"Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)
Заместитель Министра
здравоохранения
Российской Федерации
П.С.ПУГАЧЕВ
5 апреля 2021 г.
Директор Департамента
цифрового развития
и информационных технологий
Министерства здравоохранения
Российской Федерации
В.В.ВАНЬКОВ
5 апреля 2021 г.
НАЦИОНАЛЬНЫЙ ПРОЕКТ "ЗДРАВООХРАНЕНИЕ"
"СОЗДАНИЕ ЕДИНОГО ЦИФРОВОГО КОНТУРА В ЗДРАВООХРАНЕНИИ
НА ОСНОВЕ ЕДИНОЙ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ В СФЕРЕ ЗДРАВООХРАНЕНИЯ (ЕГИСЗ)"
ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ СФЕРЫ ЗДРАВООХРАНЕНИЯ
Настоящие методические рекомендации согласованы ФСТЭК России (письмо от 14.10.2020 N 240/82/1904дсп).
1. Все организации, осуществляющие деятельность в сфере охраны здоровья (далее - организации сферы здравоохранения), которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, являются субъектами критической информационной инфраструктуры.
Для целей категорирования объектов критической информационной инфраструктуры под "иным законным основанием" понимается передача прав пользования информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления на основании правовых актов или решений собственника без передачи права собственности на них. Например, на основании договора безвозмездного пользования <1>, договора на право хозяйственного ведения <2>, договора на право оперативного управления <3>.
--------------------------------
<1> ГК РФ, ст. 689.
<2> ГК РФ, ст. 294.
<3> ГК РФ, ст. 296.
В соответствии с требованиями законодательства Российской Федерации, организации сферы здравоохранения как субъекты критической информационной инфраструктуры должны установить соответствие принадлежащих им объектов критической информационной инфраструктуры критериям значимости и показателям их значений.
2. Настоящие методические рекомендации содержат рекомендации по отнесению информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления организаций сферы здравоохранения к объектам критической информационной инфраструктуры, включению объектов критической информационной инфраструктуры в Перечень объектов критической информационной инфраструктуры с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры либо принятием решения об отсутствии оснований для их отнесения к значимым объектам критической информационной инфраструктуры.
3. Настоящие методические рекомендации описывают и детализируют типовую процедуру категорирования объектов критической информационной инфраструктуры организаций сферы здравоохранения в соответствии с критериями, установленными постановлением Правительства Российской Федерации от 08.02.2018 N 127, применительно к организациям сферы здравоохранения.
Перечень основных нормативных правовых актов, использованных при разработке настоящих методических рекомендаций, приведен в Приложении 2.
Перечень организаций сферы здравоохранения, на которые распространяется область действия настоящих методических рекомендаций, приведен в Приложении 3.
Примеры информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих в сфере здравоохранения, приведены в Приложении 4.
4. Настоящие методические рекомендации применяются субъектами критической информационной инфраструктуры для:
- определения состава бизнес-процессов <4> в рамках видов деятельности организации сферы здравоохранения и выявления критических управленческих, технологических, производственных, финансово-экономических и иных бизнес-процессов организации сферы здравоохранения, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка;
--------------------------------
<4> В настоящих методических рекомендациях применяется термин "бизнес-процесс", аналогичный определению "процесс" из постановления Правительства Российской Федерации от 08.02.2018 г. N 127.
- определения информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей, которые обрабатывают информацию, необходимую для обеспечения критических процессов, или осуществляют управление, контроль или мониторинг критических процессов организации сферы здравоохранения;
- формирования перечня объектов критической информационной инфраструктуры организации сферы здравоохранения, подлежащих категорированию;
- оценки для каждого объекта критической информационной инфраструктуры организации сферы здравоохранения масштаба возможных последствий в случае возникновения компьютерных инцидентов;
- присвоения каждому из объектов критической информационной инфраструктуры организации сферы здравоохранения одной из категорий значимости либо принятия решения об отсутствии необходимости присвоения ему одной из категорий значимости;
- подготовки сведений о результатах присвоения объекту критической информационной инфраструктуры организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России).
5. Настоящие методические рекомендации носят рекомендательный характер и применяются наряду с методическими документами, определяющими порядок категорирования объектов критической информационной инфраструктуры, разработанными органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России), а также исполнительными органами государственной власти субъектов Российской Федерации в сфере охраны здоровья.
6. Для целей настоящих методических рекомендаций используются термины и определения, установленные законодательством Российской Федерации о безопасности критической информационной инфраструктуры и национальными стандартами в области защиты информации. Основные термины, определения и сокращения, используемые в настоящих методических рекомендациях, приведены в Приложении 1.
7. Категорирование объектов критической информационной инфраструктуры осуществляется постоянно действующей комиссией по категорированию, создаваемой в организации сферы здравоохранения. При создании постоянно действующей комиссии по категорированию и определении порядка направления в ФСТЭК России сведений необходимо руководствоваться пунктами 11 - 13, 15 - 18 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127.
Рекомендации по формированию постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры организации сферы здравоохранения приведены в Приложении 5.
2. ОПИСАНИЕ ПРОЦЕДУРЫ КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КИИ
8. Процедура категорирования объектов критической информационной инфраструктуры осуществляется на основании и в соответствии с федеральным законом <5>, а также Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации <6> и Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденными постановлением Правительства Российской Федерации от 08.02.2018 N 127.
--------------------------------
<5> Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ, ст. 7.
<6> Постановление Правительства Российской Федерации от 08.02.2018 N 127.
9. Категорированию подлежат ИС, ИТКС, АСУ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные критические бизнес-процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности организации сферы здравоохранения.
10. В ходе процедуры категорирования ИС, ИТКС, АСУ необходимо проанализировать и оценить критичность всех возможных бизнес-процессов, реализуемых организацией сферы здравоохранения.
11. Принятие решения об отсутствии необходимости присвоения категории какой-либо ИС, ИТКС, АСУ организации сферы здравоохранения должно быть основано на результатах оценки их влияния на нарушение или прекращение критического бизнес-процесса, приводящее к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка в соответствии с настоящими методическими рекомендациями.
Если ИС, ИТКС, АСУ организации сферы здравоохранения отнесены к объектам КИИ, но не соответствуют критериям значимости, показателям этих критериев и их значениям, таким ИС, ИТКС, АСУ не присваивается ни одна из категорий.
12. Процедура категорирования ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения, включает следующие процессы:
- определение управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов, присутствующих в организации сферы здравоохранения, и выделение из них критических;
- определение и формирование Перечня объектов КИИ, подлежащих категорированию, и выделение критических объектов КИИ организации сферы здравоохранения;
- присвоение каждому объекту КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.
Состав процессов, осуществляемых при категорировании ИС, ИТКС, АСУ организации сферы здравоохранения, и их содержание приведены в Приложении 6.
2.2. Определение бизнес-процессов
13. Определение бизнес-процессов в деятельности организации сферы здравоохранения и выделение среди них критических предполагает проведение анализа всех управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов организации сферы здравоохранения.
14. Определение бизнес-процессов в деятельности организации сферы здравоохранения включает следующие этапы:
- составление Реестра всех управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов организации сферы здравоохранения;
- высокоуровневую оценку негативных последствий от нарушения бизнес-процессов в деятельности организации сферы здравоохранения (оценка критичности бизнес-процессов);
- формирование Перечня критических бизнес-процессов в деятельности организации сферы здравоохранения.
Этапы определения бизнес-процессов организации сферы здравоохранения и их содержание приведены в Приложении 6.
2.3. Составление Реестра бизнес-процессов
15. На этапе составления Реестра оценка критичности бизнес-процессов организации сферы здравоохранения и их влияния на возможные последствия от нарушения бизнес-процесса по критериям, определенным постановлением Правительства РФ от 08.02.2018 N 127, не проводится.
16. Для составления Реестра бизнес-процессов организации сферы здравоохранения проводится выявление и описание всех его управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов.
17. На основании учредительных документов, Положения об организации сферы здравоохранения, имеющихся описаний существующих бизнес-процессов, выбранные бизнес-процессы уточняются.
При необходимости, бизнес-процессы, не характерные для данной организации сферы здравоохранения, исключаются из Реестра и добавляются специфические бизнес-процессы, выполняемые организацией сферы здравоохранения.
18. Результаты определения и описания бизнес-процессов организации сферы здравоохранения фиксируются в описательной части Реестра бизнес-процессов организации сферы здравоохранения. Форма Реестра бизнес-процессов организации сферы здравоохранения и пример ее заполнения приведены в Приложении 7.
19. Реестр бизнес-процессов подписывается Председателем постоянно действующей комиссии по категорированию и утверждается руководителем организации сферы здравоохранения.
2.4. Оценка критичности бизнес-процессов
2.4.1. Допущения и ограничения
20. При проведении высокоуровневой оценки возможных последствий от нарушения бизнес-процесса организации сферы здравоохранения не оцениваются количественные показатели критериев значимости, а дается их качественная оценка.
21. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения влияния на прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения <7>, транспортной инфраструктуры <8>, сетей связи <9>, а также, в дальнейшем, расчет этих показателей значимости для объектов КИИ организации сферы здравоохранения не проводится, так как бизнес-процессы организаций сферы здравоохранения не задействованы:
--------------------------------
<7> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 2, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<8> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 3, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<9> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 4, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
- в управлении объектами обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, контроле или мониторинге и эксплуатации таких объектов;
- в обеспечении бесперебойного функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи;
- в поддержании качества функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи.
22. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения экономической значимости <10> проводится исключительно для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие".
--------------------------------
<10> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 8, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
23. Оценка критичности бизнес-процессов и дальнейший расчет показателей значимости для объектов КИИ с точки зрения экономической значимости <11> для организаций сферы здравоохранения иных организационно-правовых форм не проводится, так как такие организации сферы здравоохранения не являются государственными корпорациями, государственными компаниями, стратегическими акционерными обществами <12>, стратегическими предприятиями <13>, у которых возможно снижение уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей).
--------------------------------
<11> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 8, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<12> Указ Президента РФ от 04.08.2004 N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ".
<13> Распоряжение Правительства РФ от 20.08.2009 N 1226-р "Об утверждении перечня стратегических предприятий и организаций".
24. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения возникновения ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации <14>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, если организация сферы здравоохранения применяет нулевую ставку по налогу на прибыль <15> и (или) оказывает медицинские услуги, освобождаемые от налогообложения <16>.
--------------------------------
<14> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 9, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<15> При выполнении условий, перечисленных в ст. 284.1 НК РФ.
<16> Ст. 149 НК РФ.
25. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения влияния на прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета <17>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как организации сферы здравоохранения не осуществляют для клиентов операции по банковским счетам и (или) без открытия банковского счета и не являются в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка <18>.
--------------------------------
<17> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 10, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<18> Федеральный закон "О национальной платежной системе" от 27.06.2011 N 161-ФЗ.
26. Оценка критичности бизнес-процессов организации сферы здравоохранения, за исключением организаций сферы здравоохранения, использующих в своей деятельности источники ионизирующего излучения, с точки зрения экологической значимости <19>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как организации сферы здравоохранения, не использующие в своей деятельности источники ионизирующего излучения, не относятся к опасным производственным объектам <20>, нарушение функционирования которых может привести к авариям, инцидентам или катастрофам, влияющим на ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иных вредных воздействий <21>.
--------------------------------
<19> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 11, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<20> Федеральный закон от 21.07.1997 N 116-ФЗ "О промышленной безопасности опасных производственных объектов".
<21> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. примечание 5, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
27. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения значимости для обеспечения обороны страны, безопасности государства и правопорядка <22>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как бизнес-процессы организации сферы здравоохранения не могут повлиять на прекращение или нарушение функционирования пункта управления (ситуационного центра) государственных органов власти или государственной корпорации, информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, снижение показателей государственного оборонного заказа.
--------------------------------
<22> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. п. 12, 13, 14, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
28. Допущения и ограничения, приведенные в разделе 2.4.1 настоящих методических рекомендаций, могут быть использованы для обоснования неприменимости того или иного критерия значимости для бизнес-процесса организации сферы здравоохранения.
2.4.2. Критерии оценки критичности бизнес-процессов
29. При проведении оценки необходимо учитывать, что любой бизнес-процесс организации сферы здравоохранения может быть как полностью автоматизирован, так и частично <23>. Неавтоматизированная (ручное управление) часть должна рассматриваться как составляющая оцениваемого бизнес-процесса, позволяющая исключить или снизить масштаб возможных негативных последствий, приводящих к нарушению или прекращению выполнения организацией сферы здравоохранения установленных функций (полномочий).
--------------------------------
<23> Полностью неавтоматизированные бизнес-процессы не рассматриваются, так как они выходят из-под юрисдикции Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (ст. 1).
30. При оценке критичности бизнес-процесса с точки зрения социальной значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможный ущерб, причиняемый жизни или здоровью людей, а также максимальное время отсутствия доступа к государственной услуге для получателей такой услуги.
31. При оценке критичности бизнес-процесса с точки зрения политической значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможность причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики.
32. При оценке критичности бизнес-процесса с точки зрения экономической значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию.
33. Бизнес-процесс организации сферы здравоохранения считается критическим, если в ходе оценки возможных последствий от его нарушения установлено, что он задействован и оказывает влияние хотя бы по одному критерию, определенному постановлением Правительства РФ от 08.02.2018 N 127.
Критерии влияния (задействованности) бизнес-процессов организации сферы здравоохранения на показатели возможных последствий приведены в разделе I Справочных материалов по оценке критичности бизнес-процессов организации сферы здравоохранения Приложения 8.
2.4.3. Порядок оценки критичности бизнес-процессов
34. На этом этапе проводится оценка возможного негативного влияния последствий от нарушения бизнес-процесса организации сферы здравоохранения по показателям, определенным постановлением Правительства РФ от 08.02.2018 N 127.
35. Используя результаты определения и описания бизнес-процессов в деятельности организации сферы здравоохранения, зафиксированные в описательной части Реестра бизнес-процессов организации сферы здравоохранения проводятся обоснование критичности бизнес-процессов организации сферы здравоохранения, проводящей категорирование объектов КИИ и оценка возможного негативного влияния последствий от нарушения бизнес-процесса. Такая оценка проводится с использованием Алгоритмов оценки значимости бизнес-процесса, приведенных в разделе II Справочных материалов по оценке критичности бизнес-процессов организации сферы здравоохранения (Приложение 8), для следующих показателей, определенных постановлением Правительства РФ от 08.02.2018 N 127:
- социальная значимость (способность причинить ущерб жизни и здоровью людей; способность привести к нарушению максимального времени отсутствия доступа в оказании государственных услуг);
- политическая значимость (способность оказывать влияние на функционирование органа государственной власти <24>);
--------------------------------
<24> В контексте настоящих методических рекомендаций, если это специально не оговорено, под органом государственной власти подразумеваются федеральные органы государственной власти, органы государственной власти субъекта Российской Федерации или города федерального значения.
- экономическая значимость (способность оказывать влияние на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию).
При этом бизнес-процесс организации сферы здравоохранения считается способным причинить ущерб жизни и здоровью людей, если он задействован (обеспечивает) в управлении или обеспечении работоспособности механизмов и устройств, нарушение функционирования которых может привести:
- к авариям, катастрофам с человеческими жертвами;
- к бактериологическому, радиационному или химическому заражению;
- к отключению приборов, обеспечивающих жизненно важные функции организма;
- к нарушению технологий производства и хранения фармацевтической и медицинской продукции;
- к иным последствиям, пагубно влияющим на жизнь и здоровье людей.
Бизнес-процесс организации сферы здравоохранения считается способным привести к отсутствию доступа в оказании государственных услуг, если он задействован:
- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры доступа к государственной услуге;
- в аналитической, экспертной, учетной деятельности, необходимой для обеспечения функционирования государственных органов власти, оказывающих государственные услуги;
- в обеспечении взаимодействия государственных органов власти, оказывающих государственные услуги.
Бизнес-процесс организации сферы здравоохранения считается оказывающим влияние на функционирование органа государственной власти, если он задействован:
- в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений органом государственной власти;
- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры взаимодействия органов государственной власти;
- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры оповещения населения о чрезвычайных ситуациях;
- в поддержании бесперебойного функционирования элементов системы управления, необходимой для реализации возложенных на орган государственной власти полномочий.
Бизнес-процесс организации сферы здравоохранения считается оказывающим влияние на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию, если он задействован:
- в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений руководством государственного унитарного предприятия;
- в обеспечении взаимодействия с организациями кредитно-финансовой сферы, включая страховые компании, биржи, банки, казначейство, налоговые органы.
Для обоснования неприменимости для таких бизнес-процессов остальных показателей, определенных постановлением Правительства РФ от 08.02.2018 N 127, используется раздел "Допущения и ограничения" настоящих методических рекомендаций.
36. В случае если осуществление критического бизнес-процесса организации сферы здравоохранения зависит от осуществления иных критических бизнес-процессов, оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических бизнес-процессов.
37. Результаты оценки критичности бизнес-процессов в деятельности организации сферы здравоохранения фиксируются в разделе оценки критичности Реестра бизнес-процессов организации сферы здравоохранения (Приложение 7).
2.4.4. Формирование Перечня критических бизнес-процессов
38. После оценки критичности бизнес-процессов в деятельности организации сферы здравоохранения, из Реестра исключаются бизнес-процессы, которые не являются критическими, и формируется описательная часть Перечня критических бизнес-процессов организации сферы здравоохранения. Форма Перечня критических бизнес-процессов организации сферы здравоохранения представлена в Приложении 9.
2.5. Описание процесса "Определение и формирование Перечня объектов КИИ"
39. Процесс формирования Перечня объектов КИИ организации сферы здравоохранения и выделения критических включает следующие этапы:
- ревизия и составление Перечня ИС, ИТКС, АСУ организации сферы здравоохранения;
- оценка задействованности и влияния ИС, ИТКС, АСУ в управлении, контроле и мониторинге критических бизнес-процессов организации сферы здравоохранения;
- формирование Перечня потенциально значимых объектов КИИ организации сферы здравоохранения (Перечня объектов КИИ, подлежащих категорированию).
Состав и содержание этапов процесса формирования Перечня объектов КИИ организации сферы здравоохранения и выделения критических приведен в Приложении 6.
2.6. Ревизия систем, имеющихся в организации сферы здравоохранения
40. В качестве источника получения сведений о наличии в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании ИС, ИТКС, АСУ могут быть использованы:
- сведения из федеральной государственной информационной системы учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов <25> и аналогичных информационных систем учета субъектов Российской Федерации;
--------------------------------
<25> Постановление Правительства РФ от 26.06.2012 N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов".
- договоры на разработку и внедрение в организации сферы здравоохранения ИС, ИТКС, АСУ;
- локальные нормативные акты организации сферы здравоохранения, определяющие порядок использования ИС, ИТКС, АСУ;
- локальные нормативные акты о вводе ИС, ИТКС, АСУ организации сферы здравоохранения в эксплуатацию;
- данные бухгалтерского учета организации сферы здравоохранения по разделу "основные средства";
- данные бухгалтерского учета организации сферы здравоохранения по разделу "нематериальные активы";
- проектная документация на ИС, ИТКС, АСУ организации сферы здравоохранения;
- данные управленческого учета в подразделении организации сферы здравоохранения, отвечающем за применение информационных технологий и обслуживание средств автоматизации.
41. Результаты ревизии ИС, ИТКС, АСУ организации сферы здравоохранения фиксируются в Реестре ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании (Приложение 10).
42. Реестр ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании, подписывается Председателем постоянно действующей комиссии по категорированию и утверждается руководителем организации сферы здравоохранения.
2.7. Оценка задействованности ИС, ИТКС, АСУ в бизнес-процессах
43. Оценка задействованности и влияния ИС, ИТКС, АСУ, которые обрабатывают информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг критических бизнес-процессов организации сферы здравоохранения, должна проводиться применительно к каждой ИС, ИТКС, АСУ, указанной в Реестре ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании. Для каждой такой системы должна быть проведена оценка:
- их задействованности в обработке информации, необходимой для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществлении управления, контроля или мониторинга критических бизнес-процессов организации сферы здравоохранения;
- их существенного влияния на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, приводящего к негативным социальным, политическим, экономическим, последствиям.
44. Информационная система (ИС) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для хранения, поиска и обработки информации, необходимой для выполнения основных функций критического бизнес-процесса, либо осуществляет управление, контроль или мониторинг критических бизнес-процессов, либо автоматизирует выполнение бизнес-процессов (технологических операций) и обеспечивает хотя бы одну из следующих функций бизнес-процесса:
- функцию интерпретации данных, заключающуюся в определении смысла данных;
- функцию диагностики оборудования, включающую обнаружение неисправности и отклонений от нормы при выполнении основных функций бизнес-процесса;
- функцию мониторинга интерпретации данных в реальном времени и сигнализации о выходе тех или иных параметров бизнес-процесса за допустимые пределы;
- функцию прогнозирования последствий для бизнес-процесса событий или явлений на основании анализа имеющихся данных;
- функцию планирования действий объектов, выполняющих основные функции бизнес-процесса;
- функцию управления, заключающуюся в поддержании установленного режима деятельности при выполнении бизнес-процесса;
- функцию поддержки принятия решений, заключающуюся в обеспечении необходимой информацией и рекомендациями.
45. Автоматизированная система управления (АСУ) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для поддержания установленных режимов технологического процесса, реализуемого бизнес-процессом, за счет контроля и изменения технологических параметров, выдачи команд на исполнительные механизмы и визуального отображения данных о производственном процессе и состоянии технологического оборудования, предупреждения аварийных ситуаций, анализа контролируемых значений, стабилизации режимных параметров и технологических показателей и обеспечивает хотя бы одну из следующих функций бизнес-процесса:
- функцию контроля параметров технологического процесса, реализуемого бизнес-процессом;
- функцию мониторинга соответствия параметров процесса допустимым значениям, информирования персонала при возникновении несоответствий и сигнализации наступления предаварийных и аварийных ситуаций, фиксации времени отклонения параметров процесса за допустимые пределы (автоматическая), регистрации параметров и записи аварийных и предаварийных ситуаций;
- функцию диагностики оборудования, в том числе, диагностики исправности функционирования самой АСУ;
- функцию управления, контроля или мониторинга технологического или производственного оборудования (исполнительными устройствами) и производимых им процессов, исключения рисков простоев и сбоев работы оборудования.
46. Информационно-телекоммуникационная сеть (ИТКС) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для предоставления единого информационного пространства взаимодействия отдельных территориально-распределенных подсистем, реализующих бизнес-процесс организации сферы здравоохранения, и обеспечивает хотя бы одну из следующих функций бизнес-процесса:
- функцию управления и координирования, заключающуюся в администрировании единого информационного пространства и в достижении согласований между различными элементами ИТКС путем установления наиболее рациональных внутренних и внешних связей;
- функцию интеграции информационных ресурсов территориально-распределенных систем;
- функцию обмена информацией (электронная почта, документооборот, обмен сообщениями, передача данных) и предоставления доступа к источникам информации;
- функцию мониторинга, заключающуюся в непрерывном наблюдении, анализе, оценке функционирования ИТКС.
47. При оценке существенного влияния ИС, ИТКС, АСУ на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения учитывается уровень автоматизации функций бизнес-процесса:
- полная автоматизация - реализация бизнес-процесса организации сферы здравоохранения невозможна без участия ИС, ИТКС, АСУ;
- дублирующая автоматизация - бизнес-процесс организации сферы здравоохранения имеет альтернативные (в том числе не автоматизированные) системы управления и обеспечения функций бизнес-процесса.
ИС, ИТКС, АСУ считается оказывающей существенное влияние на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, если его реализация невозможна без участия ИС, ИТКС, АСУ, и отсутствуют альтернативные (не автоматизированные) системы управления и обеспечения функций бизнес-процесса.
ИС, ИТКС, АСУ считается не оказывающей существенного влияния на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, если имеется возможность своевременного обнаружения нарушения штатного режима функционирования ИС, ИТКС, АСУ, задействованной в реализации этого бизнес-процесса, и перехода в течение максимально допустимого периода простоя <26> критического бизнес-процесса организации сферы здравоохранения на альтернативные (не автоматизированные) системы управления для обеспечения функций бизнес-процесса.
--------------------------------
<26> Для бизнес-процессов, задействованных в оказании экстренной помощи, tдоп. = 0.
48. В случае, если ИС, ИТКС, АСУ состоит из модулей (подсистем), которые могут обеспечивать относительно самостоятельно функции различных бизнес-процессов организации сферы здравоохранения, оценка может проводиться относительно каждого модуля (подсистемы) отдельно.
49. Алгоритм оценки задействованности и влияния ИС, ИТКС, АСУ на критические бизнес-процессы организации сферы здравоохранения приведен в Приложении 11.
50. Результаты оценки задействованности и влияния ИС, ИТКС, АСУ на критические бизнес-процессы организации сферы здравоохранения фиксируются в оценочной части Перечня критических бизнес-процессов организации сферы здравоохранения (Приложение 8).
2.8. Формирование Перечня потенциально значимых объектов КИИ
2.8.1. Порядок формирования Перечня потенциально значимых объектов КИИ
51. ИС, ИТКС, АСУ считается потенциально значимым объектом КИИ организации сферы здравоохранения, если в результате анализа установлено, что она одновременно задействована в реализации критического бизнес-процесса и оказывает влияние на нарушение или прекращение критического бизнес-процесса.
52. ИС, ИТКС, АСУ не считается потенциально значимым объектом КИИ организации сферы здравоохранения и не требует присвоения одной из категорий значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127, если в результате анализа установлено, что она не задействована в реализации критического бизнес-процесса организации сферы здравоохранения, либо она задействована в реализации критического бизнес-процесса организации сферы здравоохранения, но не оказывает существенного влияния на нарушение или прекращение критического бизнес-процесса.
53. ИС, ИТКС, АСУ, задействованная в реализации критического бизнес-процесса организации сферы здравоохранения, но не оказывающая существенного влияния на нарушение или прекращение критического бизнес-процесса (дублирующая автоматизация) считается объектом КИИ организации сферы здравоохранения без присвоения категории значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127.
54. ИС, ИТКС, АСУ, не задействованная в реализации критического бизнес-процесса, не является объектом КИИ организации сферы здравоохранения.
55. Перечень ИС, ИТКС, АСУ, не требующих присвоения одной из категорий значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127, фиксируется в протоколе работы постоянно действующей комиссии по категорированию.
2.8.2. Согласование Перечня объектов КИИ и отправка в ФСТЭК России
56. На основании заключения об отнесении ИС, ИТКС, АСУ к потенциально значимым объектам КИИ организации сферы здравоохранения формируется и утверждается руководителем организации сферы здравоохранения или уполномоченным лицом Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию <27>.
--------------------------------
<27> Информационное сообщение ФСТЭК России от 17.04.2020 N 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
57. Форма Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, приведена в Приложении 12.
58. Перечень объектов КИИ организации сферы здравоохранения подлежит согласованию с органами управления государственной и муниципальной системами здравоохранения в части подведомственных им субъектов КИИ.
Согласование осуществляется в произвольной форме. Возможна передача в орган управления государственной или муниципальной системы здравоохранения запроса на согласование Перечня с приложением предварительно заполненной формы Перечня объектов КИИ, подлежащих категорированию, без утверждающей подписи руководителя организации сферы здравоохранения.
В случае получения от органа управления государственной или муниципальной системы здравоохранения замечаний или корректировок Перечня объектов КИИ, подлежащих категорированию, они должны быть рассмотрены постоянно действующей комиссией по категорированию. По результатам рассмотрения принимается решение о пересмотре Перечня объектов КИИ, подлежащих категорированию, и повторному согласованию с органом управления государственной или муниципальной системой здравоохранения. Отметка о согласовании на итоговом перечне, отправляемом в ФСТЭК России, не требуется.
59. Утвержденный руководителем организации сферы здравоохранения или уполномоченным лицом Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию, в течение 10 (десяти) рабочих дней с сопроводительным письмом в произвольной форме направляется в ФСТЭК России <28> с приложением на носителе электронной копии Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, в формате *.odt, *.ods. ФСТЭК России рекомендует использовать в качестве носителей CD, DVD-диски или USB-носители. Корреспонденция отправляется в законвертованном виде с приложением двух реестров с печатью организации-отправителя.
--------------------------------
<28> Адрес: Экспедиция ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17, 8-е управление ФСТЭК России.
Образец сопроводительного письма в ФСТЭК России о направлении Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, приведен в Приложении 17.
2.9. Описание процесса "Категорирование объектов КИИ"
60. Процесс категорирования объектов КИИ организации сферы здравоохранения предполагает проведение расчетов значений критериев значимости объектов КИИ и присвоение в соответствии с полученными результатами одной из категорий значимости или обоснование отсутствия необходимости присвоения объекту КИИ организации сферы здравоохранения категории значимости.
61. Процесс категорирования объектов КИИ организации сферы здравоохранения включает следующие этапы:
- выбор сценария реализации компьютерных атак;
- расчет показателей критериев значимости объектов КИИ организации сферы здравоохранения;
- оформление результатов категорирования объектов КИИ организации сферы здравоохранения.
Состав и содержание этапов процедуры "Категорирование объектов КИИ" приведены в Приложении 6.
2.10. Выбор сценария реализации компьютерных атак
62. Выбор возможного сценария реализации компьютерных атак проводится на основе анализа возможных действий нарушителей в отношении объектов КИИ организации сферы здравоохранения и угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов. При этом должен быть рассмотрен наихудший сценарий, учитывающий проведение целенаправленных компьютерных атак на потенциально значимые объекты КИИ организации сферы здравоохранения, результатом которых являются прекращение или нарушение выполнения критических бизнес-процессов организации сферы здравоохранения и нанесение максимально возможного ущерба <29>.
--------------------------------
<29> Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 г. N 127, п. 14(1).
63. При выборе и оценке наихудшего сценария реализации целенаправленной компьютерной атаки для целей определения категории объекта КИИ организации сферы здравоохранения принятые ранее меры обеспечения безопасности потенциально значимого объекта КИИ организации сферы здравоохранения не учитываются.
64. Наихудший сценарий реализации целенаправленной компьютерной атаки предполагает, что нарушитель имеет:
- мотив совершения целенаправленной компьютерной атаки;
- осведомленность о структурно-функциональных характеристиках и особенностях функционирования ИС, ИТКС, АСУ организации сферы здравоохранения;
- осведомленность о мерах защиты информации, применяемых в ИС, ИТКС, АСУ организации сферы здравоохранения, об используемых алгоритмах, аппаратных и программных средствах;
- возможность использовать методы социальной инженерии для изучения поведения пользователей ИС, ИТКС, АСУ организации сферы здравоохранения и их реакции на поступающие к ним внешние данные;
- возможность получить доступ к программному обеспечению чипсетов (микропрограммам), системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-техническим средствам ИС, ИТКС, АСУ организации сферы здравоохранения для преднамеренного внесения в них программных закладок;
- возможность получить информацию об уязвимостях путем проведения специальных исследований (в том числе с привлечением специализированных научных организаций) и применения специально разработанных средств для анализа программного обеспечения;
- возможность создания методов и средств реализации компьютерных атак с привлечением специализированных научных организаций и реализации компьютерных атак с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение в ИС, ИТКС, АСУ организации сферы здравоохранения.
65. Наихудшим сценарием реализации целенаправленной компьютерной атаки признается компьютерная атака, результатом которой для ИС, ИТКС, АСУ организации сферы здравоохранения может быть актуально по крайней мере одно из следующих событий (инцидентов):
- отказ в обслуживании (DoS/DDoS);
- утечка данных (нарушение конфиденциальности);
- модификация (подмена) данных;
- нарушение функционирования технических средств;
- несанкционированное использование вычислительных ресурсов.
Состав возможных событий (инцидентов), которые могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак и которые необходимо учитывать при оценке значимости объекта КИИ организации сферы здравоохранения применительно к критериям значимости, установленным постановлением Правительства РФ от 08.02.2018 N 127, приведен в Приложении 13.
66. Для событий (инцидентов), которые не могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак, оценка значимости объекта КИИ организации сферы здравоохранения применительно к критериям значимости, установленным постановлением Правительства РФ от 08.02.2018 N 127, не проводится.
2.11. Расчет показателей критериев значимости объектов КИИ
2.11.1. Порядок расчета критериев значимости объектов КИИ
67. До начала расчета показателей критериев значимости объекта КИИ организации сферы здравоохранения определяется применимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, для оценки значимости ИС, ИТКС, АСУ организаций сферы здравоохранения.
Обоснования неприменимости критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127 для оценки значимости ИС, ИТКС, АСУ организации сферы здравоохранения, приведены в Приложении 14 (для справки).
68. Для показателей критериев значимости объекта КИИ организации сферы здравоохранения, по которым обоснована их неприменимость, расчет показателей критериев значимости не проводится.
69. Расчет показателей критериев значимости объектов КИИ, установленных постановлением Правительства РФ от 08.02.2018 N 127, проводится для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки <30>.
--------------------------------
<30> Допущение: после ликвидации последствий компьютерной атаки предполагается, что существующая система безопасности объекта КИИ восстановлена и не может быть подвержена другой атаке.
70. Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.
71. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения по одному из показателей критериев значимости отнесена к первой категории, расчет по остальным показателям критериев значимости не проводится.
72. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения не соответствует ни одному значению показателя критериев значимости, категория значимости объекту КИИ не присваивается.
73. В случае, если функционирование одного объекта КИИ зависит от функционирования другого объекта КИИ, оценка масштаба возможных последствий проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта КИИ, от которого зависит оцениваемый объект.
74. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения обрабатывают информацию, необходимую для обеспечения нескольких критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг нескольких критических бизнес-процессов организации сферы здравоохранения, оценка показателей критериев значимости производится для каждого критического бизнес-процесса организации сферы здравоохранения, а категория значимости присваивается по наивысшему значению показателя.
2.11.2. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей"
75. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей <31>" для организации сферы здравоохранения проводится в следующей последовательности:
--------------------------------
<31> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 1, утв. постановлением Правительства РФ от 08.02.2018 N 127.
- на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ, которые обрабатывают информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг таких критических бизнес-процессов, определяется максимально допустимый период простоя (tдоп);
- если время активного использования (задействованности) ИС и АСУ для достижения целей критического бизнес-процесса меньше или равно установленному периоду проведения контроля или мониторинга параметров таких бизнес-процессов (Tк), максимально допустимый период простоя принимается tдоп = 0;
- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;
- определяется время, в течение которого при эксплуатации ИС, ИТКС, АСУ, обрабатывающих информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляющих управление, контроль или мониторинг таких критических бизнес-процессов, может быть причинен ущерб жизни и здоровью пациентов, и (или) время, в течение которого такие ИС, ИТКС, АСУ могут быть недоступны, (T) по формуле:
- на основании статистических данных <32> либо технической документации на ИС, ИТКС, АСУ, а также рассчитанного времени, в течение которого может быть причинен ущерб жизни и здоровью пациентов, и (или) времени, в течение которого ИС, ИТКС, АСУ могут быть недоступны, (T), определяется максимальное число пациентов, которым может быть причинен ущерб жизни и здоровью и (или) для которых могут быть недоступны ИС, ИТКС, АСУ;
--------------------------------
<32> Приказ Росстата от 30.12.2019 N 830 "Об утверждении форм федерального статистического наблюдения с указаниями по их заполнению для организации министерством здравоохранения Российской Федерации федерального статистического наблюдения в сфере охраны здоровья", Форма N 30.
- полученные данные о максимальном числе пациентов, которым может быть причинен ущерб жизни и здоровью и (или) для которых могут быть недоступны ИС, ИТКС, АСУ организации сферы здравоохранения, сравниваются с показателями, приведенными в пункте 1 Перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений <33>, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария целенаправленной компьютерной атаки.
--------------------------------
<33> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства РФ от 08.02.2018 N 127.
2.11.3. Расчет показателя критерия "Отсутствие доступа к государственной услуге"
76. Расчет показателя критерия "Отсутствие доступа к государственной услуге <34>" для организации сферы здравоохранения проводится в следующей последовательности:
--------------------------------
<34> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 5, утв. постановлением Правительства РФ от 08.02.2018 N 127.
- на основании статистических данных за прошлый трехлетний период определяется усредненное время, требуемое для устранения последствий компьютерной атаки (tустр); в случае отсутствия статистических данных за прошлый трехлетний период, время, требуемое для устранения последствий компьютерной атаки, принимается равным минимально допустимому времени, в течение которого государственная услуга может быть недоступна, приведенному в п. 5 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (tустр = 6 часов);
- время, в течение которого государственная услуга может быть недоступна (T) определяется по формуле:
- полученный результат расчета сопоставляется с показателями, приведенными в пункте 5 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.
2.11.4. Оценка показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции"
77. Показатель критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" рассчитывается для федеральных органов власти, органов государственной власти субъектов Российской Федерации в сфере охраны здоровья и оценивается по масштабу органа управления государственной или муниципальной системами здравоохранения в деятельности (функционировании) которого задействованы ИС, ИТКС, АСУ организации сферы здравоохранения.
78. Исходя из масштаба государственного органа власти, указанного в пункте 6 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.
2.11.5. Расчет показателя критерия "Возникновение ущерба субъекту КИИ"
79. Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры <35>" для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие" проводится в следующей последовательности:
--------------------------------
<35> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9, утв. постановлением Правительства РФ от 08.02.2018 N 127.
- на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях <36> за предыдущий пятилетний период определяется усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения в бюджеты Российской Федерации в соответствии с Налоговым Кодексом Российской Федерации налогов 
;
--------------------------------
<36> Приказ ФНС России от 19.10.16 N ММВ-7-3/572@ "Об утверждении формы налоговой декларации по налогу на прибыль организаций, порядка ее заполнения, а также формата представления налоговой декларации по налогу на прибыль организаций в электронной форме.
- на основании сведений управленческого и бухгалтерского учета за прошлый пятилетний период определяется усредненный размер годового дохода (Rгод);
- на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ организации сферы здравоохранения определяется максимально допустимый период простоя (tдоп);
- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;
- ущерб организации сферы здравоохранения от компьютерной атаки (Uб) рассчитывается по формуле:
- полученный возможный ущерб организации сферы здравоохранения от компьютерной атаки сопоставляется с показателем усредненного размера годового дохода и определяется показатель возможного ущерба по формуле:
- рассчитанный показатель возможного ущерба организации сферы здравоохранения сопоставляется с показателями, приведенными в пункте 8 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.
2.11.6. Расчет показателя критерия "Возникновение ущерба бюджетам РФ"
80. Расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации <37>" для организаций сферы здравоохранения, применяющих нулевую ставку по налогу на прибыль <38> и (или) оказывающих медицинские услуги, освобождаемые от налогообложения <39>, не проводится.
--------------------------------
<37> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9, утв. постановлением Правительства РФ от 08.02.2018 N 127.
<38> При выполнении условий, перечисленных в ст. 284.1 НК РФ.
<39> Ст. 149 НК РФ.
81. Для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и (или) не оказывающих медицинские услуги, освобождаемые от налогообложения, на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях <40> за предыдущий трехлетний период определяется усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения в бюджеты Российской Федерации налогов в соответствии с Налоговым Кодексом Российской Федерации.
--------------------------------
<40> Приказ ФНС России от 19.10.16 N ММВ-7-3/572@ "Об утверждении формы налоговой декларации по налогу на прибыль организаций, порядка ее заполнения, а также формата представления налоговой декларации по налогу на прибыль организаций в электронной форме.
82. Для организаций сферы здравоохранения, для которых усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения отчислений в бюджеты Российской Федерации за предыдущий трехлетний период составляет менее 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период <41>, расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации" не проводится, и постоянно действующей комиссией по категорированию принимается решение об отсутствии необходимости присвоения категории значимости объекту КИИ организации сферы здравоохранения.
--------------------------------
<41> Сумма в 21 300,00 млн. руб. составляет 0,001% прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период с 2020 по 2022 года. В последующие периоды размер суммы 0,001% прогнозируемого годового дохода федерального бюджета должен быть пересчитан с учетом данных Минфина России и Федерального закона о федеральном бюджете на текущий год.
При этом, в обосновании отсутствия необходимости присвоения категории значимости объекту КИИ организации сферы здравоохранения указывается, что возможное снижение выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ (организацией сферы здравоохранения), менее 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период с 2020 по 2022 года (с представлением соответствующих расчетов).
83. Расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации" для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и (или) не оказывающих медицинские услуги, освобождаемые от налогообложения, и имеющих усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения отчислений в бюджеты Российской Федерации за предыдущий трехлетний период более 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период, проводится в следующей последовательности:
- на основании нормативов, установленных в сфере здравоохранения, определяющих период недоступности для оказания услуг, регламентов проведения профилактических работ ИС, ИТКС, АСУ организации сферы здравоохранения определяется максимально допустимый период простоя (tдоп);
- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;
- ущерб бюджетам Российской Федерации от компьютерной атаки (Uб) рассчитывается по формуле:
- полученный показатель ущерба бюджетам Российской Федерации от компьютерной атаки сопоставляется с показателем прогнозируемого годового дохода федерального бюджета (R), усредненного за планируемый трехлетний период <42>, и определяется показатель возможного ущерба бюджетам Российской Федерации (U%) по формуле:
--------------------------------
<42> Прогнозируемый годовой доход федерального бюджета, усредненный за период 2020 - 2022 годы с учетом Федерального закона от 02.12.2019 N 380-ФЗ "О федеральном бюджете на 2020 год и на плановый период 2021 и 2022 годов" принимается равным R = 21 300 млрд. руб. Актуальные сведения (законы и законопроекты) о прогнозируемом годовом доходе бюджета Российской Федерации доступны на сайте официального печатного органа Правительства Российской Федерации https://rg.ru или Министерства финансов Российской Федерации https://www.minfin.ru.
- полученный показатель возможного ущерба бюджетам Российской Федерации сопоставляется с показателями, приведенными в пункте 9 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.
2.11.7. Расчет показателя критерия "Вредные воздействия на окружающую среду"
84. Расчет показателя критерия "Вредные воздействия на окружающую среду <43>" для организации сферы здравоохранения, использующего источники ионизирующего излучения, проводится в следующей последовательности:
--------------------------------
<43> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 11, утв. постановлением Правительства РФ от 08.02.2018 N 127.
- на основании сведений из Единого государственного реестра недвижимости о границе между субъектами Российской Федерации, границе муниципального образования и границе населенного пункта <44>, декларации промышленной безопасности организации сферы здравоохранения, использующей источники ионизирующего излучения, анализа действия поражающих факторов для наиболее опасных по последствиям и вероятных сценариев аварий определяются граница и территория опасной зоны, на которой возможны вредные воздействия на окружающую среду;
--------------------------------
<44> Актуальные сведения о границах о границах инженерной и транспортной инфраструктуры (земли транспорта) доступны на официальном сайте Федеральной службы государственной регистрации, кадастра и картографии или на портале "Госуслуги".
- на основании данных статистических органов о численности населения <45> на начало и конец периода (года) в границах опасной зоны определяется среднеарифметическая численность населения в границах опасной зоны;
--------------------------------
<45> Актуальные сведения о численности населения доступны на официальном сайте Федеральной службы государственной статистики Российской Федерации www.gks.ru.
- полученные данные о границах опасной зоны сравниваются с показателями, приведенными в пункте 11(а) Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и определяется потенциальная категория значимости объекта КИИ организации сферы здравоохранения;
- полученные данные о численности населения в границах опасной зоны сравниваются с показателями, приведенными в пункте 11(б) Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и определяется потенциальная категория значимости объекта КИИ организации сферы здравоохранения;
- из результатов определения потенциальных категорий значимости объекта КИИ организации сферы здравоохранения, полученных по признаку территории (п. 11(а)) и численности населения (п. 11(б)), выбирается наивысшая категория, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.
2.12. Оформление результатов категорирования объектов КИИ организации сферы здравоохранения
2.12.1. Порядок подготовки заключения о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости
85. Результаты расчета значений показателей критериев значимости объектов КИИ организации сферы здравоохранения для каждой ИС, ИТКС, АСУ организации сферы здравоохранения фиксируются в Протоколе расчетов значений критериев значимости. Форма Протокола расчетов значений критериев значимости приведена в Приложении 15.
86. Протокол расчетов значений критериев значимости объектов КИИ организации сферы здравоохранения оформляется для каждой ИС, ИТКС, АСУ, включенной в Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию. Общие сведения об ИС, ИТКС, АСУ, подлежащей категорированию, вносятся в разделы I - III Протокола расчетов значений критериев значимости объектов КИИ.
87. В разделе IV Протокола расчетов значений критериев значимости объектов КИИ в каждой графе, для которой определена неприменимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, указывается обоснование неприменимости критерия.
В форму Протокола расчетов значений критериев значимости объектов КИИ предварительно внесены сведения о неприменимости критериев значимости объектов КИИ с учетом раздела "Допущения и ограничения", Приложений 13 и 14 настоящих методических рекомендаций.
88. В остальных незаполненных графах раздела IV Протокола расчетов значений критериев значимости объектов КИИ указываются результаты расчета значений показателей критериев значимости объектов КИИ организации сферы здравоохранения, описание возможных последствий для бизнес-процесса в результате реализации возможной компьютерной атаки (инцидента), заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
89. Среди определенных для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки, категорий значимости объекта КИИ организации сферы здравоохранения выбирается наивысшая категория, и в разделе V Протокола расчетов значений критериев значимости объектов КИИ организации сферы здравоохранения делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
2.12.2. Оформление Акта категорирования объекта КИИ организации сферы здравоохранения
90. Решение постоянно действующей комиссии по категорированию о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости, а также решения об отсутствии необходимости присвоения категорий значимости оформляется Актом, подписывается Председателем постоянно действующей комиссии по категорированию, всеми присутствующими членами постоянно действующей комиссии по категорированию и утверждается исключительно руководителем организации сферы здравоохранения.
91. Акт оформляется на основании Протокола расчетов значений критериев значимости и должен содержать сведения об объекте критической КИИ организации сферы здравоохранения, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Форма Акта приведена в Приложении 16.
92. Допускается оформление единого Акта по результатам категорирования нескольких объектов КИИ для одной организации сферы здравоохранения.
93. Акты о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения категорий значимости оформляются в отношении всех объектов КИИ, включенных в Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию, направленный в ФСТЭК России.
94. В течение 10 (десяти) рабочих дней со дня утверждения Акта установленным порядком <46> оформляются Сведения о результатах присвоения объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий и с сопроводительным письмом в произвольной форме направляются в ФСТЭК России <47> с приложением электронной копии в формате *.ods на носителе. ФСТЭК России рекомендует использовать в качестве носителей CD, DVD-диски или USB-носители. Корреспонденция отправляется в законвертованном виде с приложением двух реестров с печатью организации отправителя.
--------------------------------
<46> Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".
<47> Адрес: Экспедиция ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17, 8-е управление ФСТЭК России.
Акт о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения категорий значимости оформляется в отношении всех объектов КИИ, и Протоколы расчетов значений критериев значимости в ФСТЭК России не направляются.
Образец сопроводительного письма приведен в разделе II Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).
2.13. Пересмотр категории значимости объектов КИИ
95. Категория значимости объекта КИИ организации сферы здравоохранения подлежит изменению в следующих случаях:
- по мотивированному решению ФСТЭК России, принятому по результатам проверки;
- в случае изменения объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;
- в связи с ликвидацией, реорганизацией организации сферы здравоохранения и (или) изменением ее организационно-правовой формы.
96. Пересмотр установленной категории значимости или решения об отсутствии необходимости присвоения категории осуществляется не реже чем один раз в 5 лет, а также при изменении показателей критериев значимости.
97. Изменение и пересмотр категории значимости объекта КИИ организации сферы здравоохранения осуществляются в порядке, установленном настоящими методическими рекомендациями для процедуры "Категорирование объектов КИИ".
98. В случае изменения категории значимости объекта КИИ организации сферы здравоохранения сведения о результатах пересмотра категории значимости направляются в ФСТЭК России.
3. РЕКОМЕНДАЦИИ ПО ОФОРМЛЕНИЮ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ КАТЕГОРИРОВАНИЯ
99. Сведения о результатах присвоения объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее - Сведения о результатах категорирования) оформляются для представления в ФСТЭК России в соответствии с установленной формой <48>, приведенной в разделе III Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).
--------------------------------
<48> Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".
100. Электронные копии Сведений о результатах категорирования оформляются исключительно в формате электронных таблиц OpenDocumentFormat (формат *.ods) <49>.
--------------------------------
<49> Для создания электронных таблиц в формате OpenDocumentFormat используются программное обеспечение StarOffice, OpenOffice или LibreOffice. При отсутствии необходимого программного обеспечения, электронные копии сведений о категорировании создаются с использованием программного обеспечения Excel с последующим переводом в формат *.ods. Для этого после формирования электронной таблицы в формате *.xls (*.xlsx), дается команда "Сохранить как" и в строке "Тип файла" всплывающего окна выбирается строка с записью "Электронная таблица в формате *.ods).
3.1. Исходные данные для оформления сведений
101. Для заполнения формы Сведений о результатах категорирования используются следующие исходные данные:
- выписка из Единого государственного реестра юридических лиц (выписка из Единого государственного реестра индивидуальных предпринимателей);
- локальный нормативный акт (приказ) о назначении уполномоченного лица, на которое возложены функции обеспечения безопасности значимых объектов КИИ в организации сферы здравоохранения <50>;
--------------------------------
<50> Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказ ФСТЭК России от 21.12.2017 N 235), п. 8.
- локальный нормативный акт (приказ) о создании или возложении ответственности за обеспечение безопасности значимых объектов КИИ на структурное подразделение организации сферы здравоохранения <51>;
--------------------------------
<51> Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказ ФСТЭК России от 21.12.2017 N 235), п. 10.
- протокол расчетов значений критериев значимости объекта КИИ организации сферы здравоохранения;
- Акт категорирования объекта КИИ организации сферы здравоохранения;
- Реестр ИС, ИТКС, АСУ (Приложение 10) организации сферы здравоохранения;
- данные бухгалтерского учета организации сферы здравоохранения по разделу "основные средства";
- данные бухгалтерского учета организации сферы здравоохранения по разделу "нематериальные активы";
- проектная документация на ИС, ИТКС, АСУ организации сферы здравоохранения;
- данные управленческого учета в подразделении организации сферы здравоохранения, отвечающем за применение информационных технологий и обслуживание средств автоматизации.
3.2. Внесение общих сведений об объектах КИИ и субъектах КИИ
102. Общие сведения об объекте КИИ (п.п. 1.1 - 1.6 формы) вносятся на основании раздела I Протокола расчетов значений критериев значимости.
103. Общие сведения о субъекте КИИ (п.п. 2.1 - 2.6 формы) вносятся на основании выписки из ЕГРЮЛ (ЕГРИП) и локальных нормативных актов.
104. Сведения о лице, эксплуатирующем объект КИИ (п.п. 4.1 - 4.4 формы), вносятся на основании выписки из ЕГРЮЛ (ЕГРИП) и локальных нормативных актов.
105. Адреса размещения объекта КИИ организации сферы здравоохранения, в том числе адреса обособленных подразделений организации сферы здравоохранения, (п. 1.2 формы) и адрес местонахождения организации сферы здравоохранения (п. 2.2 формы), адрес местонахождения юридического лица, эксплуатирующего объект КИИ организации сферы здравоохранения (п. 4.2 формы), указываются в следующей последовательности: название улицы, номер дома; название населенного пункта (города, поселка и т.п.); название района; название республики, края, области, автономного округа (области); почтовый индекс <52>.
--------------------------------
<52> Приказ Министерства связи и массовых коммуникаций РФ от 31.07014 N 234 "Об утверждении Правил оказания услуг почтовой связи".
3.3. Внесение сведений о взаимодействии с сетями связи
106. Сведения о взаимодействии объекта КИИ организации сферы здравоохранения и сетей электросвязи вносятся на основании анализа проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения и данных управленческого учета в подразделении, отвечающем за применение информационных технологий и обслуживание средств автоматизации. При этом, для определения категории сети электросвязи (п. 3.1. формы) допускается использовать сведения о классификации сетей электросвязи, приведенные в IV разделе Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).
3.4. Внесение сведений о составе объекта КИИ
107. Сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ организации сферы здравоохранения (п.п. 5.1 - 5.4 формы), вносятся на основании данных бухгалтерского учета по разделам "основные средства" и "нематериальные активы", проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения; данных управленческого учета в подразделении, отвечающем за применение информационных технологий и обслуживание средств автоматизации.
3.5. Внесение сведений об угрозах и возможных последствиях
108. Для целей определения категории значимости объектов КИИ организации сферы здравоохранения разработка Модели угроз и Модели нарушителя не требуется, для этих целей проводится верхнеуровневая оценка угроз безопасности информации. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ организации сферы здравоохранения определяются в следующем порядке:
- на основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения определяется состав возможных событий (инцидентов), которые могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак;
- на основании определенных возможных событий (инцидентов) с использованием сведений о взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17), для категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения выбираются потенциальные угрозы безопасности информации;
- на основе анализа сведений о взаимодействии угроз безопасности информации и объектов воздействия (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) и с учетом структурно-функциональных характеристик <53> категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения проводится актуализация потенциальных угроз безопасности информации, неактуальные угрозы исключаются;
--------------------------------
<53> Структура и состав системы, физические, логические, функциональные и технологические взаимосвязи.
- на основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VII Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определяются типы (категории) возможных нарушителей;
- полученные данные о типе (категории) нарушителя с краткой характеристикой основных возможностей нарушителя по реализации угроз безопасности информации или обоснованием невозможности нарушителем реализовать угрозы безопасности информации вносятся в п. 6.1 формы Сведений о результатах категорирования;
- полученные данные об актуальных угрозах безопасности информации или обоснование их неактуальности вносятся в п. 6.2 формы Сведений о результатах категорирования;
- полученные данные о типах компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, или обоснование невозможности наступления компьютерных инцидентов вносятся в п. 7.1 формы Сведений о результатах категорирования.
Пример определения угроз безопасности информации, нарушителей и последствий от возможных инцидентов приведен в разделе VIII Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).
3.6. Внесение сведений о категории значимости объекта КИИ
109. Сведения о присвоенной объекту КИИ организации сферы здравоохранения категории значимости (п. 8.1 формы) вносятся на основании Акта категорирования объекта КИИ организации сферы здравоохранения.
110. Сведения о значениях показателей значимости объекта КИИ организации сферы здравоохранения и их обоснование (п.п. 8.2 - 8.3 формы) вносятся на основании раздела IV Протокола расчета значений критериев значимости объекта КИИ.
111. При обосновании значений показателей значимости объекта КИИ организации сферы здравоохранения на основании раздела IV Протокола расчета значений критериев значимости объекта КИИ и Приложения 14 вносится информация о неприменимости тех или иных показателей.
3.7. Внесение сведений о принимаемых мерах обеспечения безопасности
112. Сведения об организационных мерах, применяемых для обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения (п. 9.1. формы), вносятся на основании реально выполняемых мероприятий в организации сферы здравоохранения. К организационным мерам могут относиться:
- назначение лица, на которое возложены функции обеспечения безопасности значимых объектов КИИ организации сферы здравоохранения;
- определение структурного подразделения, ответственного за обеспечение безопасности значимых объектов КИИ организации сферы здравоохранения;
- разработка организационно-распорядительных документов организации сферы здравоохранения по безопасности значимых объектов КИИ (регламентов, инструкций, руководств);
- установление контролируемой зоны для объекта КИИ организации сферы здравоохранения;
- контроль физического доступа к объекту КИИ организации сферы здравоохранения.
При внесении сведений об организационно-распорядительных документах организации сферы здравоохранения по безопасности значимых объектов КИИ указываются их названия и регистрационные номера (при наличии). Организационно-распорядительные документы должны соответствовать установленным требованиям <54>.
--------------------------------
<54> Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", глава IV.
113. При отсутствии в организации сферы здравоохранения организационных мер, применяемых для обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения, в п. 9.1 указываются планируемые к разработке меры и сроки их реализации.
114. Сведения о технических мерах, применяемых для обеспечения безопасности значимого объекта КИИ (п. 9.2. формы), вносятся на основании проектной документации на систему обеспечения безопасности информации объекта КИИ организации сферы здравоохранения, разработанной в соответствии с установленными требованиями <55> (при наличии) или проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения. К техническим мерам могут быть отнесены следующие меры:
--------------------------------
<55> Приказ ФСТЭК России от 25.12.2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
- идентификация и аутентификация;
- ограничение программной среды;
- защита машинных носителей информации;
- предотвращение вторжений (компьютерных атак);
- защита технических средств и систем;
- защита ИС, ИТКС, АСУ и их компонентов.
115. При отсутствии в организации сферы здравоохранения технических мер, применяемых для обеспечения безопасности значимого объекта КИИ, в п. 9.2 указываются планируемые к разработке меры и сроки их реализации.
4. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ
116. В случае положительного решения Комиссии о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости, в соответствии с частью 1 статьи 10 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" в целях обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения обязаны создать систему безопасности такого объекта и обеспечить ее функционирование в соответствии с требованиями <56>, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (ФСТЭК России).
--------------------------------
<56> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 г. N 235.
Кроме того, независимо от результатов категорирования, организации сферы здравоохранения в соответствии с пунктом 1 части 2 статьи 9 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" обязаны организовать взаимодействие с центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и информирования о компьютерных инцидентах. Главным центром ГосСОПКА является Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ).
Состав и последовательность работ по обеспечению безопасности значимых объектов КИИ после завершения категорирования и организации взаимодействия с центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации приведены в Приложении 18.
4.1. Создание системы безопасности значимых объектов КИИ
117. Целью создания системы безопасности значимых объектов КИИ организации сферы здравоохранения является обеспечение их устойчивого функционирования. Средства и методы должны соответствовать категории значимости и быть адекватны для противодействия текущим угрозам.
118. Системы безопасности создаются в отношении всех значимых объектов КИИ организации сферы здравоохранения. Допускается создавать отдельные системы безопасности для одного или группы значимых объектов КИИ.
119. Системы безопасности объединяют силы обеспечения безопасности значимых объектов КИИ организаций сферы здравоохранения и используемые ими средства обеспечения безопасности значимых объектов КИИ.
К силам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся подразделения (работники) организации сферы здравоохранения, ответственные за обеспечение безопасности значимых объектов КИИ.
К средствам обеспечения безопасности значимых объектов КИИ организаций сферы здравоохранения относятся программные и программно-аппаратные средства, применяемые для обеспечения безопасности значимых объектов КИИ (средства защиты информации), в том числе:
- средства защиты информации от несанкционированного доступа (включая встроенные в системное, прикладное программное обеспечение);
- средства обнаружения (предотвращения) вторжений;
- средства антивирусной защиты;
- средства (системы) контроля (анализа) защищенности;
- средства управления событиями безопасности;
- средства защиты каналов передачи данных.
Средства защиты информации значимых объектов КИИ объединяются в подсистему обеспечения безопасности значимых объектов КИИ (систему безопасности).
120. Системы безопасности должны функционировать в соответствии с организационно-распорядительными документами по обеспечению безопасности значимых объектов КИИ, разрабатываемыми организацией сферы здравоохранения.
121. Состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов КИИ определяет руководитель организации сферы здравоохранения, в том числе определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов КИИ (структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ, а также определяет обязанности, возлагаемые на работников структурного подразделения по безопасности, в их должностных регламентах (инструкциях). При этом не допускается возложение на структурное подразделение по безопасности функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением информационной безопасности субъекта КИИ в целом.
122. Создание подсистемы обеспечения безопасности значимых объектов КИИ организации сферы здравоохранения включает следующие этапы:
4.1.2. Структурное подразделение по безопасности
123. Структурное подразделение по безопасности, взаимодействуя с подразделениями (работниками), эксплуатирующими значимые объекты КИИ, либо с привлечением организаций, имеющих лицензию на деятельность по технической защите информации и (или) на деятельность по технической защите конфиденциальной информации, должно:
- разработать необходимые организационно-распорядительные документы по безопасности значимых объектов КИИ;
- провести анализ угроз безопасности информации в отношении значимых объектов КИИ и разработать Модель угроз безопасности информации;
- определить необходимые требования по обеспечению безопасности значимых объектов КИИ и обеспечить реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
- определить порядок реагирования на компьютерные инциденты в соответствии с пунктом 6 части 4 статьи 6 Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";
- организовать проведение оценки соответствия значимых объектов КИИ требованиям по безопасности.
124. Для руководителя структурного подразделения по безопасности организации сферы здравоохранения с 01.01.2021 вводятся требования <57> по квалификации и стажу работы:
--------------------------------
<57> Приказ ФСТЭК России от 27.03.2019 г. N 64, пп. 4 п. 1.
- наличие высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов)
- наличие стажа работы в сфере информационной безопасности не менее трех лет;
- прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".
125. Для выполнения функций структурного подразделения по безопасности могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
4.1.3. Этап "Планирование" создания подсистемы обеспечения безопасности
126. На этапе "Планирование" устанавливаются требования, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта КИИ организации сферы здравоохранения, и формируется план мероприятий по обеспечению безопасности значимых объектов КИИ. Этап предполагает выполнение следующих процедур:
- выбор мер обеспечения безопасности значимых объектов КИИ;
- проведение GAP-анализа (аудита) ИС, ИТКС, АСУ значимых объектов КИИ;
- планирование мероприятий по обеспечению безопасности значимых объектов КИИ.
Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.
127. Выбор организационных и технических мер обеспечения безопасности значимых объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно на основе анализа и моделирования угроз безопасности и определения возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения). Подходы, которыми необходимо руководствоваться при моделировании угроз безопасности информации и требования к содержанию Модели угроз, определены ФСТЭК России <58>.
--------------------------------
<58> Приказ ФСТЭК России от 25.12.2017 г. N 239, п. 11.1.
Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.
В случае, если в организации сферы здравоохранения ранее проводилось моделирование угроз безопасности информации, допускается использование результатов такого моделирования для выбора организационных и технических мер обеспечения безопасности значимых объектов КИИ.
128. Меры по обеспечению безопасности выбираются с учетом угроз безопасности информации в соответствии с разделом III Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <59>.
--------------------------------
<59> Утверждены приказом ФСТЭК России от 25.12.2017 г. N 239.
129. Для выявления уже реализованных обязательных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения и определения обязательных мер, подлежащих реализации при создании подсистемы обеспечения безопасности, проводится GAP-анализ (аудит) ИС, ИТКС, АСУ значимых объектов КИИ организаций сферы здравоохранения.
При необходимости, для проведения GAP-анализа (аудита) привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).
При проведении GAP-анализа (аудита) учитываются ранее реализованные меры, установленные требованиями к государственным информационным системам <60>, информационным системам персональных данных <61>, автоматизированным системам управления производственными и технологическими процессами <62>.
--------------------------------
<60> Утверждены приказом ФСТЭК России от 11.02.2013 г. N 17.
<61> Утверждены приказом ФСТЭК России от 18.02.2013 г. N 21.
<62> Утверждены приказом ФСТЭК России от 14.03.2014 г. N 31.
130. Меры, подлежащие реализации при создании подсистемы обеспечения безопасности, выявленные в ходе GAP-анализа (аудита), включаются в техническое задание на создание подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Содержание технического задания определяется п. 10 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <63>. Техническое задание оформляется в соответствии со стандартами <64>.
--------------------------------
<63> Утверждены приказом ФСТЭК России от 25.12.2017 г. N 239.
<64> ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на автоматизированные системы".
131. В рамках планирования мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения в соответствии с установленными требованиями <65> осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов КИИ.
--------------------------------
<65> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п. п. 29 - 33.
4.1.4. Этап "Реализация" создания подсистемы обеспечения безопасности
132. На этапе "Реализация" осуществляется внедрение организационных и технических мер, реализация плана мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения <66>. Этап предполагает выполнение следующих процедур:
--------------------------------
<66> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п. 34.
- разработка организационно-распорядительных документов по безопасности значимых объектов КИИ;
- проектирование подсистемы безопасности значимых объектов КИИ;
- внедрение организационных и технических мер по обеспечению безопасности значимых объектов КИИ.
Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.
133. Организационно-распорядительные документы, определяющие порядок и правила функционирования системы безопасности значимых объектов КИИ организации сферы здравоохранения, а также порядок и правила обеспечения их безопасности, разрабатываются с учетом особенностей деятельности организации сферы здравоохранения, нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры. При этом, положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации) организации сферы здравоохранения, а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Состав и формы организационно-распорядительных документов определяются руководителем организации сферы здравоохранения по предложениям структурного подразделения по безопасности. Организационно-распорядительные документы должны соответствовать установленным требованиям <67>.
--------------------------------
<67> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, раздел IV.
Организационно-распорядительные документы по безопасности значимых объектов КИИ утверждаются руководителем организации сферы здравоохранения (уполномоченным лицом). По решению руководителя организации сферы здравоохранения отдельные организационно-распорядительные документы по безопасности значимых объектов КИИ могут утверждаться иными уполномоченными на это лицами организации сферы здравоохранения.
Работники организации сферы здравоохранения, эксплуатирующие значимые объекты КИИ, должны быть ознакомлены с положениями организационно-распорядительных документов организации сферы здравоохранения по безопасности значимых объектов КИИ в части, их касающейся.
Перечень рекомендуемых организационно-распорядительных документов по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения приведен в Приложении 19.
134. Проектирование подсистемы безопасности значимого объекта КИИ организации сферы здравоохранения должно осуществляться в соответствии с техническим заданием на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта КИИ организации сферы здравоохранения.
135. В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:
- обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта КИИ организации сферы здравоохранения;
- практическую отработку выполнения средствами защиты информации функций безопасности;
- исключение влияния подсистемы безопасности на функционирование значимого объекта КИИ объекта сферы здравоохранения.
136. Применяемые средства защиты информации должны быть обеспечены гарантийной и/или технической поддержкой со стороны разработчиков (производителей). При этом, в значимом объекте КИИ не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств защиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц <68>.
--------------------------------
<68> "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", утв. приказом ФСТЭК России от 25.12.2017 N 239, п. 32.
137. Состав и формы рабочей (эксплуатационной) документации определяются в соответствии с техническим заданием на подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Рабочая (эксплуатационная) документация на значимый КИИ объект должна содержать:
- описание архитектуры подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения;
- порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;
- правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).
138. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ организуется организацией сферы здравоохранения в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект КИИ и включает:
- установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств;
- внедрение организационных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения;
- предварительные испытания значимого объекта КИИ организации сферы здравоохранения и его подсистемы обеспечения безопасности;
- опытную эксплуатацию значимого объекта КИИ организации сферы здравоохранения и его подсистемы безопасности;
- анализ уязвимостей значимого объекта КИИ организации сферы здравоохранения и принятие мер по их устранению;
- приемочные испытания значимого объекта и его подсистемы безопасности.
139. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <69>.
--------------------------------
<69> Утверждены приказом ФСТЭК России от 25.12.2017 N 239, п. 12 - 12.7.
4.1.5. Этап "Контроль" создания подсистемы обеспечения безопасности
140. На этапе "Контроль" осуществляется внутренний контроль организации работ по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения и эффективности принимаемых организационных и технических мер. По решению руководителя организации сферы здравоохранения может организовываться внешняя оценка с привлечением организаций, имеющих лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации). Этап предполагает выполнение следующих процедур:
- формирование комиссии организации сферы здравоохранения для внутреннего контроля либо выбор внешней организации-аудитора;
- проверка выполнения требований и организационно-распорядительных документов по безопасности значимых объектов КИИ организации сферы здравоохранения;
- инструментальный контроль выполнения технических мер безопасности значимых объектов КИИ организации сферы здравоохранения.
Состав процедур этапа "Контроль" создания подсистемы безопасности приведен в Приложении 18.
141. Контроль проводится ежегодно комиссией, назначаемой руководителем организации сферы здравоохранения. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты КИИ, и подразделений, обеспечивающих их функционирование. В состав комиссии могут включаться работники иных подразделений организации сферы здравоохранения.
142. Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых КИИ могут применяться средства контроля (анализа) защищенности.
143. Результаты контроля оформляются актом, который подписывается членами комиссии и утверждается руководителем организации сферы здравоохранения (уполномоченным лицом).
На основе замечаний, выявленных по результатам контроля, формируются предложения по совершенствованию безопасности значимых объектов КИИ организации сферы здравоохранения, включаются в ежегодный план мероприятий по обеспечению безопасности значимых объектов КИИ и устраняются в установленные сроки.
4.2. Организация взаимодействия с центрами ГосСОПКА (справочно)
144. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) обеспечивает сбор, накопление, систематизацию и анализ информации, получаемой от субъектов критической информационной инфраструктуры. Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.
145. Основной организационно-технической составляющей ГосСОПКА являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее - Центры), организованные по ведомственному и территориальному принципам. Главным центром является Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Министерство здравоохранения Российской Федерации может создать ведомственный Центр ГосСОПКА.
Общая структура Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) приведена в Приложении 20.
146. В рамках взаимодействия с ГосСОПКА организация сферы здравоохранения имеет право:
- получать информацию об угрозах безопасности информации, обрабатываемой объектами критической информационной инфраструктуры, функционирующими в сфере здравоохранения, и уязвимости программного обеспечения, оборудования и технологий, используемых на таких объектах КИИ;
- получать информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;
- за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
147. Организации сферы здравоохранения обязаны незамедлительно информировать о компьютерных инцидентах НКЦКИ в установленном порядке <70>.
--------------------------------
<70> Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ Российской Федерации, между субъектами КИИ Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения".
148. Организация взаимодействия с ГосСОПКА предполагает выполнение следующих процедур:
- выбор центра ГосСОПКА, заключение договора;
- уведомление НКЦКИ о вхождении в зону ответственности центра ГосСОПКА;
- разработку Регламентов взаимодействия и реагирования;
- организацию сбора информации об инцидентах ИБ.
Состав процедур организации взаимодействия с ГосСОПКА приведен в Приложении 18.
149. Организация сферы здравоохранения может организовать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:
- непосредственно через НКЦКИ;
- через ведомственный Центр ГосСОПКА, взаимодействующий с НКЦКИ (при условии его создания);
- через коммерческие (корпоративные) центры ГосСОПКА, созданные на территории региона расположения организации сферы здравоохранения.
150. Взаимодействие организации сферы здравоохранения с Центрами ГосСОПКА осуществляется на договорной основе. После заключения договора на обслуживание с выбранным Центром ГосСОПКА организация сферы здравоохранения уведомляет НКЦКИ о вхождении в зону ответственности центра ГосСОПКА.
151. Взаимодействие организации сферы здравоохранения с Центром ГосСОПКА осуществляется в рамках разрабатываемого Регламента взаимодействия.
4.2.3. Организация сбора и обмена информацией о компьютерных инцидентах
152. Обязательным для организации сферы здравоохранения является обмен информацией о компьютерных инцидентах с НКЦКИ <71> и создаваемым ведомственным Центром ГосСОПКА Министерства здравоохранения Российской Федерации (при условии его создания). Круг иных субъектов КИИ, с которыми осуществляется такой обмен, организации сферы здравоохранения определяют самостоятельно. При направлении информации о компьютерных инцидентах в ведомственный Центр ГосСОПКА Министерства здравоохранения Российской Федерации (при условии его создания) организации сферы здравоохранения обязаны параллельно информировать об этом НКЦКИ.
--------------------------------
<71> Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации".
153. Обмен информацией о компьютерных инцидентах осуществляется в сроки, достаточные для своевременного проведения мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Обмен информацией о компьютерных инцидентах осуществляется путем направления уведомлений в соответствии с установленными форматами <72>.
--------------------------------
<72> Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
154. Взаимодействие с НКЦКИ возможно следующими способами:
- с использованием технической инфраструктуры НКЦКИ (при наличии подключения), предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ;
- посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в сети "Интернет" по адресу: http://cert.gov.ru.
155. Состав информации, передаваемой в рамках взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), приведен в Приложении 21.
ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩИХ МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЯХ
В данном документе используются термины и определения, установленные Федеральным законом N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", Федеральным законом N 149-ФЗ "Об информации, информационных технологиях и о защите информации", а также национальными стандартами, и адаптированные для организаций сферы здравоохранения, в частности:
комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами | |
совокупность взаимосвязанных мероприятий или работ, направленных на выполнение функций (полномочий) или осуществления видов деятельности организации сферы здравоохранения (аналогично понятию управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, изложенному в п. 5 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 г. N 127) | |
ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия | |
федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов | |
объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры | |
совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств | |
технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники | |
Категорирование объектов критической информационной инфраструктуры | процесс определения категорий значимости объектов критической информационной инфраструктуры, обеспечивающих управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности организаций сферы здравоохранения, на основании показателей критериев значимости объектов критической информационной инфраструктуры и их значений, установленных Правительством Российской Федерации |
целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации | |
факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры организации сферы здравоохранения, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки | |
объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов | |
период, по истечении которого критический бизнес-процесс может полностью прекратиться или произойдет отклонение значений параметров критического бизнес-процесса, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования, превышающих установленные допуски | |
постоянное (регулярное) наблюдение за значениями характеристик критического бизнес-процесса | |
отклонение значений параметров критического бизнес-процесса организации сферы здравоохранения, в том числе временных параметров и параметров надежности, от проектных (штатных) режимов функционирования | |
Обработка информации, необходимой для критических бизнес-процессов | систематическое выполнение операций над данными, необходимыми для обеспечения критического бизнес-процесса |
Объекты водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения | |
информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления организаций сферы здравоохранения | |
полное прекращение выполнения критического бизнес-процесса организации сферы здравоохранения | |
любой процесс в деятельности организации сферы здравоохранения, направленный на достижение конечного результата выполняемых функций (полномочий) или видов деятельности организации сферы здравоохранения. Производственные процессы являются линейными процессами, на выходе которых предполагается определенный результат | |
Реестр значимых объектов критической информационной инфраструктуры | реестр, который формируется и ведется ФСТЭК России на основе сведений, предоставляемых субъектами КИИ в целях учета значимых объектов критической информационной инфраструктуры |
федеральные органы исполнительной власти в сфере охраны здоровья и их территориальные органы, исполнительные органы государственной власти субъектов Российской Федерации в сфере охраны здоровья, органы местного самоуправления муниципальных районов и городских округов, осуществляющие полномочия в сфере охраны здоровья, федеральные органы исполнительной власти в сфере охраны здоровья и их территориальные органы, лечебные медицинские организации, медицинские организации особого типа, медицинские организации по надзору сферы защиты прав потребителей и благополучия человека в соответствии с действующей номенклатурой, утвержденной Приказом Минздрава России от 06.08.2013 N 529н, а также организации, осуществляющие фармацевтическую деятельность и создаваемые юридическими и физическими лицами медицинские организации, фармацевтические организации и иные организации частной системы здравоохранения, осуществляющие деятельность в сфере охраны здоровья. | |
(применительно к организациям, осуществляющим деятельность в сфере охраны здоровья - организациям сферы здравоохранения) | |
любой процесс в деятельности организации сферы здравоохранения, который обслуживает основные бизнес-процессы, направленные на выполнение функций (полномочий) или осуществление видов деятельности организации сферы здравоохранения | |
поддержание критического бизнес-процесса в рабочем состоянии в рамках заданных значений характеристик критического бизнес-процесса | |
любой процесс в деятельности организации сферы здравоохранения, направленный на управление выполнением функций (полномочий) или осуществления видов деятельности организации сферы здравоохранения. Управленческие бизнес-процессы представляют собой совокупность циклических действий, связанных с выявлением проблем, поиском и организацией выполнения принятых решений для управляемых объектов | |
любой процесс в деятельности организации сферы здравоохранения, связанный с экономическими, финансово-денежными, учетными, фискальными аспектами деятельности организации сферы здравоохранения, а также с обеспечением текущей деятельности организации сферы здравоохранения посредством реализации финансовых прав и исполнения финансовых обязательств | |
компьютерная атака, адаптированная к структурно-функциональным характеристикам интересующей нарушителя информационной системы, информационно-телекоммуникационной сети, автоматизированной системы управления |
ОСНОВНЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, ИСПОЛЬЗОВАННЫХ
ПРИ РАЗРАБОТКЕ НАСТОЯЩИХ МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ
1. Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";
2. Постановление Правительства РФ от 26.06.2012 N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов";
3. Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";
4. Постановление Правительства РФ от 13.04.2019 N 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127";
5. Приказ ФСТЭК России от 06.12.2017 N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации";
6. Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования";
7. Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий";
8. Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";
9. Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации";
10. Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения";
11. ФСТЭК России. Информационное сообщение от 17.04.2020 N 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
ОРГАНИЗАЦИЙ СФЕРЫ ЗДРАВООХРАНЕНИЯ,
НА КОТОРЫЕ РАСПРОСТРАНЯЕТСЯ ОБЛАСТЬ ДЕЙСТВИЯ НАСТОЯЩИХ
МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ
Рекомендации по проведению процесса категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере здравоохранения, изложенные в настоящих методических рекомендациях, предназначены для организаций сферы здравоохранения (субъектов КИИ) к которым относятся:
I. Органы управления системой здравоохранения, в том числе:
- федеральные органы исполнительной власти в сфере охраны здоровья и их территориальные органы;
- исполнительные органы государственной власти субъектов Российской Федерации в сфере охраны здоровья;
- органы местного самоуправления муниципальных районов и городских округов, осуществляющие полномочия в сфере охраны здоровья.
II. Лечебные организации сферы здравоохранения в соответствии с действующей номенклатурой, утвержденной Приказом Минздрава России от 06.08.2013 N 529н, в том числе:
- дома (больницы) сестринского ухода;
- центры скорой медицинской помощи и переливания крови;
- санаторно-курортные организации.
III. Медицинские организации особого типа в соответствии с действующей номенклатурой, утвержденной Приказом Минздрава России от 06.08.2013 N 529н, в том числе:
- медицинские центры (профилактики, медицины катастроф, "Резерв", информационно-аналитический, биофизический, военно-врачебной экспертизы, судебно-медицинской экспертизы);
- бюро (медико-социальной экспертизы, медицинской статистики, патологоанатомическое, судебно-медицинской экспертизы);
- лаборатории (клинико-диагностические, бактериологические);
- медицинские воинские формирования (медицинские отряды, отдельные медицинские батальоны).
IV. Медицинские организации по надзору в сфере защиты прав потребителей и благополучия человека в соответствии с действующей номенклатурой, утвержденной Приказом Минздрава России от 06.08.2013 N 529н, в том числе центры (станции):
- гигиенического образования населения;
- государственного санитарно-эпидемиологического надзора.
V. Организации, осуществляющие фармацевтическую деятельность (оптовая торговля лекарственными средствами, хранение лекарственных средств и препаратов, перевозка лекарственных средств и препаратов, розничная торговля лекарственными препаратами, отпуск лекарственных препаратов, изготовление лекарственных препаратов для медицинского применения).
VI. Создаваемые юридическими и физическими лицами медицинские организации, фармацевтические организации и иные организации частной системы здравоохранения, осуществляющие деятельность в сфере охраны здоровья.
ИНФОРМАЦИОННЫХ СИСТЕМ, ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ
СЕТЕЙ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ,
ФУНКЦИОНИРУЮЩИХ В СФЕРЕ ЗДРАВООХРАНЕНИЯ
Примеры ИС, ИТКС, АСУ, которые в рамках настоящих методических рекомендаций могут быть рассмотрены независимо друг от друга и отнесены к отдельным объектам КИИ организации сферы здравоохранения:
ПО ФОРМИРОВАНИЮ ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ
ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ
Согласно Правилам категорирования объектов критической информационной инфраструктуры Российской Федерации <73> категорирование объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно, для чего локальным правовым актом (приказом) руководителя организации сферы здравоохранения создается постоянно действующая комиссия по категорированию объектов КИИ (далее - Комиссия) <74>.
--------------------------------
<73> Утверждены постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 2.
<74> Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 11.
Комиссию возглавляет председатель, в качестве которого выступает руководитель организации сферы здравоохранения или уполномоченное им лицо <75>. При создании Комиссии необходимо учитывать высокую ответственность председателя Комиссии в определении категории значимости объектов КИИ, необходимость привлечения экспертов из различных областей деятельности, а также постоянный характер деятельности Комиссии. Исходя из этого, уполномоченное лицо должно быть наделено определенными полномочиями, а его должностные обязанности должны быть закреплены в порядке, установленном трудовым законодательством <76>.
--------------------------------
<75> Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 13.
<76> Трудовой кодекс Российской Федерации, ст. 60.2.
Членами Комиссии назначаются эксперты из числа наиболее квалифицированных работников организации сферы здравоохранения, являющихся специалистами в области осуществляемых видов деятельности, информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования. В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в ИС, ИТКС, АСУ организации сферы здравоохранения, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.
В состав комиссии также включаются работники организации сферы здравоохранения, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры, работники подразделения по защите государственной тайны (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну), работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.
Допускается по решению руководителя организации сферы здравоохранения или уполномоченного лица, для оценки критичности бизнес-процессов, выявления задействованности ИС, ИТКС, АСУ в критических бизнес-процессах организации сферы здравоохранения привлекать экспертов сторонних организаций, в том числе организаций, имеющих соответствующие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. При этом, не допускается передавать внешним экспертам право принятия решения о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо решения об отсутствии необходимости присвоения им категорий значимости. Привлекаемые эксперты не являются членами Комиссии.
Форма локального нормативного акта о создании Комиссии
Создание комиссии необходимо оформить локальным нормативным актом (приказом), в котором определяется состав Комиссии, вводится Положение о постоянно действующей комиссии, порядок хранения документов Комиссии.
При назначении председателем Комиссии уполномоченного лица, в локальном нормативном акте должны быть отражены его полномочия.
Локальный нормативный акт (приказ) о создании Комиссии оформляется в соответствии с правилами документооборота, принятыми в организации сферы здравоохранения.
<полное наименование организации сферы здравоохранения>
(проект)
Во исполнения пункта 11 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 г. N 127, в целях организации проведения работ по категорированию объектов критической информационной инфраструктуры в <полное наименование организации сферы здравоохранения>
1. Создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры в <полное наименование организации сферы здравоохранения>.
2. Утвердить состав постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры согласно приложению N 1 к приказу.
3. Утвердить Положение о постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения>.
4. Комиссии организовать работу по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения> в строгом соответствии с постановлением Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.
5. Контроль за исполнением настоящего приказа оставляю за собой.
--------------------- к приказу <полное наименование организации сферы здравоохранения> | ||
СОСТАВ ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ
<полное наименование организации сферы здравоохранения>
по категорированию объектов КИИ
--------------------- к приказу <полное наименование организации сферы здравоохранения> | ||
о постоянно действующей комиссии по категорированию
объектов КИИ
<полное наименование организации сферы здравоохранения>
(проект)
1. Положение о комиссии по категорированию объектов критической информационной инфраструктуры (далее - Комиссия) определяет задачи, функции Комиссии, ее права и порядок организации ее деятельности.
2. Комиссия создается для организации работ по категорированию объектов КИИ <наименование организации сферы здравоохранения>.
3. Комиссия является постоянно действующим консультативно-совещательным органом.
4. Комиссия в своей деятельности руководствуется федеральными законами, актами Президента Российской Федерации, Правительства Российской Федерации, в том числе Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127, приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" и настоящим Положением.
5. Состав Комиссии устанавливается приказом по Организации.
6. Комиссия выполняет следующие функции:
6.1. определение бизнес-процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности <наименование организации сферы здравоохранения>, как субъекта КИИ;
6.2. выявление критических бизнес-процессов <наименование организации сферы здравоохранения>;
6.3. выявление объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических бизнес-процессов, и (или) осуществляют управление, контроль или мониторинг критических бизнес-процессов, подготовка предложений для включения в перечень объектов КИИ, подлежащих категорированию, оценка необходимости категорирования вновь создаваемых объектов;
6.4. рассмотрение возможных действий нарушителей в отношении объектов КИИ, а также иных источников угроз безопасности информации;
6.5. анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ <наименование организации сферы здравоохранения>;
6.6. оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;
6.7. расчет показателей значимости для объектов КИИ;
6.8. присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им категорий значимости.
7. Организация деятельности Комиссии.
7.1. Заседания Комиссии проводятся по мере необходимости.
7.2. Решение о проведении заседаний Комиссии принимается председателем Комиссии на основании предложений членов Комиссии.
7.3. Заседания Комиссии проводятся в случае присутствия не менее 50% численного состава постоянных членов Комиссии. Присутствие на заседании Комиссии иных лиц, кроме членов Комиссии, допускается с разрешения председателя Комиссии. В случае отсутствия председателя Комиссии, его полномочия осуществляет один из членов Комиссии, назначенный Председателем Комиссии. При отсутствии кворума заседание Комиссии переносится на другую дату, определяемую Председателем Комиссии.
7.4. Все решения по рассматриваемым Комиссией вопросам принимаются открытым голосованием простым большинством голосов членов Комиссии. При голосовании каждый член Комиссии имеет один голос. При равенстве голосов решающим голосом является голос Председателя Комиссии.
7.5. Решение Комиссии о включении объектов КИИ, <наименование организации сферы здравоохранения>, в перечень объектов КИИ, подлежащих категорированию, оформляется Протоколом Комиссии, подписывается всеми присутствующими членами Комиссии и утверждается Председателем Комиссии.
7.6. Решение Комиссии о присвоении объектам КИИ <наименование организации сферы здравоохранения> одной из категорий значимости, а также решения об отсутствии необходимости присвоения категорий значимости оформляется Актом, подписывается Председателем Комиссии, всеми присутствующими членами Комиссии и утверждается руководителем <наименование организации сферы здравоохранения>.
7.7. Срок подписания проекта Акта Комиссии членом Комиссии не может превышать двух рабочих дней с даты его получения от Секретаря Комиссии. Подписанный членами Комиссии акт Комиссии, направляются Секретарем Комиссии не позднее двух календарных дней Председателю Комиссии на утверждение.
7.8. Акт оформляется с учетом пункта 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127 и должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов КИИ, принадлежащих <наименование организации сферы здравоохранения>.
7.9. В течение 10 рабочих дней со дня утверждения Акта, указанного в пункте 7.7 настоящего Положения, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.
7.10. По результатам заседания Комиссии, помимо решений, указанных в пунктах 7.5, 7.6 настоящего Положения, могут приниматься иные решения Комиссии, которые должны быть отражены в Протоколе Комиссии.
8.1. несет ответственность за соблюдение установленных сроков проведения категорирования;
8.2. организует работу Комиссии;
8.3. назначает дату, время и место проведения заседаний Комиссии;
8.4. утверждает повестку заседания Комиссии;
8.5. руководит заседанием Комиссии;
8.6. распределяет обязанности между членами Комиссии;
8.7. пользуется правами члена Комиссии при голосовании;
8.8.1. привлекать для решения частных задач работников <наименование организации сферы здравоохранения>, экспертов сторонних организаций, представителей вышестоящих организаций (без права голоса);
8.8.2. отдавать распоряжения в пределах установленных полномочий, обязательные для исполнения всеми работниками <наименование организации сферы здравоохранения>.
9.1. координирует деятельность членов Комиссии;
9.2. готовит проекты повесток заседаний Комиссии и представляет на утверждение председателю Комиссии;
9.3. своевременно информирует членов Комиссии о дате, времени, месте и повестке заседаний Комиссии;
9.4. совместно с членами Комиссии готовит информацию, документы, иные материалы к заседаниям Комиссии;
9.5. ведет протокол заседания Комиссии;
9.6. в течение 3 рабочих дней с даты проведения заседания Комиссии и в соответствии с ее решением готовит итоговые документы и представляет их на подпись председателю Комиссии и членам Комиссии;
9.7. организует и ведет делопроизводство Комиссии и обеспечивает сохранность документов Комиссии;
9.8. осуществляет организационно-техническое обеспечение деятельности Комиссии.
10.1. лично участвуют в заседании Комиссии;
10.2. участвуют в обсуждении вопросов, включенных в повестку заседания Комиссии;
10.3. знакомятся с информацией, документами и материалами по вопросам, вынесенным на обсуждение Комиссии на стадии их подготовки, вносят свои предложения;
10.4. имеют право формировать запросы о получении информации, необходимой для работы Комиссии;
10.5. в случае несогласия с принятым решением излагают свое особое мнение в письменном виде, которое прилагается к соответствующему Протоколу Комиссии.
11. Проекты заключений и актов Комиссии, не позднее 5 календарных дней со дня проведения заседания, направляются Секретарем Комиссии всем членам Комиссии на подписание, за исключением Председателя Комиссии.
12. Протоколы Комиссии и Акты должны храниться в <наименование организации сферы здравоохранения> до вывода из эксплуатации объекта КИИ или до пересмотра ранее установленной категории значимости.
13. Не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений, Комиссия осуществляет пересмотр установленной категории значимости в соответствии с настоящим Положением. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности КИИ (ФСТЭК России).
14. Организационное и материально-техническое обеспечение деятельности Комиссии осуществляется за счет средств <наименование организации сферы здравоохранения>.
15. Комиссия подлежит расформированию в случаях:
15.1. прекращения <наименование организации сферы здравоохранения> выполнения функций (полномочий) или осуществления видов деятельности в сфере здравоохранения;
15.2. ликвидации, реорганизации <наименование организации сферы здравоохранения> и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта КИИ.
ПРОЦЕССОВ, ОСУЩЕСТВЛЯЕМЫХ ПРИ КАТЕГОРИРОВАНИИ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ
Содержание процессов, осуществляемых при категорировании
объектов КИИ
. . . . Требуется ревизия ВСЕХ . . бизнес-процессов и их анализ . Требуется анализ объектов . на критичность . КИИ по критериям ПП-127. <*> . РЕЗУЛЬТАТ: Перечень . РЕЗУЛЬТАТ: Сведения о . критичных бизнес-процессов . присвоении категории значимым . . объектам КИИ для ФСТЭК . . . . ┌───────────────────────────────────────────────────────────────────── │ \ \ \ │ \ Формирование \ \ │ Определение \ Перечня объектов КИИ \ \ │ бизнес-процессов \ организации сферы \ Категорирование \ │ организации сферы / здравоохранения / / │ здравоохранения / и выделение критичных / / │ и выделение критичных/(значимых) объектов КИИ/ / │ / / / │ / / / └──────────────────────────────────────────────────────────────────── . . Требуется ревизия ВСЕХ . ИС, АСУ, ИТС и их . задействованности в . реализации . ВСЕХ процессов . РЕЗУЛЬТАТ: Перечень . потенциально значимых . объектов КИИ для ФСТЭК . России
--------------------------------
<*> Постановление Правительства Российской Федерации от 08.02.2018 N 127.
Содержание этапов процесса определения бизнес-процессов
организации сферы здравоохранения
. . ПРОЦЕДУРА: . . Выявление и описание бизнес-процессов в . ПРОЦЕДУРА: . деятельности организации сферы . Оформление результатов оценки . здравоохранения . критичности бизнес-процессов . ИСХОДНЫЕ ДАННЫЕ: . в деятельности организации . Реестр типовых бизнес-процессов, . сферы здравоохранения . учредительные документы, Положения о . ИСХОДНЫЕ ДАННЫЕ: . структурных подразделениях, Должностные . Заключение о критичности . обязанности . бизнес-процессов . РЕЗУЛЬТАТ: . РЕЗУЛЬТАТ: . Перечень управленческих, . Перечень критичных . технологических, производственных, . бизнес-процессов в . финансово-экономических и иных . деятельности организации . бизнес-процессов организации . сферы здравоохранения ┌───────────────────────────────────────────────────────────────────── │ Составление Перечня \ Высокоуровневая \ \ │ управленческих, \ оценка негативных \ \ │ технологических, \ последствий от \ Формирование Перечня \ │ производственных, \ нарушения \ критичных \ │ финансово-экономических/ бизнес-процессов в / бизнес-процессов / │и иных бизнес-процессов/ деятельности / организаций сферы / │ Организации сферы / организации сферы / здравоохранения / │ здравоохранения / здравоохранения / / │ / / / └──────────────────────────────────────────────────────────────────── . . ПРОЦЕДУРА: . Оценка негативных социальных, . политических, экономических, . экологических последствий, . последствий для обеспечения . обороны страны, безопасности . государства и правопорядка от . нарушения бизнес-процессов в . деятельности медицинской . организации . ИСХОДНЫЕ ДАННЫЕ: . Описание управленческих, . технологических, . производственных, . финансово-экономических и . иных процессов в деятельности медицинской организации РЕЗУЛЬТАТ: Заключение о критичности бизнес-процессов
Содержание этапов процесса определения и формирования
Перечня объектов КИИ организации сферы здравоохранения
. . ПРОЦЕДУРА: . ПРОЦЕДУРА: . Выявление и определение назначения . Оформление результатов . всех ИС, ИТКС, АСУ, имеющихся в . анализа задействованности и . организации сферы здравоохранения . влияния ИС, ИТКС, АСУ в . ИСХОДНЫЕ ДАННЫЕ: . бизнес-процессах . Договоры, приказы, ТЗ, бухучет . организации сферы . РЕЗУЛЬТАТ: . здравоохранения . Перечень объектов КИИ организации . ИСХОДНЫЕ ДАННЫЕ: . сферы здравоохранения . Заключение о критичности . объектов КИИ . РЕЗУЛЬТАТ: . Перечень потенциально . значимых объектов КИИ . организации сферы . здравоохранения ┌──────────────────────────────────────────────────────────────────── │ \ \ \ │ \ \ \ │Ревизия и составление\ Оценка \ \ │Перечня информационных\ задействованности \ \ │ систем, \ и влияния \ Формирование Перечня \ │ автоматизированных \ информационных систем, \ потенциально значимых \ │ систем управления, / автоматизированных / объектов критической / │ информационно-теле- / систем управления, / информационной / │ коммуникационных / информационно-теле- / инфраструктуры / │ сетей, имеющихся в / коммуникационных сетей / организации сферы / │ организации сферы / в бизнес-процессах / здравоохранения / │ здравоохранения / организации сферы / / │ / здравоохранения / / └────────────────────────────────────────────────────────────────── . . ПРОЦЕДУРА: . Анализ задействованности и . влияния ИС, ИТКС, АСУ в . бизнес-процессах . организации сферы . здравоохранения . ИСХОДНЫЕ ДАННЫЕ: . Перечень объектов КИИ . организации, Перечень . управленческих, . технологических, . производственных, . финансово-экономических и . иных бизнес-процессов . организации сферы . здравоохранения . РЕЗУЛЬТАТ: . Заключение о критичности . объектов КИИ . организации сферы . здравоохранения
Содержание этапов процесса категорирования объектов КИИ
организации сферы здравоохранения
. . . . ПРОЦЕДУРА: . ПРОЦЕДУРА: . Оформление результатов . Анализ возможных действий . категорирования значимых . нарушителей в отношении объектов . объектов КИИ организации сферы . КИИ организации сферы . здравоохранения . здравоохранения и угроз . ИСХОДНЫЕ ДАННЫЕ: . безопасности информации . Рассчитанные количественные . ИСХОДНЫЕ ДАННЫЕ: . значения показателей критериев . Сведения о мотивации, знаниях . значимости объектов КИИ . и возможностях нарушителя . РЕЗУЛЬТАТ: . РЕЗУЛЬТАТ: . Сведения о результатах . Наихудший сценарий . присвоения объекту КИИ одной . компьютерной атаки . из категорий значимости либо . . об отсутствии необходимости . присвоения ему таких категорий ┌───────────────────────────────────────────────────────────────────── │ \ Расчет показателей \ \ │ \ критериев значимости \ Оформление результатов \ │ Выбор сценария \ объектов критической \ категорирования \ │ реализации \ инфраструктуры \ значимых объектов \ │ компьютерных / организаций / критической / │ атак / сферы / инфраструктуры / │ / здравоохранения / организации сферы / │ / / здравоохранения / └───────────────────────────────────────────────────────────────────── . . ПРОЦЕДУРА: . Оценка применимости . критериев значимости . объектов КИИ, расчет . показателей критериев . значимости . ИСХОДНЫЕ ДАННЫЕ: . Перечень объектов КИИ, . подлежащих категорированию, . постановление Правительства . РФ от 08.02.2018 г. N 127 . РЕЗУЛЬТАТ: . Количественные значения . показателей критериев . значимости объектов КИИ . организации сферы . здравоохранения Обоснование об отсутствии необходимости присвоения объекту КИИ категории значимости
БИЗНЕС-ПРОЦЕССОВ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ
Образец Реестра бизнес-процессов
УТВЕРЖДАЮ ____________________________________ (должность руководителя организации сферы здравоохранения) ____________________________________ (Ф.И.О.) " " __________ 20__ г. РЕЕСТР бизнес-процессов <полное наименование организации сферы здравоохранения>
Председатель постоянно действующей Комиссии по категорированию объектов КИИ <полное наименование организации сферы здравоохранения> ______________ (Ф.И.О.) "__" __________ 20__ г
Пример заполнения формы Реестра бизнес-процессов
бизнес-процессов
<полное наименование организации сферы здравоохранения>
ПО ОЦЕНКЕ КРИТИЧНОСТИ БИЗНЕС-ПРОЦЕССОВ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ
I. Критерии влияния бизнес-процессов организации сферы здравоохранения на показатели возможных последствий
Влияет, если бизнес-процесс задействован (обеспечивает) в управлении или обеспечении работоспособности механизмов и устройств, нарушение функционирования которых может привести: | |||
к бактериологическому, радиационному или химическому заражению; | |||
к отключению приборов, обеспечивающих жизненно важные функции организма; | |||
к нарушению технологий производства и хранения фармацевтической и медицинской продукции; | |||
к иным последствиям, пагубно влияющим на жизнь и здоровье людей | |||
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения | Не оценивается. Не актуально для организации сферы здравоохранения (см. раздел "Ограничения и допущения") | ||
Прекращение или нарушение функционирования объектов транспортной инфраструктуры | Не оценивается. Не актуально для организации сферы здравоохранения (см. раздел "Ограничения и допущения") | ||
в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры доступа к государственной услуге; | |||
в аналитической, экспертной, учетной деятельности, необходимой для обеспечения функционирования органов власти и организаций сферы здравоохранения, оказывающих государственные услуги; | |||
в обеспечении взаимодействия государственных органов власти, оказывающих государственные услуги | |||
Прекращение или нарушение функционирования государственного органа <77> в части невыполнения возложенной на него функции (полномочия) | |||
в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений государственным органом; | |||
Нарушение условий международного договора РФ, срыв переговоров или подписания планируемого к заключению международного договора РФ | в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры взаимодействия государственным органом; | ||
в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры оповещения населения о чрезвычайных ситуациях; | |||
в поддержании бесперебойного функционирования системы управления, необходимой для реализации возложенных на государственный орган полномочий | |||
Возникновение ущерба субъекту КИИ <78> | Актуально только для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие" | ||
в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений руководством государственного унитарного предприятия; | |||
Возникновение ущерба бюджетам РФ, осуществляемых субъектом КИИ | Актуально только для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и не оказывающих медицинских услуг, освобождаемых от налогообложения. | ||
в обеспечении взаимодействия с организациями кредитно-финансовой сферы, включая страховые компании, биржи, банки, казначейство, налоговые органы | |||
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций <79> | Не оценивается. Не актуально для организации сферы здравоохранения (см. раздел "Ограничения и допущения") | ||
Актуально для организации сферы здравоохранения, использующих в своей деятельности источники ионизирующего излучения. (см. раздел "Ограничения и допущения") | |||
V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка | |||
Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра) | Не оценивается. Не актуально для организации сферы здравоохранения (см. раздел "Ограничения и допущения") | ||
Снижение показателей государственного оборонного заказа, выполняемого (обеспечиваемого) субъектом КИИ | Не оценивается. Не актуально для организации сферы здравоохранения (см. раздел "Ограничения и допущения") | ||
Прекращение или нарушение функционирования (невыполнение установленных показателей) ИС в области обеспечения обороны страны, безопасности государства и правопорядка | Не оценивается. Не актуально для организации сферы здравоохранения (см. раздел "Ограничения и допущения") | ||
--------------------------------
<77> В контексте настоящего документа под государственным органом подразумеваются федеральные органы государственной власти в сфере охраны здоровья, а также органы государственной власти субъектов Российской Федерации в сфере охраны здоровья.
<78> Только для государственной корпорации, государственного унитарного предприятия, государственной компании, стратегического акционерного общества, стратегического предприятия.
<79> Только для субъектов КИИ, являющихся в соответствии с законодательством РФ системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.
II. Алгоритмы оценки критичности бизнес-процессов
Алгоритм оценки социальной значимости бизнес-процесса
Алгоритм оценки политической значимости бизнес-процесса
ПЕРЕЧНЯ КРИТИЧЕСКИХ БИЗНЕС-ПРОЦЕССОВ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ
Перечень критических бизнес-процессов организации сферы здравоохранения
УТВЕРЖДАЮ ____________________________________ (должность руководителя организации сферы здравоохранения) ____________________________________ (Ф.И.О.) " " __________ 20__ г. ПЕРЕЧЕНЬ критических бизнес-процессов <полное наименование организации сферы здравоохранения>
Председатель постоянно действующей Комиссии по категорированию объектов КИИ <полное наименование организации сферы здравоохранения> _______________ (Ф.И.О.) "__" __________ 202_ г.
Пример заполнения формы Перечня критических бизнес-процессов организации сферы здравоохранения
РЕЕСТРА ИС, ИТКС, АСУ, ИМЕЮЩИХСЯ В ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ
Форма Реестра ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения
УТВЕРЖДАЮ ____________________________________ (должность руководителя организации сферы здравоохранения) ____________________________________ (Ф.И.О.) " " __________ 20__ г. РЕЕСТР информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей, имеющихся на праве собственности, аренды или на ином законном основании в ___________________________________________________________________________ <полное наименование организации сферы здравоохранения>
КОД <80> | ТИП ОБЪЕКТА <81> | СФЕРА ДЕЯТЕЛЬНОСТИ <82> | ОСНОВАНИЕ <83> | ||
Председатель постоянно действующей Комиссии по категорированию объектов КИИ <полное наименование организации сферы здравоохранения> _____________ (Ф.И.О.) "__" __________ 201_ г.
--------------------------------
<80> Код вводится для удобства дальнейшего заполнения форм и устанавливается в произвольной форме, удобной для восприятия (например, ИС-1, ИС-2, ... АСУ-1, АСУ-2, ... ИТКС-1, ИТКС-2, ...).
<81> Указывается один из следующих типов объекта: информационная система (ИС), автоматизированная система управления (АСУ), информационно-телекоммуникационная сеть (ИТКС).
<82> Указывается: здравоохранение (ЗО).
<83> Указываются реквизиты документа, подтверждающего право собственности, аренды или иное законное основание владения объектом.
Образец заполнения Реестра ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения
РЕЕСТР информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей, имеющихся на праве собственности, аренды или на ином законном основании в ___________________________________________________________________________ <полное наименование организации сферы здравоохранения>
Председатель постоянно действующей Комиссии по категорированию объектов КИИ <полное наименование организации сферы здравоохранения> _____________ (Ф.И.О.) "__" __________ 20__ г.
ОЦЕНКИ ЗАДЕЙСТВОВАННОСТИ И ВЛИЯНИЯ ИС, ИТКС, АСУ
НА БИЗНЕС-ПРОЦЕССЫ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ
ЗДРАВООХРАНЕНИЯ, ПОДЛЕЖАЩИХ КАТЕГОРИРОВАНИЮ
УТВЕРЖДАЮ ____________________________________ Должность руководителя организации сферы здравоохранения или уполномоченного им лица _______________________________ Фамилия, имя, отчество (при наличии) "__" ___________ 20__ г. ПЕРЕЧЕНЬ объектов критической информационной инфраструктуры _________________________________________________________________, <полное наименование организации сферы здравоохранения> подлежащих категорированию
Тип объекта <84> | Сфера (область) деятельности, в которой функционирует объект <85> | Должность, фамилия, имя, отчество (при наличии) представителя, его телефон, адрес электронной почты (при наличии) <86> | |||
--------------------------------
<84> Указывается один из следующих типов объекта: ИС, ИТКС, АСУ.
<85> Указывается: здравоохранение.
<86> Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта. Для нескольких объектов может быть определено одно должностное лицо.
ВОЗМОЖНЫХ СОБЫТИЙ (ИНЦИДЕНТОВ), КОТОРЫЕ МОГУТ
ВОЗНИКНУТЬ В РЕЗУЛЬТАТЕ РЕАЛИЗАЦИИ НАИХУДШЕГО СЦЕНАРИЯ
ЦЕЛЕНАПРАВЛЕННЫХ КОМПЬЮТЕРНЫХ АТАК НА ИС, ИТКС, АСУ
КРИТЕРИИ ЗНАЧИМОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ | (результат компьютерных атак <87>) | |||||
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения | ||||||
Прекращение или нарушение функционирования объектов транспортной инфраструктуры | ||||||
Прекращение или нарушение функционирования государственного органа | ||||||
Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации | ||||||
Возникновение ущерба субъекту критической информационной инфраструктуры <88> | ||||||
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций <89> | ||||||
ЗНАЧИМОСТЬ ДЛЯ ОБЕСПЕЧЕНИЯ ОБОРОНЫ СТРАНЫ, БЕЗОПАСНОСТИ ГОСУДАРСТВА И ПРАВОПОРЯДКА | ||||||
Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра) | ||||||
Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка | ||||||
--------------------------------
<87> Наихудший сценарий, учитывающий проведение целенаправленных компьютерных атак на объекты КИИ.
<88> Для государственных корпораций, унитарных предприятий и компаний, стратегических акционерных обществ и предприятий.
<89> Для системно значимой кредитной организации, оператора услуг платежной инфраструктуры системно и (или) социально значимых платежных систем, системно значимой инфраструктурной организации финансового рынка.
ОБОСНОВАНИЯ НЕПРИМЕНИМОСТИ КРИТЕРИЕВ ЗНАЧИМОСТИ,
УСТАНОВЛЕННЫХ ПОСТАНОВЛЕНИЕМ ПРАВИТЕЛЬСТВА РФ
ОТ 08.02.2018 Г. N 127
КРИТЕРИИ ЗНАЧИМОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ | ОСНОВАНИЯ НЕПРИМЕНИМОСТИ КРИТЕРИЕВ ЗНАЧИМОСТИ, УСТАНОВЛЕННЫХ ПОСТАНОВЛЕНИЕМ ПРАВИТЕЛЬСТВА РФ ОТ 08.02.2018 г. N 127 ДЛЯ ОЦЕНКИ ЗНАЧИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ, АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ, ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ |
Организация сферы здравоохранения не относится к организациям, осуществляющим оказание медицинской помощи, проведение медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий, трансплантации (пересадки) органов и (или) тканей, обращения донорской крови и (или) ее компонентов в медицинских целях или имеет в своем составе подразделения по оказанию медицинской помощи | |
Объекты КИИ организации сферы здравоохранения относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации или к объектам транспортной инфраструктуры или организация сферы здравоохранения имеет в своем составе подразделения транспортной инфраструктуры, однако информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, имеющиеся у организации сферы здравоохранения, задействованные в критических бизнес-процессах юридического лица, не участвуют в обработке информации, необходимой для управления, контроля или мониторинга опасными производственными объектами или объектами транспортной инфраструктуры | |
Организация сферы здравоохранения относится к организациям, осуществляющим оказание медицинской помощи, проведение медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий, трансплантации (пересадки) органов и (или) тканей, обращения донорской крови и (или) ее компонентов в медицинских целях, однако информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, имеющиеся у организации сферы здравоохранения, задействованные в критических бизнес-процессах юридического лица, не участвуют в обработке информации, необходимой для оказания медицинской помощи, проведения медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий, трансплантации (пересадки) органов и (или) тканей, обращения донорской крови и (или) ее компонентов в медицинских целях и не осуществляют управление, контроль или мониторинг данных бизнес-процессов | |
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения | Объекты КИИ организации сферы здравоохранения не относятся к объектам водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения населения |
Объекты КИИ организации сферы здравоохранения относятся к объектам водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения населения, однако критические бизнес-процессы организации сферы здравоохранения не осуществляют управление, контроль или мониторинг объектами водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения населения | |
Объекты КИИ организации сферы здравоохранения относятся к объектам водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения населения, однако информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, имеющиеся у организации сферы здравоохранения, задействованные в критических бизнес-процессах организации сферы здравоохранения, не участвуют в обработке информации, необходимой для водоснабжения, канализации, электроснабжения, газоснабжения, теплоснабжения населения и не осуществляют управление, контроль или мониторинг данных бизнес-процессов | |
Прекращение или нарушение функционирования объектов транспортной инфраструктуры | Объекты КИИ организации сферы здравоохранения не относятся объектам транспортной инфраструктуры и субъект КИИ не имеет в своем составе подразделения транспортной инфраструктуры |
Объекты КИИ организации сферы здравоохранения относятся объектам транспортной инфраструктуры или имеют в своем составе подразделения транспортной инфраструктуры, однако, информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, имеющиеся у организации сферы здравоохранения, задействованные в критических бизнес-процессах организации сферы здравоохранения, не участвуют в обработке информации, необходимой для обеспечения транспортного сообщения или предоставления транспортных услуг и (или) управления, контроля или мониторинг транспортным сообщением или предоставлением транспортных услуг | |
Организация сферы здравоохранения не является оператором связи | |
Организация сферы здравоохранения не является государственным органом власти, оказывающим государственные услуги или юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационные сети, задействованной в процессе оказания государственной услуги | |
Организация сферы здравоохранения является государственным органом власти, оказывающим государственные услуги или юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационные сети, задействованной в процессе оказания государственной услуги, однако критические бизнес-процессы организации сферы здравоохранения не осуществляют управление, контроль или мониторинг информационной системы, автоматизированной системы управления, информационно-телекоммуникационные сети, задействованной в процессе оказания государственной услуги | |
Организация сферы здравоохранения является государственным органом власти, оказывающим государственные услуги, или юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационные сети, задействованной в процессе оказания государственной услуги, однако, нарушение функционирования информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, имеющихся у организации сферы здравоохранения, не участвующей в обработке информации, необходимой для оказания государственной услуги, не влечет за собой нарушение и (или) прекращение доступа к государственной услуге | |
Прекращение или нарушение функционирования государственного органа | Организация сферы здравоохранения не является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, задействованной в процессе выполнения возложенной на государственный орган власти функции (полномочия) |
Организация сферы здравоохранения является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, однако критические бизнес-процессы организации сферы здравоохранения не осуществляют управление, контроль или мониторинг информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, задействованной в процессе выполнения возложенной на государственный орган власти функции (полномочия) | |
Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации | Организация сферы здравоохранения не является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, задействованной в процессе подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации |
Организация сферы здравоохранения является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, однако критические бизнес-процессы организации сферы здравоохранения не осуществляют управление, контроль или мониторинг информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, задействованной в процессе подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации. | |
Организация сферы здравоохранения является государственным органом власти или юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, при этом, нарушение функционирования информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, имеющейся у организации сферы здравоохранения, не участвующей в обработке информации, необходимой для подготовки условий планируемого к заключению международного договора Российской Федерации или контроля и мониторинга условий международного договора Российской Федерации, не влечет за собой нарушение условий международного договора Российской Федерации | |
Возникновение ущерба субъекту критической информационной инфраструктуры <90> | Организация сферы здравоохранения не является государственной корпорацией, государственным унитарным предприятием, государственной компанией, стратегическим акционерным обществом, стратегическим предприятием |
Организация сферы здравоохранения не является организацией, на которую в соответствии с Налоговым кодексом Российской Федерации возложена обязанность уплачивать соответственно налоги, сборы, страховые взносы | |
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета | Организация сферы здравоохранения не осуществляет операций по банковским счетам и (или) без открытия банковского счета и не является системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем, системно значимой инфраструктурной организацией финансового рынка |
Объекты КИИ организации сферы здравоохранения не относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации. | |
Объекты КИИ организации сферы здравоохранения относятся к опасным производственным объектам в соответствии с законодательством Российской Федерации или к объектам транспортной инфраструктуры или имеют в своем составе подразделения транспортной инфраструктуры, однако информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, имеющиеся у организации сферы здравоохранения, задействованные в критических бизнес-процессах юридического лица не участвуют в обработке информации, необходимой для управления, контроля или мониторинга опасными производственными объектами или объектами транспортной инфраструктуры | |
ЗНАЧИМОСТЬ ДЛЯ ОБЕСПЕЧЕНИЯ ОБОРОНЫ СТРАНЫ, БЕЗОПАСНОСТИ ГОСУДАРСТВА И ПРАВОПОРЯДКА | |
Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра) | Организация сферы здравоохранения не выполняет функции пункта управления (ситуационного центра) государственного органа власти, государственной корпорации или является юридическим лицом, обеспечивающим эксплуатацию информационной системы, автоматизированной системы управления, информационно-телекоммуникационной сети, задействованной в функционировании пункта управления (ситуационного центра) государственного органа власти, государственной корпорации |
Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка | Организация сферы здравоохранения не имеет информационных систем, функционирующих в области обеспечения обороны страны, безопасности государства и правопорядка |
--------------------------------
<90> Для государственных корпораций, государственных унитарных предприятий, государственных компаний, стратегических акционерных обществ, стратегических предприятий.
РАСЧЕТОВ ЗНАЧЕНИЙ КРИТЕРИЕВ ЗНАЧИМОСТИ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ
УТВЕРЖДАЮ Председатель постоянно действующей Комиссии по категорированию объектов КИИ <полное наименование организации сферы здравоохранения> ___________________________________________ (Ф.И.О.) " " __________ 20__ г. ПРОТОКОЛ N ______________ расчетов значений критериев значимости объектов критической инфраструктуры " " _________ 20__ г. гор. ____________________ Председательствующий: _____________________________________________________ Секретарь: ________________________________________________________________ Присутствовали: ___________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ Приглашенные эксперты: ____________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________ Повестка дня: 1. Рассмотрение и утверждение расчетов значений критериев значимости объектов КИИ <полное наименование организации сферы здравоохранения> 2. Формирование Заключения о присвоении объекту КИИ <полное наименование организации сферы здравоохранения> или отсутствии необходимости присвоения одной из категорий значимости объектов КИИ. Кворум для проведения заседания Комиссии по категорированию в соответствии с пунктом 7.4. Положения о постоянно действующей комиссии по категорированию объектов КИИ <полное наименование организации сферы здравоохранения> имеется. В результате анализа представленных в Комиссию материалов, установлено:
I. СВЕДЕНИЯ ОБ ОБЪЕКТЕ КИИ <91> | |
АРХИТЕКТУРА <92> | |
II. СВЕДЕНИЯ О ВЗАИМОДЕЙСТВИИ ОБЪЕКТА КИИ С ДРУГИМИ ОБЪЕКТАМИ | |
КАТЕГОРИЯ СЕТИ ЭЛЕКТРОСВЯЗИ <93> | |
ЦЕЛЬ ВЗАИМОДЕЙСТВИЯ <94> | |
СПОСОБ ВЗАИМОДЕЙСТВИЯ <95> | |
ЗАВИСИМЫЙ ОБЪЕКТ КИИ <96> | |
III. СВЕДЕНИЯ О КРИТИЧЕСКИХ БИЗНЕС-ПРОЦЕССАХ, В КОТОРЫХ ЗАДЕЙСТВОВАН ОБЪЕКТ КИИ <97> | |
--------------------------------
<91> Заполняется в соответствии с Реестром информационных систем,
автоматизированных систем управления, информационно-телекоммуникационных
сетей, имеющихся на праве собственности, аренды или на ином законном
основании.
<92> Указывается: одноранговая сеть, клиент-серверная система,
технология "тонкий клиент", сеть передачи данных, система диспетчерского
управления и контроля, распределенная система управления, иная архитектура.
<93> Указывается: сеть общего пользования, выделенная, технологическая,
присоединенная к сети связи общего пользования, специального назначения,
другая сеть связи или сведения об отсутствии взаимодействия объекта КИИ с
сетями электросвязи.
<94> Указывается: передача (прием) информации, оказание услуг,
управление, контроль за технологическим, производственным оборудованием
(исполнительными устройствами), иная цель.
<95> Указывается: проводной, беспроводной, технологии доступа,
протоколы взаимодействия.
<96> Указывается от какого другого объекта КИИ зависит функционирование
оцениваемого объекта КИИ или сведения об отсутствии зависимости.
<97> Указывается в соответствии с Реестром бизнес-процессов
юридического лица.
IV. РЕЗУЛЬТАТЫ РАСЧЕТА ЗНАЧЕНИЙ КРИТЕРИЕВ ЗНАЧИМОСТИ ОБЪЕКТА КИИ <98>
КРИТЕРИИ ЗНАЧИМОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ | ВОЗМОЖНЫЕ ИНЦИДЕНТЫ (результат компьютерных атак <99>) | |||||
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к причинению ущерба жизни и здоровью людей | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к причинению ущерба жизни и здоровью людей | Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к причинению ущерба жизни и здоровью людей | ||||
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21) | Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования объектов обеспечения жизнедеятельности населения | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению или нарушению функционирования объектов обеспечения жизнедеятельности населения | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21) | Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к прекращению или нарушению функционирования объектов обеспечения жизнедеятельности населения | |
Прекращение или нарушение функционирования объектов транспортной инфраструктуры | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21) | Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования объектов транспортной инфраструктуры | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению или нарушению функционирования объектов транспортной инфраструктуры | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методический документ. Рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21) | Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к прекращению или нарушению функционирования объектов транспортной инфраструктуры | |
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21) | Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования сети связи | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению или нарушению функционирования сети связи | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21) | Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к прекращению или нарушению функционирования сети связи | ||
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению доступа к государственной услуге | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению доступа к государственной услуге | Не входит в наихудший сценарий компьютерной атаки, так как Модификация (подмена) данных не может привести к прекращению доступа к государственной услуге | Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к прекращению доступа к государственной услуге | |||
Прекращение или нарушение функционирования государственного органа | Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования государственного органа | Не входит в наихудший сценарий компьютерной атаки, так как утечка данных не может привести к прекращению или нарушению функционирования государственного органа | ||||
Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации | Не входит в наихудший сценарий компьютерной атаки, так как Отказ в обслуживании не может привести к нарушению условий международного договора, срыву переговоров или подписания планируемого к заключению международного договора | Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к нарушению условий международного договора, срыву переговоров или подписания планируемого к заключению международного договора | ||||
Возникновение ущерба субъекту критической информационной инфраструктуры <100> | ||||||
Не входит в наихудший сценарий компьютерной атаки, так как Отказ в обслуживании не может причинить ущерб бюджетам Российской Федерации | Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может причинить ущерб бюджетам Российской Федерации | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может причинить ущерб бюджетам Российской Федерации | Не входит в наихудший сценарий компьютерной атаки, так как Нарушение работы технических средств не может причинить ущерб бюджетам Российской Федерации | |||
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций <101> | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 25) | Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к Прекращению или нарушению проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций | ||||
Не входит в наихудший сценарий компьютерной атаки, так как Отказ в обслуживании не оказывает вредного воздействия на окружающую среду | Не входит в наихудший сценарий компьютерной атаки, так как Несанкционированный доступ не оказывает воздействия на окружающую среду | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не оказывает воздействия на окружающую среду | Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не оказывает вредные воздействия на окружающую среду | |||
ЗНАЧИМОСТЬ ДЛЯ ОБЕСПЕЧЕНИЯ ОБОРОНЫ СТРАНЫ, БЕЗОПАСНОСТИ ГОСУДАРСТВА И ПРАВОПОРЯДКА | ||||||
Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра) | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27) | Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может стать причиной прекращения или нарушения функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра) | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может стать причиной прекращения или нарушения функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра) | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27) | ||
Не входит в наихудший сценарий компьютерной атаки, так как Отказ в обслуживании не может стать причиной снижения показателей государственного оборонного заказа | Не входит в наихудший сценарий компьютерной атаки, так как Несанкционированный доступ не может стать причиной снижения показателей государственного оборонного заказа | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может стать причиной снижения показателей государственного оборонного заказа | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27) | |||
Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27) | Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка | Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению или нарушению функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка | РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ (см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27) | ||
--------------------------------
<98> В данный раздел включено обоснование неприменимости критериев
значимости с учетом раздела "Допущения и ограничения" и Приложений 13 и 14
настоящего документа.
<99> Компьютерная атака по своей сути является одной из реализаций
угроз безопасности информации.
<100> Для государственных корпораций, государственных унитарных
предприятий, государственных компаний, стратегических акционерных обществ,
стратегических предприятий.
<101> Для системно значимой кредитной организации, оператора услуг
платежной инфраструктуры системно и (или) социально значимых платежных
систем, системно значимой инфраструктурной организации финансового рынка.
V. ЗАКЛЮЧЕНИЕ КОМИССИИ
(ВАРИАНТ 1) На основании проведенных расчетов показателей критериев значимости объектов критической инфраструктуры для <наименование ИС, АСУ, ИТКС> постоянно действующая Комиссия по категорированию объектов КИИ <полное наименование организации сферы здравоохранения> пришла к заключению, что <наименование ИС, АСУ, ИТКС> относится к ____ категории значимости объектов критической инфраструктуры Российской Федерации, установленных постановлением Правительства РФ от 08.02.2018 г. N 127.
(ВАРИАНТ 2) Проведенные расчеты показывают, что для <наименование ИС, АСУ, ИТКС> показатели критериев значимости объектов критической инфраструктуры, ниже установленных постановлением Правительства РФ от 08.02.2018 г. N 127. Постоянно действующая Комиссия по категорированию объектов КИИ <полное наименование организации сферы здравоохранения> пришла к заключению, что для <наименование ИС, АСУ, ИТКС> отсутствует необходимость присвоения одной из категорий значимости объектов критической инфраструктуры Российской Федерации, установленных постановлением Правительства РФ от 08.02.2018 г. N 127. СЕКРЕТАРЬ КОМИССИИ __________________ - ____________________________________ (ФИО) (подпись) ЧЛЕНЫ КОМИССИИ: __________________ - ____________________________________ (ФИО) (подпись) __________________ - ____________________________________ (ФИО) (подпись) __________________ - ____________________________________ (ФИО) (подпись) __________________ - ____________________________________ (ФИО) (подпись)
КАТЕГОРИРОВАНИЯ ОБЪЕКТА КИИ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ
УТВЕРЖДАЮ _____________________________________ Должность руководителя организации сферы здравоохранения (уполномоченного лица) _______________________________ Фамилия, имя, отчество (при наличии) "__" __________ 20__ г. АКТ N _____ категорирования объектов критической информационной инфраструктуры ___________________________________________________________________ <полное наименование организации сферы здравоохранения> ________________________ " " _________ 20__ г. (место составления акта) Во исполнение приказа <должность руководителя организации сферы здравоохранения> N ___________ от ____________, постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения>, руководствуясь статьей 7 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства РФ от 08.02.2018 N 127, на основании результатов расчета показателей критериев значимости объектов критической информационной инфраструктуры, изложенных в Протоколе N ___ расчетов значений критериев значимости объектов критической инфраструктуры, пришла к следующему заключению: <наименование ИС, АСУ, ИТКС, подлежащей категорированию <102>>, построенная по архитектуре <архитектура ИС, АСУ, ИТКС <103>>, находящаяся у <наименование организации сферы здравоохранения>, на основании <основание права собственности, аренды или иного законного основания владения>, расположенная по адресу <адрес размещения объекта КИИ <104>>, предназначенная для <назначение ИС, АСУ, ИТКС>, обрабатывает информацию, необходимую для обеспечения <наименование всех критических бизнес-процессов <105> в которых задействована ИС, АСУ, ИТКС и (или) осуществляет управление, контроль или мониторинг этих процессов>, относится к значимым объектам критической инфраструктуры <категория <106>> категории <107>. Председатель комиссии __________________ - ____________________________________, (ФИО) (подпись) Секретарь комиссии: __________________ - ____________________________________ (ФИО) (подпись)
--------------------------------
<102> Указывается в соответствии с Перечнем объектов КИИ медицинской организации, подлежащих категорированию.
<103> Указывается: одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура.
<104> Указывается адрес размещения объекта, в том числе адрес обособленных подразделений, филиалов, в которых размещаются сегменты распределенного объекта (серверы, рабочие места, технологическое, производственное оборудование (исполнительные устройства).
<105> Указывается в соответствии с Перечнем критических бизнес-процессов медицинской организации.
<106> Указывается в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства РФ от 08.02.2018 N 127.
<107> Либо указывается, что отсутствует необходимость присвоения ему одной из таких категорий.
ПО ПОДГОТОВКЕ ДОКУМЕНТОВ ДЛЯ ОТПРАВКИ В ФСТЭК РОССИИ
I. Образец сопроводительного письма в ФСТЭК России о направлении Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию
<на фирменном бланке организации сферы здравоохранения> Экспедиция ФСТЭК России, 8-е управление ФСТЭК России ул. Старая Басманная, д. 17, г. Москва, 105066 О направлении Перечня объектов КИИ <полное наименование организации сферы здравоохранения>, подлежащих категорированию В соответствии с пунктом 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" направляем Перечень объектов КИИ <полное наименование организации сферы здравоохранения>, подлежащих категорированию. В случае возникновения вопросов или необходимости получить какие-либо разъяснения с нашей стороны, просим обращаться к <ФИО, телефон, адрес эл. почты>. Приложение: 1. Перечень объектов КИИ <полное наименование организации сферы здравоохранения>, подлежащих категорированию на _____ <число прописью> листах в 1 (одном) экз. 2. Электронная копия Перечень объектов КИИ <полное наименование организации сферы здравоохранения>, подлежащих категорированию <формат *.odt, *.ods> на носителе _____________ в 1 (одном) экз. Все приложения только в адрес. Руководитель __________________ - ____________________________________. (ФИО) (подпись)
II. Образец сопроводительного письма в ФСТЭК России о присвоении объекту КИИ категории значимости
<на фирменном бланке организации сферы здравоохранения> Экспедиция ФСТЭК России, 8-е управление ФСТЭК России ул. Старая Басманная, д. 17, г. Москва, 105066 О направлении сведений о результатах присвоения объектам КИИ <полное наименование организации сферы здравоохранения> категорий значимости либо об отсутствии необходимости присвоения им таких категорий Во исполнение требований пункта 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 года N 127) и в соответствии с Информационным сообщением ФСТЭК России от 17 апреля 2020 года N 240/84/611 направляем Сведения о результатах присвоения объектам КИИ <полное наименование организации сферы здравоохранения> категорий значимости либо об отсутствии необходимости присвоения им таких категорий. В случае возникновения вопросов или необходимости получить какие-либо разъяснения с нашей стороны, просим обращаться к <ФИО, телефон, адрес эл. почты>. Приложение: 1. Сведения о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий на _______ (число прописью) листах в 1 (одном) экз. 2. Электронная копия Сведения о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий <формат, *.ods> на носителе _________ в 1 (одном) экз. Все приложения только в адрес. Руководитель __________________ - ____________________________________. (ФИО) (подпись)
III. Форма Сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
1. Сведения об объекте критической информационной инфраструктуры
Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети) | ||
Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта | ||
Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" | ||
Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть) | ||
Архитектура объекта (одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура) |
2. Сведения о субъекте критической информационной инфраструктуры
3. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи
4. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры
5. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры
6. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры
7. Возможные последствия в случае возникновения компьютерных инцидентов
8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости
9. Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры
____________________________________ ___________ ___________________ (Наименование должности руководителя (подпись) (инициалы, фамилия) организации сферы здравоохранения или уполномоченного им лица) М.П. (при наличии печати) "__" _______ 20__ г.
IV. Классификация и характеристика сетей электросвязи
V. Взаимосвязь возможных угроз безопасности информации и инцидентов
(результат компьютерных атак) | ||||||
Угрозы программно-математического воздействия (вирусные атаки) | ||||||
VI. Взаимосвязь возможных угроз безопасности информации и объектов воздействия ИС, ИТКС, АСУ
VII. Классификация, характеристика и возможности нарушителей по реализации угроз безопасности информации
VIII. Примеры определения угроз безопасности информации, нарушителей и последствий инцидентов для организации сферы здравоохранения
1. На основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС установлено, что для ГИС "Наименование" характерны два критерия значимости:
КРИТЕРИИ ЗНАЧИМОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ | ||||||
Прекращение или нарушение функционирования государственного органа | ||||||
В п. 7.1. Формы представления Сведений о категорировании вносится:
2. На основании определенных в п. 1 возможных событий (инцидентов) с учетом данных раздела V Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17) выявлены следующие угрозы безопасности информации для ГИС "Наименование":
(результат компьютерных атак) | ||||||
Угрозы программно-математического воздействия (вирусные атаки) | ||||||
Потенциальными угрозами безопасности информации для ГИС "Наименование" являются:
- угрозы создания нештатных режимов работы;
- угрозы доступа (проникновения) в операционную среду
- угрозы удаленного доступа (сетевые атаки)
- угрозы программно-математического воздействия (вирусные атаки)
- угрозы социально-психологического характера
3. При актуализации состава возможных угроз безопасности информации с учетом с учетом структурно-функциональных характеристик ГИС "Наименование" определены следующие объекты воздействия:
- Программные компоненты для передачи данных по сетям
- Прикладные программы доступа и обработки информации
Взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) показали, что состав угроз после актуализации не изменился.
В п. 6.2 Формы представления Сведений о категорировании вносится:
4. На основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определены типы (категории) возможных нарушителей:
В п. 6.1 Формы представления Сведений о категорировании вносится:
1. На основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС установлено, что для МПКС (аппаратура для искусственной вентиляции легких) характерны следующие критерия значимости:
КРИТЕРИИ ЗНАЧИМОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ | ||||||
В п. 7.1. Формы представления Сведений о категорировании вносится:
2. На основании определенных в п. 1 возможных событий (инцидентов) с учетом данных раздела V Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17) выявлены следующие угрозы безопасности информации для МПКС:
(результат компьютерных атак) | ||||||
Угрозы программно-математического воздействия (вирусные атаки) | ||||||
3. Учитывая структурно-функциональные характеристики МПКС, включающие структуру и состав системы, физические, логические, функциональные и технологические взаимосвязи, исключающие возможность удаленного доступа, угрозы удаленного доступа не являются актуальными и исключаются.
При актуализации состава возможных угроз безопасности информации с учетом с учетом структурно-функциональных характеристик МПКС определены следующие объекты воздействия:
- Прикладные программы доступа и обработки информации
Взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) показал, что угрозы социально-психологического характера не являются актуальными.
В п. 6.2 Формы представления Сведений о категорировании вносится:
Основные угрозы безопасности информации или обоснование их неактуальности | Угрозы, которые могут привести к отсутствию доступа к ущербу жизни и здоровью людей: | ||
4. На основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определены типы (категории) возможных нарушителей:
Учитывая, что нарушители типа Н6 имеют мотивацию только в отношении определенной категории пациентов, данный тип нарушителей не актуален для обычного организации сферы здравоохранения и могут быть исключены из состава актуальных.
В п. 6.1 Формы представления Сведений о категорировании вносится:
И ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ
Состав этапов создания подсистемы безопасности значимых
объектов КИИ и организации взаимодействия