"Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)

Утверждаю
Заместитель Министра
здравоохранения
Российской Федерации
П.С.ПУГАЧЕВ
5 апреля 2021 г.

Согласовано
Директор Департамента
цифрового развития
и информационных технологий
Министерства здравоохранения
Российской Федерации
В.В.ВАНЬКОВ
5 апреля 2021 г.

НАЦИОНАЛЬНЫЙ ПРОЕКТ "ЗДРАВООХРАНЕНИЕ"

ФЕДЕРАЛЬНЫЙ ПРОЕКТ
"СОЗДАНИЕ ЕДИНОГО ЦИФРОВОГО КОНТУРА В ЗДРАВООХРАНЕНИИ
НА ОСНОВЕ ЕДИНОЙ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ В СФЕРЕ ЗДРАВООХРАНЕНИЯ (ЕГИСЗ)"

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ СФЕРЫ ЗДРАВООХРАНЕНИЯ

ВЕРСИЯ 1.0

Настоящие методические рекомендации согласованы ФСТЭК России (письмо от 14.10.2020 N 240/82/1904дсп).

1. ВВЕДЕНИЕ

1. Все организации, осуществляющие деятельность в сфере охраны здоровья (далее - организации сферы здравоохранения), которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, являются субъектами критической информационной инфраструктуры.

Для целей категорирования объектов критической информационной инфраструктуры под "иным законным основанием" понимается передача прав пользования информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления на основании правовых актов или решений собственника без передачи права собственности на них. Например, на основании договора безвозмездного пользования <1>, договора на право хозяйственного ведения <2>, договора на право оперативного управления <3>.

--------------------------------

<1> ГК РФ, ст. 689.

<2> ГК РФ, ст. 294.

<3> ГК РФ, ст. 296.

В соответствии с требованиями законодательства Российской Федерации, организации сферы здравоохранения как субъекты критической информационной инфраструктуры должны установить соответствие принадлежащих им объектов критической информационной инфраструктуры критериям значимости и показателям их значений.

2. Настоящие методические рекомендации содержат рекомендации по отнесению информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления организаций сферы здравоохранения к объектам критической информационной инфраструктуры, включению объектов критической информационной инфраструктуры в Перечень объектов критической информационной инфраструктуры с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры либо принятием решения об отсутствии оснований для их отнесения к значимым объектам критической информационной инфраструктуры.

3. Настоящие методические рекомендации описывают и детализируют типовую процедуру категорирования объектов критической информационной инфраструктуры организаций сферы здравоохранения в соответствии с критериями, установленными постановлением Правительства Российской Федерации от 08.02.2018 N 127, применительно к организациям сферы здравоохранения.

Перечень основных нормативных правовых актов, использованных при разработке настоящих методических рекомендаций, приведен в Приложении 2.

Перечень организаций сферы здравоохранения, на которые распространяется область действия настоящих методических рекомендаций, приведен в Приложении 3.

Примеры информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих в сфере здравоохранения, приведены в Приложении 4.

4. Настоящие методические рекомендации применяются субъектами критической информационной инфраструктуры для:

- определения состава бизнес-процессов <4> в рамках видов деятельности организации сферы здравоохранения и выявления критических управленческих, технологических, производственных, финансово-экономических и иных бизнес-процессов организации сферы здравоохранения, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка;

--------------------------------

<4> В настоящих методических рекомендациях применяется термин "бизнес-процесс", аналогичный определению "процесс" из постановления Правительства Российской Федерации от 08.02.2018 г. N 127.

- определения информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей, которые обрабатывают информацию, необходимую для обеспечения критических процессов, или осуществляют управление, контроль или мониторинг критических процессов организации сферы здравоохранения;

- формирования перечня объектов критической информационной инфраструктуры организации сферы здравоохранения, подлежащих категорированию;

- оценки для каждого объекта критической информационной инфраструктуры организации сферы здравоохранения масштаба возможных последствий в случае возникновения компьютерных инцидентов;

- присвоения каждому из объектов критической информационной инфраструктуры организации сферы здравоохранения одной из категорий значимости либо принятия решения об отсутствии необходимости присвоения ему одной из категорий значимости;

- подготовки сведений о результатах присвоения объекту критической информационной инфраструктуры организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России).

5. Настоящие методические рекомендации носят рекомендательный характер и применяются наряду с методическими документами, определяющими порядок категорирования объектов критической информационной инфраструктуры, разработанными органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России), а также исполнительными органами государственной власти субъектов Российской Федерации в сфере охраны здоровья.

6. Для целей настоящих методических рекомендаций используются термины и определения, установленные законодательством Российской Федерации о безопасности критической информационной инфраструктуры и национальными стандартами в области защиты информации. Основные термины, определения и сокращения, используемые в настоящих методических рекомендациях, приведены в Приложении 1.

7. Категорирование объектов критической информационной инфраструктуры осуществляется постоянно действующей комиссией по категорированию, создаваемой в организации сферы здравоохранения. При создании постоянно действующей комиссии по категорированию и определении порядка направления в ФСТЭК России сведений необходимо руководствоваться пунктами 11 - 13, 15 - 18 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127.

Рекомендации по формированию постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры организации сферы здравоохранения приведены в Приложении 5.

2. ОПИСАНИЕ ПРОЦЕДУРЫ КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КИИ

2.1. Общие положения

8. Процедура категорирования объектов критической информационной инфраструктуры осуществляется на основании и в соответствии с федеральным законом <5>, а также Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации <6> и Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденными постановлением Правительства Российской Федерации от 08.02.2018 N 127.

--------------------------------

<5> Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ, ст. 7.

<6> Постановление Правительства Российской Федерации от 08.02.2018 N 127.

9. Категорированию подлежат ИС, ИТКС, АСУ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные критические бизнес-процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности организации сферы здравоохранения.

10. В ходе процедуры категорирования ИС, ИТКС, АСУ необходимо проанализировать и оценить критичность всех возможных бизнес-процессов, реализуемых организацией сферы здравоохранения.

11. Принятие решения об отсутствии необходимости присвоения категории какой-либо ИС, ИТКС, АСУ организации сферы здравоохранения должно быть основано на результатах оценки их влияния на нарушение или прекращение критического бизнес-процесса, приводящее к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка в соответствии с настоящими методическими рекомендациями.

Если ИС, ИТКС, АСУ организации сферы здравоохранения отнесены к объектам КИИ, но не соответствуют критериям значимости, показателям этих критериев и их значениям, таким ИС, ИТКС, АСУ не присваивается ни одна из категорий.

12. Процедура категорирования ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения, включает следующие процессы:

- определение управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов, присутствующих в организации сферы здравоохранения, и выделение из них критических;

- определение и формирование Перечня объектов КИИ, подлежащих категорированию, и выделение критических объектов КИИ организации сферы здравоохранения;

- присвоение каждому объекту КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Состав процессов, осуществляемых при категорировании ИС, ИТКС, АСУ организации сферы здравоохранения, и их содержание приведены в Приложении 6.

2.2. Определение бизнес-процессов

13. Определение бизнес-процессов в деятельности организации сферы здравоохранения и выделение среди них критических предполагает проведение анализа всех управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов организации сферы здравоохранения.

14. Определение бизнес-процессов в деятельности организации сферы здравоохранения включает следующие этапы:

- составление Реестра всех управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов организации сферы здравоохранения;

- высокоуровневую оценку негативных последствий от нарушения бизнес-процессов в деятельности организации сферы здравоохранения (оценка критичности бизнес-процессов);

- формирование Перечня критических бизнес-процессов в деятельности организации сферы здравоохранения.

Этапы определения бизнес-процессов организации сферы здравоохранения и их содержание приведены в Приложении 6.

2.3. Составление Реестра бизнес-процессов

15. На этапе составления Реестра оценка критичности бизнес-процессов организации сферы здравоохранения и их влияния на возможные последствия от нарушения бизнес-процесса по критериям, определенным постановлением Правительства РФ от 08.02.2018 N 127, не проводится.

16. Для составления Реестра бизнес-процессов организации сферы здравоохранения проводится выявление и описание всех его управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов.

17. На основании учредительных документов, Положения об организации сферы здравоохранения, имеющихся описаний существующих бизнес-процессов, выбранные бизнес-процессы уточняются.

При необходимости, бизнес-процессы, не характерные для данной организации сферы здравоохранения, исключаются из Реестра и добавляются специфические бизнес-процессы, выполняемые организацией сферы здравоохранения.

18. Результаты определения и описания бизнес-процессов организации сферы здравоохранения фиксируются в описательной части Реестра бизнес-процессов организации сферы здравоохранения. Форма Реестра бизнес-процессов организации сферы здравоохранения и пример ее заполнения приведены в Приложении 7.

19. Реестр бизнес-процессов подписывается Председателем постоянно действующей комиссии по категорированию и утверждается руководителем организации сферы здравоохранения.

2.4. Оценка критичности бизнес-процессов

2.4.1. Допущения и ограничения

20. При проведении высокоуровневой оценки возможных последствий от нарушения бизнес-процесса организации сферы здравоохранения не оцениваются количественные показатели критериев значимости, а дается их качественная оценка.

21. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения влияния на прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения <7>, транспортной инфраструктуры <8>, сетей связи <9>, а также, в дальнейшем, расчет этих показателей значимости для объектов КИИ организации сферы здравоохранения не проводится, так как бизнес-процессы организаций сферы здравоохранения не задействованы:

--------------------------------

<7> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 2, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

<8> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 3, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

<9> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 4, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

- в управлении объектами обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, контроле или мониторинге и эксплуатации таких объектов;

- в обеспечении бесперебойного функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи;

- в поддержании качества функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи.

22. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения экономической значимости <10> проводится исключительно для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие".

--------------------------------

<10> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 8, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

23. Оценка критичности бизнес-процессов и дальнейший расчет показателей значимости для объектов КИИ с точки зрения экономической значимости <11> для организаций сферы здравоохранения иных организационно-правовых форм не проводится, так как такие организации сферы здравоохранения не являются государственными корпорациями, государственными компаниями, стратегическими акционерными обществами <12>, стратегическими предприятиями <13>, у которых возможно снижение уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей).

--------------------------------

<11> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 8, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

<12> Указ Президента РФ от 04.08.2004 N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ".

<13> Распоряжение Правительства РФ от 20.08.2009 N 1226-р "Об утверждении перечня стратегических предприятий и организаций".

24. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения возникновения ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации <14>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, если организация сферы здравоохранения применяет нулевую ставку по налогу на прибыль <15> и (или) оказывает медицинские услуги, освобождаемые от налогообложения <16>.

--------------------------------

<14> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 9, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

<15> При выполнении условий, перечисленных в ст. 284.1 НК РФ.

<16> Ст. 149 НК РФ.

25. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения влияния на прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета <17>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как организации сферы здравоохранения не осуществляют для клиентов операции по банковским счетам и (или) без открытия банковского счета и не являются в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка <18>.

--------------------------------

<17> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 10, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

<18> Федеральный закон "О национальной платежной системе" от 27.06.2011 N 161-ФЗ.

26. Оценка критичности бизнес-процессов организации сферы здравоохранения, за исключением организаций сферы здравоохранения, использующих в своей деятельности источники ионизирующего излучения, с точки зрения экологической значимости <19>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как организации сферы здравоохранения, не использующие в своей деятельности источники ионизирующего излучения, не относятся к опасным производственным объектам <20>, нарушение функционирования которых может привести к авариям, инцидентам или катастрофам, влияющим на ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иных вредных воздействий <21>.

--------------------------------

<19> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 11, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

<20> Федеральный закон от 21.07.1997 N 116-ФЗ "О промышленной безопасности опасных производственных объектов".

<21> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. примечание 5, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

27. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения значимости для обеспечения обороны страны, безопасности государства и правопорядка <22>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как бизнес-процессы организации сферы здравоохранения не могут повлиять на прекращение или нарушение функционирования пункта управления (ситуационного центра) государственных органов власти или государственной корпорации, информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, снижение показателей государственного оборонного заказа.

--------------------------------

<22> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. п. 12, 13, 14, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).

28. Допущения и ограничения, приведенные в разделе 2.4.1 настоящих методических рекомендаций, могут быть использованы для обоснования неприменимости того или иного критерия значимости для бизнес-процесса организации сферы здравоохранения.

2.4.2. Критерии оценки критичности бизнес-процессов

29. При проведении оценки необходимо учитывать, что любой бизнес-процесс организации сферы здравоохранения может быть как полностью автоматизирован, так и частично <23>. Неавтоматизированная (ручное управление) часть должна рассматриваться как составляющая оцениваемого бизнес-процесса, позволяющая исключить или снизить масштаб возможных негативных последствий, приводящих к нарушению или прекращению выполнения организацией сферы здравоохранения установленных функций (полномочий).

--------------------------------

<23> Полностью неавтоматизированные бизнес-процессы не рассматриваются, так как они выходят из-под юрисдикции Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (ст. 1).

30. При оценке критичности бизнес-процесса с точки зрения социальной значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможный ущерб, причиняемый жизни или здоровью людей, а также максимальное время отсутствия доступа к государственной услуге для получателей такой услуги.

31. При оценке критичности бизнес-процесса с точки зрения политической значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможность причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики.

32. При оценке критичности бизнес-процесса с точки зрения экономической значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию.

33. Бизнес-процесс организации сферы здравоохранения считается критическим, если в ходе оценки возможных последствий от его нарушения установлено, что он задействован и оказывает влияние хотя бы по одному критерию, определенному постановлением Правительства РФ от 08.02.2018 N 127.

Критерии влияния (задействованности) бизнес-процессов организации сферы здравоохранения на показатели возможных последствий приведены в разделе I Справочных материалов по оценке критичности бизнес-процессов организации сферы здравоохранения Приложения 8.

2.4.3. Порядок оценки критичности бизнес-процессов

34. На этом этапе проводится оценка возможного негативного влияния последствий от нарушения бизнес-процесса организации сферы здравоохранения по показателям, определенным постановлением Правительства РФ от 08.02.2018 N 127.

35. Используя результаты определения и описания бизнес-процессов в деятельности организации сферы здравоохранения, зафиксированные в описательной части Реестра бизнес-процессов организации сферы здравоохранения проводятся обоснование критичности бизнес-процессов организации сферы здравоохранения, проводящей категорирование объектов КИИ и оценка возможного негативного влияния последствий от нарушения бизнес-процесса. Такая оценка проводится с использованием Алгоритмов оценки значимости бизнес-процесса, приведенных в разделе II Справочных материалов по оценке критичности бизнес-процессов организации сферы здравоохранения (Приложение 8), для следующих показателей, определенных постановлением Правительства РФ от 08.02.2018 N 127:

- социальная значимость (способность причинить ущерб жизни и здоровью людей; способность привести к нарушению максимального времени отсутствия доступа в оказании государственных услуг);

- политическая значимость (способность оказывать влияние на функционирование органа государственной власти <24>);

--------------------------------

<24> В контексте настоящих методических рекомендаций, если это специально не оговорено, под органом государственной власти подразумеваются федеральные органы государственной власти, органы государственной власти субъекта Российской Федерации или города федерального значения.

- экономическая значимость (способность оказывать влияние на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию).

При этом бизнес-процесс организации сферы здравоохранения считается способным причинить ущерб жизни и здоровью людей, если он задействован (обеспечивает) в управлении или обеспечении работоспособности механизмов и устройств, нарушение функционирования которых может привести:

- к авариям, катастрофам с человеческими жертвами;

- к бактериологическому, радиационному или химическому заражению;

- к отключению приборов, обеспечивающих жизненно важные функции организма;

- к нарушению технологий производства и хранения фармацевтической и медицинской продукции;

- к иным последствиям, пагубно влияющим на жизнь и здоровье людей.

Бизнес-процесс организации сферы здравоохранения считается способным привести к отсутствию доступа в оказании государственных услуг, если он задействован:

- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры доступа к государственной услуге;

- в аналитической, экспертной, учетной деятельности, необходимой для обеспечения функционирования государственных органов власти, оказывающих государственные услуги;

- в обеспечении взаимодействия государственных органов власти, оказывающих государственные услуги.

Бизнес-процесс организации сферы здравоохранения считается оказывающим влияние на функционирование органа государственной власти, если он задействован:

- в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений органом государственной власти;

- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры взаимодействия органов государственной власти;

- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры оповещения населения о чрезвычайных ситуациях;

- в поддержании бесперебойного функционирования элементов системы управления, необходимой для реализации возложенных на орган государственной власти полномочий.

Бизнес-процесс организации сферы здравоохранения считается оказывающим влияние на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию, если он задействован:

- в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений руководством государственного унитарного предприятия;

- в обеспечении взаимодействия с организациями кредитно-финансовой сферы, включая страховые компании, биржи, банки, казначейство, налоговые органы.

Для обоснования неприменимости для таких бизнес-процессов остальных показателей, определенных постановлением Правительства РФ от 08.02.2018 N 127, используется раздел "Допущения и ограничения" настоящих методических рекомендаций.

36. В случае если осуществление критического бизнес-процесса организации сферы здравоохранения зависит от осуществления иных критических бизнес-процессов, оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических бизнес-процессов.

37. Результаты оценки критичности бизнес-процессов в деятельности организации сферы здравоохранения фиксируются в разделе оценки критичности Реестра бизнес-процессов организации сферы здравоохранения (Приложение 7).

2.4.4. Формирование Перечня критических бизнес-процессов

38. После оценки критичности бизнес-процессов в деятельности организации сферы здравоохранения, из Реестра исключаются бизнес-процессы, которые не являются критическими, и формируется описательная часть Перечня критических бизнес-процессов организации сферы здравоохранения. Форма Перечня критических бизнес-процессов организации сферы здравоохранения представлена в Приложении 9.

2.5. Описание процесса "Определение и формирование Перечня объектов КИИ"

39. Процесс формирования Перечня объектов КИИ организации сферы здравоохранения и выделения критических включает следующие этапы:

- ревизия и составление Перечня ИС, ИТКС, АСУ организации сферы здравоохранения;

- оценка задействованности и влияния ИС, ИТКС, АСУ в управлении, контроле и мониторинге критических бизнес-процессов организации сферы здравоохранения;

- формирование Перечня потенциально значимых объектов КИИ организации сферы здравоохранения (Перечня объектов КИИ, подлежащих категорированию).

Состав и содержание этапов процесса формирования Перечня объектов КИИ организации сферы здравоохранения и выделения критических приведен в Приложении 6.

2.6. Ревизия систем, имеющихся в организации сферы здравоохранения

40. В качестве источника получения сведений о наличии в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании ИС, ИТКС, АСУ могут быть использованы:

- сведения из федеральной государственной информационной системы учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов <25> и аналогичных информационных систем учета субъектов Российской Федерации;

--------------------------------

<25> Постановление Правительства РФ от 26.06.2012 N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов".

- договоры на разработку и внедрение в организации сферы здравоохранения ИС, ИТКС, АСУ;

- локальные нормативные акты организации сферы здравоохранения, определяющие порядок использования ИС, ИТКС, АСУ;

- локальные нормативные акты о вводе ИС, ИТКС, АСУ организации сферы здравоохранения в эксплуатацию;

- данные бухгалтерского учета организации сферы здравоохранения по разделу "основные средства";

- данные бухгалтерского учета организации сферы здравоохранения по разделу "нематериальные активы";

- проектная документация на ИС, ИТКС, АСУ организации сферы здравоохранения;

- данные управленческого учета в подразделении организации сферы здравоохранения, отвечающем за применение информационных технологий и обслуживание средств автоматизации.

41. Результаты ревизии ИС, ИТКС, АСУ организации сферы здравоохранения фиксируются в Реестре ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании (Приложение 10).

42. Реестр ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании, подписывается Председателем постоянно действующей комиссии по категорированию и утверждается руководителем организации сферы здравоохранения.

2.7. Оценка задействованности ИС, ИТКС, АСУ в бизнес-процессах

43. Оценка задействованности и влияния ИС, ИТКС, АСУ, которые обрабатывают информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг критических бизнес-процессов организации сферы здравоохранения, должна проводиться применительно к каждой ИС, ИТКС, АСУ, указанной в Реестре ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании. Для каждой такой системы должна быть проведена оценка:

- их задействованности в обработке информации, необходимой для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществлении управления, контроля или мониторинга критических бизнес-процессов организации сферы здравоохранения;

- их существенного влияния на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, приводящего к негативным социальным, политическим, экономическим, последствиям.

44. Информационная система (ИС) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для хранения, поиска и обработки информации, необходимой для выполнения основных функций критического бизнес-процесса, либо осуществляет управление, контроль или мониторинг критических бизнес-процессов, либо автоматизирует выполнение бизнес-процессов (технологических операций) и обеспечивает хотя бы одну из следующих функций бизнес-процесса:

- функцию интерпретации данных, заключающуюся в определении смысла данных;

- функцию диагностики оборудования, включающую обнаружение неисправности и отклонений от нормы при выполнении основных функций бизнес-процесса;

- функцию мониторинга интерпретации данных в реальном времени и сигнализации о выходе тех или иных параметров бизнес-процесса за допустимые пределы;

- функцию прогнозирования последствий для бизнес-процесса событий или явлений на основании анализа имеющихся данных;

- функцию планирования действий объектов, выполняющих основные функции бизнес-процесса;

- функцию управления, заключающуюся в поддержании установленного режима деятельности при выполнении бизнес-процесса;

- функцию поддержки принятия решений, заключающуюся в обеспечении необходимой информацией и рекомендациями.

45. Автоматизированная система управления (АСУ) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для поддержания установленных режимов технологического процесса, реализуемого бизнес-процессом, за счет контроля и изменения технологических параметров, выдачи команд на исполнительные механизмы и визуального отображения данных о производственном процессе и состоянии технологического оборудования, предупреждения аварийных ситуаций, анализа контролируемых значений, стабилизации режимных параметров и технологических показателей и обеспечивает хотя бы одну из следующих функций бизнес-процесса:

- функцию контроля параметров технологического процесса, реализуемого бизнес-процессом;

- функцию мониторинга соответствия параметров процесса допустимым значениям, информирования персонала при возникновении несоответствий и сигнализации наступления предаварийных и аварийных ситуаций, фиксации времени отклонения параметров процесса за допустимые пределы (автоматическая), регистрации параметров и записи аварийных и предаварийных ситуаций;

- функцию диагностики оборудования, в том числе, диагностики исправности функционирования самой АСУ;

- функцию управления, контроля или мониторинга технологического или производственного оборудования (исполнительными устройствами) и производимых им процессов, исключения рисков простоев и сбоев работы оборудования.

46. Информационно-телекоммуникационная сеть (ИТКС) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для предоставления единого информационного пространства взаимодействия отдельных территориально-распределенных подсистем, реализующих бизнес-процесс организации сферы здравоохранения, и обеспечивает хотя бы одну из следующих функций бизнес-процесса:

- функцию управления и координирования, заключающуюся в администрировании единого информационного пространства и в достижении согласований между различными элементами ИТКС путем установления наиболее рациональных внутренних и внешних связей;

- функцию интеграции информационных ресурсов территориально-распределенных систем;

- функцию обмена информацией (электронная почта, документооборот, обмен сообщениями, передача данных) и предоставления доступа к источникам информации;

- функцию мониторинга, заключающуюся в непрерывном наблюдении, анализе, оценке функционирования ИТКС.

47. При оценке существенного влияния ИС, ИТКС, АСУ на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения учитывается уровень автоматизации функций бизнес-процесса:

- полная автоматизация - реализация бизнес-процесса организации сферы здравоохранения невозможна без участия ИС, ИТКС, АСУ;

- дублирующая автоматизация - бизнес-процесс организации сферы здравоохранения имеет альтернативные (в том числе не автоматизированные) системы управления и обеспечения функций бизнес-процесса.

ИС, ИТКС, АСУ считается оказывающей существенное влияние на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, если его реализация невозможна без участия ИС, ИТКС, АСУ, и отсутствуют альтернативные (не автоматизированные) системы управления и обеспечения функций бизнес-процесса.

ИС, ИТКС, АСУ считается не оказывающей существенного влияния на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, если имеется возможность своевременного обнаружения нарушения штатного режима функционирования ИС, ИТКС, АСУ, задействованной в реализации этого бизнес-процесса, и перехода в течение максимально допустимого периода простоя <26> критического бизнес-процесса организации сферы здравоохранения на альтернативные (не автоматизированные) системы управления для обеспечения функций бизнес-процесса.

--------------------------------

<26> Для бизнес-процессов, задействованных в оказании экстренной помощи, tдоп. = 0.

48. В случае, если ИС, ИТКС, АСУ состоит из модулей (подсистем), которые могут обеспечивать относительно самостоятельно функции различных бизнес-процессов организации сферы здравоохранения, оценка может проводиться относительно каждого модуля (подсистемы) отдельно.

49. Алгоритм оценки задействованности и влияния ИС, ИТКС, АСУ на критические бизнес-процессы организации сферы здравоохранения приведен в Приложении 11.

50. Результаты оценки задействованности и влияния ИС, ИТКС, АСУ на критические бизнес-процессы организации сферы здравоохранения фиксируются в оценочной части Перечня критических бизнес-процессов организации сферы здравоохранения (Приложение 8).

2.8. Формирование Перечня потенциально значимых объектов КИИ

2.8.1. Порядок формирования Перечня потенциально значимых объектов КИИ

51. ИС, ИТКС, АСУ считается потенциально значимым объектом КИИ организации сферы здравоохранения, если в результате анализа установлено, что она одновременно задействована в реализации критического бизнес-процесса и оказывает влияние на нарушение или прекращение критического бизнес-процесса.

52. ИС, ИТКС, АСУ не считается потенциально значимым объектом КИИ организации сферы здравоохранения и не требует присвоения одной из категорий значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127, если в результате анализа установлено, что она не задействована в реализации критического бизнес-процесса организации сферы здравоохранения, либо она задействована в реализации критического бизнес-процесса организации сферы здравоохранения, но не оказывает существенного влияния на нарушение или прекращение критического бизнес-процесса.

53. ИС, ИТКС, АСУ, задействованная в реализации критического бизнес-процесса организации сферы здравоохранения, но не оказывающая существенного влияния на нарушение или прекращение критического бизнес-процесса (дублирующая автоматизация) считается объектом КИИ организации сферы здравоохранения без присвоения категории значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127.

54. ИС, ИТКС, АСУ, не задействованная в реализации критического бизнес-процесса, не является объектом КИИ организации сферы здравоохранения.

55. Перечень ИС, ИТКС, АСУ, не требующих присвоения одной из категорий значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127, фиксируется в протоколе работы постоянно действующей комиссии по категорированию.

2.8.2. Согласование Перечня объектов КИИ и отправка в ФСТЭК России

56. На основании заключения об отнесении ИС, ИТКС, АСУ к потенциально значимым объектам КИИ организации сферы здравоохранения формируется и утверждается руководителем организации сферы здравоохранения или уполномоченным лицом Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию <27>.

--------------------------------

<27> Информационное сообщение ФСТЭК России от 17.04.2020 N 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

57. Форма Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, приведена в Приложении 12.

58. Перечень объектов КИИ организации сферы здравоохранения подлежит согласованию с органами управления государственной и муниципальной системами здравоохранения в части подведомственных им субъектов КИИ.

Согласование осуществляется в произвольной форме. Возможна передача в орган управления государственной или муниципальной системы здравоохранения запроса на согласование Перечня с приложением предварительно заполненной формы Перечня объектов КИИ, подлежащих категорированию, без утверждающей подписи руководителя организации сферы здравоохранения.

В случае получения от органа управления государственной или муниципальной системы здравоохранения замечаний или корректировок Перечня объектов КИИ, подлежащих категорированию, они должны быть рассмотрены постоянно действующей комиссией по категорированию. По результатам рассмотрения принимается решение о пересмотре Перечня объектов КИИ, подлежащих категорированию, и повторному согласованию с органом управления государственной или муниципальной системой здравоохранения. Отметка о согласовании на итоговом перечне, отправляемом в ФСТЭК России, не требуется.

59. Утвержденный руководителем организации сферы здравоохранения или уполномоченным лицом Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию, в течение 10 (десяти) рабочих дней с сопроводительным письмом в произвольной форме направляется в ФСТЭК России <28> с приложением на носителе электронной копии Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, в формате *.odt, *.ods. ФСТЭК России рекомендует использовать в качестве носителей CD, DVD-диски или USB-носители. Корреспонденция отправляется в законвертованном виде с приложением двух реестров с печатью организации-отправителя.

--------------------------------

<28> Адрес: Экспедиция ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17, 8-е управление ФСТЭК России.

Образец сопроводительного письма в ФСТЭК России о направлении Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, приведен в Приложении 17.

2.9. Описание процесса "Категорирование объектов КИИ"

60. Процесс категорирования объектов КИИ организации сферы здравоохранения предполагает проведение расчетов значений критериев значимости объектов КИИ и присвоение в соответствии с полученными результатами одной из категорий значимости или обоснование отсутствия необходимости присвоения объекту КИИ организации сферы здравоохранения категории значимости.

61. Процесс категорирования объектов КИИ организации сферы здравоохранения включает следующие этапы:

- выбор сценария реализации компьютерных атак;

- расчет показателей критериев значимости объектов КИИ организации сферы здравоохранения;

- оформление результатов категорирования объектов КИИ организации сферы здравоохранения.

Состав и содержание этапов процедуры "Категорирование объектов КИИ" приведены в Приложении 6.

2.10. Выбор сценария реализации компьютерных атак

62. Выбор возможного сценария реализации компьютерных атак проводится на основе анализа возможных действий нарушителей в отношении объектов КИИ организации сферы здравоохранения и угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов. При этом должен быть рассмотрен наихудший сценарий, учитывающий проведение целенаправленных компьютерных атак на потенциально значимые объекты КИИ организации сферы здравоохранения, результатом которых являются прекращение или нарушение выполнения критических бизнес-процессов организации сферы здравоохранения и нанесение максимально возможного ущерба <29>.

--------------------------------

<29> Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 г. N 127, п. 14(1).

63. При выборе и оценке наихудшего сценария реализации целенаправленной компьютерной атаки для целей определения категории объекта КИИ организации сферы здравоохранения принятые ранее меры обеспечения безопасности потенциально значимого объекта КИИ организации сферы здравоохранения не учитываются.

64. Наихудший сценарий реализации целенаправленной компьютерной атаки предполагает, что нарушитель имеет:

- мотив совершения целенаправленной компьютерной атаки;

- осведомленность о структурно-функциональных характеристиках и особенностях функционирования ИС, ИТКС, АСУ организации сферы здравоохранения;

- осведомленность о мерах защиты информации, применяемых в ИС, ИТКС, АСУ организации сферы здравоохранения, об используемых алгоритмах, аппаратных и программных средствах;

- возможность использовать методы социальной инженерии для изучения поведения пользователей ИС, ИТКС, АСУ организации сферы здравоохранения и их реакции на поступающие к ним внешние данные;

- возможность получить доступ к программному обеспечению чипсетов (микропрограммам), системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-техническим средствам ИС, ИТКС, АСУ организации сферы здравоохранения для преднамеренного внесения в них программных закладок;

- возможность получить информацию об уязвимостях путем проведения специальных исследований (в том числе с привлечением специализированных научных организаций) и применения специально разработанных средств для анализа программного обеспечения;

- возможность создания методов и средств реализации компьютерных атак с привлечением специализированных научных организаций и реализации компьютерных атак с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение в ИС, ИТКС, АСУ организации сферы здравоохранения.

65. Наихудшим сценарием реализации целенаправленной компьютерной атаки признается компьютерная атака, результатом которой для ИС, ИТКС, АСУ организации сферы здравоохранения может быть актуально по крайней мере одно из следующих событий (инцидентов):

- отказ в обслуживании (DoS/DDoS);

- несанкционированный доступ;

- утечка данных (нарушение конфиденциальности);

- модификация (подмена) данных;

- нарушение функционирования технических средств;

- несанкционированное использование вычислительных ресурсов.

Состав возможных событий (инцидентов), которые могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак и которые необходимо учитывать при оценке значимости объекта КИИ организации сферы здравоохранения применительно к критериям значимости, установленным постановлением Правительства РФ от 08.02.2018 N 127, приведен в Приложении 13.

66. Для событий (инцидентов), которые не могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак, оценка значимости объекта КИИ организации сферы здравоохранения применительно к критериям значимости, установленным постановлением Правительства РФ от 08.02.2018 N 127, не проводится.

2.11. Расчет показателей критериев значимости объектов КИИ

2.11.1. Порядок расчета критериев значимости объектов КИИ

67. До начала расчета показателей критериев значимости объекта КИИ организации сферы здравоохранения определяется применимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, для оценки значимости ИС, ИТКС, АСУ организаций сферы здравоохранения.

Обоснования неприменимости критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127 для оценки значимости ИС, ИТКС, АСУ организации сферы здравоохранения, приведены в Приложении 14 (для справки).

68. Для показателей критериев значимости объекта КИИ организации сферы здравоохранения, по которым обоснована их неприменимость, расчет показателей критериев значимости не проводится.

69. Расчет показателей критериев значимости объектов КИИ, установленных постановлением Правительства РФ от 08.02.2018 N 127, проводится для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки <30>.

--------------------------------

<30> Допущение: после ликвидации последствий компьютерной атаки предполагается, что существующая система безопасности объекта КИИ восстановлена и не может быть подвержена другой атаке.

70. Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

71. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения по одному из показателей критериев значимости отнесена к первой категории, расчет по остальным показателям критериев значимости не проводится.

72. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения не соответствует ни одному значению показателя критериев значимости, категория значимости объекту КИИ не присваивается.

73. В случае, если функционирование одного объекта КИИ зависит от функционирования другого объекта КИИ, оценка масштаба возможных последствий проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта КИИ, от которого зависит оцениваемый объект.

74. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения обрабатывают информацию, необходимую для обеспечения нескольких критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг нескольких критических бизнес-процессов организации сферы здравоохранения, оценка показателей критериев значимости производится для каждого критического бизнес-процесса организации сферы здравоохранения, а категория значимости присваивается по наивысшему значению показателя.

2.11.2. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей"

75. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей <31>" для организации сферы здравоохранения проводится в следующей последовательности:

--------------------------------

<31> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 1, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ, которые обрабатывают информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг таких критических бизнес-процессов, определяется максимально допустимый период простоя (tдоп);

- если время активного использования (задействованности) ИС и АСУ для достижения целей критического бизнес-процесса меньше или равно установленному периоду проведения контроля или мониторинга параметров таких бизнес-процессов (Tк), максимально допустимый период простоя принимается tдоп = 0;

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;

- определяется время, в течение которого при эксплуатации ИС, ИТКС, АСУ, обрабатывающих информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляющих управление, контроль или мониторинг таких критических бизнес-процессов, может быть причинен ущерб жизни и здоровью пациентов, и (или) время, в течение которого такие ИС, ИТКС, АСУ могут быть недоступны, (T) по формуле:

T = Tк + tустр - tдоп

- на основании статистических данных <32> либо технической документации на ИС, ИТКС, АСУ, а также рассчитанного времени, в течение которого может быть причинен ущерб жизни и здоровью пациентов, и (или) времени, в течение которого ИС, ИТКС, АСУ могут быть недоступны, (T), определяется максимальное число пациентов, которым может быть причинен ущерб жизни и здоровью и (или) для которых могут быть недоступны ИС, ИТКС, АСУ;

--------------------------------

<32> Приказ Росстата от 30.12.2019 N 830 "Об утверждении форм федерального статистического наблюдения с указаниями по их заполнению для организации министерством здравоохранения Российской Федерации федерального статистического наблюдения в сфере охраны здоровья", Форма N 30.

- полученные данные о максимальном числе пациентов, которым может быть причинен ущерб жизни и здоровью и (или) для которых могут быть недоступны ИС, ИТКС, АСУ организации сферы здравоохранения, сравниваются с показателями, приведенными в пункте 1 Перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений <33>, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария целенаправленной компьютерной атаки.

--------------------------------

<33> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства РФ от 08.02.2018 N 127.

2.11.3. Расчет показателя критерия "Отсутствие доступа к государственной услуге"

76. Расчет показателя критерия "Отсутствие доступа к государственной услуге <34>" для организации сферы здравоохранения проводится в следующей последовательности:

--------------------------------

<34> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 5, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- на основании статистических данных за прошлый трехлетний период определяется усредненное время, требуемое для устранения последствий компьютерной атаки (tустр); в случае отсутствия статистических данных за прошлый трехлетний период, время, требуемое для устранения последствий компьютерной атаки, принимается равным минимально допустимому времени, в течение которого государственная услуга может быть недоступна, приведенному в п. 5 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (tустр = 6 часов);

- время, в течение которого государственная услуга может быть недоступна (T) определяется по формуле:

T = tустр

- полученный результат расчета сопоставляется с показателями, приведенными в пункте 5 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.4. Оценка показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции"

77. Показатель критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" рассчитывается для федеральных органов власти, органов государственной власти субъектов Российской Федерации в сфере охраны здоровья и оценивается по масштабу органа управления государственной или муниципальной системами здравоохранения в деятельности (функционировании) которого задействованы ИС, ИТКС, АСУ организации сферы здравоохранения.

78. Исходя из масштаба государственного органа власти, указанного в пункте 6 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.5. Расчет показателя критерия "Возникновение ущерба субъекту КИИ"

79. Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры <35>" для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие" проводится в следующей последовательности:

--------------------------------

<35> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях <36> за предыдущий пятилетний период определяется усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения в бюджеты Российской Федерации в соответствии с Налоговым Кодексом Российской Федерации налогов ;

--------------------------------

<36> Приказ ФНС России от 19.10.16 N ММВ-7-3/572@ "Об утверждении формы налоговой декларации по налогу на прибыль организаций, порядка ее заполнения, а также формата представления налоговой декларации по налогу на прибыль организаций в электронной форме.

- на основании сведений управленческого и бухгалтерского учета за прошлый пятилетний период определяется усредненный размер годового дохода (Rгод);

- на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ организации сферы здравоохранения определяется максимально допустимый период простоя (tдоп);

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;

- ущерб организации сферы здравоохранения от компьютерной атаки (Uб) рассчитывается по формуле:

- полученный возможный ущерб организации сферы здравоохранения от компьютерной атаки сопоставляется с показателем усредненного размера годового дохода и определяется показатель возможного ущерба по формуле:

U% = Uб/Rгод

- рассчитанный показатель возможного ущерба организации сферы здравоохранения сопоставляется с показателями, приведенными в пункте 8 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.6. Расчет показателя критерия "Возникновение ущерба бюджетам РФ"

80. Расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации <37>" для организаций сферы здравоохранения, применяющих нулевую ставку по налогу на прибыль <38> и (или) оказывающих медицинские услуги, освобождаемые от налогообложения <39>, не проводится.

--------------------------------

<37> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9, утв. постановлением Правительства РФ от 08.02.2018 N 127.

<38> При выполнении условий, перечисленных в ст. 284.1 НК РФ.

<39> Ст. 149 НК РФ.

81. Для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и (или) не оказывающих медицинские услуги, освобождаемые от налогообложения, на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях <40> за предыдущий трехлетний период определяется усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения в бюджеты Российской Федерации налогов в соответствии с Налоговым Кодексом Российской Федерации.

--------------------------------

<40> Приказ ФНС России от 19.10.16 N ММВ-7-3/572@ "Об утверждении формы налоговой декларации по налогу на прибыль организаций, порядка ее заполнения, а также формата представления налоговой декларации по налогу на прибыль организаций в электронной форме.

82. Для организаций сферы здравоохранения, для которых усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения отчислений в бюджеты Российской Федерации за предыдущий трехлетний период составляет менее 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период <41>, расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации" не проводится, и постоянно действующей комиссией по категорированию принимается решение об отсутствии необходимости присвоения категории значимости объекту КИИ организации сферы здравоохранения.

--------------------------------

<41> Сумма в 21 300,00 млн. руб. составляет 0,001% прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период с 2020 по 2022 года. В последующие периоды размер суммы 0,001% прогнозируемого годового дохода федерального бюджета должен быть пересчитан с учетом данных Минфина России и Федерального закона о федеральном бюджете на текущий год.

При этом, в обосновании отсутствия необходимости присвоения категории значимости объекту КИИ организации сферы здравоохранения указывается, что возможное снижение выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ (организацией сферы здравоохранения), менее 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период с 2020 по 2022 года (с представлением соответствующих расчетов).

83. Расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации" для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и (или) не оказывающих медицинские услуги, освобождаемые от налогообложения, и имеющих усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения отчислений в бюджеты Российской Федерации за предыдущий трехлетний период более 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период, проводится в следующей последовательности:

- на основании нормативов, установленных в сфере здравоохранения, определяющих период недоступности для оказания услуг, регламентов проведения профилактических работ ИС, ИТКС, АСУ организации сферы здравоохранения определяется максимально допустимый период простоя (tдоп);

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;

- ущерб бюджетам Российской Федерации от компьютерной атаки (Uб) рассчитывается по формуле:

- полученный показатель ущерба бюджетам Российской Федерации от компьютерной атаки сопоставляется с показателем прогнозируемого годового дохода федерального бюджета (R), усредненного за планируемый трехлетний период <42>, и определяется показатель возможного ущерба бюджетам Российской Федерации (U%) по формуле:

--------------------------------

<42> Прогнозируемый годовой доход федерального бюджета, усредненный за период 2020 - 2022 годы с учетом Федерального закона от 02.12.2019 N 380-ФЗ "О федеральном бюджете на 2020 год и на плановый период 2021 и 2022 годов" принимается равным R = 21 300 млрд. руб. Актуальные сведения (законы и законопроекты) о прогнозируемом годовом доходе бюджета Российской Федерации доступны на сайте официального печатного органа Правительства Российской Федерации https://rg.ru или Министерства финансов Российской Федерации https://www.minfin.ru.

U% = Uб/R

- полученный показатель возможного ущерба бюджетам Российской Федерации сопоставляется с показателями, приведенными в пункте 9 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.7. Расчет показателя критерия "Вредные воздействия на окружающую среду"

84. Расчет показателя критерия "Вредные воздействия на окружающую среду <43>" для организации сферы здравоохранения, использующего источники ионизирующего излучения, проводится в следующей последовательности:

--------------------------------

<43> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 11, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- на основании сведений из Единого государственного реестра недвижимости о границе между субъектами Российской Федерации, границе муниципального образования и границе населенного пункта <44>, декларации промышленной безопасности организации сферы здравоохранения, использующей источники ионизирующего излучения, анализа действия поражающих факторов для наиболее опасных по последствиям и вероятных сценариев аварий определяются граница и территория опасной зоны, на которой возможны вредные воздействия на окружающую среду;

--------------------------------

<44> Актуальные сведения о границах о границах инженерной и транспортной инфраструктуры (земли транспорта) доступны на официальном сайте Федеральной службы государственной регистрации, кадастра и картографии или на портале "Госуслуги".

- на основании данных статистических органов о численности населения <45> на начало и конец периода (года) в границах опасной зоны определяется среднеарифметическая численность населения в границах опасной зоны;

--------------------------------

<45> Актуальные сведения о численности населения доступны на официальном сайте Федеральной службы государственной статистики Российской Федерации www.gks.ru.

- полученные данные о границах опасной зоны сравниваются с показателями, приведенными в пункте 11(а) Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и определяется потенциальная категория значимости объекта КИИ организации сферы здравоохранения;

- полученные данные о численности населения в границах опасной зоны сравниваются с показателями, приведенными в пункте 11(б) Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и определяется потенциальная категория значимости объекта КИИ организации сферы здравоохранения;

- из результатов определения потенциальных категорий значимости объекта КИИ организации сферы здравоохранения, полученных по признаку территории (п. 11(а)) и численности населения (п. 11(б)), выбирается наивысшая категория, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.12. Оформление результатов категорирования объектов КИИ организации сферы здравоохранения

2.12.1. Порядок подготовки заключения о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости

85. Результаты расчета значений показателей критериев значимости объектов КИИ организации сферы здравоохранения для каждой ИС, ИТКС, АСУ организации сферы здравоохранения фиксируются в Протоколе расчетов значений критериев значимости. Форма Протокола расчетов значений критериев значимости приведена в Приложении 15.

86. Протокол расчетов значений критериев значимости объектов КИИ организации сферы здравоохранения оформляется для каждой ИС, ИТКС, АСУ, включенной в Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию. Общие сведения об ИС, ИТКС, АСУ, подлежащей категорированию, вносятся в разделы I - III Протокола расчетов значений критериев значимости объектов КИИ.

87. В разделе IV Протокола расчетов значений критериев значимости объектов КИИ в каждой графе, для которой определена неприменимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, указывается обоснование неприменимости критерия.

В форму Протокола расчетов значений критериев значимости объектов КИИ предварительно внесены сведения о неприменимости критериев значимости объектов КИИ с учетом раздела "Допущения и ограничения", Приложений 13 и 14 настоящих методических рекомендаций.

88. В остальных незаполненных графах раздела IV Протокола расчетов значений критериев значимости объектов КИИ указываются результаты расчета значений показателей критериев значимости объектов КИИ организации сферы здравоохранения, описание возможных последствий для бизнес-процесса в результате реализации возможной компьютерной атаки (инцидента), заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

89. Среди определенных для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки, категорий значимости объекта КИИ организации сферы здравоохранения выбирается наивысшая категория, и в разделе V Протокола расчетов значений критериев значимости объектов КИИ организации сферы здравоохранения делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

2.12.2. Оформление Акта категорирования объекта КИИ организации сферы здравоохранения

90. Решение постоянно действующей комиссии по категорированию о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости, а также решения об отсутствии необходимости присвоения категорий значимости оформляется Актом, подписывается Председателем постоянно действующей комиссии по категорированию, всеми присутствующими членами постоянно действующей комиссии по категорированию и утверждается исключительно руководителем организации сферы здравоохранения.

91. Акт оформляется на основании Протокола расчетов значений критериев значимости и должен содержать сведения об объекте критической КИИ организации сферы здравоохранения, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Форма Акта приведена в Приложении 16.

92. Допускается оформление единого Акта по результатам категорирования нескольких объектов КИИ для одной организации сферы здравоохранения.

93. Акты о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения категорий значимости оформляются в отношении всех объектов КИИ, включенных в Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию, направленный в ФСТЭК России.

94. В течение 10 (десяти) рабочих дней со дня утверждения Акта установленным порядком <46> оформляются Сведения о результатах присвоения объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий и с сопроводительным письмом в произвольной форме направляются в ФСТЭК России <47> с приложением электронной копии в формате *.ods на носителе. ФСТЭК России рекомендует использовать в качестве носителей CD, DVD-диски или USB-носители. Корреспонденция отправляется в законвертованном виде с приложением двух реестров с печатью организации отправителя.

--------------------------------

<46> Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".

<47> Адрес: Экспедиция ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17, 8-е управление ФСТЭК России.

Акт о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения категорий значимости оформляется в отношении всех объектов КИИ, и Протоколы расчетов значений критериев значимости в ФСТЭК России не направляются.

Образец сопроводительного письма приведен в разделе II Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).

2.13. Пересмотр категории значимости объектов КИИ

95. Категория значимости объекта КИИ организации сферы здравоохранения подлежит изменению в следующих случаях:

- по мотивированному решению ФСТЭК России, принятому по результатам проверки;

- в случае изменения объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

- в связи с ликвидацией, реорганизацией организации сферы здравоохранения и (или) изменением ее организационно-правовой формы.

96. Пересмотр установленной категории значимости или решения об отсутствии необходимости присвоения категории осуществляется не реже чем один раз в 5 лет, а также при изменении показателей критериев значимости.

97. Изменение и пересмотр категории значимости объекта КИИ организации сферы здравоохранения осуществляются в порядке, установленном настоящими методическими рекомендациями для процедуры "Категорирование объектов КИИ".

98. В случае изменения категории значимости объекта КИИ организации сферы здравоохранения сведения о результатах пересмотра категории значимости направляются в ФСТЭК России.

3. РЕКОМЕНДАЦИИ ПО ОФОРМЛЕНИЮ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ КАТЕГОРИРОВАНИЯ

99. Сведения о результатах присвоения объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее - Сведения о результатах категорирования) оформляются для представления в ФСТЭК России в соответствии с установленной формой <48>, приведенной в разделе III Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).

--------------------------------

<48> Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".

100. Электронные копии Сведений о результатах категорирования оформляются исключительно в формате электронных таблиц OpenDocumentFormat (формат *.ods) <49>.

--------------------------------

<49> Для создания электронных таблиц в формате OpenDocumentFormat используются программное обеспечение StarOffice, OpenOffice или LibreOffice. При отсутствии необходимого программного обеспечения, электронные копии сведений о категорировании создаются с использованием программного обеспечения Excel с последующим переводом в формат *.ods. Для этого после формирования электронной таблицы в формате *.xls (*.xlsx), дается команда "Сохранить как" и в строке "Тип файла" всплывающего окна выбирается строка с записью "Электронная таблица в формате *.ods).

3.1. Исходные данные для оформления сведений

101. Для заполнения формы Сведений о результатах категорирования используются следующие исходные данные:

- выписка из Единого государственного реестра юридических лиц (выписка из Единого государственного реестра индивидуальных предпринимателей);

- локальный нормативный акт (приказ) о назначении уполномоченного лица, на которое возложены функции обеспечения безопасности значимых объектов КИИ в организации сферы здравоохранения <50>;

--------------------------------

<50> Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказ ФСТЭК России от 21.12.2017 N 235), п. 8.

- локальный нормативный акт (приказ) о создании или возложении ответственности за обеспечение безопасности значимых объектов КИИ на структурное подразделение организации сферы здравоохранения <51>;

--------------------------------

<51> Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказ ФСТЭК России от 21.12.2017 N 235), п. 10.

- протокол расчетов значений критериев значимости объекта КИИ организации сферы здравоохранения;

- Акт категорирования объекта КИИ организации сферы здравоохранения;

- Реестр ИС, ИТКС, АСУ (Приложение 10) организации сферы здравоохранения;

- данные бухгалтерского учета организации сферы здравоохранения по разделу "основные средства";

- данные бухгалтерского учета организации сферы здравоохранения по разделу "нематериальные активы";

- проектная документация на ИС, ИТКС, АСУ организации сферы здравоохранения;

- данные управленческого учета в подразделении организации сферы здравоохранения, отвечающем за применение информационных технологий и обслуживание средств автоматизации.

3.2. Внесение общих сведений об объектах КИИ и субъектах КИИ

102. Общие сведения об объекте КИИ (п.п. 1.1 - 1.6 формы) вносятся на основании раздела I Протокола расчетов значений критериев значимости.

103. Общие сведения о субъекте КИИ (п.п. 2.1 - 2.6 формы) вносятся на основании выписки из ЕГРЮЛ (ЕГРИП) и локальных нормативных актов.

104. Сведения о лице, эксплуатирующем объект КИИ (п.п. 4.1 - 4.4 формы), вносятся на основании выписки из ЕГРЮЛ (ЕГРИП) и локальных нормативных актов.

105. Адреса размещения объекта КИИ организации сферы здравоохранения, в том числе адреса обособленных подразделений организации сферы здравоохранения, (п. 1.2 формы) и адрес местонахождения организации сферы здравоохранения (п. 2.2 формы), адрес местонахождения юридического лица, эксплуатирующего объект КИИ организации сферы здравоохранения (п. 4.2 формы), указываются в следующей последовательности: название улицы, номер дома; название населенного пункта (города, поселка и т.п.); название района; название республики, края, области, автономного округа (области); почтовый индекс <52>.

--------------------------------

<52> Приказ Министерства связи и массовых коммуникаций РФ от 31.07014 N 234 "Об утверждении Правил оказания услуг почтовой связи".

3.3. Внесение сведений о взаимодействии с сетями связи

106. Сведения о взаимодействии объекта КИИ организации сферы здравоохранения и сетей электросвязи вносятся на основании анализа проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения и данных управленческого учета в подразделении, отвечающем за применение информационных технологий и обслуживание средств автоматизации. При этом, для определения категории сети электросвязи (п. 3.1. формы) допускается использовать сведения о классификации сетей электросвязи, приведенные в IV разделе Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).

3.4. Внесение сведений о составе объекта КИИ

107. Сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ организации сферы здравоохранения (п.п. 5.1 - 5.4 формы), вносятся на основании данных бухгалтерского учета по разделам "основные средства" и "нематериальные активы", проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения; данных управленческого учета в подразделении, отвечающем за применение информационных технологий и обслуживание средств автоматизации.

3.5. Внесение сведений об угрозах и возможных последствиях

108. Для целей определения категории значимости объектов КИИ организации сферы здравоохранения разработка Модели угроз и Модели нарушителя не требуется, для этих целей проводится верхнеуровневая оценка угроз безопасности информации. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ организации сферы здравоохранения определяются в следующем порядке:

- на основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения определяется состав возможных событий (инцидентов), которые могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак;

- на основании определенных возможных событий (инцидентов) с использованием сведений о взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17), для категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения выбираются потенциальные угрозы безопасности информации;

- на основе анализа сведений о взаимодействии угроз безопасности информации и объектов воздействия (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) и с учетом структурно-функциональных характеристик <53> категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения проводится актуализация потенциальных угроз безопасности информации, неактуальные угрозы исключаются;

--------------------------------

<53> Структура и состав системы, физические, логические, функциональные и технологические взаимосвязи.

- на основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VII Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определяются типы (категории) возможных нарушителей;

- полученные данные о типе (категории) нарушителя с краткой характеристикой основных возможностей нарушителя по реализации угроз безопасности информации или обоснованием невозможности нарушителем реализовать угрозы безопасности информации вносятся в п. 6.1 формы Сведений о результатах категорирования;

- полученные данные об актуальных угрозах безопасности информации или обоснование их неактуальности вносятся в п. 6.2 формы Сведений о результатах категорирования;

- полученные данные о типах компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, или обоснование невозможности наступления компьютерных инцидентов вносятся в п. 7.1 формы Сведений о результатах категорирования.

Пример определения угроз безопасности информации, нарушителей и последствий от возможных инцидентов приведен в разделе VIII Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).

3.6. Внесение сведений о категории значимости объекта КИИ

109. Сведения о присвоенной объекту КИИ организации сферы здравоохранения категории значимости (п. 8.1 формы) вносятся на основании Акта категорирования объекта КИИ организации сферы здравоохранения.

110. Сведения о значениях показателей значимости объекта КИИ организации сферы здравоохранения и их обоснование (п.п. 8.2 - 8.3 формы) вносятся на основании раздела IV Протокола расчета значений критериев значимости объекта КИИ.

111. При обосновании значений показателей значимости объекта КИИ организации сферы здравоохранения на основании раздела IV Протокола расчета значений критериев значимости объекта КИИ и Приложения 14 вносится информация о неприменимости тех или иных показателей.

3.7. Внесение сведений о принимаемых мерах обеспечения безопасности

112. Сведения об организационных мерах, применяемых для обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения (п. 9.1. формы), вносятся на основании реально выполняемых мероприятий в организации сферы здравоохранения. К организационным мерам могут относиться:

- назначение лица, на которое возложены функции обеспечения безопасности значимых объектов КИИ организации сферы здравоохранения;

- определение структурного подразделения, ответственного за обеспечение безопасности значимых объектов КИИ организации сферы здравоохранения;

- разработка организационно-распорядительных документов организации сферы здравоохранения по безопасности значимых объектов КИИ (регламентов, инструкций, руководств);

- установление контролируемой зоны для объекта КИИ организации сферы здравоохранения;

- контроль физического доступа к объекту КИИ организации сферы здравоохранения.

При внесении сведений об организационно-распорядительных документах организации сферы здравоохранения по безопасности значимых объектов КИИ указываются их названия и регистрационные номера (при наличии). Организационно-распорядительные документы должны соответствовать установленным требованиям <54>.

--------------------------------

<54> Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", глава IV.

113. При отсутствии в организации сферы здравоохранения организационных мер, применяемых для обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения, в п. 9.1 указываются планируемые к разработке меры и сроки их реализации.

114. Сведения о технических мерах, применяемых для обеспечения безопасности значимого объекта КИИ (п. 9.2. формы), вносятся на основании проектной документации на систему обеспечения безопасности информации объекта КИИ организации сферы здравоохранения, разработанной в соответствии с установленными требованиями <55> (при наличии) или проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения. К техническим мерам могут быть отнесены следующие меры:

--------------------------------

<55> Приказ ФСТЭК России от 25.12.2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

- идентификация и аутентификация;

- управление доступом;

- ограничение программной среды;

- защита машинных носителей информации;

- аудит безопасности;

- антивирусная защита;

- предотвращение вторжений (компьютерных атак);

- обеспечение целостности;

- обеспечение доступности;

- защита технических средств и систем;

- защита ИС, ИТКС, АСУ и их компонентов.

115. При отсутствии в организации сферы здравоохранения технических мер, применяемых для обеспечения безопасности значимого объекта КИИ, в п. 9.2 указываются планируемые к разработке меры и сроки их реализации.

4. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ

116. В случае положительного решения Комиссии о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости, в соответствии с частью 1 статьи 10 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" в целях обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения обязаны создать систему безопасности такого объекта и обеспечить ее функционирование в соответствии с требованиями <56>, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (ФСТЭК России).

--------------------------------

<56> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 г. N 235.

Кроме того, независимо от результатов категорирования, организации сферы здравоохранения в соответствии с пунктом 1 части 2 статьи 9 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" обязаны организовать взаимодействие с центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и информирования о компьютерных инцидентах. Главным центром ГосСОПКА является Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ).

Состав и последовательность работ по обеспечению безопасности значимых объектов КИИ после завершения категорирования и организации взаимодействия с центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации приведены в Приложении 18.

4.1. Создание системы безопасности значимых объектов КИИ

4.1.1. Общие положения

117. Целью создания системы безопасности значимых объектов КИИ организации сферы здравоохранения является обеспечение их устойчивого функционирования. Средства и методы должны соответствовать категории значимости и быть адекватны для противодействия текущим угрозам.

118. Системы безопасности создаются в отношении всех значимых объектов КИИ организации сферы здравоохранения. Допускается создавать отдельные системы безопасности для одного или группы значимых объектов КИИ.

119. Системы безопасности объединяют силы обеспечения безопасности значимых объектов КИИ организаций сферы здравоохранения и используемые ими средства обеспечения безопасности значимых объектов КИИ.

К силам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся подразделения (работники) организации сферы здравоохранения, ответственные за обеспечение безопасности значимых объектов КИИ.

К средствам обеспечения безопасности значимых объектов КИИ организаций сферы здравоохранения относятся программные и программно-аппаратные средства, применяемые для обеспечения безопасности значимых объектов КИИ (средства защиты информации), в том числе:

- средства защиты информации от несанкционированного доступа (включая встроенные в системное, прикладное программное обеспечение);

- межсетевые экраны;

- средства обнаружения (предотвращения) вторжений;

- средства антивирусной защиты;

- средства (системы) контроля (анализа) защищенности;

- средства управления событиями безопасности;

- средства защиты каналов передачи данных.

Средства защиты информации значимых объектов КИИ объединяются в подсистему обеспечения безопасности значимых объектов КИИ (систему безопасности).

120. Системы безопасности должны функционировать в соответствии с организационно-распорядительными документами по обеспечению безопасности значимых объектов КИИ, разрабатываемыми организацией сферы здравоохранения.

121. Состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов КИИ определяет руководитель организации сферы здравоохранения, в том числе определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов КИИ (структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ, а также определяет обязанности, возлагаемые на работников структурного подразделения по безопасности, в их должностных регламентах (инструкциях). При этом не допускается возложение на структурное подразделение по безопасности функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением информационной безопасности субъекта КИИ в целом.

122. Создание подсистемы обеспечения безопасности значимых объектов КИИ организации сферы здравоохранения включает следующие этапы:

- планирование;

- реализация;

- контроль.

4.1.2. Структурное подразделение по безопасности

123. Структурное подразделение по безопасности, взаимодействуя с подразделениями (работниками), эксплуатирующими значимые объекты КИИ, либо с привлечением организаций, имеющих лицензию на деятельность по технической защите информации и (или) на деятельность по технической защите конфиденциальной информации, должно:

- разработать необходимые организационно-распорядительные документы по безопасности значимых объектов КИИ;

- провести анализ угроз безопасности информации в отношении значимых объектов КИИ и разработать Модель угроз безопасности информации;

- определить необходимые требования по обеспечению безопасности значимых объектов КИИ и обеспечить реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;

- определить порядок реагирования на компьютерные инциденты в соответствии с пунктом 6 части 4 статьи 6 Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

- организовать проведение оценки соответствия значимых объектов КИИ требованиям по безопасности.

124. Для руководителя структурного подразделения по безопасности организации сферы здравоохранения с 01.01.2021 вводятся требования <57> по квалификации и стажу работы:

--------------------------------

<57> Приказ ФСТЭК России от 27.03.2019 г. N 64, пп. 4 п. 1.

- наличие высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов)

- наличие стажа работы в сфере информационной безопасности не менее трех лет;

- прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".

125. Для выполнения функций структурного подразделения по безопасности могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

4.1.3. Этап "Планирование" создания подсистемы обеспечения безопасности

126. На этапе "Планирование" устанавливаются требования, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта КИИ организации сферы здравоохранения, и формируется план мероприятий по обеспечению безопасности значимых объектов КИИ. Этап предполагает выполнение следующих процедур:

- выбор мер обеспечения безопасности значимых объектов КИИ;

- проведение GAP-анализа (аудита) ИС, ИТКС, АСУ значимых объектов КИИ;

- планирование мероприятий по обеспечению безопасности значимых объектов КИИ.

Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.

127. Выбор организационных и технических мер обеспечения безопасности значимых объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно на основе анализа и моделирования угроз безопасности и определения возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения). Подходы, которыми необходимо руководствоваться при моделировании угроз безопасности информации и требования к содержанию Модели угроз, определены ФСТЭК России <58>.

--------------------------------

<58> Приказ ФСТЭК России от 25.12.2017 г. N 239, п. 11.1.

Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.

В случае, если в организации сферы здравоохранения ранее проводилось моделирование угроз безопасности информации, допускается использование результатов такого моделирования для выбора организационных и технических мер обеспечения безопасности значимых объектов КИИ.

128. Меры по обеспечению безопасности выбираются с учетом угроз безопасности информации в соответствии с разделом III Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <59>.

--------------------------------

<59> Утверждены приказом ФСТЭК России от 25.12.2017 г. N 239.

129. Для выявления уже реализованных обязательных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения и определения обязательных мер, подлежащих реализации при создании подсистемы обеспечения безопасности, проводится GAP-анализ (аудит) ИС, ИТКС, АСУ значимых объектов КИИ организаций сферы здравоохранения.

При необходимости, для проведения GAP-анализа (аудита) привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).

При проведении GAP-анализа (аудита) учитываются ранее реализованные меры, установленные требованиями к государственным информационным системам <60>, информационным системам персональных данных <61>, автоматизированным системам управления производственными и технологическими процессами <62>.

--------------------------------

<60> Утверждены приказом ФСТЭК России от 11.02.2013 г. N 17.

<61> Утверждены приказом ФСТЭК России от 18.02.2013 г. N 21.

<62> Утверждены приказом ФСТЭК России от 14.03.2014 г. N 31.

130. Меры, подлежащие реализации при создании подсистемы обеспечения безопасности, выявленные в ходе GAP-анализа (аудита), включаются в техническое задание на создание подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Содержание технического задания определяется п. 10 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <63>. Техническое задание оформляется в соответствии со стандартами <64>.

--------------------------------

<63> Утверждены приказом ФСТЭК России от 25.12.2017 г. N 239.

<64> ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на автоматизированные системы".

131. В рамках планирования мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения в соответствии с установленными требованиями <65> осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов КИИ.

--------------------------------

<65> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п. п. 29 - 33.

4.1.4. Этап "Реализация" создания подсистемы обеспечения безопасности

132. На этапе "Реализация" осуществляется внедрение организационных и технических мер, реализация плана мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения <66>. Этап предполагает выполнение следующих процедур:

--------------------------------

<66> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п. 34.

- разработка организационно-распорядительных документов по безопасности значимых объектов КИИ;

- проектирование подсистемы безопасности значимых объектов КИИ;

- внедрение организационных и технических мер по обеспечению безопасности значимых объектов КИИ.

Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.

133. Организационно-распорядительные документы, определяющие порядок и правила функционирования системы безопасности значимых объектов КИИ организации сферы здравоохранения, а также порядок и правила обеспечения их безопасности, разрабатываются с учетом особенностей деятельности организации сферы здравоохранения, нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры. При этом, положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации) организации сферы здравоохранения, а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Состав и формы организационно-распорядительных документов определяются руководителем организации сферы здравоохранения по предложениям структурного подразделения по безопасности. Организационно-распорядительные документы должны соответствовать установленным требованиям <67>.

--------------------------------

<67> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, раздел IV.

Организационно-распорядительные документы по безопасности значимых объектов КИИ утверждаются руководителем организации сферы здравоохранения (уполномоченным лицом). По решению руководителя организации сферы здравоохранения отдельные организационно-распорядительные документы по безопасности значимых объектов КИИ могут утверждаться иными уполномоченными на это лицами организации сферы здравоохранения.

Работники организации сферы здравоохранения, эксплуатирующие значимые объекты КИИ, должны быть ознакомлены с положениями организационно-распорядительных документов организации сферы здравоохранения по безопасности значимых объектов КИИ в части, их касающейся.

Перечень рекомендуемых организационно-распорядительных документов по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения приведен в Приложении 19.

134. Проектирование подсистемы безопасности значимого объекта КИИ организации сферы здравоохранения должно осуществляться в соответствии с техническим заданием на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта КИИ организации сферы здравоохранения.

135. В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:

- обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта КИИ организации сферы здравоохранения;

- практическую отработку выполнения средствами защиты информации функций безопасности;

- исключение влияния подсистемы безопасности на функционирование значимого объекта КИИ объекта сферы здравоохранения.

136. Применяемые средства защиты информации должны быть обеспечены гарантийной и/или технической поддержкой со стороны разработчиков (производителей). При этом, в значимом объекте КИИ не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств защиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц <68>.

--------------------------------

<68> "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", утв. приказом ФСТЭК России от 25.12.2017 N 239, п. 32.

137. Состав и формы рабочей (эксплуатационной) документации определяются в соответствии с техническим заданием на подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Рабочая (эксплуатационная) документация на значимый КИИ объект должна содержать:

- описание архитектуры подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения;

- порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;

- правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).

138. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ организуется организацией сферы здравоохранения в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект КИИ и включает:

- установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств;

- внедрение организационных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения;

- предварительные испытания значимого объекта КИИ организации сферы здравоохранения и его подсистемы обеспечения безопасности;

- опытную эксплуатацию значимого объекта КИИ организации сферы здравоохранения и его подсистемы безопасности;

- анализ уязвимостей значимого объекта КИИ организации сферы здравоохранения и принятие мер по их устранению;

- приемочные испытания значимого объекта и его подсистемы безопасности.

139. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <69>.

--------------------------------

<69> Утверждены приказом ФСТЭК России от 25.12.2017 N 239, п. 12 - 12.7.

4.1.5. Этап "Контроль" создания подсистемы обеспечения безопасности

140. На этапе "Контроль" осуществляется внутренний контроль организации работ по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения и эффективности принимаемых организационных и технических мер. По решению руководителя организации сферы здравоохранения может организовываться внешняя оценка с привлечением организаций, имеющих лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации). Этап предполагает выполнение следующих процедур:

- формирование комиссии организации сферы здравоохранения для внутреннего контроля либо выбор внешней организации-аудитора;

- проверка выполнения требований и организационно-распорядительных документов по безопасности значимых объектов КИИ организации сферы здравоохранения;

- инструментальный контроль выполнения технических мер безопасности значимых объектов КИИ организации сферы здравоохранения.

Состав процедур этапа "Контроль" создания подсистемы безопасности приведен в Приложении 18.

141. Контроль проводится ежегодно комиссией, назначаемой руководителем организации сферы здравоохранения. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты КИИ, и подразделений, обеспечивающих их функционирование. В состав комиссии могут включаться работники иных подразделений организации сферы здравоохранения.

142. Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых КИИ могут применяться средства контроля (анализа) защищенности.

143. Результаты контроля оформляются актом, который подписывается членами комиссии и утверждается руководителем организации сферы здравоохранения (уполномоченным лицом).

На основе замечаний, выявленных по результатам контроля, формируются предложения по совершенствованию безопасности значимых объектов КИИ организации сферы здравоохранения, включаются в ежегодный план мероприятий по обеспечению безопасности значимых объектов КИИ и устраняются в установленные сроки.

4.2. Организация взаимодействия с центрами ГосСОПКА (справочно)

4.2.1. Общие положения

144. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) обеспечивает сбор, накопление, систематизацию и анализ информации, получаемой от субъектов критической информационной инфраструктуры. Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.

145. Основной организационно-технической составляющей ГосСОПКА являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее - Центры), организованные по ведомственному и территориальному принципам. Главным центром является Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Министерство здравоохранения Российской Федерации может создать ведомственный Центр ГосСОПКА.

Общая структура Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) приведена в Приложении 20.

146. В рамках взаимодействия с ГосСОПКА организация сферы здравоохранения имеет право:

- получать информацию об угрозах безопасности информации, обрабатываемой объектами критической информационной инфраструктуры, функционирующими в сфере здравоохранения, и уязвимости программного обеспечения, оборудования и технологий, используемых на таких объектах КИИ;

- получать информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;

- за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

147. Организации сферы здравоохранения обязаны незамедлительно информировать о компьютерных инцидентах НКЦКИ в установленном порядке <70>.

--------------------------------

<70> Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ Российской Федерации, между субъектами КИИ Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения".

148. Организация взаимодействия с ГосСОПКА предполагает выполнение следующих процедур:

- выбор центра ГосСОПКА, заключение договора;

- уведомление НКЦКИ о вхождении в зону ответственности центра ГосСОПКА;

- разработку Регламентов взаимодействия и реагирования;

- организацию сбора информации об инцидентах ИБ.

Состав процедур организации взаимодействия с ГосСОПКА приведен в Приложении 18.

4.2.2. Выбор Центра ГосСОПКА

149. Организация сферы здравоохранения может организовать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:

- непосредственно через НКЦКИ;

- через ведомственный Центр ГосСОПКА, взаимодействующий с НКЦКИ (при условии его создания);

- через коммерческие (корпоративные) центры ГосСОПКА, созданные на территории региона расположения организации сферы здравоохранения.

150. Взаимодействие организации сферы здравоохранения с Центрами ГосСОПКА осуществляется на договорной основе. После заключения договора на обслуживание с выбранным Центром ГосСОПКА организация сферы здравоохранения уведомляет НКЦКИ о вхождении в зону ответственности центра ГосСОПКА.

151. Взаимодействие организации сферы здравоохранения с Центром ГосСОПКА осуществляется в рамках разрабатываемого Регламента взаимодействия.

4.2.3. Организация сбора и обмена информацией о компьютерных инцидентах

152. Обязательным для организации сферы здравоохранения является обмен информацией о компьютерных инцидентах с НКЦКИ <71> и создаваемым ведомственным Центром ГосСОПКА Министерства здравоохранения Российской Федерации (при условии его создания). Круг иных субъектов КИИ, с которыми осуществляется такой обмен, организации сферы здравоохранения определяют самостоятельно. При направлении информации о компьютерных инцидентах в ведомственный Центр ГосСОПКА Министерства здравоохранения Российской Федерации (при условии его создания) организации сферы здравоохранения обязаны параллельно информировать об этом НКЦКИ.

--------------------------------

<71> Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации".

153. Обмен информацией о компьютерных инцидентах осуществляется в сроки, достаточные для своевременного проведения мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Обмен информацией о компьютерных инцидентах осуществляется путем направления уведомлений в соответствии с установленными форматами <72>.

--------------------------------

<72> Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

154. Взаимодействие с НКЦКИ возможно следующими способами:

- с использованием технической инфраструктуры НКЦКИ (при наличии подключения), предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ;

- посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в сети "Интернет" по адресу: http://cert.gov.ru.

155. Состав информации, передаваемой в рамках взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), приведен в Приложении 21.

Приложение 1

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ,
ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩИХ МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЯХ

В данном документе используются термины и определения, установленные Федеральным законом N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", Федеральным законом N 149-ФЗ "Об информации, информационных технологиях и о защите информации", а также национальными стандартами, и адаптированные для организаций сферы здравоохранения, в частности:

Термины и определения

Сокращения

Приложение 2

ПЕРЕЧЕНЬ
ОСНОВНЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, ИСПОЛЬЗОВАННЫХ
ПРИ РАЗРАБОТКЕ НАСТОЯЩИХ МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ

1. Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

2. Постановление Правительства РФ от 26.06.2012 N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов";

3. Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";

4. Постановление Правительства РФ от 13.04.2019 N 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127";

5. Приказ ФСТЭК России от 06.12.2017 N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации";

6. Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования";

7. Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий";

8. Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";

9. Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации";

10. Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения";

11. ФСТЭК России. Информационное сообщение от 17.04.2020 N 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Приложение 3

ПЕРЕЧЕНЬ
ОРГАНИЗАЦИЙ СФЕРЫ ЗДРАВООХРАНЕНИЯ,
НА КОТОРЫЕ РАСПРОСТРАНЯЕТСЯ ОБЛАСТЬ ДЕЙСТВИЯ НАСТОЯЩИХ
МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ

Рекомендации по проведению процесса категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере здравоохранения, изложенные в настоящих методических рекомендациях, предназначены для организаций сферы здравоохранения (субъектов КИИ) к которым относятся:

I. Органы управления системой здравоохранения, в том числе:

- федеральные органы исполнительной власти в сфере охраны здоровья и их территориальные органы;

- исполнительные органы государственной власти субъектов Российской Федерации в сфере охраны здоровья;

- органы местного самоуправления муниципальных районов и городских округов, осуществляющие полномочия в сфере охраны здоровья.

II. Лечебные организации сферы здравоохранения в соответствии с действующей номенклатурой, утвержденной Приказом Минздрава России от 06.08.2013 N 529н, в том числе:

- больницы;

- родильные дома;

- госпитали;

- медико-санитарные части;

- дома (больницы) сестринского ухода;

- хосписы;

- лепрозории;

- диспансеры;

- амбулатории;

- поликлиники;

- женские консультации;

- дома ребенка;

- молочные кухни;

- центры скорой медицинской помощи и переливания крови;

- санаторно-курортные организации.

III. Медицинские организации особого типа в соответствии с действующей номенклатурой, утвержденной Приказом Минздрава России от 06.08.2013 N 529н, в том числе:

- медицинские центры (профилактики, медицины катастроф, "Резерв", информационно-аналитический, биофизический, военно-врачебной экспертизы, судебно-медицинской экспертизы);

- бюро (медико-социальной экспертизы, медицинской статистики, патологоанатомическое, судебно-медицинской экспертизы);

- лаборатории (клинико-диагностические, бактериологические);

- медицинские воинские формирования (медицинские отряды, отдельные медицинские батальоны).

IV. Медицинские организации по надзору в сфере защиты прав потребителей и благополучия человека в соответствии с действующей номенклатурой, утвержденной Приказом Минздрава России от 06.08.2013 N 529н, в том числе центры (станции):

- гигиены и эпидемиологии;

- противочумные;

- дезинфекционные;

- гигиенического образования населения;

- государственного санитарно-эпидемиологического надзора.

V. Организации, осуществляющие фармацевтическую деятельность (оптовая торговля лекарственными средствами, хранение лекарственных средств и препаратов, перевозка лекарственных средств и препаратов, розничная торговля лекарственными препаратами, отпуск лекарственных препаратов, изготовление лекарственных препаратов для медицинского применения).

VI. Создаваемые юридическими и физическими лицами медицинские организации, фармацевтические организации и иные организации частной системы здравоохранения, осуществляющие деятельность в сфере охраны здоровья.

Приложение 4

ПРИМЕРЫ
ИНФОРМАЦИОННЫХ СИСТЕМ, ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ
СЕТЕЙ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ,
ФУНКЦИОНИРУЮЩИХ В СФЕРЕ ЗДРАВООХРАНЕНИЯ

Примеры ИС, ИТКС, АСУ, которые в рамках настоящих методических рекомендаций могут быть рассмотрены независимо друг от друга и отнесены к отдельным объектам КИИ организации сферы здравоохранения:

Приложение 5

РЕКОМЕНДАЦИИ
ПО ФОРМИРОВАНИЮ ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ
ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ

Согласно Правилам категорирования объектов критической информационной инфраструктуры Российской Федерации <73> категорирование объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно, для чего локальным правовым актом (приказом) руководителя организации сферы здравоохранения создается постоянно действующая комиссия по категорированию объектов КИИ (далее - Комиссия) <74>.

--------------------------------

<73> Утверждены постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 2.

<74> Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 11.

Состав Комиссии

Комиссию возглавляет председатель, в качестве которого выступает руководитель организации сферы здравоохранения или уполномоченное им лицо <75>. При создании Комиссии необходимо учитывать высокую ответственность председателя Комиссии в определении категории значимости объектов КИИ, необходимость привлечения экспертов из различных областей деятельности, а также постоянный характер деятельности Комиссии. Исходя из этого, уполномоченное лицо должно быть наделено определенными полномочиями, а его должностные обязанности должны быть закреплены в порядке, установленном трудовым законодательством <76>.

--------------------------------

<75> Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 13.

<76> Трудовой кодекс Российской Федерации, ст. 60.2.

Членами Комиссии назначаются эксперты из числа наиболее квалифицированных работников организации сферы здравоохранения, являющихся специалистами в области осуществляемых видов деятельности, информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования. В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в ИС, ИТКС, АСУ организации сферы здравоохранения, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

В состав комиссии также включаются работники организации сферы здравоохранения, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры, работники подразделения по защите государственной тайны (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну), работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

Допускается по решению руководителя организации сферы здравоохранения или уполномоченного лица, для оценки критичности бизнес-процессов, выявления задействованности ИС, ИТКС, АСУ в критических бизнес-процессах организации сферы здравоохранения привлекать экспертов сторонних организаций, в том числе организаций, имеющих соответствующие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. При этом, не допускается передавать внешним экспертам право принятия решения о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо решения об отсутствии необходимости присвоения им категорий значимости. Привлекаемые эксперты не являются членами Комиссии.

Форма локального нормативного акта о создании Комиссии

Создание комиссии необходимо оформить локальным нормативным актом (приказом), в котором определяется состав Комиссии, вводится Положение о постоянно действующей комиссии, порядок хранения документов Комиссии.

При назначении председателем Комиссии уполномоченного лица, в локальном нормативном акте должны быть отражены его полномочия.

Локальный нормативный акт (приказ) о создании Комиссии оформляется в соответствии с правилами документооборота, принятыми в организации сферы здравоохранения.

<полное наименование организации сферы здравоохранения>

ПРИКАЗ
(проект)

Во исполнения пункта 11 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 г. N 127, в целях организации проведения работ по категорированию объектов критической информационной инфраструктуры в <полное наименование организации сферы здравоохранения>

ПРИКАЗЫВАЮ:

1. Создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры в <полное наименование организации сферы здравоохранения>.

2. Утвердить состав постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры согласно приложению N 1 к приказу.

3. Утвердить Положение о постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения>.

4. Комиссии организовать работу по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения> в строгом соответствии с постановлением Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.

5. Контроль за исполнением настоящего приказа оставляю за собой.

СОСТАВ ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ
<полное наименование организации сферы здравоохранения>
по категорированию объектов КИИ

Положение
о постоянно действующей комиссии по категорированию
объектов КИИ
<полное наименование организации сферы здравоохранения>
(проект)

1. Положение о комиссии по категорированию объектов критической информационной инфраструктуры (далее - Комиссия) определяет задачи, функции Комиссии, ее права и порядок организации ее деятельности.

2. Комиссия создается для организации работ по категорированию объектов КИИ <наименование организации сферы здравоохранения>.

3. Комиссия является постоянно действующим консультативно-совещательным органом.

4. Комиссия в своей деятельности руководствуется федеральными законами, актами Президента Российской Федерации, Правительства Российской Федерации, в том числе Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127, приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" и настоящим Положением.

5. Состав Комиссии устанавливается приказом по Организации.

6. Комиссия выполняет следующие функции:

6.1. определение бизнес-процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности <наименование организации сферы здравоохранения>, как субъекта КИИ;

6.2. выявление критических бизнес-процессов <наименование организации сферы здравоохранения>;

6.3. выявление объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических бизнес-процессов, и (или) осуществляют управление, контроль или мониторинг критических бизнес-процессов, подготовка предложений для включения в перечень объектов КИИ, подлежащих категорированию, оценка необходимости категорирования вновь создаваемых объектов;

6.4. рассмотрение возможных действий нарушителей в отношении объектов КИИ, а также иных источников угроз безопасности информации;

6.5. анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ <наименование организации сферы здравоохранения>;

6.6. оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;

6.7. расчет показателей значимости для объектов КИИ;

6.8. присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им категорий значимости.

7. Организация деятельности Комиссии.

7.1. Заседания Комиссии проводятся по мере необходимости.

7.2. Решение о проведении заседаний Комиссии принимается председателем Комиссии на основании предложений членов Комиссии.

7.3. Заседания Комиссии проводятся в случае присутствия не менее 50% численного состава постоянных членов Комиссии. Присутствие на заседании Комиссии иных лиц, кроме членов Комиссии, допускается с разрешения председателя Комиссии. В случае отсутствия председателя Комиссии, его полномочия осуществляет один из членов Комиссии, назначенный Председателем Комиссии. При отсутствии кворума заседание Комиссии переносится на другую дату, определяемую Председателем Комиссии.

7.4. Все решения по рассматриваемым Комиссией вопросам принимаются открытым голосованием простым большинством голосов членов Комиссии. При голосовании каждый член Комиссии имеет один голос. При равенстве голосов решающим голосом является голос Председателя Комиссии.

7.5. Решение Комиссии о включении объектов КИИ, <наименование организации сферы здравоохранения>, в перечень объектов КИИ, подлежащих категорированию, оформляется Протоколом Комиссии, подписывается всеми присутствующими членами Комиссии и утверждается Председателем Комиссии.

7.6. Решение Комиссии о присвоении объектам КИИ <наименование организации сферы здравоохранения> одной из категорий значимости, а также решения об отсутствии необходимости присвоения категорий значимости оформляется Актом, подписывается Председателем Комиссии, всеми присутствующими членами Комиссии и утверждается руководителем <наименование организации сферы здравоохранения>.

7.7. Срок подписания проекта Акта Комиссии членом Комиссии не может превышать двух рабочих дней с даты его получения от Секретаря Комиссии. Подписанный членами Комиссии акт Комиссии, направляются Секретарем Комиссии не позднее двух календарных дней Председателю Комиссии на утверждение.

7.8. Акт оформляется с учетом пункта 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127 и должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов КИИ, принадлежащих <наименование организации сферы здравоохранения>.

7.9. В течение 10 рабочих дней со дня утверждения Акта, указанного в пункте 7.7 настоящего Положения, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.

7.10. По результатам заседания Комиссии, помимо решений, указанных в пунктах 7.5, 7.6 настоящего Положения, могут приниматься иные решения Комиссии, которые должны быть отражены в Протоколе Комиссии.

8. Председатель Комиссии:

8.1. несет ответственность за соблюдение установленных сроков проведения категорирования;

8.2. организует работу Комиссии;

8.3. назначает дату, время и место проведения заседаний Комиссии;

8.4. утверждает повестку заседания Комиссии;

8.5. руководит заседанием Комиссии;

8.6. распределяет обязанности между членами Комиссии;

8.7. пользуется правами члена Комиссии при голосовании;

8.8. имеет право:

8.8.1. привлекать для решения частных задач работников <наименование организации сферы здравоохранения>, экспертов сторонних организаций, представителей вышестоящих организаций (без права голоса);

8.8.2. отдавать распоряжения в пределах установленных полномочий, обязательные для исполнения всеми работниками <наименование организации сферы здравоохранения>.

9. Секретарь Комиссии:

9.1. координирует деятельность членов Комиссии;

9.2. готовит проекты повесток заседаний Комиссии и представляет на утверждение председателю Комиссии;

9.3. своевременно информирует членов Комиссии о дате, времени, месте и повестке заседаний Комиссии;

9.4. совместно с членами Комиссии готовит информацию, документы, иные материалы к заседаниям Комиссии;

9.5. ведет протокол заседания Комиссии;

9.6. в течение 3 рабочих дней с даты проведения заседания Комиссии и в соответствии с ее решением готовит итоговые документы и представляет их на подпись председателю Комиссии и членам Комиссии;

9.7. организует и ведет делопроизводство Комиссии и обеспечивает сохранность документов Комиссии;

9.8. осуществляет организационно-техническое обеспечение деятельности Комиссии.

10. Члены Комиссии:

10.1. лично участвуют в заседании Комиссии;

10.2. участвуют в обсуждении вопросов, включенных в повестку заседания Комиссии;

10.3. знакомятся с информацией, документами и материалами по вопросам, вынесенным на обсуждение Комиссии на стадии их подготовки, вносят свои предложения;

10.4. имеют право формировать запросы о получении информации, необходимой для работы Комиссии;

10.5. в случае несогласия с принятым решением излагают свое особое мнение в письменном виде, которое прилагается к соответствующему Протоколу Комиссии.

11. Проекты заключений и актов Комиссии, не позднее 5 календарных дней со дня проведения заседания, направляются Секретарем Комиссии всем членам Комиссии на подписание, за исключением Председателя Комиссии.

12. Протоколы Комиссии и Акты должны храниться в <наименование организации сферы здравоохранения> до вывода из эксплуатации объекта КИИ или до пересмотра ранее установленной категории значимости.

13. Не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений, Комиссия осуществляет пересмотр установленной категории значимости в соответствии с настоящим Положением. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности КИИ (ФСТЭК России).

14. Организационное и материально-техническое обеспечение деятельности Комиссии осуществляется за счет средств <наименование организации сферы здравоохранения>.

15. Комиссия подлежит расформированию в случаях:

15.1. прекращения <наименование организации сферы здравоохранения> выполнения функций (полномочий) или осуществления видов деятельности в сфере здравоохранения;

15.2. ликвидации, реорганизации <наименование организации сферы здравоохранения> и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта КИИ.

С приказом ознакомлены:

Приложение 6

СОСТАВ
ПРОЦЕССОВ, ОСУЩЕСТВЛЯЕМЫХ ПРИ КАТЕГОРИРОВАНИИ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ

Содержание процессов, осуществляемых при категорировании
объектов КИИ

 .
 .
 .
 . Требуется ревизия ВСЕХ                   .
 . бизнес-процессов и их анализ             . Требуется анализ объектов
 . на критичность                           . КИИ по критериям ПП-127. <*>
 . РЕЗУЛЬТАТ: Перечень                      . РЕЗУЛЬТАТ: Сведения о
 . критичных бизнес-процессов               . присвоении категории значимым
 .                                          . объектам КИИ для ФСТЭК
 .                                          .
 .                                          .
┌─────────────────────────────────────────────────────────────────────
│                     \                       \                        \
│                      \      Формирование     \                        \
│    Определение        \ Перечня объектов КИИ  \                        \
│  бизнес-процессов      \  организации сферы    \  Категорирование       \
│  организации сферы     /    здравоохранения    /                        /
│ здравоохранения       / и выделение критичных /                        /
│ и выделение критичных/(значимых) объектов КИИ/                        /
│                     /                       /                        /
│                    /                       /                        /
└────────────────────────────────────────────────────────────────────
                     .
                     . Требуется ревизия ВСЕХ
                     . ИС, АСУ, ИТС и их
                     . задействованности в
                     . реализации
                     . ВСЕХ процессов
                     . РЕЗУЛЬТАТ:    Перечень
                     . потенциально  значимых
                     . объектов КИИ для ФСТЭК
                     . России

--------------------------------

<*> Постановление Правительства Российской Федерации от 08.02.2018 N 127.

Содержание этапов процесса определения бизнес-процессов
организации сферы здравоохранения

 .
 . ПРОЦЕДУРА:                               .
 . Выявление и описание бизнес-процессов в  . ПРОЦЕДУРА:
 . деятельности организации сферы           . Оформление результатов оценки
 . здравоохранения                          . критичности бизнес-процессов
 . ИСХОДНЫЕ ДАННЫЕ:                         . в деятельности организации
 . Реестр типовых бизнес-процессов,         . сферы здравоохранения
 . учредительные документы, Положения о     . ИСХОДНЫЕ ДАННЫЕ:
 . структурных подразделениях, Должностные  . Заключение о критичности
 . обязанности                              . бизнес-процессов
 . РЕЗУЛЬТАТ:                               . РЕЗУЛЬТАТ:
 . Перечень управленческих,                 . Перечень критичных
 . технологических, производственных,       . бизнес-процессов в
 . финансово-экономических и иных           . деятельности организации
 . бизнес-процессов организации             . сферы здравоохранения
┌─────────────────────────────────────────────────────────────────────
│ Составление Перечня \    Высокоуровневая    \                        \
│    управленческих,   \   оценка негативных   \                        \
│    технологических,   \    последствий от     \  Формирование Перечня  \
│   производственных,    \      нарушения        \        критичных       \
│ финансово-экономических/   бизнес-процессов в  /    бизнес-процессов    /
│и иных бизнес-процессов/      деятельности     /   организаций сферы    /
│   Организации сферы  /   организации сферы   /     здравоохранения    /
│   здравоохранения   /    здравоохранения    /                        /
│                    /                       /                        /
└────────────────────────────────────────────────────────────────────
                     .
                     . ПРОЦЕДУРА:
                     . Оценка негативных социальных,
                     . политических, экономических,
                     . экологических последствий,
                     . последствий для обеспечения
                     . обороны страны, безопасности
                     . государства и правопорядка от
                     . нарушения бизнес-процессов в
                     . деятельности медицинской
                     . организации
                     . ИСХОДНЫЕ ДАННЫЕ:
                     . Описание управленческих,
                     . технологических,
                     . производственных,
                     . финансово-экономических и
                     . иных процессов в
                       деятельности медицинской
                       организации
                       РЕЗУЛЬТАТ:
                       Заключение о критичности
                       бизнес-процессов

Содержание этапов процесса определения и формирования
Перечня объектов КИИ организации сферы здравоохранения

 .
 . ПРОЦЕДУРА:                                . ПРОЦЕДУРА:
 . Выявление и определение назначения        . Оформление результатов
 . всех ИС, ИТКС, АСУ, имеющихся в           . анализа задействованности и
 . организации сферы здравоохранения         . влияния ИС, ИТКС, АСУ в
 . ИСХОДНЫЕ ДАННЫЕ:                          . бизнес-процессах
 . Договоры, приказы, ТЗ, бухучет            . организации сферы
 . РЕЗУЛЬТАТ:                                . здравоохранения
 . Перечень объектов КИИ организации         . ИСХОДНЫЕ ДАННЫЕ:
 . сферы здравоохранения                     . Заключение о критичности
                                             . объектов КИИ
                                             . РЕЗУЛЬТАТ:
                                             . Перечень потенциально
                                             . значимых объектов КИИ
                                             . организации сферы
                                             . здравоохранения
┌────────────────────────────────────────────────────────────────────
│                   \                        \                       \
│                    \                        \                       \
│Ревизия и составление\          Оценка        \                       \
│Перечня информационных\   задействованности    \                       \
│        систем,        \       и влияния        \  Формирование Перечня \
│   автоматизированных   \ информационных систем, \ потенциально значимых \
│   систем управления,   /  автоматизированных    /  объектов критической /
│  информационно-теле-  /   систем управления,   /     информационной    /
│   коммуникационных   /  информационно-теле-   /      инфраструктуры   /
│  сетей, имеющихся в / коммуникационных сетей /    организации сферы  /
│  организации сферы /   в бизнес-процессах   /     здравоохранения   /
│  здравоохранения  /    организации сферы   /                       /
│                  /     здравоохранения    /                       /
└──────────────────────────────────────────────────────────────────
                   .
                   . ПРОЦЕДУРА:
                   . Анализ задействованности и
                   . влияния ИС, ИТКС, АСУ в
                   . бизнес-процессах
                   . организации сферы
                   . здравоохранения
                   . ИСХОДНЫЕ ДАННЫЕ:
                   . Перечень объектов КИИ
                   . организации, Перечень
                   . управленческих,
                   . технологических,
                   . производственных,
                   . финансово-экономических и
                   . иных бизнес-процессов
                   . организации сферы
                   . здравоохранения
                   . РЕЗУЛЬТАТ:
                   . Заключение о критичности
                   . объектов КИИ
                   . организации сферы
                   . здравоохранения

Содержание этапов процесса категорирования объектов КИИ
организации сферы здравоохранения

.
.
.                                          . ПРОЦЕДУРА:
. ПРОЦЕДУРА:                               . Оформление результатов
. Анализ возможных действий                . категорирования значимых
. нарушителей в отношении объектов         . объектов КИИ организации сферы
. КИИ организации сферы                    . здравоохранения
. здравоохранения и угроз                  . ИСХОДНЫЕ ДАННЫЕ:
. безопасности информации                  . Рассчитанные количественные
. ИСХОДНЫЕ ДАННЫЕ:                         . значения показателей критериев
. Сведения о мотивации, знаниях            . значимости объектов КИИ
. и возможностях нарушителя                . РЕЗУЛЬТАТ:
. РЕЗУЛЬТАТ:                               . Сведения о результатах
. Наихудший сценарий                       . присвоения объекту КИИ одной
. компьютерной атаки                       . из категорий значимости либо
.                                          . об отсутствии необходимости
                                           . присвоения ему таких категорий
┌─────────────────────────────────────────────────────────────────────
│                     \  Расчет показателей   \                        \
│                      \ критериев значимости  \ Оформление результатов \
│     Выбор сценария    \ объектов критической  \    категорирования     \
│       реализации       \    инфраструктуры     \   значимых объектов    \
│      компьютерных      /     организаций       /      критической       /
│          атак         /        сферы          /      инфраструктуры    /
│                      /    здравоохранения    /    организации сферы   /
│                     /                       /     здравоохранения    /
└─────────────────────────────────────────────────────────────────────
                     .
                     . ПРОЦЕДУРА:
                     . Оценка применимости
                     . критериев значимости
                     . объектов КИИ, расчет
                     . показателей критериев
                     . значимости
                     . ИСХОДНЫЕ ДАННЫЕ:
                     . Перечень объектов КИИ,
                     . подлежащих категорированию,
                     . постановление Правительства
                     . РФ от 08.02.2018 г. N 127
                     . РЕЗУЛЬТАТ:
                     . Количественные значения
                     . показателей критериев
                     . значимости объектов КИИ
                     . организации сферы
                     . здравоохранения
                       Обоснование об отсутствии
                       необходимости присвоения
                       объекту КИИ категории
                       значимости

Приложение 7

ФОРМА РЕЕСТРА
БИЗНЕС-ПРОЦЕССОВ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ

Образец Реестра бизнес-процессов

                                                    УТВЕРЖДАЮ
                                       ____________________________________
                                       (должность руководителя организации
                                             сферы здравоохранения)
                                       ____________________________________
                                                    (Ф.И.О.)
                                             "  " __________ 20__ г.

                                  РЕЕСТР
                             бизнес-процессов
          <полное наименование организации сферы здравоохранения>

    Председатель постоянно действующей Комиссии
    по категорированию объектов КИИ
     <полное наименование организации сферы здравоохранения>
                                                             ______________
                                                               (Ф.И.О.)
    "__" __________ 20__ г

Пример заполнения формы Реестра бизнес-процессов

РЕЕСТР
бизнес-процессов
<полное наименование организации сферы здравоохранения>

Приложение 8

СПРАВОЧНЫЕ МАТЕРИАЛЫ
ПО ОЦЕНКЕ КРИТИЧНОСТИ БИЗНЕС-ПРОЦЕССОВ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ

I. Критерии влияния бизнес-процессов организации сферы здравоохранения на показатели возможных последствий

--------------------------------

<77> В контексте настоящего документа под государственным органом подразумеваются федеральные органы государственной власти в сфере охраны здоровья, а также органы государственной власти субъектов Российской Федерации в сфере охраны здоровья.

<78> Только для государственной корпорации, государственного унитарного предприятия, государственной компании, стратегического акционерного общества, стратегического предприятия.

<79> Только для субъектов КИИ, являющихся в соответствии с законодательством РФ системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.

II. Алгоритмы оценки критичности бизнес-процессов

Алгоритм оценки социальной значимости бизнес-процесса

Алгоритм оценки политической значимости бизнес-процесса

Приложение 9

ФОРМА
ПЕРЕЧНЯ КРИТИЧЕСКИХ БИЗНЕС-ПРОЦЕССОВ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ

Перечень критических бизнес-процессов организации сферы здравоохранения

                                                    УТВЕРЖДАЮ
                                       ____________________________________
                                       (должность руководителя организации
                                             сферы здравоохранения)
                                       ____________________________________
                                                    (Ф.И.О.)
                                             "  " __________ 20__ г.

                                 ПЕРЕЧЕНЬ
                       критических бизнес-процессов
          <полное наименование организации сферы здравоохранения>

    Председатель постоянно действующей Комиссии
    по категорированию объектов КИИ
    <полное наименование организации сферы здравоохранения> _______________
    (Ф.И.О.)
    "__" __________ 202_ г.

Пример заполнения формы Перечня критических бизнес-процессов организации сферы здравоохранения

Приложение 10

ФОРМА
РЕЕСТРА ИС, ИТКС, АСУ, ИМЕЮЩИХСЯ В ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ

Форма Реестра ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения

                                                    УТВЕРЖДАЮ
                                       ____________________________________
                                       (должность руководителя организации
                                             сферы здравоохранения)
                                       ____________________________________
                                                    (Ф.И.О.)
                                             "  " __________ 20__ г.

                                  РЕЕСТР
       информационных систем, автоматизированных систем управления,
       информационно-телекоммуникационных сетей, имеющихся на праве
          собственности, аренды или на ином законном основании в

___________________________________________________________________________
          <полное наименование организации сферы здравоохранения>

Председатель постоянно действующей Комиссии
по категорированию объектов КИИ
<полное наименование организации сферы здравоохранения>
                                                              _____________
(Ф.И.О.)
"__" __________ 201_ г.

--------------------------------

<80> Код вводится для удобства дальнейшего заполнения форм и устанавливается в произвольной форме, удобной для восприятия (например, ИС-1, ИС-2, ... АСУ-1, АСУ-2, ... ИТКС-1, ИТКС-2, ...).

<81> Указывается один из следующих типов объекта: информационная система (ИС), автоматизированная система управления (АСУ), информационно-телекоммуникационная сеть (ИТКС).

<82> Указывается: здравоохранение (ЗО).

<83> Указываются реквизиты документа, подтверждающего право собственности, аренды или иное законное основание владения объектом.

Образец заполнения Реестра ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения

                                  РЕЕСТР
       информационных систем, автоматизированных систем управления,
       информационно-телекоммуникационных сетей, имеющихся на праве
          собственности, аренды или на ином законном основании в

___________________________________________________________________________
          <полное наименование организации сферы здравоохранения>

Председатель постоянно действующей Комиссии
по категорированию объектов КИИ
<полное наименование организации сферы здравоохранения>
                                                              _____________
(Ф.И.О.)
"__" __________ 20__ г.

Приложение 11

АЛГОРИТМ
ОЦЕНКИ ЗАДЕЙСТВОВАННОСТИ И ВЛИЯНИЯ ИС, ИТКС, АСУ
НА БИЗНЕС-ПРОЦЕССЫ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ

Приложение 12

ФОРМА ПЕРЕЧНЯ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ
ЗДРАВООХРАНЕНИЯ, ПОДЛЕЖАЩИХ КАТЕГОРИРОВАНИЮ

                                                    УТВЕРЖДАЮ
                                       ____________________________________
                                        Должность руководителя организации
                                             сферы здравоохранения или
                                              уполномоченного им лица
                                         _______________________________
                                             Фамилия, имя, отчество
                                                  (при наличии)
                                       "__" ___________ 20__ г.

                                 ПЕРЕЧЕНЬ
            объектов критической информационной инфраструктуры
    _________________________________________________________________,
          <полное наименование организации сферы здравоохранения>
                        подлежащих категорированию

--------------------------------

<84> Указывается один из следующих типов объекта: ИС, ИТКС, АСУ.

<85> Указывается: здравоохранение.

<86> Указываются должность, фамилия, имя, отчество (при наличии) должностного лица, с которым можно осуществить взаимодействие по вопросам категорирования объекта. Для нескольких объектов может быть определено одно должностное лицо.

Приложение 13

СОСТАВ
ВОЗМОЖНЫХ СОБЫТИЙ (ИНЦИДЕНТОВ), КОТОРЫЕ МОГУТ
ВОЗНИКНУТЬ В РЕЗУЛЬТАТЕ РЕАЛИЗАЦИИ НАИХУДШЕГО СЦЕНАРИЯ
ЦЕЛЕНАПРАВЛЕННЫХ КОМПЬЮТЕРНЫХ АТАК НА ИС, ИТКС, АСУ

--------------------------------

<87> Наихудший сценарий, учитывающий проведение целенаправленных компьютерных атак на объекты КИИ.

<88> Для государственных корпораций, унитарных предприятий и компаний, стратегических акционерных обществ и предприятий.

<89> Для системно значимой кредитной организации, оператора услуг платежной инфраструктуры системно и (или) социально значимых платежных систем, системно значимой инфраструктурной организации финансового рынка.

Приложение 14

ВАРИАНТЫ
ОБОСНОВАНИЯ НЕПРИМЕНИМОСТИ КРИТЕРИЕВ ЗНАЧИМОСТИ,
УСТАНОВЛЕННЫХ ПОСТАНОВЛЕНИЕМ ПРАВИТЕЛЬСТВА РФ
ОТ 08.02.2018 Г. N 127

(Справочно)

--------------------------------

<90> Для государственных корпораций, государственных унитарных предприятий, государственных компаний, стратегических акционерных обществ, стратегических предприятий.

Приложение 15

ФОРМА ПРОТОКОЛА
РАСЧЕТОВ ЗНАЧЕНИЙ КРИТЕРИЕВ ЗНАЧИМОСТИ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ

                                                  УТВЕРЖДАЮ
                                Председатель постоянно действующей Комиссии
                                      по категорированию объектов КИИ
                                     <полное наименование организации
                                          сферы здравоохранения>
                                ___________________________________________
                                                 (Ф.И.О.)
                                          "  " __________ 20__ г.

                                ПРОТОКОЛ N ______________
              расчетов значений критериев значимости объектов
                        критической инфраструктуры

"  " _________ 20__ г.             гор. ____________________

Председательствующий: _____________________________________________________
Секретарь: ________________________________________________________________

Присутствовали: ___________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

Приглашенные эксперты: ____________________________________________________
___________________________________________________________________________
___________________________________________________________________________

Повестка дня:
    1. Рассмотрение  и  утверждение  расчетов значений критериев значимости
       объектов КИИ <полное наименование организации сферы здравоохранения>
    2. Формирование   Заключения   о   присвоении   объекту   КИИ   <полное
       наименование   организации  сферы  здравоохранения>  или  отсутствии
       необходимости присвоения одной из категорий значимости объектов КИИ.

Кворум  для проведения заседания Комиссии по категорированию в соответствии
с   пунктом   7.4.   Положения   о   постоянно   действующей   комиссии  по
категорированию   объектов   КИИ <полное  наименование   организации  сферы
здравоохранения> имеется.

В результате анализа представленных в Комиссию материалов, установлено:

    --------------------------------
    <91>  Заполняется  в  соответствии  с  Реестром  информационных систем,
автоматизированных  систем  управления,  информационно-телекоммуникационных
сетей,  имеющихся  на  праве  собственности,  аренды  или  на ином законном
основании.
    <92>   Указывается:   одноранговая   сеть,   клиент-серверная  система,
технология  "тонкий  клиент",  сеть передачи данных, система диспетчерского
управления и контроля, распределенная система управления, иная архитектура.
    <93> Указывается: сеть общего пользования, выделенная, технологическая,
присоединенная  к  сети  связи общего пользования, специального назначения,
другая  сеть  связи или сведения об отсутствии взаимодействия объекта КИИ с
сетями электросвязи.
    <94>   Указывается:   передача   (прием)  информации,  оказание  услуг,
управление,  контроль  за  технологическим,  производственным оборудованием
(исполнительными устройствами), иная цель.
    <95>   Указывается:   проводной,   беспроводной,   технологии  доступа,
протоколы взаимодействия.
    <96> Указывается от какого другого объекта КИИ зависит функционирование
оцениваемого объекта КИИ или сведения об отсутствии зависимости.
    <97>   Указывается   в   соответствии   с   Реестром   бизнес-процессов
юридического лица.

IV. РЕЗУЛЬТАТЫ РАСЧЕТА ЗНАЧЕНИЙ КРИТЕРИЕВ ЗНАЧИМОСТИ ОБЪЕКТА КИИ <98>

    --------------------------------
    <98>  В  данный  раздел  включено  обоснование неприменимости критериев
значимости  с учетом раздела "Допущения и ограничения" и Приложений 13 и 14
настоящего документа.
    <99>  Компьютерная  атака  по  своей  сути является одной из реализаций
угроз безопасности информации.
    <100>   Для   государственных   корпораций,  государственных  унитарных
предприятий,  государственных компаний, стратегических акционерных обществ,
стратегических предприятий.
    <101>  Для  системно  значимой  кредитной  организации, оператора услуг
платежной  инфраструктуры  системно  и  (или)  социально значимых платежных
систем, системно значимой инфраструктурной организации финансового рынка.

V. ЗАКЛЮЧЕНИЕ КОМИССИИ

    (ВАРИАНТ 1)

    На  основании  проведенных  расчетов  показателей  критериев значимости
объектов  критической  инфраструктуры  для  <наименование  ИС,  АСУ,  ИТКС>
постоянно  действующая  Комиссия  по  категорированию  объектов КИИ <полное
наименование  организации  сферы  здравоохранения> пришла к заключению, что
<наименование ИС, АСУ, ИТКС> относится к ____ категории значимости объектов
критической     инфраструктуры    Российской    Федерации,    установленных
постановлением Правительства РФ от 08.02.2018 г. N 127.

    (ВАРИАНТ 2)

    Проведенные  расчеты  показывают,  что для <наименование ИС, АСУ, ИТКС>
показатели  критериев  значимости объектов критической инфраструктуры, ниже
установленных  постановлением  Правительства  РФ  от  08.02.2018  г. N 127.
Постоянно  действующая  Комиссия  по  категорированию  объектов КИИ <полное
наименование  организации  сферы  здравоохранения> пришла к заключению, что
для <наименование ИС, АСУ, ИТКС> отсутствует необходимость присвоения одной
из  категорий  значимости  объектов  критической  инфраструктуры Российской
Федерации,  установленных  постановлением Правительства РФ от 08.02.2018 г.
N 127.

СЕКРЕТАРЬ КОМИССИИ
__________________ - ____________________________________
      (ФИО)                      (подпись)

ЧЛЕНЫ КОМИССИИ:
__________________ - ____________________________________
      (ФИО)                      (подпись)
__________________ - ____________________________________
      (ФИО)                      (подпись)
__________________ - ____________________________________
      (ФИО)                      (подпись)
__________________ - ____________________________________
      (ФИО)                      (подпись)

Приложение 16

ФОРМА АКТА
КАТЕГОРИРОВАНИЯ ОБЪЕКТА КИИ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ

                                                     УТВЕРЖДАЮ
                                      _____________________________________
                                        Должность руководителя организации
                                              сферы здравоохранения
                                             (уполномоченного лица)
                                         _______________________________
                                           Фамилия, имя, отчество (при
                                                    наличии)
                                      "__" __________ 20__ г.

                                АКТ N _____
                   категорирования объектов критической
                       информационной инфраструктуры
    ___________________________________________________________________
          <полное наименование организации сферы здравоохранения>

________________________                "  " _________ 20__ г.
(место составления акта)

    Во   исполнение   приказа  <должность  руководителя  организации  сферы
здравоохранения>   N  ___________  от  ____________,  постоянно действующая
комиссия    по    категорированию   объектов   критической   информационной
инфраструктуры  <полное  наименование  организации  сферы здравоохранения>,
руководствуясь  статьей  7  Федерального  закона  от 26.07.2017 N 187-ФЗ "О
безопасности    критической    информационной   инфраструктуры   Российской
Федерации",  Правилами  категорирования объектов критической информационной
инфраструктуры Российской Федерации, а также Перечнем показателей критериев
значимости  объектов  критической  информационной инфраструктуры Российской
Федерации  и  их  значений,  утвержденных  постановлением  Правительства РФ
от 08.02.2018 N 127, на основании результатов расчета показателей критериев
значимости объектов критической информационной инфраструктуры, изложенных в
Протоколе N ___ расчетов значений критериев значимости объектов критической
инфраструктуры, пришла к следующему заключению:
      <наименование ИС, АСУ, ИТКС, подлежащей категорированию <102>>,
построенная по архитектуре <архитектура ИС, АСУ, ИТКС <103>>, находящаяся у
<наименование  организации  сферы здравоохранения>, на основании <основание
права  собственности,  аренды  или  иного  законного  основания  владения>,
расположенная   по   адресу   <адрес   размещения   объекта   КИИ   <104>>,
предназначенная  для  <назначение  ИС, АСУ, ИТКС>, обрабатывает информацию,
необходимую для обеспечения <наименование всех критических бизнес-процессов
<105>   в   которых  задействована  ИС,  АСУ,  ИТКС  и  (или)  осуществляет
управление,  контроль  или мониторинг этих процессов>, относится к значимым
объектам критической инфраструктуры <категория <106>> категории <107>.

Председатель комиссии
__________________ - ____________________________________,
      (ФИО)                      (подпись)

Секретарь комиссии:
__________________ - ____________________________________
      (ФИО)                      (подпись)

--------------------------------

<102> Указывается в соответствии с Перечнем объектов КИИ медицинской организации, подлежащих категорированию.

<103> Указывается: одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура.

<104> Указывается адрес размещения объекта, в том числе адрес обособленных подразделений, филиалов, в которых размещаются сегменты распределенного объекта (серверы, рабочие места, технологическое, производственное оборудование (исполнительные устройства).

<105> Указывается в соответствии с Перечнем критических бизнес-процессов медицинской организации.

<106> Указывается в соответствии с Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства РФ от 08.02.2018 N 127.

<107> Либо указывается, что отсутствует необходимость присвоения ему одной из таких категорий.

Приложение 17

СПРАВОЧНЫЕ МАТЕРИАЛЫ
ПО ПОДГОТОВКЕ ДОКУМЕНТОВ ДЛЯ ОТПРАВКИ В ФСТЭК РОССИИ

I. Образец сопроводительного письма в ФСТЭК России о направлении Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию

          <на фирменном бланке организации сферы здравоохранения>

                             Экспедиция ФСТЭК России,
                             8-е управление ФСТЭК России
                             ул. Старая Басманная, д. 17, г. Москва, 105066

О направлении Перечня объектов КИИ
<полное наименование организации
сферы здравоохранения>,
подлежащих категорированию

    В соответствии с пунктом 15 Правил категорирования объектов критической
информационной   инфраструктуры   Российской  Федерации,  а  также  перечня
показателей   критериев   значимости  объектов  критической  информационной
инфраструктуры   Российской   Федерации   и   их   значений,   утвержденных
постановлением  Правительства  Российской Федерации от 08.02.2018 N 127 "Об
утверждении  Правил  категорирования  объектов  критической  информационной
инфраструктуры  Российской Федерации, а также перечня показателей критериев
значимости  объектов  критической  информационной инфраструктуры Российской
Федерации   и   их  значений"  направляем  Перечень  объектов  КИИ  <полное
наименование     организации     сферы     здравоохранения>,     подлежащих
категорированию.
    В  случае  возникновения вопросов или необходимости получить какие-либо
разъяснения  с  нашей стороны, просим обращаться к <ФИО, телефон, адрес эл.
почты>.

    Приложение:  1. Перечень  объектов КИИ <полное наименование организации
                    сферы   здравоохранения>,   подлежащих  категорированию
                    на _____ <число прописью> листах в 1 (одном) экз.
                 2. Электронная   копия   Перечень   объектов  КИИ  <полное
                    наименование    организации   сферы   здравоохранения>,
                    подлежащих   категорированию   <формат   *.odt,  *.ods>
                    на носителе _____________ в 1 (одном) экз.
                 Все приложения только в адрес.

Руководитель
__________________ - ____________________________________.
      (ФИО)                      (подпись)

II. Образец сопроводительного письма в ФСТЭК России о присвоении объекту КИИ категории значимости

          <на фирменном бланке организации сферы здравоохранения>

                             Экспедиция ФСТЭК России,
                             8-е управление ФСТЭК России
                             ул. Старая Басманная, д. 17, г. Москва, 105066

О направлении сведений о результатах
присвоения объектам КИИ <полное
наименование организации сферы здравоохранения>
категорий значимости либо об отсутствии
необходимости присвоения им таких категорий

    Во  исполнение  требований  пункта  17  Правил категорирования объектов
критической   информационной   инфраструктуры  Российской  Федерации  (утв.
Постановлением   Правительства  РФ  от  8  февраля  2018  года  N  127) и в
соответствии  с  Информационным  сообщением  ФСТЭК России от 17 апреля 2020
года N 240/84/611 направляем Сведения о результатах присвоения объектам КИИ
<полное   наименование   организации   сферы   здравоохранения>   категорий
значимости либо об отсутствии необходимости присвоения им таких категорий.
    В  случае  возникновения вопросов или необходимости получить какие-либо
разъяснения  с  нашей стороны, просим обращаться к <ФИО, телефон, адрес эл.
почты>.

    Приложение:  1. Сведения  о результатах присвоения объектам критической
                    информационной инфраструктуры одной из категорий
                    значимости  либо об отсутствии необходимости присвоения
                    им одной из таких категорий на _______ (число прописью)
                    листах в 1 (одном) экз.
                 2. Электронная  копия  Сведения о  результатах  присвоения
                    объектам   критической   информационной  инфраструктуры
                    одной   из  категорий  значимости  либо  об  отсутствии
                    необходимости  присвоения  им  одной из таких категорий
                    <формат, *.ods> на носителе _________ в 1 (одном) экз.
                 Все приложения только в адрес.

Руководитель
__________________ - ____________________________________.
      (ФИО)                      (подпись)

III. Форма Сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий

1. Сведения об объекте критической информационной инфраструктуры

2. Сведения о субъекте критической информационной инфраструктуры

3.   Сведения   о   взаимодействии   объекта   критической   информационной
инфраструктуры и сетей электросвязи

4.  Сведения  о  лице,  эксплуатирующем  объект  критической информационной
инфраструктуры

5.  Сведения  о программных и программно-аппаратных средствах, используемых
на объекте критической информационной инфраструктуры

6.  Сведения  об угрозах безопасности информации и категориях нарушителей в
отношении объекта критической информационной инфраструктуры

7. Возможные последствия в случае возникновения компьютерных инцидентов

8.    Категория   значимости,   которая   присвоена   объекту   критической
информационной  инфраструктуры,  или  сведения  об отсутствии необходимости
присвоения  одной  из  категорий значимости, а также сведения о результатах
оценки показателей критериев значимости

9.   Организационные   и  технические  меры,  применяемые  для  обеспечения
безопасности значимого объекта критической информационной инфраструктуры

____________________________________   ___________   ___________________
(Наименование должности руководителя    (подпись)    (инициалы, фамилия)
 организации сферы здравоохранения
    или уполномоченного им лица)          М.П.
                                     (при наличии
                                         печати)
"__" _______ 20__ г.

IV. Классификация и характеристика сетей электросвязи

V. Взаимосвязь возможных угроз безопасности информации и инцидентов

VI. Взаимосвязь возможных угроз безопасности информации и объектов воздействия ИС, ИТКС, АСУ

VII. Классификация, характеристика и возможности нарушителей по реализации угроз безопасности информации

VIII. Примеры определения угроз безопасности информации, нарушителей и последствий инцидентов для организации сферы здравоохранения

Пример 1. ГИС "Наименование"

1. На основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС установлено, что для ГИС "Наименование" характерны два критерия значимости:

В п. 7.1. Формы представления Сведений о категорировании вносится:

2. На основании определенных в п. 1 возможных событий (инцидентов) с учетом данных раздела V Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17) выявлены следующие угрозы безопасности информации для ГИС "Наименование":

Потенциальными угрозами безопасности информации для ГИС "Наименование" являются:

- угрозы создания нештатных режимов работы;

- угрозы доступа (проникновения) в операционную среду

- угрозы удаленного доступа (сетевые атаки)

- угрозы программно-математического воздействия (вирусные атаки)

- угрозы социально-психологического характера

3. При актуализации состава возможных угроз безопасности информации с учетом с учетом структурно-функциональных характеристик ГИС "Наименование" определены следующие объекты воздействия:

- Оборудование ИС, ИТКС, АСУ

- Пользователи ИС, ИТКС, АСУ

- Обеспечивающий персонал

- Центр обработки данных

- Серверное оборудование

- Сетевое оборудование

- Программные компоненты для передачи данных по сетям

- Файлы данных (информация)

- Базы данных с информацией

- Прикладные программы доступа и обработки информации

Взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) показали, что состав угроз после актуализации не изменился.

В п. 6.2 Формы представления Сведений о категорировании вносится:

4. На основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определены типы (категории) возможных нарушителей:

В п. 6.1 Формы представления Сведений о категорировании вносится:

Пример 2. МПКС

1. На основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС установлено, что для МПКС (аппаратура для искусственной вентиляции легких) характерны следующие критерия значимости:

В п. 7.1. Формы представления Сведений о категорировании вносится:

2. На основании определенных в п. 1 возможных событий (инцидентов) с учетом данных раздела V Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17) выявлены следующие угрозы безопасности информации для МПКС:

3. Учитывая структурно-функциональные характеристики МПКС, включающие структуру и состав системы, физические, логические, функциональные и технологические взаимосвязи, исключающие возможность удаленного доступа, угрозы удаленного доступа не являются актуальными и исключаются.

При актуализации состава возможных угроз безопасности информации с учетом с учетом структурно-функциональных характеристик МПКС определены следующие объекты воздействия:

- Исполнительные устройства

- Прикладные программы доступа и обработки информации

Взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) показал, что угрозы социально-психологического характера не являются актуальными.

В п. 6.2 Формы представления Сведений о категорировании вносится:

4. На основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определены типы (категории) возможных нарушителей:

Учитывая, что нарушители типа Н6 имеют мотивацию только в отношении определенной категории пациентов, данный тип нарушителей не актуален для обычного организации сферы здравоохранения и могут быть исключены из состава актуальных.

В п. 6.1 Формы представления Сведений о категорировании вносится:

Приложение 18

СОСТАВ
И ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ

Состав этапов создания подсистемы безопасности значимых
объектов КИИ и организации взаимодействия

Состав процедур этапа "Планирование" создания
подсистемы безопасности

  ПРОЦЕДУРА:
. Разработка Модели угроз безопасности  . ПРОЦЕДУРА:
. информации и Модели нарушителя, выбор . Оформление результатов
. мер обеспечения безопасности значимых . категорирования значимых
. объектов КИИ организации сферы        . объектов КИИ медицинской
. здравоохранения                       . организации
. ИСХОДНЫЕ ДАННЫЕ:                      . ИСХОДНЫЕ ДАННЫЕ:
. Перечень значимых объектов КИИ        . ТЗ на создание системы
. Приказ ФСТЭК России от 25.12.2017 г.  . обеспечения безопасности
. N 239                                 . значимых объектов КИИ,
. Банк данных угроз (ФСТЭК России)      . приказ ФСТЭК России
. РЕЗУЛЬТАТ:                            . от 21 декабря 2017 г. N 235
. Модель угроз, Модель нарушителя,      . РЕЗУЛЬТАТ:
. Состав мер обеспечения безопасности   . Ежегодный план мероприятий по
. значимых объектов КИИ                 . обеспечению безопасности
                                        . значимых объектов КИИ
                                        . организации сферы здравоохранения
┌──────────────────────────────────────────────────────────────────────
│                \                       \                             \
│    Выбор мер    \                       \                             \
│    обеспечения   \       Проведение      \  Планирование мероприятий   \
│    безопасности   \ GAP-анализа ИС, ИТКС, \ по обеспечению безопасности \
│ значимых объектов / АСУ значимых объектов /    значимых объектов КИИ    /
│  КИИ организаций / КИИ организаций сферы /      организации сферы      /
│      сферы      /    здравоохранения    /       здравоохранения       /
│ здравоохранения/                       /                             /
└──────────────────────────────────────────────────────────────────────
                 .
                 . ПРОЦЕДУРА:
                 . Оценка "разрывов" между требуемыми
                 . и существующими мерами безопасности
                 . при использовании ИС, ИТКС, АСУ
                 . ИСХОДНЫЕ ДАННЫЕ:
                 . Перечень значимых объектов КИИ,
                 . Состав мер обеспечения безопасности
                 . значимых объектов КИИ
                 . РЕЗУЛЬТАТ:
                 . Техническое задание (ТЗ) на создание
                 . системы обеспечения безопасности
                 . значимых объектов КИИ организации сферы
                 . здравоохранения

Состав процедур этапа "Реализация" создания
подсистемы безопасности

  ПРОЦЕДУРА:
. Разработка комплекта организационно-       ПРОЦЕДУРА:
. распорядительных документов              . Установка, настройка средств
. ИСХОДНЫЕ ДАННЫЕ:                         . защиты информации
. Приказ ФСТЭК России от 25.12.2017 г.     . ИСХОДНЫЕ ДАННЫЕ:
. N 239                                    . Проектная и рабочая
. Приказ ФСТЭК России от 21.12.2017 г.     . документация
. N 235                                    . РЕЗУЛЬТАТ:
. РЕЗУЛЬТАТ:                               . Действующая подсистема
. Комплект организационно-распорядительных . безопасности значимого объекта
. документов по обеспечению безопасности   . КИИ
. значимых объектов КИИ                    .
.                                          .
┌─────────────────────────────────────────────────────────────────────
│                         \                   \                       \
│        Разработка        \   Проектирование  \       Внедрение       \
│      организационно-      \     подсистемы    \   организационных и   \
│      распорядительных      \    безопасности   \   технических мер по  \
│  документов по безопасности \ значимых объектов \      обеспечению      \
│    значимых объектов КИИ    /  КИИ организации  /      безопасности     /
│      организаций сферы     /       сферы       /   значимых объектов   /
│      здравоохранения      /  здравоохранения  /    КИИ организации    /
│                          /                   / сферы здравоохранения /
└──────────────────────────────────────────────────────────────────────
                          .
                          . ПРОЦЕДУРА:
                          . Проектирование подсистемы
                          . безопасности значимого
                          . объекта, разработка
                          . рабочей (эксплуатационной)
                          . документации на значимый
                          . объект КИИ (в части
                          . обеспечения его безопасности)
                          . ИСХОДНЫЕ ДАННЫЕ:
                          . ТЗ на создание системы
                          . обеспечения безопасности
                          . значимых объектов КИИ,
                          . Приказ ФСТЭК России
                          . от 25.12.2017 г. N 239
                          . РЕЗУЛЬТАТ:
                            Проектная и рабочая
                            документация на подсистему
                            безопасности значимого объекта
                            КИИ организации сферы
                            здравоохранения.

Состав процедур этапа "Контроль" создания
подсистемы безопасности

  ПРОЦЕДУРА:
. Определение состава и назначение        ПРОЦЕДУРА:
. комиссии по контролю (аудиту),        . Пен-тест, анализ функционирования
. планирование контроля                 . подсистемы безопасности
. ИСХОДНЫЕ ДАННЫЕ:                      . ИСХОДНЫЕ ДАННЫЕ:
. Приказ ФСТЭК России от 21.12.2017 г.  . приказ ФСТЭК России
. N 235,                                . от 21.12.2017 г. N 235,
. Ежегодный план мероприятий по         . Приказ ФСТЭК России
. обеспечению безопасности значимых     . от 25.12.2017 г. N 239
. объектов КИИ организации сферы        . РЕЗУЛЬТАТ:
. здравоохранения                       . План совершенствования
. РЕЗУЛЬТАТ:                            . мероприятий по обеспечению
. Локальный нормативный акт             . безопасности значимых объектов
. о назначении комиссии по контролю     . КИИ организации сферы
. состояния безопасности значимых       . здравоохранения
. объектов КИИ организации сферы        .
. здравоохранения.                      .
.                                       .
┌─────────────────────────────────────────────────────────────────────
│                    \                       \                        \
│                     \  Проверка выполнения  \                        \
│                      \      требований и     \                        \
│      Формирование     \    организационно-    \    Инструментальный    \
│     для внутреннего    \    распорядительных   \   контроль выполнения  \
│        контроля        /       документов      /     технических мер    /
│   либо выбор внешней  /    по безопасности    /      безопасности      /
│ организации-аудитора /   значимых объектов   /  значимых объектов КИИ /
│                     /    КИИ организации    /                        /
│                    / сферы здравоохранения /                        /
└─────────────────────────────────────────────────────────────────────
                     .
                     . ПРОЦЕДУРА:
                     . Контроль организации работ
                     . по обеспечению безопасности
                     . значимых объектов КИИ
                     . и эффективности принимаемых
                     . организационных и технических мер
                     . ИСХОДНЫЕ ДАННЫЕ:
                     . Организационно-распорядительные
                     . документы, Приказ ФСТЭК России
                     . от 25.12.2017 г. N 239
                     . РЕЗУЛЬТАТ:
                     . Акт проверки, План совершенствования
                     . мероприятий по обеспечению
                     . безопасности значимых объектов КИИ
                       организации сферы здравоохранения

Приложение 19

ПЕРЕЧЕНЬ
РЕКОМЕНДУЕМЫХ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КИИ
ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ

Приложение 20

ОБЩАЯ СТРУКТУРА
ГОСУДАРСТВЕННОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ
И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК НА ИНФОРМАЦИОННЫЕ
РЕСУРСЫ РОССИЙСКОЙ ФЕДЕРАЦИИ (ГОССОПКА)

Приложение 21

СОСТАВ
ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ В РАМКАХ ВЗАИМОДЕЙСТВИЯ
С ГОСУДАРСТВЕННОЙ СИСТЕМОЙ ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ
И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК НА ИНФОРМАЦИОННЫЕ
РЕСУРСЫ РОССИЙСКОЙ ФЕДЕРАЦИИ (ГОССОПКА)