паспорта	2286;
дата оформления паспорта	05.02.2021;
радионуклид, на основе которого изготовлен ЗРИ	233U + 238Pu + 239Pu;
значение активности каждого радионуклида в ЗРИ на дату изготовления, Бк, не более:	233U 1,1 x 104; 238Pu 1,13 x 104; 239Pu 1,0 x 104.

В соответствии с таблицей N 2 приложения N 2 к НП-067-16 значение D-величины для радионуклида 233U составляет D1 = 7 x 1010 Бк, значение D-величины для радионуклида 238Pu составляет D2 = 6 x 1010 Бк, значение D-величины для радионуклида 239Pu составляет D3 = 6 x 1010 Бк.

В соответствии с приведенными выше сведениями из паспорта на ЗРИ активность смеси радионуклидов 233U + 238Pu + 239Pu, на основе которой изготовлен ЗРИ, на дату изготовления A1 = 1,1 x 104 Бк (для 233U), A2 = 1,13 x 104 Бк (для 238Pu) и A3 = 1,0 x 104 Бк (для 239Pu).

Ai/Di — отношения:

;

В соответствии с формулой из пункта 23 агрегированное ; в рассматриваемом случае формула агрегированного A/D-отношения для ЗРИ, содержащего смесь трех радионуклидов, примет вид:

агрегированное A/D-отношение = A1/D1 + A2/D2 + A3/D3.

Агрегированное A/D-отношение = (1,57 + 1,88 + 1,67) x 10-7 = 5,12 x 10-7, что соответствует категории 5 — опасность для человека очень маловероятна (A/D < 0,01).

В некой облучательной установке содержатся ЗРИ в количестве 201 штуки, которые изготовлены на основе радионуклида 60Co: 72 источника типа ГИК-2-15 с активностью на дату изготовления A1 = 2,89 x 1010 Бк, 67 источников типа ГИК-5-1 с активностью на дату изготовления A2 = 1,89 x 1012 Бк и 62 источника типа ГИК-7-3 с активностью на дату изготовления A3 = 4,81 x 1013 Бк.

В связи с тем, что во всех ЗРИ содержится только радионуклид 60Co, значение D-величины будет одинаковым. В соответствии с таблицей N 2 приложения N 2 к НП-067-16 значение D-величины для радионуклида 60Co D = 3 x 1010 Бк. Активность всех ЗРИ принимает только три конкретных значения (A1, A2, A3).

В соответствии с формулой из пункта 28 агрегированное A/D-отношение совокупности , в рассматриваемом случае формула агрегированного A/D-отношения совокупности 201 ЗРИ трех различных активностей A1, A2 и A3 примет вид: агрегированное A/D-отношение совокупности . Агрегированное A/D-отношение совокупности , что соответствует категории 1 — чрезвычайно опасно для человека (A/D >= 1 000).

                                                            УТВЕРЖДАЮ
                                                      _____________________
                                                      _____________________
                                                      "__" ________ 20__ г.

                                    АКТ
                        от ___________ N __________
          установления категории ЗРИ, используемого для внесения
        изменений в сведения о ЗРИ в системе государственного учета
                            и контроля РВ и РАО

    На основании: _________________________________________________________
    (дата и номер распорядительного документа о проведении категорирования
                        ЗРИ по радиационной опасности)
комиссия в составе ________________________________________________________
                         (должности, фамилии и инициалы председателя
                                     и членов комиссии)
___________________________________________________________________________

в отношении ЗРИ __________________________________________________________,
                        (тип ЗРИ, наименование, обозначение)
имеющего N ___________ и изготовленного ____________________ в соответствии
           (номер ЗРИ)                   (дата изготовления)
с паспортом N _________________, оформленного ____________________________,
              (номер паспорта)                 (дата оформления паспорта)
с использованием сведений из паспорта на ЗРИ о радионуклиде(-ах), на основе
которого(-ых) изготовлен ЗРИ _____________________________________________,
                                (радионуклид(-ы), на основе которого(-ых)
                                              изготовлен ЗРИ)
значении активности(-ей) радионуклида(-ов) A на дату изготовления (выпуска)
___________________________________________________________________________
           (значение(-я) активности(-ей) радионуклида(-ов) в ЗРИ
                           на дату выпуска, Бк)
и  соответствующего(-их) значения(-ий) D-величины для соответствующего(-их)
радионуклида(-ов) в соответствии с таблицей N 2 приложения N 2 к  НП-067-16
___________________________________________________________________________
                       (значение(-я) D-величнны, Бк)
определила A/D-отношение(-я), входящего(-их) в состав ЗРИ радионуклида(-ов)
__________________________________________________________________________,
                            A/D-отношение(-я))
и  определила  агрегированное A/D-отношение (в случае определения категории
ЗРИ, содержащего смесь радионуклидов) ____________________________________,
                                         (агрегированное A/D-отношение)
в результате чего

УСТАНОВИЛА

категорию _________________________________________________________________
        (номер категории и соответствующее описание опасности для человека
                  в соответствии с приложением N 2 к НП-067-16)
по   радиационной   опасности   ЗРИ,   изготовленного   на   основе  одного
радионуклида/содержащего смесь радионуклидов (нужное подчеркнуть).

Председатель комиссии:                ___________ _________________________
(руководитель      централизованной    (подпись)     (инициалы, фамилия)
службы  по  учету  и  контролю РВ и
РАО     или    должностное    лицо,
ответственное за учет и контроль РВ
и РАО в организации)

Члены комиссии:                       ___________ _________________________
                                       (подпись)     (инициалы, фамилия)
                                      ___________ _________________________
                                       (подпись)     (инициалы, фамилия)

Источник

Категорирование вооружения

Под категорией
понимается
условная учетная характеристика образца
вооружения или имущества, установленная
в зависимости от его технического
состояния, запаса технического ресурса
и необходимости проведения того или
иного ремонта.

Под категорированием
понимается
установление и документальное оформление
категории изделия военной техники и
перевода его из одной категории в другую.

Категорирование
РАВ производится в следующих случаях:

по истечению
предельно-нормативных сроков эксплуатации,
гарантийного ресурса или выработки
технического ресурса (срока службы);
после проведения
СР и КР;
при приемке
вооружения в воинских частях, складах,
базах, полигонах;
при проведении
ТО-2;
при контрольных
осмотрах и техническом диагностировании
РАВ, находящегося в
непосредственной эксплуатации и на
хранении;
при преждевременном
выходе из строя, а также при получении
боевых повреждений.

Категорирование
ракетно-артиллерийского вооружения
производится согласно действующей
Инструкции по категорированию РАВ.
Порядок категорирования основных
образцов РАВ (артиллерийских орудий,
минометов, артиллерийских частей РСЗО,
ПТУР, ЗРК, оптических приборов, гранатометов
и стрелкового оружия) приведен в
таблице 3. Ресурс (живучесть) стволов
артиллерийского вооружения в соответствии
с действующей Инструкцией по категорированию
приведен в таблице 4.

Таблица 3 Категорирование ракетно-артиллерийского вооружения
Категории	Основные образцы вооружения
1-я	Новые, находящиеся и бывшие в эксплуатации, исправные и годные к боевому использованию, не выработавшие гарантийного ресурса эксплуатации (хранения)
2-я	Исправные, годные к боевому использованию, выработавшие гарантийный ресурс эксплуатации (хранения), находящиеся в эксплуатации, не выработавшие технического ресурса (срока службы) до среднего (капитального) ремонта, а также прошедшие средний (капитальный) ремонт
3-я	Выработавшие технический ресурс (срок службы) до среднего ремонта и по техническому состоянию требующие среднего ремонта
4-я	Выработавшие технический ресурс (срок службы) до капитального ремонта и по техническому состоянию требующие капитального ремонта
5-я	Не годные для боевого использования, восстановление которых технически невозможно или экономически не целесообразно (стоимость КР превышает 70% стоимости нового). При достижении предельного состояния, предельного или предельно нормативного срока эксплуатации установленного НТД

Для перевода из
одной категории в другую вооружение и
боеприпасы подвергаются осмотру
комиссией воинской части. Основание
для перевода служит Акт технического
состояния образца вооружения или
боеприпасов.

На подлежащее
переводу вооружение, Акт технического
состояния утверждает:

командир
воинской части — из I-ой
категории во 2-ю,
начальник
службы РАВ
военного округа — в 3-ю и 4-ю категории,
начальник
ГРАУ
— в 5-ю категорию,
командир
ремонтного органа — из 4-ой категории
во 2-ю после ремонта.

Списание
вооружения инспекторские свидетельства

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

Источник

Внимание! В связи с Указом Президента Российской Федерации от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации” рекомендуем ознакомиться с материалами:

Критическая информационная инфраструктура 2022 год
Категорирование и проектирование объектов КИИ (критической информационной инфраструктуры)

Прежде чем приступить к категорированию объектов КИИ, нужно определиться с основными понятиями, которые разъясняются в Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:

Критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Исходя из этих определений, появляется ясность, что такое КИИ, что является «объектом КИИ», а что «субъектом», и в каких именно отраслях функционируют объекты и субъекты КИИ.

Все ИС, ИТС и АСУ субъекта КИИ – это объекты КИИ.

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Какие же объекты КИИ подлежат категорированию? На этот вопрос есть ответ в Постановлении Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП №127). В данном постановлении четко определено:

«Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры».

Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127) советуем Вам внимательно изучить наши предыдущие статьи по данной теме:

КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА НА ПОРОГЕ 2019 ГОДА
КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ (ЭКСПЕРТИЗА ПРОВЕДЕННЫХ РАБОТ)

Там вы найдете полный перечень базовых понятий по КИИ, основные НПА в этой сфере и образцы документов, а также описание этапов работ по категорированию КИИ. В этой статье мы не будем повторять материал из наших предыдущих публикаций, а сразу перейдем к разъяснению, как именно работать с Постановлением Правительства РФ от 08.02.2018 № 127.

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМ

Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав ПП №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.

Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:

Отвечаем на вопрос, является ли наша организация субъектом КИИ (согласно № 187-ФЗ, см. выше, определены конкретные отрасли).
Определяем все процессы в нашей организации и составляем их полный перечень (процессы могут быть управленческие, технологические, финансово-экономические, производственные и т.д.).
Выявляем из всех процессов именно критические процессы.
Выделяем объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.
Смотрим ПП №127 и оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ.
Готовим Акт категорирования объектов КИИ для отправки во ФСТЭК.

Для того чтобы было понятно, как выполнять работы на этапе 5, расскажем подробней про показатели критериев значимости (они есть в таблицах ПП №127).

ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ

Социальная
Политическая
Экономическая
Экологическая
Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

В таблице ПП №127 детально расписаны эти показатели. Например, по «социальному критерию» идет подразделение на «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д. Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице. Устанавливаются 3 категории значимости. Самая высокая категория – первая, самая низкая – третья, а также объекту КИИ может быть вообще не присвоена категория (т.е. «без категории»).

Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом, количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Важное примечание: может получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию (т.е. они будут обозначены, как «без категории»). Однако надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.) и перечень объектов КИИ отправляется во ФСТЭК.

По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 24 августа 2018 г. N 240/25/3752

Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь: Этап 5. Сбор исходных данных для категорирования объектов КИИ.

КАКАЯ ИНФОРМАЦИЯ ПОНАДОБИТСЯ ДЛЯ ПОДАЧИ ВО ФСТЭК?

Сведения о субъекте КИИ;
Сведения об объекте КИИ;
Сведения о взаимодействии объекта КИИ и сетей электросвязи;
Сведения о лице, эксплуатирующем объект КИИ;
Сведения о ИС, ИТС, АСУ;
Анализ угроз и категории нарушителей;
Оценка возможных последствий инцидента;
Акт категорирования объектов КИИ.

КАК ОПРЕДЕЛИТЬСЯ ПО СРОКАМ?

Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.
Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.
Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ

Изучив НПА и алгоритм категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

Изначально решаем вопрос: «Является ли наша организация субъектом КИИ»? В определении субъектов КИИ указаны организации финансовой и банковской сферы. Любой ли банк является субъектом КИИ? Если внимательно изучить таблицу в ПП №127 в части экономических критериев значимости, то напрашивается следующие выводы о том, что субъектами КИИ могут быть:

Системно значимые кредитные организации (см. перечень ЦБ РФ, это 11 организаций);
Финансовые организации с участием государства;
Системно значимые инфраструктурные организации финансового рынка (например, депозитарии);
Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

Формирование комиссии:

На начальном этапе нужно сформировать комиссию. Подробнее об этом можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).

Определение процессов:

Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др. документы (лицензии, сертификаты), для банков опираемся на Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности» и нормативные документы Центрального Банка РФ.

Виды деятельности банка по Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению». Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).

Рассмотрим типовой пример (источник):

Основные бизнес-процессы банка:

Создание продукта (услуги), представляющего ценность для внешнего клиента.
Получение добавленной стоимости.
Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

Процессы, клиентами которых являются основные процессы.
Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

Процессы, основной целью которых является управление деятельностью банка.
Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Рис.1. Бизнес-процессы банка (типовой пример)

Переходим от процессов к критическим процессам:

Для начала ответим на важный вопрос: нарушение (или остановка) каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е. другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).

См. таблицу в ПП №127, п.3. «Экономическая значимость» п. 8,9,10.

Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис 2. Например, Процесс 2 не критический.

Рис 2. Выявление критических процессов

Далее переходим от процессов к объектам КИИ:

Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.

Для соответствия процессов и объектов можно составить такую простую таблицу:

Таблица 1. Объекты КИИ и процессы

Например, в качестве объектов КИИ в банке есть:

Система дистанционного банковского обслуживания (СДБО);
Процессинговая система;
Антифрод система;
Автоматизированная банковская система (АБС) и др.

На этом этапе уже можно занести объекты КИИ в «Перечень объектов КИИ».

Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).

Далее оцениваем:

действия нарушителей;
уязвимости и потенциальные угрозы;
масштаб возможных последствий (оценим по таблице из ПП 127).

Для этой работы нам потребуется: «Модель угроз», «Модель нарушителя», а также статистика по компьютерным инцидентам. Как правило, в банках есть свои службы ИБ, у которых имеются политики безопасности и др. документы по ИБ, поэтому, думаем, что проблем с такими данными не должно быть. В помощь службам ИБ: методические документы ФСТЭК России и «Основные положения базовой модели угроз и нарушителей безопасности информации» прил. А ГОСТ Р 57580.1-2017.

Как оценивать?

Нужно рассмотреть потенциальные действия нарушителей в отношении объектов КИИ, также иные источники угроз ИБ (в противном случае, кратко обосновать невозможность реализовать угрозы ИБ нарушителем).
Провести анализ угроз ИБ и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ (или обосновать их неактуальность).
Оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий, в случае возникновения компьютерных инцидентов на объектах КИИ, (или кратко обосновать невозможность наступления компьютерных инцидентов).

Для более точной оценки при категорировании объектов КИИ, мы составили небольшой опросник. На вопросы желательно отвечать точно: «да» или «нет».

Уровень процесса выше нижней границы значения для III категории? (см. рис. 2 для наглядности).
Масштаб объекта КИИ выше нижней границы значения для III категории?
Есть ли источники угроз ИБ?
Существуют ли актуальные угрозы ИБ?
Возможны ли инциденты ИБ на объекте, например, вследствие целенаправленных компьютерных атак?
Возможно ли причинение ущерба вследствие инцидентов ИБ?
Какие возможные последствия от инцидента? Превышает ли их величина нижнюю границу значения показателя для 3 категории?

Таким образом, процесс принятия решения о категорировании объектов КИИ проходит на основании «моделирования угроз». Для финансовых расчетов возможных потерь и убытков согласно табл. ПП 127 п. 8,9,10. желательно привлечь специалистов из экономических подразделений банка.

После проведения категорирования объектов КИИ составляется «Акт категорирования объектов КИИ», который отправляется во ФСТЭК в установленные законом сроки.