Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. Версия 1.0 (утв. Министерством здравоохранения РФ 5 апреля 2021 г.)

Национальный проект "Здравоохранение"

Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)"

Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения
Версия 1.0
(утв. Министерством здравоохранения РФ 5 апреля 2021 г.)

1. Введение

1. Все организации, осуществляющие деятельность в сфере охраны здоровья (далее - организации сферы здравоохранения), которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, являются субъектами критической информационной инфраструктуры.

Для целей категорирования объектов критической информационной инфраструктуры под "иным законным основанием понимается передача прав пользования информационными системами, информационно-телекоммуникационными сетями, автоматизированными системами управления на основании правовых актов или решений собственника без передачи права собственности на них. Например, на основании договора безвозмездного пользования*(1), договора на право хозяйственного ведения*(2), договора на право оперативного управления*(3).

В соответствии с требованиями законодательства Российской Федерации, организации сферы здравоохранения как субъекты критической информационной инфраструктуры должны установить соответствие принадлежащих им объектов критической информационной инфраструктуры критериям значимости и показателям их значений.

2. Настоящие методические рекомендации содержат рекомендации по отнесению информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления организаций сферы здравоохранения к объектам критической информационной инфраструктуры, включению объектов критической информационной инфраструктуры в Перечень объектов критической информационной инфраструктуры с последующим установлением одной из категорий значимости объектов критической информационной инфраструктуры либо принятием решения об отсутствии оснований для их отнесения к значимым объектам критической информационной инфраструктуры.

3. Настоящие методические рекомендации описывают и детализируют типовую процедуру категорирования объектов критической информационной инфраструктуры организаций сферы здравоохранения в соответствии с критериями, установленными постановлением Правительства Российской Федерации от 08.02.2018 N 127, применительно к организациям сферы здравоохранения.

Перечень основных нормативных правовых актов, использованных при разработке настоящих методических рекомендаций, приведен в Приложении 2.

Перечень организаций сферы здравоохранения, на которые распространяется область действия настоящих методических рекомендаций, приведен в Приложении 3.

Примеры информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих в сфере здравоохранения, приведены в Приложении 4.

4. Настоящие методические рекомендации применяются субъектами критической информационной инфраструктуры для:

- определения состава бизнес-процессов*(4) в рамках видов деятельности организации сферы здравоохранения и выявления критических управленческих, технологических, производственных, финансово-экономических и иных бизнес-процессов организации сферы здравоохранения, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка;

- определения информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей, которые обрабатывают информацию, необходимую для обеспечения критических процессов, или осуществляют управление, контроль или мониторинг критических процессов организации сферы здравоохранения;

- формирования перечня объектов критической информационной инфраструктуры организации сферы здравоохранения, подлежащих категорированию;

- оценки для каждого объекта критической информационной инфраструктуры организации сферы здравоохранения масштаба возможных последствий в случае возникновения компьютерных инцидентов;

- присвоения каждому из объектов критической информационной инфраструктуры организации сферы здравоохранения одной из категорий значимости либо принятия решения об отсутствии необходимости присвоения ему одной из категорий значимости;

- подготовки сведений о результатах присвоения объекту критической информационной инфраструктуры организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России).

5. Настоящие методические рекомендации носят рекомендательный характер и применяются наряду с методическими документами, определяющими порядок категорирования объектов критической информационной инфраструктуры, разработанными органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России), а также исполнительными органами государственной власти субъектов Российской Федерации в сфере охраны здоровья.

6. Для целей настоящих методических рекомендаций используются термины и определения, установленные законодательством Российской Федерации о безопасности критической информационной инфраструктуры и национальными стандартами в области защиты информации. Основные термины, определения и сокращения, используемые в настоящих методических рекомендациях, приведены в Приложении 1.

7. Категорирование объектов критической информационной инфраструктуры осуществляется постоянно действующей комиссией по категорированию, создаваемой в организации сферы здравоохранения. При создании постоянно действующей комиссии по категорированию и определении порядка направления в ФСТЭК России сведений необходимо руководствоваться пунктами 11-13, 15-18 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127.

Рекомендации по формированию постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры организации сферы здравоохранения приведены в Приложении 5.

2. Описание процедуры категорирования объектов КИИ

2.1. Общие положения

8. Процедура категорирования объектов критической информационной инфраструктуры осуществляется на основании и в соответствии с федеральным законом*(5), а также Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации*(6) и Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденными постановлением Правительства Российской Федерации от 08.02.2018 N 127.

9. Категорированию подлежат ИС, ИТКС, АСУ, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные критические бизнес-процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности организации сферы здравоохранения.

10. В ходе процедуры категорирования ИС, ИТКС, АСУ необходимо проанализировать и оценить критичность всех возможных бизнес-процессов, реализуемых организацией сферы здравоохранения.

11. Принятие решения об отсутствии необходимости присвоения категории какой-либо ИС, ИТКС, АСУ организации сферы здравоохранения должно быть основано на результатах оценки их влияния на нарушение или прекращение критического бизнес-процесса, приводящее к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка в соответствии с настоящими методическими рекомендациями.

Если ИС, ИТКС, АСУ организации сферы здравоохранения отнесены к объектам КИИ, но не соответствуют критериям значимости, показателям этих критериев и их значениям, таким ИС, ИТКС, АСУ не присваивается ни одна из категорий.

12. Процедура категорирования ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения, включает следующие процессы:

- определение управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов, присутствующих в организации сферы здравоохранения, и выделение из них критических;

- определение и формирование Перечня объектов КИИ, подлежащих категорированию, и выделение критических объектов КИИ организации сферы здравоохранения;

- присвоение каждому объекту КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Состав процессов, осуществляемых при категорировании ИС, ИТКС, АСУ организации сферы здравоохранения, и их содержание приведены в Приложении 6.

2.2. Определение бизнес-процессов

13. Определение бизнес-процессов в деятельности организации сферы здравоохранения и выделение среди них критических предполагает проведение анализа всех управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов организации сферы здравоохранения.

14. Определение бизнес-процессов в деятельности организации сферы здравоохранения включает следующие этапы:

- составление Реестра всех управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов организации сферы здравоохранения;

- высокоуровневую оценку негативных последствий от нарушения бизнес-процессов в деятельности организации сферы здравоохранения (оценка критичности бизнес-процессов);

- формирование Перечня критических бизнес-процессов в деятельности организации сферы здравоохранения.

Этапы определения бизнес-процессов организации сферы здравоохранения и их содержание приведены в Приложении 6.

2.3. Составление Реестра бизнес-процессов

15. На этапе составления Реестра оценка критичности бизнес-процессов организации сферы здравоохранения и их влияния на возможные последствия от нарушения бизнес-процесса по критериям, определенным постановлением Правительства РФ от 08.02.2018 N 127, не проводится.

16. Для составления Реестра бизнес-процессов организации сферы здравоохранения проводится выявление и описание всех его управленческих, технологических, производственных, финансово-экономических и (или) иных бизнес-процессов.

17. На основании учредительных документов, Положения об организации сферы здравоохранения, имеющихся описаний существующих бизнес-процессов, выбранные бизнес-процессы уточняются.

При необходимости, бизнес-процессы, не характерные для данной организации сферы здравоохранения, исключаются из Реестра и добавляются специфические бизнес-процессы, выполняемые организацией сферы здравоохранения.

18. Результаты определения и описания бизнес-процессов организации сферы здравоохранения фиксируются в описательной части Реестра бизнес-процессов организации сферы здравоохранения. Форма Реестра бизнес-процессов организации сферы здравоохранения и пример ее заполнения приведены в Приложении 7.

19. Реестр бизнес-процессов подписывается Председателем постоянно действующей комиссии по категорированию и утверждается руководителем организации сферы здравоохранения.

2.4. Оценка критичности бизнес-процессов

2.4.1. Допущения и ограничения

20. При проведении высокоуровневой оценки возможных последствий от нарушения бизнес-процесса организации сферы здравоохранения не оцениваются количественные показатели критериев значимости, а дается их качественная оценка.

21. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения влияния на прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения*(7), транспортной инфраструктуры*(8), сетей связи*(9), а также, в дальнейшем, расчет этих показателей значимости для объектов КИИ организации сферы здравоохранения не проводится, так как бизнес-процессы организаций сферы здравоохранения не задействованы:

- в управлении объектами обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, контроле или мониторинге и эксплуатации таких объектов;

- в обеспечении бесперебойного функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи;

- в поддержании качества функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи.

22. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения экономической значимости*(10) проводится исключительно для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие".

23. Оценка критичности бизнес-процессов и дальнейший расчет показателей значимости для объектов КИИ с точки зрения экономической значимости*(10) для организаций сферы здравоохранения иных организационно-правовых форм не проводится, так как такие организации сферы здравоохранения не являются государственными корпорациями, государственными компаниями, стратегическими акционерными обществами*(11), стратегическими предприятиями*(12), у которых возможно снижение уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей).

24. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения возникновения ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации*(13), а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, если организация сферы здравоохранения применяет нулевую ставку по налогу на прибыль*(14) и (или) оказывает медицинские услуги, освобождаемые от налогообложения*(15).

25. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения влияния на прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета*(16), а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как организации сферы здравоохранения не осуществляют для клиентов операции по банковским счетам и (или) без открытия банковского счета и не являются в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка*(17).

26. Оценка критичности бизнес-процессов организации сферы здравоохранения, за исключением организаций сферы здравоохранения, использующих в своей деятельности источники ионизирующего излучения, с точки зрения экологической значимости*(18), а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как организации сферы здравоохранения, не использующие в своей деятельности источники ионизирующего излучения, не относятся к опасным производственным объектам*(19), нарушение функционирования которых может привести к авариям, инцидентам или катастрофам, влияющим на ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иных вредных воздействий*(20).

27. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения значимости для обеспечения обороны страны, безопасности государства и правопорядка*(21), а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как бизнес-процессы организации сферы здравоохранения не могут повлиять на прекращение или нарушение функционирования пункта управления (ситуационного центра) государственных органов власти или государственной корпорации, информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, снижение показателей государственного оборонного заказа.

28. Допущения и ограничения, приведенные в разделе 2.4.1 настоящих методических рекомендаций, могут быть использованы для обоснования неприменимости того или иного критерия значимости для бизнес-процесса организации сферы здравоохранения.

2.4.2. Критерии оценки критичности бизнес-процессов

29. При проведении оценки необходимо учитывать, что любой бизнес-процесс организации сферы здравоохранения может быть как полностью автоматизирован, так и частично*(22). Неавтоматизированная (ручное управление) часть должна рассматриваться как составляющая оцениваемого бизнес-процесса, позволяющая исключить или снизить масштаб возможных негативных последствий, приводящих к нарушению или прекращению выполнения организацией сферы здравоохранения установленных функций (полномочий).

30. При оценке критичности бизнес-процесса с точки зрения социальной значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможный ущерб, причиняемый жизни или здоровью людей, а также максимальное время отсутствия доступа к государственной услуге для получателей такой услуги.

31. При оценке критичности бизнес-процесса с точки зрения политической значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможность причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики.

32. При оценке критичности бизнес-процесса с точки зрения экономической значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию.

33. Бизнес-процесс организации сферы здравоохранения считается критическим, если в ходе оценки возможных последствий от его нарушения установлено, что он задействован и оказывает влияние хотя бы по одному критерию, определенному постановлением Правительства РФ от 08.02.2018 N 127.

Критерии влияния (задействованности) бизнес-процессов организации сферы здравоохранения на показатели возможных последствий приведены в разделе I Справочных материалов по оценке критичности бизнес-процессов организации сферы здравоохранения Приложения 8.

2.4.3. Порядок оценки критичности бизнес-процессов

34. На этом этапе проводится оценка возможного негативного влияния последствий от нарушения бизнес-процесса организации сферы здравоохранения по показателям, определенным постановлением Правительства РФ от 08.02.2018 N 127.

35. Используя результаты определения и описания бизнес-процессов в деятельности организации сферы здравоохранения, зафиксированные в описательной части Реестра бизнес-процессов организации сферы здравоохранения проводятся обоснование критичности бизнес-процессов организации сферы здравоохранения, проводящей категорирование объектов КИИ и оценка возможного негативного влияния последствий от нарушения бизнес-процесса. Такая оценка проводится с использованием Алгоритмов оценки значимости бизнес-процесса, приведенных в разделе II Справочных материалов по оценке критичности бизнес-процессов организации сферы здравоохранения (Приложение 8), для следующих показателей, определенных постановлением Правительства РФ от 08.02.2018 N 127:

- социальная значимость (способность причинить ущерб жизни и здоровью людей; способность привести к нарушению максимального времени отсутствия доступа в оказании государственных услуг);

- политическая значимость (способность оказывать влияние на функционирование органа государственной власти*(23));

- экономическая значимость (способность оказывать влияние на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию).

При этом бизнес-процесс организации сферы здравоохранения считается способным причинить ущерб жизни и здоровью людей, если он задействован (обеспечивает) в управлении или обеспечении работоспособности механизмов и устройств, нарушение функционирования которых может привести:

- к авариям, катастрофам с человеческими жертвами;

- к бактериологическому, радиационному или химическому заражению;

- к отключению приборов, обеспечивающих жизненно важные функции организма;

- к нарушению технологий производства и хранения фармацевтической и медицинской продукции;

- к иным последствиям, пагубно влияющим на жизнь и здоровье людей.

Бизнес-процесс организации сферы здравоохранения считается способным привести к отсутствию доступа в оказании государственных услуг, если он задействован:

- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры доступа к государственной услуге;

- в аналитической, экспертной, учетной деятельности, необходимой для обеспечения функционирования государственных органов власти, оказывающих государственные услуги;

- в обеспечении взаимодействия государственных органов власти, оказывающих государственные услуги.

Бизнес-процесс организации сферы здравоохранения считается оказывающим влияние на функционирование органа государственной власти, если он задействован:

- в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений органом государственной власти;

- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры взаимодействия органов государственной власти;

- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры оповещения населения о чрезвычайных ситуациях;

- в поддержании бесперебойного функционирования элементов системы управления, необходимой для реализации возложенных на орган государственной власти полномочий.

Бизнес-процесс организации сферы здравоохранения считается оказывающим влияние на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию, если он задействован:

- в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений руководством государственного унитарного предприятия;

- в обеспечении взаимодействия с организациями кредитно-финансовой сферы, включая страховые компании, биржи, банки, казначейство, налоговые органы.

Для обоснования неприменимости для таких бизнес-процессов остальных показателей, определенных постановлением Правительства РФ от 08.02.2018 N 127, используется раздел "Допущения и ограничения" настоящих методических рекомендаций.

36. В случае если осуществление критического бизнес-процесса организации сферы здравоохранения зависит от осуществления иных критических бизнес-процессов, оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических бизнес-процессов.

37. Результаты оценки критичности бизнес-процессов в деятельности организации сферы здравоохранения фиксируются в разделе оценки критичности Реестра бизнес-процессов организации сферы здравоохранения (Приложение 7).

2.4.4. Формирование Перечня критических бизнес-процессов

38. После оценки критичности бизнес-процессов в деятельности организации сферы здравоохранения, из Реестра исключаются бизнес-процессы, которые не являются критическими, и формируется описательная часть Перечня критических бизнес-процессов организации сферы здравоохранения. Форма Перечня критических бизнес-процессов организации сферы здравоохранения представлена в Приложении 9.

2.5. Описание процесса "Определение и формирование Перечня объектов КИИ"

39. Процесс формирования Перечня объектов КИИ организации сферы здравоохранения и выделения критических включает следующие этапы:

- ревизия и составление Перечня ИС, ИТКС, АСУ организации сферы здравоохранения;

- оценка задействованности и влияния ИС, ИТКС, АСУ в управлении, контроле и мониторинге критических бизнес-процессов организации сферы здравоохранения;

- формирование Перечня потенциально значимых объектов КИИ организации сферы здравоохранения (Перечня объектов КИИ, подлежащих категорированию).

Состав и содержание этапов процесса формирования Перечня объектов КИИ организации сферы здравоохранения и выделения критических приведен в Приложении 6.

2.6. Ревизия систем, имеющихся в организации сферы здравоохранения

40. В качестве источника получения сведений о наличии в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании ИС, ИТКС, АСУ могут быть использованы:

- сведения из федеральной государственной информационной системы учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов*(24) и аналогичных информационных систем учета субъектов Российской Федерации;

- договоры на разработку и внедрение в организации сферы здравоохранения ИС, ИТКС, АСУ;

- локальные нормативные акты организации сферы здравоохранения, определяющие порядок использования ИС, ИТКС, АСУ;

- локальные нормативные акты о вводе ИС, ИТКС, АСУ организации сферы здравоохранения в эксплуатацию;

- данные бухгалтерского учета организации сферы здравоохранения по разделу "основные средства";

- данные бухгалтерского учета организации сферы здравоохранения по разделу "нематериальные активы";

- проектная документация на ИС, ИТКС, АСУ организации сферы здравоохранения;

- данные управленческого учета в подразделении организации сферы здравоохранения, отвечающем за применение информационных технологий и обслуживание средств автоматизации.

41. Результаты ревизии ИС, ИТКС, АСУ организации сферы здравоохранения фиксируются в Реестре ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании (Приложение 10).

42. Реестр ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании, подписывается Председателем постоянно действующей комиссии по категорированию и утверждается руководителем организации сферы здравоохранения.

2.7. Оценка задействованности ИС, ИТКС, АСУ в бизнес-процессах

43. Оценка задействованности и влияния ИС, ИТКС, АСУ, которые обрабатывают информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг критических бизнес-процессов организации сферы здравоохранения, должна проводиться применительно к каждой ИС, ИТКС, АСУ, указанной в Реестре ИС, ИТКС, АСУ, имеющихся в организации сферы здравоохранения на праве собственности, аренды или на ином законном основании. Для каждой такой системы должна быть проведена оценка:

- их задействованности в обработке информации, необходимой для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществлении управления, контроля или мониторинга критических бизнес-процессов организации сферы здравоохранения;

- их существенного влияния на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, приводящего к негативным социальным, политическим, экономическим, последствиям.

44. Информационная система (ИС) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для хранения, поиска и обработки информации, необходимой для выполнения основных функций критического бизнес-процесса, либо осуществляет управление, контроль или мониторинг критических бизнес-процессов, либо автоматизирует выполнение бизнес-процессов (технологических операций) и обеспечивает хотя бы одну из следующих функций бизнес-процесса:

- функцию интерпретации данных, заключающуюся в определении смысла данных;

- функцию диагностики оборудования, включающую обнаружение неисправности и отклонений от нормы при выполнении основных функций бизнес-процесса;

- функцию мониторинга интерпретации данных в реальном времени и сигнализации о выходе тех или иных параметров бизнес-процесса за допустимые пределы;

- функцию прогнозирования последствий для бизнес-процесса событий или явлений на основании анализа имеющихся данных;

- функцию планирования действий объектов, выполняющих основные функции бизнес-процесса;

- функцию управления, заключающуюся в поддержании установленного режима деятельности при выполнении бизнес-процесса;

- функцию поддержки принятия решений, заключающуюся в обеспечении необходимой информацией и рекомендациями.

45. Автоматизированная система управления (АСУ) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для поддержания установленных режимов технологического процесса, реализуемого бизнес-процессом, за счет контроля и изменения технологических параметров, выдачи команд на исполнительные механизмы и визуального отображения данных о производственном процессе и состоянии технологического оборудования, предупреждения аварийных ситуаций, анализа контролируемых значений, стабилизации режимных параметров и технологических показателей и обеспечивает хотя бы одну из следующих функций бизнес-процесса:

- функцию контроля параметров технологического процесса, реализуемого бизнес-процессом;

- функцию мониторинга соответствия параметров процесса допустимым значениям, информирования персонала при возникновении несоответствий и сигнализации наступления предаварийных и аварийных ситуаций, фиксации времени отклонения параметров процесса за допустимые пределы (автоматическая), регистрации параметров и записи аварийных и предаварийных ситуаций;

- функцию диагностики оборудования, в том числе, диагностики исправности функционирования самой АСУ;

- функцию управления, контроля или мониторинга технологического или производственного оборудования (исполнительными устройствами) и производимых им процессов, исключения рисков простоев и сбоев работы оборудования.

46. Информационно-телекоммуникационная сеть (ИТКС) считается задействованной в реализации критического бизнес-процесса организации сферы здравоохранения, если она предназначена для предоставления единого информационного пространства взаимодействия отдельных территориально-распределённых подсистем, реализующих бизнес-процесс организации сферы здравоохранения, и обеспечивает хотя бы одну из следующих функций бизнес-процесса:

- функцию управления и координирования, заключающуюся в администрировании единого информационного пространства и в достижении согласований между различными элементами ИТКС путем установления наиболее рациональных внутренних и внешних связей;

- функцию интеграции информационных ресурсов территориально-распределённых систем;

- функцию обмена информацией (электронная почта, документооборот, обмен сообщениями, передача данных) и предоставления доступа к источникам информации;

- функцию мониторинга, заключающуюся в непрерывном наблюдении, анализе, оценке функционирования ИТКС.

47. При оценке существенного влияния ИС, ИТКС, АСУ на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения учитывается уровень автоматизации функций бизнес-процесса:

- полная автоматизация - реализация бизнес-процесса организации сферы здравоохранения невозможна без участия ИС, ИТКС, АСУ;

- дублирующая автоматизация - бизнес-процесс организации сферы здравоохранения имеет альтернативные (в том числе не автоматизированные) системы управления и обеспечения функций бизнес-процесса.

ИС, ИТКС, АСУ считается оказывающей существенное влияние на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, если его реализация невозможна без участия ИС, ИТКС, АСУ, и отсутствуют альтернативные (не автоматизированные) системы управления и обеспечения функций бизнес-процесса.

ИС, ИТКС, АСУ считается не оказывающей существенного влияния на нарушение или прекращение критического бизнес-процесса организации сферы здравоохранения, если имеется возможность своевременного обнаружения нарушения штатного режима функционирования ИС, ИТКС, АСУ, задействованной в реализации этого бизнес-процесса, и перехода в течение максимально допустимого периода простоя*(25) критического бизнес-процесса организации сферы здравоохранения на альтернативные (не автоматизированные) системы управления для обеспечения функций бизнес-процесса.

48. В случае, если ИС, ИТКС, АСУ состоит из модулей (подсистем), которые могут обеспечивать относительно самостоятельно функции различных бизнес-процессов организации сферы здравоохранения, оценка может проводиться относительно каждого модуля (подсистемы) отдельно.

49. Алгоритм оценки задействованности и влияния ИС, ИТКС, АСУ на критические бизнес-процессы организации сферы здравоохранения приведен в Приложении 11.

50. Результаты оценки задействованности и влияния ИС, ИТКС, АСУ на критические бизнес-процессы организации сферы здравоохранения фиксируются в оценочной части Перечня критических бизнес-процессов организации сферы здравоохранения (Приложение 8).

2.8. Формирование Перечня потенциально значимых объектов КИИ

2.8.1. Порядок формирования Перечня потенциально значимых объектов КИИ

51. ИС, ИТКС, АСУ считается потенциально значимым объектом КИИ организации сферы здравоохранения, если в результате анализа установлено, что она одновременно задействована в реализации критического бизнес-процесса и оказывает влияние на нарушение или прекращение критического бизнес-процесса.

52. ИС, ИТКС, АСУ не считается потенциально значимым объектом КИИ организации сферы здравоохранения и не требует присвоения одной из категорий значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127, если в результате анализа установлено, что она не задействована в реализации критического бизнес-процесса организации сферы здравоохранения, либо она задействована в реализации критического бизнес-процесса организации сферы здравоохранения, но не оказывает существенного влияния на нарушение или прекращение критического бизнес-процесса.

53. ИС, ИТКС, АСУ, задействованная в реализации критического бизнес-процесса организации сферы здравоохранения, но не оказывающая существенного влияния на нарушение или прекращение критического бизнес-процесса (дублирующая автоматизация) считается объектом КИИ организации сферы здравоохранения без присвоения категории значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127.

54. ИС, ИТКС, АСУ, не задействованная в реализации критического бизнес-процесса, не является объектом КИИ организации сферы здравоохранения.

55. Перечень ИС, ИТКС, АСУ, не требующих присвоения одной из категорий значимости, установленной постановлением Правительства РФ от 08.02.2018 N 127, фиксируется в протоколе работы постоянно действующей комиссии по категорированию.

2.8.2. Согласование Перечня объектов КИИ и отправка в ФСТЭК России

56. На основании заключения об отнесении ИС, ИТКС, АСУ к потенциально значимым объектам КИИ организации сферы здравоохранения формируется и утверждается руководителем организации сферы здравоохранения или уполномоченным лицом Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию*(26).

57. Форма Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, приведена в Приложении 12.

58. Перечень объектов КИИ организации сферы здравоохранения подлежит согласованию с органами управления государственной и муниципальной системами здравоохранения в части подведомственных им субъектов КИИ.

Согласование осуществляется в произвольной форме. Возможна передача в орган управления государственной или муниципальной системы здравоохранения запроса на согласование Перечня с приложением предварительно заполненной формы Перечня объектов КИИ, подлежащих категорированию, без утверждающей подписи руководителя организации сферы здравоохранения.

В случае получения от органа управления государственной или муниципальной системы здравоохранения замечаний или корректировок Перечня объектов КИИ, подлежащих категорированию, они должны быть рассмотрены постоянно действующей комиссией по категорированию. По результатам рассмотрения принимается решение о пересмотре Перечня объектов КИИ, подлежащих категорированию, и повторному согласованию с органом управления государственной или муниципальной системой здравоохранения. Отметка о согласовании на итоговом перечне, отправляемом в ФСТЭК России, не требуется.

59. Утвержденный руководителем организации сферы здравоохранения или уполномоченным лицом Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию, в течение 10 (десяти) рабочих дней с сопроводительным письмом в произвольной форме направляется в ФСТЭК России*(27) с приложением на носителе электронной копии Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, в формате *.odt, *.ods. ФСТЭК России рекомендует использовать в качестве носителей CD, DVD-диски или USB-носители. Корреспонденция отправляется в законвертованном виде с приложением двух реестров с печатью организации-отправителя.

Образец сопроводительного письма в ФСТЭК России о направлении Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию, приведен в Приложении 17.

2.9. Описание процесса "Категорирование объектов КИИ"

60. Процесс категорирования объектов КИИ организации сферы здравоохранения предполагает проведение расчетов значений критериев значимости объектов КИИ и присвоение в соответствии с полученными результатами одной из категорий значимости или обоснование отсутствия необходимости присвоения объекту КИИ организации сферы здравоохранения категории значимости.

61. Процесс категорирования объектов КИИ организации сферы здравоохранения включает следующие этапы:

- выбор сценария реализации компьютерных атак;

- расчет показателей критериев значимости объектов КИИ организации сферы здравоохранения;

- оформление результатов категорирования объектов КИИ организации сферы здравоохранения.

Состав и содержание этапов процедуры "Категорирование объектов КИИ" приведены в Приложении 6.

2.10. Выбор сценария реализации компьютерных атак

62. Выбор возможного сценария реализации компьютерных атак проводится на основе анализа возможных действий нарушителей в отношении объектов КИИ организации сферы здравоохранения и угроз безопасности информации, которые могут привести к возникновению компьютерных инцидентов. При этом должен быть рассмотрен наихудший сценарий, учитывающий проведение целенаправленных компьютерных атак на потенциально значимые объекты КИИ организации сферы здравоохранения, результатом которых являются прекращение или нарушение выполнения критических бизнес-процессов организации сферы здравоохранения и нанесение максимально возможного ущерба*(28).

63. При выборе и оценке наихудшего сценария реализации целенаправленной компьютерной атаки для целей определения категории объекта КИИ организации сферы здравоохранения принятые ранее меры обеспечения безопасности потенциально значимого объекта КИИ организации сферы здравоохранения не учитываются.

64. Наихудший сценарий реализации целенаправленной компьютерной атаки предполагает, что нарушитель имеет:

- мотив совершения целенаправленной компьютерной атаки;

- осведомленность о структурно-функциональных характеристиках и особенностях функционирования ИС, ИТКС, АСУ организации сферы здравоохранения;

- осведомленность о мерах защиты информации, применяемых в ИС, ИТКС, АСУ организации сферы здравоохранения, об используемых алгоритмах, аппаратных и программных средствах;

- возможность использовать методы социальной инженерии для изучения поведения пользователей ИС, ИТКС, АСУ организации сферы здравоохранения и их реакции на поступающие к ним внешние данные;

- возможность получить доступ к программному обеспечению чипсетов (микропрограммам), системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-техническим средствам ИС, ИТКС, АСУ организации сферы здравоохранения для преднамеренного внесения в них программных закладок;

- возможность получить информацию об уязвимостях путем проведения специальных исследований (в том числе с привлечением специализированных научных организаций) и применения специально разработанных средств для анализа программного обеспечения;

- возможность создания методов и средств реализации компьютерных атак с привлечением специализированных научных организаций и реализации компьютерных атак с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение в ИС, ИТКС, АСУ организации сферы здравоохранения.

65. Наихудшим сценарием реализации целенаправленной компьютерной атаки признается компьютерная атака, результатом которой для ИС, ИТКС, АСУ организации сферы здравоохранения может быть актуально по крайней мере одно из следующих событий (инцидентов):

- отказ в обслуживании (DoS/DDoS);

- несанкционированный доступ;

- утечка данных (нарушение конфиденциальности);

- модификация (подмена) данных;

- нарушение функционирования технических средств;

- несанкционированное использование вычислительных ресурсов.

Состав возможных событий (инцидентов), которые могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак и которые необходимо учитывать при оценке значимости объекта КИИ организации сферы здравоохранения применительно к критериям значимости, установленным постановлением Правительства РФ от 08.02.2018 N 127, приведен в Приложении 13.

66. Для событий (инцидентов), которые не могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак, оценка значимости объекта КИИ организации сферы здравоохранения применительно к критериям значимости, установленным постановлением Правительства РФ от 08.02.2018 N 127, не проводится.

2.11. Расчет показателей критериев значимости объектов КИИ

2.11.1. Порядок расчета критериев значимости объектов КИИ

67. До начала расчета показателей критериев значимости объекта КИИ организации сферы здравоохранения определяется применимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, для оценки значимости ИС, ИТКС, АСУ организаций сферы здравоохранения.

Обоснования неприменимости критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127 для оценки значимости ИС, ИТКС, АСУ организации сферы здравоохранения, приведены в Приложении 14 (для справки).

68. Для показателей критериев значимости объекта КИИ организации сферы здравоохранения, по которым обоснована их неприменимость, расчет показателей критериев значимости не проводится.

69. Расчет показателей критериев значимости объектов КИИ, установленных постановлением Правительства РФ от 08.02.2018 N 127, проводится для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки*(29).

70. Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

71. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения по одному из показателей критериев значимости отнесена к первой категории, расчет по остальным показателям критериев значимости не проводится.

72. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения не соответствует ни одному значению показателя критериев значимости, категория значимости объекту КИИ не присваивается.

73. В случае, если функционирование одного объекта КИИ зависит от функционирования другого объекта КИИ, оценка масштаба возможных последствий проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта КИИ, от которого зависит оцениваемый объект.

74. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения обрабатывают информацию, необходимую для обеспечения нескольких критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг нескольких критических бизнес-процессов организации сферы здравоохранения, оценка показателей критериев значимости производится для каждого критического бизнес-процесса организации сферы здравоохранения, а категория значимости присваивается по наивысшему значению показателя.

2.11.2. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей"

75. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей*(30)" для организации сферы здравоохранения проводится в следующей последовательности:

- на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ, которые обрабатывают информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг таких критических бизнес-процессов, определяется максимально допустимый период простоя ;

- если время активного использования (задействованности) ИС и АСУ для достижения целей критического бизнес-процесса меньше или равно установленному периоду проведения контроля или мониторинга параметров таких бизнес-процессов , максимально допустимый период простоя принимается ;

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки , при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается суток;

- определяется время, в течение которого при эксплуатации ИС, ИТКС, АСУ, обрабатывающих информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляющих управление, контроль или мониторинг таких критических бизнес-процессов, может быть причинен ущерб жизни и здоровью пациентов, и (или) время, в течение которого такие ИС, ИТКС, АСУ могут быть недоступны, (Т) по формуле:

- на основании статистических данных*(31) либо технической документации на ИС, ИТКС, АСУ, а также рассчитанного времени, в течение которого может быть причинен ущерб жизни и здоровью пациентов, и (или) времени, в течение которого ИС, ИТКС, АСУ могут быть недоступны, (Т), определяется максимальное число пациентов, которым может быть причинён ущерб жизни и здоровью и (или) для которых могут быть недоступны ИС, ИТКС, АСУ;

- полученные данные о максимальном числе пациентов, которым может быть причинён ущерб жизни и здоровью и (или) для которых могут быть недоступны ИС, ИТКС, АСУ организации сферы здравоохранения, сравниваются с показателями, приведенными в пункте 1 Перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений*(32), и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария целенаправленной компьютерной атаки.

2.11.3. Расчет показателя критерия "Отсутствие доступа к государственной услуге"

76. Расчет показателя критерия "Отсутствие доступа к государственной услуге*(33)" для организации сферы здравоохранения проводится в следующей последовательности:

- на основании статистических данных за прошлый трехлетний период определяется усредненное время, требуемое для устранения последствий компьютерной атаки ; в случае отсутствия статистических данных за прошлый трехлетний период, время, требуемое для устранения последствий компьютерной атаки, принимается равным минимально допустимому времени, в течение которого государственная услуга может быть недоступна, приведенному в п. 5 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений ( часов);

- время, в течение которого государственная услуга может быть недоступна (Т) определяется по формуле:

- полученный результат расчета сопоставляется с показателями, приведенными в пункте 5 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.4. Оценка показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции"

77. Показатель критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" рассчитывается для федеральных органов власти, органов государственной власти субъектов Российской Федерации в сфере охраны здоровья и оценивается по масштабу органа управления государственной или муниципальной системами здравоохранения в деятельности (функционировании) которого задействованы ИС, ИТКС, АСУ организации сферы здравоохранения.

78. Исходя из масштаба государственного органа власти, указанного в пункте 6 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.5. Расчет показателя критерия "Возникновение ущерба субъекту КИИ"

79. Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры*(34)" для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие" проводится в следующей последовательности:

- на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях*(35) за предыдущий пятилетний период определяется усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения в бюджеты Российской Федерации в соответствии с Налоговым Кодексом Российской Федерации налогов ;

- на основании сведений управленческого и бухгалтерского учета за прошлый пятилетний период определяется усредненный размер годового дохода ;

- на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ организации сферы здравоохранения определяется максимально допустимый период простоя ;

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки , при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается суток;

- ущерб организации сферы здравоохранения от компьютерной атаки рассчитывается по формуле:

- полученный возможный ущерб организации сферы здравоохранения от компьютерной атаки сопоставляется с показателем усредненного размера годового дохода и определяется показатель возможного ущерба по формуле:

- рассчитанный показатель возможного ущерба организации сферы здравоохранения сопоставляется с показателями, приведенными в пункте 8 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.6. Расчет показателя критерия "Возникновение ущерба бюджетам РФ"

80. Расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации*(34)" для организаций сферы здравоохранения, применяющих нулевую ставку по налогу на прибыль*(14) и (или) оказывающих медицинские услуги, освобождаемые от налогообложения*(15), не проводится.

81. Для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и (или) не оказывающих медицинские услуги, освобождаемые от налогообложения, на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях*(35) за предыдущий трехлетний период определяется усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения в бюджеты Российской Федерации налогов в соответствии с Налоговым Кодексом Российской Федерации.

82. Для организаций сферы здравоохранения, для которых усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения отчислений в бюджеты Российской Федерации за предыдущий трехлетний период составляет менее 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период*(36), расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации" не проводится, и постоянно действующей комиссией по категорированию принимается решение об отсутствии необходимости присвоения категории значимости объекту КИИ организации сферы здравоохранения.

При этом, в обосновании отсутствия необходимости присвоения категории значимости объекту КИИ организации сферы здравоохранения указывается, что возможное снижение выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ (организацией сферы здравоохранения), менее 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период с 2020 по 2022 года (с представлением соответствующих расчётов).

83. Расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации" для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и (или) не оказывающих медицинские услуги, освобождаемые от налогообложения, и имеющих усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения отчислений в бюджеты Российской Федерации за предыдущий трехлетний период более 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период, проводится в следующей последовательности:

- на основании нормативов, установленных в сфере здравоохранения, определяющих период недоступности для оказания услуг, регламентов проведения профилактических работ ИС, ИТКС, АСУ организации сферы здравоохранения определяется максимально допустимый период простоя ;

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки , при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается суток;

- ущерб бюджетам Российской Федерации от компьютерной атаки рассчитывается по формуле:

- полученный показатель ущерба бюджетам Российской Федерации от компьютерной атаки сопоставляется с показателем прогнозируемого годового дохода федерального бюджета (R), усредненного за планируемый трехлетний период*(37), и определяется показатель возможного ущерба бюджетам Российской Федерации (U%) по формуле:

- полученный показатель возможного ущерба бюджетам Российской Федерации сопоставляется с показателями, приведенными в пункте 9 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.7. Расчет показателя критерия "Вредные воздействия на окружающую среду"

84. Расчет показателя критерия "Вредные воздействия на окружающую среду*(38)" для организации сферы здравоохранения, использующего источники ионизирующего излучения, проводится в следующей последовательности:

- на основании сведений из Единого государственного реестра недвижимости о границе между субъектами Российской Федерации, границе муниципального образования и границе населенного пункта*(39), декларации промышленной безопасности организации сферы здравоохранения, использующей источники ионизирующего излучения, анализа действия поражающих факторов для наиболее опасных по последствиям и вероятных сценариев аварий определяются граница и территория опасной зоны, на которой возможны вредные воздействия на окружающую среду;

- на основании данных статистических органов о численности населения*(40) на начало и конец периода (года) в границах опасной зоны определяется среднеарифметическая численность населения в границах опасной зоны;

- полученные данные о границах опасной зоны сравниваются с показателями, приведенными в пункте 11(а) Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и определяется потенциальная категория значимости объекта КИИ организации сферы здравоохранения;

- полученные данные о численности населения в границах опасной зоны сравниваются с показателями, приведенными в пункте 11(б) Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и определяется потенциальная категория значимости объекта КИИ организации сферы здравоохранения;

- из результатов определения потенциальных категорий значимости объекта КИИ организации сферы здравоохранения, полученных по признаку территории (п. 11(а)) и численности населения (п. 11(б)), выбирается наивысшая категория, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.12. Оформление результатов категорирования объектов КИИ организации сферы здравоохранения

2.12.1. Порядок подготовки заключения о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости

85. Результаты расчета значений показателей критериев значимости объектов КИИ организации сферы здравоохранения для каждой ИС, ИТКС, АСУ организации сферы здравоохранения фиксируются в Протоколе расчетов значений критериев значимости. Форма Протокола расчетов значений критериев значимости приведена в Приложении 15.

86. Протокол расчетов значений критериев значимости объектов КИИ организации сферы здравоохранения оформляется для каждой ИС, ИТКС, АСУ, включенной в Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию. Общие сведения об ИС, ИТКС, АСУ, подлежащей категорированию, вносятся в разделы I-III Протокола расчетов значений критериев значимости объектов КИИ.

87. В разделе IV Протокола расчетов значений критериев значимости объектов КИИ в каждой графе, для которой определена неприменимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, указывается обоснование неприменимости критерия.

В форму Протокола расчетов значений критериев значимости объектов КИИ предварительно внесены сведения о неприменимости критериев значимости объектов КИИ с учетом раздела "Допущения и ограничения", Приложений 13 и 14 настоящих методических рекомендаций.

88. В остальных незаполненных графах раздела IV Протокола расчетов значений критериев значимости объектов КИИ указываются результаты расчета значений показателей критериев значимости объектов КИИ организации сферы здравоохранения, описание возможных последствий для бизнес-процесса в результате реализации возможной компьютерной атаки (инцидента), заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

89. Среди определенных для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки, категорий значимости объекта КИИ организации сферы здравоохранения выбирается наивысшая категория, и в разделе V Протокола расчетов значений критериев значимости объектов КИИ организации сферы здравоохранения делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

2.12.2. Оформление Акта категорирования объекта КИИ организации сферы здравоохранения

90. Решение постоянно действующей комиссии по категорированию о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости, а также решения об отсутствии необходимости присвоения категорий значимости оформляется Актом, подписывается Председателем постоянно действующей комиссии по категорированию, всеми присутствующими членами постоянно действующей комиссии по категорированию и утверждается исключительно руководителем организации сферы здравоохранения.

91. Акт оформляется на основании Протокола расчетов значений критериев значимости и должен содержать сведения об объекте критической КИИ организации сферы здравоохранения, сведения о присвоенной объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Форма Акта приведена в Приложении 16.

92. Допускается оформление единого Акта по результатам категорирования нескольких объектов КИИ для одной организации сферы здравоохранения.

93. Акты о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения категорий значимости оформляются в отношении всех объектов КИИ, включенных в Перечень объектов КИИ организации сферы здравоохранения, подлежащих категорированию, направленный в ФСТЭК России.

94. В течение 10 (десяти) рабочих дней со дня утверждения Акта установленным порядком*(41) оформляются Сведения о результатах присвоения объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий и с сопроводительным письмом в произвольной форме направляются в ФСТЭК России*(27) с приложением электронной копии в формате *.ods на носителе. ФСТЭК России рекомендует использовать в качестве носителей CD, DVD-диски или USB-носители. Корреспонденция отправляется в законвертованном виде с приложением двух реестров с печатью организации отправителя.

Акт о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения категорий значимости оформляется в отношении всех объектов КИИ, и Протоколы расчетов значений критериев значимости в ФСТЭК России не направляются.

Образец сопроводительного письма приведен в разделе II Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).

2.13. Пересмотр категории значимости объектов КИИ

95. Категория значимости объекта КИИ организации сферы здравоохранения подлежит изменению в следующих случаях:

- по мотивированному решению ФСТЭК России, принятому по результатам проверки;

- в случае изменения объекта КИИ, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

- в связи с ликвидацией, реорганизацией организации сферы здравоохранения и (или) изменением ее организационно-правовой формы.

96. Пересмотр установленной категории значимости или решения об отсутствии необходимости присвоения категории осуществляется не реже чем один раз в 5 лет, а также при изменении показателей критериев значимости.

97. Изменение и пересмотр категории значимости объекта КИИ организации сферы здравоохранения осуществляются в порядке, установленном настоящими методическими рекомендациями для процедуры "Категорирование объектов КИИ".

98. В случае изменения категории значимости объекта КИИ организации сферы здравоохранения сведения о результатах пересмотра категории значимости направляются в ФСТЭК России.

3. Рекомендации по оформлению сведений о результатах категорирования

99. Сведения о результатах присвоения объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее - Сведения о результатах категорирования) оформляются для представления в ФСТЭК России в соответствии с установленной формой*(41), приведенной в разделе III Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).

100. Электронные копии Сведений о результатах категорирования оформляются исключительно в формате электронных таблиц OpenDocumentFormat (формат *.ods)*(42).

3.1. Исходные данные для оформления сведений

101. Для заполнения формы Сведений о результатах категорирования используются следующие исходные данные:

- выписка из Единого государственного реестра юридических лиц (выписка из Единого государственного реестра индивидуальных предпринимателей);

- локальный нормативный акт (приказ) о назначении уполномоченного лица, на которое возложены функции обеспечения безопасности значимых объектов КИИ в организации сферы здравоохранения*(43);

- локальный нормативный акт (приказ) о создании или возложении ответственности за обеспечение безопасности значимых объектов КИИ на структурное подразделение организации сферы здравоохранения*(44);

- протокол расчетов значений критериев значимости объекта КИИ организации сферы здравоохранения;

- Акт категорирования объекта КИИ организации сферы здравоохранения;

- Реестр ИС, ИТКС, АСУ (Приложение 10) организации сферы здравоохранения;

- данные бухгалтерского учета организации сферы здравоохранения по разделу "основные средства";

- данные бухгалтерского учета организации сферы здравоохранения по разделу "нематериальные активы";

- проектная документация на ИС, ИТКС, АСУ организации сферы здравоохранения;

- данные управленческого учета в подразделении организации сферы здравоохранения, отвечающем за применение информационных технологий и обслуживание средств автоматизации.

3.2. Внесение общих сведений об объектах КИИ и субъектах КИИ

102. Общие сведения об объекте КИИ (п.п. 1.1-1.6 формы) вносятся на основании раздела I Протокола расчетов значений критериев значимости.

103. Общие сведения о субъекте КИИ (п.п. 2.1-2.6 формы) вносятся на основании выписки из ЕГРЮЛ (ЕГРИП) и локальных нормативных актов.

104. Сведения о лице, эксплуатирующем объект КИИ (п.п. 4.1-4.4 формы), вносятся на основании выписки из ЕГРЮЛ (ЕГРИП) и локальных нормативных актов.

105. Адреса размещения объекта КИИ организации сферы здравоохранения, в том числе адреса обособленных подразделений организации сферы здравоохранения, (п. 1.2 формы) и адрес местонахождения организации сферы здравоохранения (п. 2.2 формы), адрес местонахождения юридического лица, эксплуатирующего объект КИИ организации сферы здравоохранения (п. 4.2 формы), указываются в следующей последовательности: название улицы, номер дома; название населенного пункта (города, поселка и т.п.); название района; название республики, края, области, автономного округа (области); почтовый индекс*(45).

3.3. Внесение сведений о взаимодействии с сетями связи

106. Сведения о взаимодействии объекта КИИ организации сферы здравоохранения и сетей электросвязи вносятся на основании анализа проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения и данных управленческого учета в подразделении, отвечающем за применение информационных технологий и обслуживание средств автоматизации. При этом, для определения категории сети электросвязи (п. 3.1. формы) допускается использовать сведения о классификации сетей электросвязи, приведенные в IV разделе Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).

3.4. Внесение сведений о составе объекта КИИ

107. Сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ организации сферы здравоохранения (п.п. 5.1-5.4 формы), вносятся на основании данных бухгалтерского учета по разделам "основные средства" и "нематериальные активы", проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения; данных управленческого учета в подразделении, отвечающем за применение информационных технологий и обслуживание средств автоматизации.

3.5. Внесение сведений об угрозах и возможных последствиях

108. Для целей определения категории значимости объектов КИИ организации сферы здравоохранения разработка Модели угроз и Модели нарушителя не требуется, для этих целей проводится верхнеуровневая оценка угроз безопасности информации. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ организации сферы здравоохранения определяются в следующем порядке:

- на основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения определяется состав возможных событий (инцидентов), которые могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак;

- на основании определенных возможных событий (инцидентов) с использованием сведений о взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17), для категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения выбираются потенциальные угрозы безопасности информации;

- на основе анализа сведений о взаимодействии угроз безопасности информации и объектов воздействия (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) и с учетом структурно-функциональных характеристик*(46) категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения проводится актуализация потенциальных угроз безопасности информации, неактуальные угрозы исключаются;

- на основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VII Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определяются типы (категории) возможных нарушителей;

- полученные данные о типе (категории) нарушителя с краткой характеристикой основных возможностей нарушителя по реализации угроз безопасности информации или обоснованием невозможности нарушителем реализовать угрозы безопасности информации вносятся в п. 6.1 формы Сведений о результатах категорирования;

- полученные данные об актуальных угрозах безопасности информации или обоснование их неактуальности вносятся в п. 6.2 формы Сведений о результатах категорирования;

- полученные данные о типах компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, или обоснование невозможности наступления компьютерных инцидентов вносятся в п. 7.1 формы Сведений о результатах категорирования.

Пример определения угроз безопасности информации, нарушителей и последствий от возможных инцидентов приведен в разделе VIII Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).

3.6. Внесение сведений о категории значимости объекта КИИ

109. Сведения о присвоенной объекту КИИ организации сферы здравоохранения категории значимости (п. 8.1 формы) вносятся на основании Акта категорирования объекта КИИ организации сферы здравоохранения.

110. Сведения о значениях показателей значимости объекта КИИ организации сферы здравоохранения и их обоснование (п.п. 8.2-8.3 формы) вносятся на основании раздела IV Протокола расчета значений критериев значимости объекта КИИ.

111. При обосновании значений показателей значимости объекта КИИ организации сферы здравоохранения на основании раздела IV Протокола расчета значений критериев значимости объекта КИИ и Приложения 14 вносится информация о неприменимости тех или иных показателей.

3.7. Внесение сведений о принимаемых мерах обеспечения безопасности

112. Сведения об организационных мерах, применяемых для обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения (п. 9.1. формы), вносятся на основании реально выполняемых мероприятий в организации сферы здравоохранения. К организационным мерам могут относиться:

- назначение лица, на которое возложены функции обеспечения безопасности значимых объектов КИИ организации сферы здравоохранения;

- определение структурного подразделения, ответственного за обеспечение безопасности значимых объектов КИИ организации сферы здравоохранения;

- разработка организационно-распорядительных документов организации сферы здравоохранения по безопасности значимых объектов КИИ (регламентов, инструкций, руководств);

- установление контролируемой зоны для объекта КИИ организации сферы здравоохранения;

- контроль физического доступа к объекту КИИ организации сферы здравоохранения.

При внесении сведений об организационно-распорядительных документах организации сферы здравоохранения по безопасности значимых объектов КИИ указываются их названия и регистрационные номера (при наличии). Организационно-распорядительные документы должны соответствовать установленным требованиям*(47).

113. При отсутствии в организации сферы здравоохранения организационных мер, применяемых для обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения, в п. 9.1 указываются планируемые к разработке меры и сроки их реализации.

114. Сведения о технических мерах, применяемых для обеспечения безопасности значимого объекта КИИ (п. 9.2. формы), вносятся на основании проектной документации на систему обеспечения безопасности информации объекта КИИ организации сферы здравоохранения, разработанной в соответствии с установленными требованиями*(48) (при наличии) или проектной документации на ИС, ИТКС, АСУ организации сферы здравоохранения. К техническим мерам могут быть отнесены следующие меры:

- идентификация и аутентификация;

- управление доступом;

- ограничение программной среды;

- защита машинных носителей информации;

- аудит безопасности;

- антивирусная защита;

- предотвращение вторжений (компьютерных атак);

- обеспечение целостности;

- обеспечение доступности;

- защита технических средств и систем;

- защита ИС, ИТКС, АСУ и их компонентов.

115. При отсутствии в организации сферы здравоохранения технических мер, применяемых для обеспечения безопасности значимого объекта КИИ, в п. 9.2 указываются планируемые к разработке меры и сроки их реализации.

4. Рекомендации по обеспечению безопасности значимых объектов КИИ после завершения категорирования

116. В случае положительного решения Комиссии о присвоении объектам КИИ организации сферы здравоохранения одной из категорий значимости, в соответствии с частью 1 статьи 10 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации в целях обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения обязаны создать систему безопасности такого объекта и обеспечить её функционирование в соответствии с требованиями*(49), утверждёнными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (ФСТЭК России).

Кроме того, независимо от результатов категорирования, организации сферы здравоохранения в соответствии с пунктом 1 части 2 статьи 9 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации обязаны организовать взаимодействие с центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и информирования о компьютерных инцидентах. Главным центром ГосСОПКА является Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ).

Состав и последовательность работ по обеспечению безопасности значимых объектов КИИ после завершения категорирования и организации взаимодействия с центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации приведены в Приложении 18.

4.1. Создание системы безопасности значимых объектов КИИ

4.1.1. Общие положения

117. Целью создания системы безопасности значимых объектов КИИ организации сферы здравоохранения является обеспечение их устойчивого функционирования. Средства и методы должны соответствовать категории значимости и быть адекватны для противодействия текущим угрозам.

118. Системы безопасности создаются в отношении всех значимых объектов КИИ организации сферы здравоохранения. Допускается создавать отдельные системы безопасности для одного или группы значимых объектов КИИ.

119. Системы безопасности объединяют силы обеспечения безопасности значимых объектов КИИ организаций сферы здравоохранения и используемые ими средства обеспечения безопасности значимых объектов КИИ.

К силам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся подразделения (работники) организации сферы здравоохранения, ответственные за обеспечение безопасности значимых объектов КИИ.

К средствам обеспечения безопасности значимых объектов КИИ организаций сферы здравоохранения относятся программные и программно-аппаратные средства, применяемые для обеспечения безопасности значимых объектов КИИ (средства защиты информации), в том числе:

- средства защиты информации от несанкционированного доступа (включая встроенные в системное, прикладное программное обеспечение);

- межсетевые экраны;

- средства обнаружения (предотвращения) вторжений;

- средства антивирусной защиты;

- средства (системы) контроля (анализа) защищенности;

- средства управления событиями безопасности;

- средства защиты каналов передачи данных.

Средства защиты информации значимых объектов КИИ объединяются в подсистему обеспечения безопасности значимых объектов КИИ (систему безопасности).

120. Системы безопасности должны функционировать в соответствии с организационно-распорядительными документами по обеспечению безопасности значимых объектов КИИ, разрабатываемыми организацией сферы здравоохранения.

121. Состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов КИИ определяет руководитель организации сферы здравоохранения, в том числе определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов КИИ (структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ, а также определяет обязанности, возлагаемые на работников структурного подразделения по безопасности, в их должностных регламентах (инструкциях). При этом не допускается возложение на структурное подразделение по безопасности функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением информационной безопасности субъекта КИИ в целом.

122. Создание подсистемы обеспечения безопасности значимых объектов КИИ организации сферы здравоохранения включает следующие этапы:

- планирование;

- реализация;

- контроль.

4.1.2. Структурное подразделение по безопасности

123. Структурное подразделение по безопасности, взаимодействуя с подразделениями (работниками), эксплуатирующими значимые объекты КИИ, либо с привлечением организаций, имеющих лицензию на деятельность по технической защите информации и (или) на деятельность по технической защите конфиденциальной информации, должно:

- разработать необходимые организационно-распорядительные документы по безопасности значимых объектов КИИ;

- провести анализ угроз безопасности информации в отношении значимых объектов КИИ и разработать Модель угроз безопасности информации;

- определить необходимые требования по обеспечению безопасности значимых объектов КИИ и обеспечить реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;

- определить порядок реагирования на компьютерные инциденты в соответствии с пунктом 6 части 4 статьи 6 Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

- организовать проведение оценки соответствия значимых объектов КИИ требованиям по безопасности.

124. Для руководителя структурного подразделения по безопасности организации сферы здравоохранения с 01.01.2021 вводятся требования*(50) по квалификации и стажу работы:

- наличие высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов);

- наличие стажа работы в сфере информационной безопасности не менее трех лет;

- прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".

125. Для выполнения функций структурного подразделения по безопасности могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

4.1.3. Этап "Планирование" создания подсистемы обеспечения безопасности

126. На этапе "Планирование" устанавливаются требования, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта КИИ организации сферы здравоохранения, и формируется план мероприятий по обеспечению безопасности значимых объектов КИИ. Этап предполагает выполнение следующих процедур:

- выбор мер обеспечения безопасности значимых объектов КИИ;

- проведение GAP-анализа (аудита) ИС, ИТКС, АСУ значимых объектов КИИ;

- планирование мероприятий по обеспечению безопасности значимых объектов КИИ.

Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.

127. Выбор организационных и технических мер обеспечения безопасности значимых объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно на основе анализа и моделирования угроз безопасности и определения возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения). Подходы, которыми необходимо руководствоваться при моделировании угроз безопасности информации и требования к содержанию Модели угроз, определены ФСТЭК России*(51).

Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.

В случае, если в организации сферы здравоохранения ранее проводилось моделирование угроз безопасности информации, допускается использование результатов такого моделирования для выбора организационных и технических мер обеспечения безопасности значимых объектов КИИ.

128. Меры по обеспечению безопасности выбираются с учетом угроз безопасности информации в соответствии с разделом III Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации*(52).

129. Для выявления уже реализованных обязательных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения и определения обязательных мер, подлежащих реализации при создании подсистемы обеспечения безопасности, проводится GAP-анализ (аудит) ИС, ИТКС, АСУ значимых объектов КИИ организаций сферы здравоохранения.

При необходимости, для проведения GAP-анализа (аудита) привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).

При проведении GAP-анализа (аудита) учитываются ранее реализованные меры, установленные требованиями к государственным информационным системам*(53), информационным системам персональных данных*(54), автоматизированным системам управления производственными и технологическими процессами*(55).

130. Меры, подлежащие реализации при создании подсистемы обеспечения безопасности, выявленные в ходе GAP-анализа (аудита), включаются в техническое задание на создание подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Содержание технического задания определяется п. 10 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации*(52). Техническое задание оформляется в соответствии со стандартами*(56).

131. В рамках планирования мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения в соответствии с установленными требованиями*(57) осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов КИИ.

4.1.4. Этап "Реализация" создания подсистемы обеспечения безопасности

132. На этапе "Реализация" осуществляется внедрение организационных и технических мер, реализация плана мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения*(58). Этап предполагает выполнение следующих процедур:

- разработка организационно-распорядительных документов по безопасности значимых объектов КИИ;

- проектирование подсистемы безопасности значимых объектов КИИ;

- внедрение организационных и технических мер по обеспечению безопасности значимых объектов КИИ.

Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.

133. Организационно-распорядительные документы, определяющие порядок и правила функционирования системы безопасности значимых объектов КИИ организации сферы здравоохранения, а также порядок и правила обеспечения их безопасности, разрабатываются с учетом особенностей деятельности организации сферы здравоохранения, нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры. При этом, положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации) организации сферы здравоохранения, а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Состав и формы организационно-распорядительных документов определяются руководителем организации сферы здравоохранения по предложениям структурного подразделения по безопасности. Организационно-распорядительные документы должны соответствовать установленным требованиям*(59).

Организационно-распорядительные документы по безопасности значимых объектов КИИ утверждаются руководителем организации сферы здравоохранения (уполномоченным лицом). По решению руководителя организации сферы здравоохранения отдельные организационно-распорядительные документы по безопасности значимых объектов КИИ могут утверждаться иными уполномоченными на это лицами организации сферы здравоохранения.

Работники организации сферы здравоохранения, эксплуатирующие значимые объекты КИИ, должны быть ознакомлены с положениями организационно-распорядительных документов организации сферы здравоохранения по безопасности значимых объектов КИИ в части, их касающейся.

Перечень рекомендуемых организационно-распорядительных документов по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения приведен в Приложении 19.

134. Проектирование подсистемы безопасности значимого объекта КИИ организации сферы здравоохранения должно осуществляться в соответствии с техническим заданием на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта КИИ организации сферы здравоохранения.

135. В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:

- обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта КИИ организации сферы здравоохранения;

- практическую отработку выполнения средствами защиты информации функций безопасности;

- исключение влияния подсистемы безопасности на функционирование значимого объекта КИИ объекта сферы здравоохранения.

136. Применяемые средства защиты информации должны быть обеспечены гарантийной и/или технической поддержкой со стороны разработчиков (производителей). При этом, в значимом объекте КИИ не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств защиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц*(60).

137. Состав и формы рабочей (эксплуатационной) документации определяются в соответствии с техническим заданием на подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Рабочая (эксплуатационная) документация на значимый КИИ объект должна содержать:

- описание архитектуры подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения;

- порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;

- правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).

138. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ организуется организацией сферы здравоохранения в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект КИИ и включает:

- установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств;

- внедрение организационных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения;

- предварительные испытания значимого объекта КИИ организации сферы здравоохранения и его подсистемы обеспечения безопасности;

- опытную эксплуатацию значимого объекта КИИ организации сферы здравоохранения и его подсистемы безопасности;

- анализ уязвимостей значимого объекта КИИ организации сферы здравоохранения и принятие мер по их устранению;

- приемочные испытания значимого объекта и его подсистемы безопасности.

139. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации*(61).

4.1.5. Этап "Контроль" создания подсистемы обеспечения безопасности

140. На этапе "Контроль" осуществляется внутренний контроль организации работ по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения и эффективности принимаемых организационных и технических мер. По решению руководителя организации сферы здравоохранения может организовываться внешняя оценка с привлечением организаций, имеющих лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации). Этап предполагает выполнение следующих процедур:

- формирование комиссии организации сферы здравоохранения для внутреннего контроля либо выбор внешней организации-аудитора;

- проверка выполнения требований и организационно-распорядительных документов по безопасности значимых объектов КИИ организации сферы здравоохранения;

- инструментальный контроль выполнения технических мер безопасности значимых объектов КИИ организации сферы здравоохранения.

Состав процедур этапа "Контроль" создания подсистемы безопасности приведен в Приложении 18.

141. Контроль проводится ежегодно комиссией, назначаемой руководителем организации сферы здравоохранения. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты КИИ, и подразделений, обеспечивающих их функционирование. В состав комиссии могут включаться работники иных подразделений организации сферы здравоохранения.

142. Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых КИИ могут применяться средства контроля (анализа) защищенности.

143. Результаты контроля оформляются актом, который подписывается членами комиссии и утверждается руководителем организации сферы здравоохранения (уполномоченным лицом).

На основе замечаний, выявленных по результатам контроля, формируются предложения по совершенствованию безопасности значимых объектов КИИ организации сферы здравоохранения, включаются в ежегодный план мероприятий по обеспечению безопасности значимых объектов КИИ и устраняются в установленные сроки.

4.2. Организация взаимодействия с центрами ГосСОПКА (справочно)

4.2.1. Общие положения

144. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) обеспечивает сбор, накопление, систематизацию и анализ информации, получаемой от субъектов критической информационной инфраструктуры. Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.

145. Основной организационно-технической составляющей ГосСОПКА являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее - Центры), организованные по ведомственному и территориальному принципам. Главным центром является Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Министерство здравоохранения Российской Федерации может создать ведомственный Центр ГосСОПКА.

Общая структура Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) приведена в Приложении 20.

146. В рамках взаимодействия с ГосСОПКА организация сферы здравоохранения имеет право:

- получать информацию об угрозах безопасности информации, обрабатываемой объектами критической информационной инфраструктуры, функционирующими в сфере здравоохранения, и уязвимости программного обеспечения, оборудования и технологий, используемых на таких объектах КИИ;

- получать информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;

- за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

147. Организации сферы здравоохранения обязаны незамедлительно информировать о компьютерных инцидентах НКЦКИ в установленном порядке*(62).

148. Организация взаимодействия с ГосСОПКА предполагает выполнение следующих процедур:

- выбор центра ГосСОПКА, заключение договора;

- уведомление НКЦКИ о вхождении в зону ответственности центра ГосСОПКА;

- разработку Регламентов взаимодействия и реагирования;

- организацию сбора информации об инцидентах ИБ.

Состав процедур организации взаимодействия с ГосСОПКА приведен в Приложении 18.

4.2.2. Выбор Центра ГосСОПКА

149. Организация сферы здравоохранения может организовать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:

- непосредственно через НКЦКИ;

- через ведомственный Центр ГосСОПКА, взаимодействующий с НКЦКИ (при условии его создания);

- через коммерческие (корпоративные) центры ГосСОПКА, созданные на территории региона расположения организации сферы здравоохранения.

150. Взаимодействие организации сферы здравоохранения с Центрами ГосСОПКА осуществляется на договорной основе. После заключения договора на обслуживание с выбранным Центром ГосСОПКА организация сферы здравоохранения уведомляет НКЦКИ о вхождении в зону ответственности центра ГосСОПКА.

151. Взаимодействие организации сферы здравоохранения с Центром ГосСОПКА осуществляется в рамках разрабатываемого Регламента взаимодействия.

4.2.3. Организация сбора и обмена информацией о компьютерных инцидентах

152. Обязательным для организации сферы здравоохранения является обмен информацией о компьютерных инцидентах с НКЦКИ*(63) и создаваемым ведомственным Центром ГосСОПКА Министерства здравоохранения Российской Федерации (при условии его создания). Круг иных субъектов КИИ, с которыми осуществляется такой обмен, организации сферы здравоохранения определяют самостоятельно. При направлении информации о компьютерных инцидентах в ведомственный Центр ГосСОПКА Министерства здравоохранения Российской Федерации (при условии его создания) организации сферы здравоохранения обязаны параллельно информировать об этом НКЦКИ.

153. Обмен информацией о компьютерных инцидентах осуществляется в сроки, достаточные для своевременного проведения мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Обмен информацией о компьютерных инцидентах осуществляется путем направления уведомлений в соответствии с установленными форматами*(64).

154. Взаимодействие с НКЦКИ возможно следующими способами:

- с использованием технической инфраструктуры НКЦКИ (при наличии подключения), предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия c субъектами КИИ;

- посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в сети "Интернет" по адресу: http://cert.gov.ru.

155. Состав информации, передаваемой в рамках взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), приведен в Приложении 21.

______________________________

*(1) ГК РФ, ст. 689

*(2) ГК РФ, ст. 294

*(3) ГК РФ, ст. 296

*(4) В настоящих методических рекомендациях применяется термин "бизнес-процесс", аналогичный определению "процесс" из постановления Правительства Российской Федерации от 08.02.2018 г. N 127

*(5) Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации от 26.07.2017 N 187-ФЗ, ст. 7

*(6) Постановление Правительства Российской Федерации от 08.02.2018 N 127

*(7) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 2, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(8) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 3, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(9) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 4, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(10) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 8, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(11) Указ Президента РФ от 04.08.2004 N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ"

*(12) Распоряжение Правительства РФ от 20.08.2009 N 1226-р "Об утверждении перечня стратегических предприятий и организаций"

*(13) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 9, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(14) При выполнении условий, перечисленных в ст. 284.1 НК РФ

*(15) Ст. 149 НК РФ

*(16) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 10, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(17) Федеральный закон "О национальной платежной системе" от 27.06.2011 N 161-ФЗ

*(18) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 11, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(19) Федеральный закон от 21.07.1997 N 116-ФЗ "О промышленной безопасности опасных производственных объектов"

*(20) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. примечание 5, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(21) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п.п. 12, 13, 14, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127)

*(22) Полностью неавтоматизированные бизнес-процессы не рассматриваются, так как они выходят из-под юрисдикции Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (ст. 1)

*(23) В контексте настоящих методических рекомендаций, если это специально не оговорено, под органом государственной власти подразумеваются федеральные органы государственной власти, органы государственной власти субъекта Российской Федерации или города федерального значения

*(24) Постановление Правительства РФ от 26.06.2012 N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов"

*(25) Для бизнес-процессов, задействованных в оказании экстренной помощи,

*(26) Информационное сообщение ФСТЭК России от 17.04.2020 N 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

*(27) Адрес: Экспедиция ФСТЭК России, 105066, г. Москва, ул. Старая Басманная, д. 17, 8-е управление ФСТЭК России

*(28) Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства РФ от 08.02.2018 г. N 127, п. 14(1)

*(29) Допущение: после ликвидации последствий компьютерной атаки предполагается, что существующая система безопасности объекта КИИ восстановлена и не может быть подвержена другой атаке

*(30) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 1, утв. постановлением Правительства РФ от 08.02.2018 N 127

*(31) Приказ Росстата от 30.12.2019 N 830 "Об утверждении форм федерального статистического наблюдения с указаниями по их заполнению для организации министерством здравоохранения Российской Федерации федерального статистического наблюдения в сфере охраны здоровья, Форма N 30.

*(32) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства РФ от 08.02.2018 N 127

*(33) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 5, утв. постановлением Правительства РФ от 08.02.2018 N 127

*(34) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9, утв. постановлением Правительства РФ от 08.02.2018 N 127

*(35) Приказ ФНС России от 19.10.16 N ММВ-7-3/572@ "Об утверждении формы налоговой декларации по налогу на прибыль организаций, порядка ее заполнения, а также формата представления налоговой декларации по налогу на прибыль организаций в электронной форме

*(36) Сумма в 21 300,00 млн руб. составляет 0,001% прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период с 2020 по 2022 года. В последующие периоды размер суммы 0,001% прогнозируемого годового дохода федерального бюджета должен быть пересчитан с учетом данных Минфина России и Федерального закона о федеральном бюджете на текущий год.

*(37) Прогнозируемый годовой доход федерального бюджета, усредненный за период 2020-2022 годы с учетом Федерального закона от 02.12.2019 N 380-ФЗ "О федеральном бюджете на 2020 год и на плановый период 2021 и 2022 годов" принимается равным R = 21 300 млрд руб. Актуальные сведения (законы и законопроекты) о прогнозируемом годовом доходе бюджета Российской Федерации доступны на сайте официального печатного органа Правительства Российской Федерации https://rg.ru или Министерства финансов Российской Федерации https://www.minfin.ru

*(38) Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 11, утв. постановлением Правительства РФ от 08.02.2018 N 127

*(39) Актуальные сведения о границах о границах# инженерной и транспортной инфраструктуры (земли транспорта) доступны на официальном сайте Федеральной службы государственной регистрации, кадастра и картографии или на портале "Госуслуги"

*(40) Актуальные сведения о численности населения доступны на официальном сайте Федеральной службы государственной статистики Российской Федерации www.gks.ru

*(41) Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"

*(42) Для создания электронных таблиц в формате OpenDocumentFormat используются программное обеспечение StarOffice, OpenOffice или LibreOffice. При отсутствии необходимого программного обеспечения, электронные копии сведений о категорировании создаются с использованием программного обеспечения Exel с последующим переводом в формат *.ods. Для этого после формирования электронной таблицы в формате *.xls (*.xlsx), дается команда "Сохранить как и в строке "Тип файла" всплывающего окна выбирается строка с записью "Электронная таблица в формате *.ods)

*(43) Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказ ФСТЭК России от 21.12.2017 N 235), п. 8

*(44) Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказ ФСТЭК России от 21.12.2017 N 235), п. 10

*(45) Приказ Министерства связи и массовых коммуникаций РФ от 31.07014 N 234 "Об утверждении Правил оказания услуг почтовой связи"

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного приказа следует читать как "31.07.2014"

*(46) Структура и состав системы, физические, логические, функциональные и технологические взаимосвязи.

*(47) Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", глава IV.

*(48) Приказ ФСТЭК России от 25.12.2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"

*(49) "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 г. N 235

*(50) Приказ ФСТЭК России от 27.03.2019 г. N 64, пп. 4 п. 1

*(51) Приказ ФСТЭК России от 25.12.2017 г. N 239, п. 11.1

*(52) Утверждены приказом ФСТЭК России от 25.12.2017 г. N 239

*(53) Утверждены приказом ФСТЭК России от 11.02.2013 г. N 17

*(54) Утверждены приказом ФСТЭК России от 18.02.2013 г. N 21

*(55) Утверждены приказом ФСТЭК России от 14.03.2014 г. N 31

*(56) ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на автоматизированные системы"

*(57) "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п.п. 29-33

*(58) "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п. 34

*(59) "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, раздел IV

*(60) "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", утв. приказом ФСТЭК России от 25.12.2017 N 239, п. 32

*(61) Утверждены приказом ФСТЭК России от 25.12.2017 N 239, п. 12-12.7

*(62) Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ Российской Федерации, между субъектами КИИ Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами КИИ Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"

*(63) Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"

*(64) Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

Заместитель Министра здравоохранения Российской Федерации

П.С. Пугачев

Согласовано

Директор Департамента цифрового развития и информационных технологий Министерства здравоохранения Российской Федерации

В.В. Ваньков

5 апреля 2021 г.