Приложение 17. Справочные материалы по подготовке документов для отправки в ФСТЭК России. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. Версия 1.0 (утв. Министерством здравоохранения РФ 5 апреля 2021 г.)

Приложение 17

Справочные материалы по подготовке документов для отправки в ФСТЭК России

I. Образец сопроводительного письма в ФСТЭК России о направлении Перечня объектов КИИ организации сферы здравоохранения, подлежащих категорированию

<на фирменном бланке организации сферы здравоохранения>

	Экспедиция ФСТЭК России, 8-е управление ФСТЭК России ул. Старая Басманная, д. 17, г. Москва, 105066
О направлении Перечня объектов КИИ <полное наименование организации сферы здравоохранения>, подлежащих категорированию

В соответствии с пунктом 15 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утверждённых постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений направляем Перечень объектов КИИ <полное наименование организации сферы здравоохранения>, подлежащих категорированию.

В случае возникновения вопросов или необходимости получить какие-либо разъяснения с нашей стороны, просим обращаться к <ФИО, телефон, адрес эл. почты>.

Приложение:

1. Перечень объектов КИИ <полное наименование организации сферы здравоохранения>, подлежащих категорированию на __ <число прописью> листах в 1 (одном) экз. 2. Электронная копия Перечень объектов КИИ <полное наименование организации сферы здравоохранения>, подлежащих категорированию <формат *.odt, *.ods> на носителе ______________ в 1 (одном) экз. Все приложения только в адрес.

Руководитель

______________________________  -  _____________________________________,

           (ФИО)                                (подпись)

II. Образец сопроводительного письма в ФСТЭК России о присвоении объекту КИИ категории значимости

<на фирменном бланке организации сферы здравоохранения>

	Экспедиция ФСТЭК России, 8-е управление ФСТЭК России ул. Старая Басманная, д. 17, г. Москва, 105066
О направлении сведений о результатах присвоения объектам КИИ <полное наименование организации сферы здравоохранения> категорий значимости либо об отсутствии необходимости присвоения им таких категорий

Во исполнение требований пункта 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (утв. Постановлением Правительства РФ от 8 февраля 2018 года N 127) и в соответствии с Информационным сообщением ФСТЭК России от 17 апреля 2020 года N 240/84/611 направляем Сведения о результатах присвоения объектам КИИ <полное наименование организации сферы здравоохранения> категорий значимости либо об отсутствии необходимости присвоения им таких категорий.

В случае возникновения вопросов или необходимости получить какие-либо разъяснения с нашей стороны, просим обращаться к <ФИО, телефон, адрес эл. почты>.

Приложение:

1. Сведения о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий на ___ (число прописью) листах в 1 (одном) экз. 2. Электронная копия Сведения о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий <формат, *.ods> на носителе ______________ в 1 (одном) экз. Все приложения только в адрес.

Руководитель

______________________________  -  _____________________________________,

           (ФИО)                                (подпись)

III. Форма Сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий

1. Сведения об объекте критической информационной инфраструктуры

1.1.	Наименование объекта (наименование информационной системы, автоматизированной системы управления или информационно-телекоммуникационной сети)
1.2.	Адреса размещения объекта, в том числе адреса обособленных подразделений (филиалов, представительств) субъекта критической информационной инфраструктуры, в которых размещаются сегменты распределенного объекта
1.3.	Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
1.4.	Назначение объекта
1.5.	Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)
1.6.	Архитектура объекта (одноранговая сеть, клиент-серверная система, технология "тонкий клиент", сеть передачи данных, система диспетчерского управления и контроля, распределенная система управления, иная архитектура)

2. Сведения о субъекте критической информационной инфраструктуры

2.1.	Наименование субъекта
2.2.	Адрес местонахождения субъекта
2.3.	Должность, фамилия, имя, отчество (при наличии) руководителя субъекта
2.4.	Должность, фамилия, имя, отчество (при наличии) должностного лица, на которое возложены функции обеспечения безопасности значимых объектов, или в случае отсутствия такого должностного лица, наименование должности, фамилия, имя, отчество (при наличии) руководителя субъекта.
2.5.	Структурное подразделение, ответственное за обеспечение безопасности значимых объектов, должность, фамилия, имя, отчество (при наличии) руководителя структурного подразделения, телефон, адрес электронной почты (при наличии) или должность, фамилия, имя, отчество (при наличии) специалиста, ответственного за обеспечение безопасности значимых объектов, телефон, адрес электронной почты (при наличии)
2.6.	ИНН субъекта и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта

3. Сведения о взаимодействии объекта критической информационной инфраструктуры и сетей электросвязи

3.1.	Категория сети электросвязи (общего пользования, выделенная, технологическая, присоединенная к сети связи общего пользования, специального назначения, другая сеть связи для передачи информации при помощи электромагнитных систем) или сведения об отсутствии взаимодействия объекта критической информационной инфраструктуры с сетями электросвязи
3.2.	Наименование оператора связи и (или) провайдера хостинга
3.3.	Цель взаимодействия с сетью электросвязи (передача (прием) информации, оказание услуг, управление, контроль за технологическим, производственным оборудованием (исполнительными устройствами), иная цель)
3.4.	Способ взаимодействия с сетью электросвязи с указанием типа доступа к сети электросвязи (проводной, беспроводной), протоколов взаимодействия

4. Сведения о лице, эксплуатирующем объект критической информационной инфраструктуры

4.1.	Наименование юридического лица или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, эксплуатирующего объект
4.2.	Адрес местонахождения юридического лица или адрес места жительства индивидуального предпринимателя, эксплуатирующего объект
4.3.	Элемент (компонент) объекта, который эксплуатируется лицом (центр обработки данных, серверное оборудование, телекоммуникационное оборудование, технологическое, производственное оборудование (исполнительные устройства), иные элементы (компоненты)
4.4.	ИНН лица, эксплуатирующего объект и КПП его обособленных подразделений (филиалов, представительств), в которых размещаются сегменты распределенного объекта

5. Сведения о программных и программно-аппаратных средствах, используемых на объекте критической информационной инфраструктуры

5.1.	Наименования программно-аппаратных средств (пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств) и их количество
5.2.	Наименование общесистемного программного обеспечения (клиентских, серверных операционных систем, средств виртуализации (при наличии)
5.3.	Наименования прикладных программ, обеспечивающих выполнение функций объекта по его назначению (за исключением прикладных программ, входящих в состав дистрибутивов операционных систем)
5.4.	Применяемые средства защиты информации (в том числе встроенные в общесистемное, прикладное программное обеспечение) (наименования средств защиты информации, реквизиты сертификатов соответствия, иных документов, содержащих результаты оценки соответствия средств защиты информации или сведения о непроведении такой оценки) или сведения об отсутствии средств защиты информации

6. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры

6.1.	Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации
6.2.	Основные угрозы безопасности информации или обоснование их неактуальности

7. Возможные последствия в случае возникновения компьютерных инцидентов

7.1.

Типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак (отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация (подмена) данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов объекта), или обоснование невозможности наступления компьютерных инцидентов

8. Категория значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости

8.1.	Категория значимости, которая присвоена объекту либо информация о не присвоении объекту ни одной из таких категорий
8.2.	Полученные значения по каждому из рассчитываемых показателей критериев значимости или информация о неприменимости показателя к объекту
8.3.	Обоснование полученных значений по каждому из показателей критериев значимости или обоснование неприменимости показателя к объекту

9. Организационные и технические меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры

9.1.	Организационные меры (установление контролируемой зоны, контроль физического доступа к объекту, разработка документов (регламентов, инструкций, руководств) по обеспечению безопасности объекта)
9.2.	Технические меры по идентификации и аутентификации, управлению доступом, ограничению программной среды, антивирусной защите и иные в соответствии с требованиями по обеспечению безопасности значимых объектов

____________________________ ___________ ________________________________

  (Наименование должности     (подпись)        (инициалы, фамилия)

  руководителя организации

 сферы здравоохранения или

  уполномоченного им лица)       М.П.

                             (при наличии

                                печати)

"__" ____________ 20__ г.

IV. Классификация и характеристика сетей электросвязи

Тип сети	Характеристика сети (описание)	Взаимосвязь с организациям сферы здравоохранения
Сеть связи общего пользования	Комплекс взаимодействующих сетей электросвязи, определяемых географически в пределах обслуживаемой территории	Сети связи общего пользования могут быть задействованы во всех организациях сферы здравоохранения. Взаимодействие объекта КИИ и сетей электросвязи общего пользования определяется наличием в организации сферы здравоохранения договоров с организациями связи на предоставление услуг связи, в том числе телематических услуг, услуг связи по предоставлению каналов связи и передаче данных. Примером сети связи общего пользования является сеть Интернет.
Выделенные сети связи	Сети электросвязи для оказания услуг электросвязи ограниченному кругу пользователей или группам таких пользователей. Выделенные сети связи могут взаимодействовать между собой. Выделенные сети связи не имеют присоединения к сети связи общего пользования	Выделенные сети связи могут выполнять роль среды передачи данных внутри организации сферы здравоохранения. Примером выделенной сети связи является сеть Интранет.
Технологические сети связи	Сети связи для обеспечения производственной деятельности организаций, управления технологическими процессами в производстве	Технологические сети связи, как правило, задействуются для обеспечения деятельности автоматизированных систем диагностики заболеваний и прогнозирования результатов их лечения и медицинских комплексов программно-аппаратных. Технологические сети связи могут взаимодействовать между собой посредством подключения к сетям связи общего пользования.
Сети связи специального назначения	Сети связи для нужд органов государственной власти, нужд обороны страны, безопасности государства и обеспечения правопорядка. Сети связи специального назначения могут быть присоединены к сети связи общего пользования	Сети связи специального назначения, как правило, используются органами управления системой здравоохранения. Примером сети связи специального назначения является система межведомственного электронного взаимодействия (СМЭВ-3).

V. Взаимосвязь возможных угроз безопасности информации и инцидентов

Возможные угрозы	Возможные инциденты (результат компьютерных атак)
	отказ в обслуживании	несанкционированный доступ	утечка данных	модификация (подмена) данных	нарушение работы технических средств	незаконное использование вычислительных ресурсов
Угрозы создания нештатных режимов работы	Да	Нет	Нет	Да	Да	Нет
Угрозы доступа (проникновения) в операционную среду	Нет	Да	Да	Да	Нет	Нет
Угрозы удаленного доступа (сетевые атаки)	Да	Да	Да	Да	Да	Да
Угрозы программно-математического воздействия (вирусные атаки)	Нет	Да	Да	Да	Нет	Да
Угрозы социально-психологического характера	Да	Да	Да	Да	Да	Да

VI. Взаимосвязь возможных угроз безопасности информации и объектов воздействия ИС, ИТКС, АСУ

Возможные угрозы

Объекты воздействия

Характеристика угрозы

Оборудование ИС, ИТКС, АСУ

Пользователи ИС, ИТКС, АСУ

Обеспечивающий персонал

Центр обработки данных

Серверное оборудование

Телекоммуникационное оборудование

Исполнительные устройства

Сетевое оборудование

Технологическое оборудование

Программные компоненты для передачи данных по сетям

Файлы данных (информация)

Базы данных с информацией

Прикладные программы доступа и обработки информации

Угрозы создания нештатных режимов работы

ДА

Нет

Нет

Да

Да

Да

Да

Да

Да

Да

Нет

Нет

Да

Преднамеренные изменения служебных данных, игнорирование предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажение (модификация) самих данных

Угрозы доступа (проникновения) в операционную среду

Да

Нет

Нет

Да

Да

Да

Да

Да

Нет

Да

Нет

Нет

Да

Несанкционированный доступ к информации или внедрение вредоносных программ путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия

Угрозы удаленного доступа (сетевые атаки)

Нет

Нет

Нет

Да

Да

Да

Да

Да

Нет

Да

Да

Да

Да

Захват контроля (повышение прав) над удалённой ИС, ИТКС, АСУ, либо её дестабилизация, либо отказ в обслуживании, а также получение данных пользователей, осуществляемое по каналам связи

Угрозы программно-математического воздействия (вирусные атаки)

Нет

Нет

Нет

Да

Да

Да

Нет

Да

Нет

Да

Да

Да

Да

Воздействие на ИС, ИТКС, АСУ с помощью вредоносных программ для дестабилизации ИС, ИТКС, АСУ, либо отказа в обслуживании, а также получения данных пользователей

Угрозы социально-психологического характера

Нет

Да

Да

Нет

Нет

Нет

Нет

Нет

Нет

Нет

Нет

Нет

Нет

Несанкционированный доступ к информации или внедрение вредоносных программ путем воздействия на физические, моральные, психологические особенности пользователей ИС, ИТКС, АСУ либо деструктивные действия пользователей ИС, АСУ, ИТКС на почве антагонистических отношений или неудовлетворенности своим положением

VII. Классификация, характеристика и возможности нарушителей по реализации угроз безопасности информации

Тип нарушителя	Класс нарушителя	Описание нарушителя	Угрозы
			создания нештатных режимов работы	доступа (проникновения) в операционную среду	удаленного доступа (сетевые атаки)	программно-математического воздействия (вирусные атаки)	социально-психологического характера
	Внешний антропогенный	Нарушитель с базовым потенциалом, не является пользователем ИС, ИТКС, АСУ организации сферы здравоохранения, не имеет доступа в зону эксплуатации ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки (хакер)	Нет	Да	Да	Да	Нет
	Внешний антропогенный	Нарушитель с базовым повышенным потенциалом, не является пользователем ИС, ИТКС, АСУ организации сферы здравоохранения, не имеет доступа в зону эксплуатации ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, самостоятельно реализует компьютерные атаки (преступный элемент, хакерская группа)	Нет	Да	Да	Да	Да
	Внутренний или внешний антропогенный	Нарушитель с базовым низким потенциалом, имеет физический доступ к средствам (системам) обработки ИС, ИТКС, АСУ организации сферы здравоохранения, но не имеет прав пользователя ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак (обслуживающий персонал, поставщик)	Да	Нет	Нет	Да	Нет
	Внутренний антропогенный	Нарушитель с базовым низким потенциалом, является пользователем, в том числе удаленным, ИС, ИТКС, АСУ организации сферы здравоохранения, но не имеет прав администрирования и конфигурирования средств (систем) ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки (пользователь)	Нет	Да	Да	Да	Нет
	Внутренний антропогенный	Нарушитель с базовым повышенным потенциалом является пользователем, в том числе удаленным, ИС, ИТКС, АСУ организации сферы здравоохранения, имеет права администрирования и конфигурирования средств (систем) ИС, ИТКС, АСУ, осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атак с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак (привилегированный пользователь)	Да	Да	Да	Да	Нет
	Внешний антропогенный	Нарушитель с высоким потенциалом, не является пользователем ИС, ИТКС, АСУ организации сферы здравоохранения, осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атак с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа методов компьютерных атак (специальные службы иностранных государств)	Да	Да	Да	Да	Да

VIII. Примеры определения угроз безопасности информации, нарушителей и последствий инцидентов для организации сферы здравоохранения

Пример 1. ГИС "Наименование"

1. На основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС установлено, что для ГИС "Наименование" характерны два критерия значимости:

Критерии значимости объектов критической информационной инфраструктуры	Возможные инциденты (результат компьютерных атак)
	отказ в обслуживании	несанкционированный доступ	утечка данных	модификация (подмена) данных	нарушение работы технических средств	незаконное использование вычислительных ресурсов
Социальная значимость
Отсутствие доступа к государственной услуге	Да			Да	Да
Политическая значимость
Прекращение или нарушение функционирования государственного органа	Да			Да	Да	Да

В п. 7.1. Формы представления Сведений о категорировании вносится:

7.1.

Типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак (отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация (подмена) данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов объекта), или обоснование невозможности наступления компьютерных инцидентов

1. Инциденты, которые могут привести к отсутствию доступа к государственной услуге: - отказ в обслуживании; - модификация (подмена) данных - нарушение работы технических средств 2. Инциденты, которые могут привести к прекращению или нарушению функционирования государственного органа: - отказ в обслуживании; - модификация (подмена) данных - нарушение работы технических средств - незаконное использование вычислительных ресурсов

2. На основании определенных в п. 1 возможных событий (инцидентов) с учетом данных раздела V Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17) выявлены следующие угрозы безопасности информации для ГИС "Наименование":

Возможные угрозы	Возможные инциденты (результат компьютерных атак)
	отказ в обслуживании	несанкционированный доступ	утечка данных	модификация (подмена) данных	нарушение работы технических средств	незаконное использование вычислительных ресурсов
Угрозы создания нештатных режимов работы	Да	Нет	Нет	Да	Да	Нет
Угрозы доступа (проникновения) в операционную среду	Нет	Да	Да	Да	Нет	Нет
Угрозы удаленного доступа (сетевые атаки)	Да	Да	Да	Да	Да	Да
Угрозы программно-математического воздействия (вирусные атаки)	Нет	Да	Да	Да	Нет	Да
Угрозы социально-психологического характера	Да	Да	Да	Да	Да	Да

Потенциальными угрозами безопасности информации для ГИС "Наименование" являются:

- угрозы создания нештатных режимов работы;

- угрозы доступа (проникновения) в операционную среду

- угрозы удаленного доступа (сетевые атаки)

- угрозы программно-математического воздействия (вирусные атаки)

- угрозы социально-психологического характера

3. При актуализации состава возможных угроз безопасности информации с учетом с учетом структурно-функциональных характеристик ГИС "Наименование" определены следующие объекты воздействия:

- Оборудование ИС, ИТКС, АСУ

- Пользователи ИС, ИТКС, АСУ

- Обеспечивающий персонал

- Центр обработки данных

- Серверное оборудование

- Сетевое оборудование

- Программные компоненты для передачи данных по сетям

- Файлы данных (информация)

- Базы данных с информацией

- Прикладные программы доступа и обработки информации

Взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) показали, что состав угроз после актуализации не изменился.

Возможные угрозы

Объекты воздействия

Характеристика угрозы

Оборудование ИС, ИТКС, АСУ

Пользователи ИС, ИТКС, АСУ

Обеспечивающий персонал

Центр обработки данных

Серверное оборудование

Телекоммуникационное оборудование

Исполнительные устройства

Сетевое оборудование

Технологическое оборудование

Программные компоненты для передачи данных по сетям

Файлы данных (информация)

Базы данных с информацией

Прикладные программы доступа и обработки информации

Угрозы создания нештатных режимов работы

Да

Нет

Нет

Да

Да

Да

Да

Да

Да

Да

Нет

Нет

Да

Преднамеренные изменения служебных данных, игнорирование предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажение (модификации) самих данных

Угрозы доступа (проникновения) в операционную среду

Да

Нет

Нет

Да

Да

Да

Да

Да

Нет

Да

Нет

Нет

Да

Выполнение несанкционированного доступа к информации или внедрения вредоносных программ путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия

Угрозы удаленного доступа (сетевые атаки)

Нет

Нет

Нет

Да

Да

Да

Да

Да

Нет

Да

Да

Да

Да

Захват контроля (повышение прав) над удалённой ИС, ИТКС, АСУ, либо её дестабилизация, либо отказ в обслуживании, а также получение данных пользователей, осуществляемое по каналам связи

Угрозы программно-математического воздействия (вирусные атаки)

Нет

Нет

Нет

Да

Да

Да

Нет

Да

Нет

Да

Да

Да

Да

Воздействие на ИС, ИТКС, АСУ с помощью вредоносных программ для дестабилизации ИС, ИТКС, АСУ, либо отказа в обслуживании, а также получения данных пользователей

Угрозы социально-психологического характера

Нет

Да

Да

Нет

Нет

Нет

Нет

Нет

Нет

Нет

Нет

Нет

Нет

Выполнение несанкционированного доступа к информации или внедрения вредоносных программ путем воздействия на физические, моральные, психологические особенности пользователей ИС, ИТКС, АСУ либо деструктивные действия пользователей ИС, АСУ, ИТКС на почве антагонистических отношений или неудовлетворенности своим положением

В п. 6.2 Формы представления Сведений о категорировании вносится:

6.2.

Основные угрозы безопасности информации или обоснование их неактуальности

Угрозы, которые могут привести к отсутствию доступа к государственной услуге, а также к прекращению или нарушению функционирования государственного органа: - угрозы создания нештатных режимов работы; - угрозы доступа (проникновения) в операционную среду - угрозы удаленного доступа (сетевые атаки) - угрозы программно-математического воздействия (вирусные атаки) - угрозы социально-психологического характера

4. На основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определены типы (категории) возможных нарушителей:

Тип нарушителя	Класс нарушителя	Описание нарушителя	Угрозы
			создания нештатных режимов работы	доступа (проникновения) в операционную среду	удаленного доступа (сетевые атаки)	программно-математического воздействия (вирусные атаки)	социально-психологического характера
	Внешний антропогенный	Нарушители с базовым потенциалом, не является пользователем ИС, ИТКС, АСУ организации сферы здравоохранения, не имеет доступа в зону эксплуатации ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки (хакер)	Нет	Да	Да	Да	Нет
	Внешний антропогенный	Нарушитель с базовым повышенным потенциалом, не является пользователем ИС, ИТКС, АСУ организации сферы здравоохранения, не имеет доступа в зону эксплуатации ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, самостоятельно реализует компьютерные атаки (преступный элемент, хакерская группа)	Нет	Да	Да	Да	Да
	Внутренний или внешний антропогенный	Нарушитель с базовым низким потенциалом, имеет физический доступ к средствам (системам) обработки ИС, ИТКС, АСУ организации сферы здравоохранения, но не имеет прав пользователя ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак (обслуживающий персонал, поставщик)	Да	Нет	Нет	Да	Нет
	Внутренний антропогенный	Нарушитель с базовым низким потенциалом, является пользователем, в том числе удаленным, ИС, ИТКС, АСУ организации сферы здравоохранения, но не имеет прав администрирования и конфигурирования средств (систем) ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки (пользователь)	Нет	Да	Да	Да	Нет
	Внутренний антропогенный	Нарушитель с базовым повышенным потенциалом является пользователем, в том числе удаленным, ИС, ИТКС, АСУ организации сферы здравоохранения, имеет права администрирования и конфигурирования средств (систем) ИС, ИТКС, АСУ, осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атак с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак (привилегированный пользователь)	Да	Да	Да	Да	Нет
	Внешний антропогенный	Нарушитель с высоким потенциалом, не является пользователем ИС, ИТКС, АСУ организации сферы здравоохранения, осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атак с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа методов компьютерных атак (специальные службы иностранных государств)	Да	Да	Да	Да	Да

В п. 6.1 Формы представления Сведений о категорировании вносится:

6.1.

Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации

1. Внешний антропогенный (хакер) нарушитель с базовым потенциалом, не являющийся пользователем ГИС "Наименование", не имеющий доступа в зону эксплуатации ГИС "Наименование", самостоятельно осуществляющий создание методов и средств реализации компьютерных атак, а также самостоятельно реализующий компьютерные атаки 2. Внешний антропогенный (преступный элемент, хакерская группа) нарушитель с базовым повышенным потенциалом, не являющийся пользователем ГИС "Наименование", не имеющий доступа в зону эксплуатации ГИС "Наименование", самостоятельно осуществляющий создание методов и средств реализации компьютерных атак, самостоятельно реализующий компьютерные атаки 3. Внутренний или внешний антропогенный (обслуживающий персонал, поставщик) Нарушитель с базовым низким потенциалом, имеет физический доступ к средствам (системам) обработки ГИС "Наименование", но не имеет прав пользователя ГИС "Наименование", самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак 4. Внутренний антропогенный (пользователь) нарушитель с базовым низким потенциалом, является пользователем, в том числе удаленным, ГИС "Наименование", но не имеет прав администрирования и конфигурирования средств (систем) ГИС "Наименование", самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки 5. Внутренний антропогенный (привилегированный пользователь) нарушитель с базовым повышенным потенциалом является пользователем, в том числе удаленным, ГИС "Наименование", имеет права администрирования и конфигурирования средств (систем) ГИС "Наименование", осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атак с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак 6. Внешний антропогенный (специальные службы иностранных государств) нарушитель с высоким потенциалом, не является пользователем ГИС "Наименование", осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атак с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа методов компьютерных атак

Пример 2. МПКС

1. На основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС установлено, что для МПКС (аппаратура для искусственной вентиляции легких) характерны следующие критерия значимости:

Критерии значимости объектов критической информационной инфраструктуры	Возможные инциденты (результат компьютерных атак)
	отказ в обслуживании	несанкционированный доступ	утечка данных	модификация (подмена) данных	нарушение работы технических средств	незаконное использование вычислительных ресурсов
Социальная значимость
Причинение ущерба жизни и здоровью людей (человек)	Да			Да	Да

В п. 7.1. Формы представления Сведений о категорировании вносится:

7.1.

Типы компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, в том числе вследствие целенаправленных компьютерных атак (отказ в обслуживании, несанкционированный доступ, утечка данных (нарушение конфиденциальности), модификация данных, нарушение функционирования технических средств, несанкционированное использование вычислительных ресурсов объекта), или обоснование невозможности наступления инцидентов

1. Инциденты, которые могут привести к ущербу жизни и здоровью людей: - отказ в обслуживании; - модификация (подмена) данных - нарушение работы технических средств

2. На основании определенных в п. 1 возможных событий (инцидентов) с учетом данных раздела V Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17) выявлены следующие угрозы безопасности информации для МПКС:

Возможные угрозы	Возможные инциденты (результат компьютерных атак)
	отказ в обслуживании	несанкционированный доступ	утечка данных	модификация (подмена) данных	нарушение работы технических средств	незаконное использование вычислительных ресурсов
Угрозы создания нештатных режимов работы	Да	Нет	Нет	Да	Да	Нет
Угрозы доступа (проникновения) в операционную среду	Нет	Да	Да	Да	Нет	Нет
Угрозы удаленного доступа (сетевые атаки)	Да	Да	Да	Да	Да	Да
Угрозы программно-математического воздействия (вирусные атаки)	Нет	Да	Да	Да	Нет	Да
Угрозы социально-психологического характера	Да	Да	Да	Да	Да	Да

3. Учитывая структурно-функциональные характеристики МПКС, включающие структуру и состав системы, физические, логические, функциональные и технологические взаимосвязи, исключающие возможность удаленного доступа, угрозы удаленного доступа не являются актуальными и исключаются.

Возможные угрозы	Исполнительные устройства	Прикладные программы доступа и обработки информации	Характеристика угрозы
Угрозы создания нештатных режимов работы	ДА	Да	Преднамеренные изменения служебных данных, игнорирование предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажение (модификации) самих данных
Угрозы доступа (проникновения) в операционную среду	Да	Да	Выполнение несанкционированного доступа к информации или внедрения вредоносных программ путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия
Угрозы удаленного доступа (сетевые атаки)	Да	Да	Захват контроля (повышение прав) над удалённой ИС, ИТКС, АСУ, либо её дестабилизация, либо отказ в обслуживании, а также получение данных пользователей, осуществляемое по каналам связи
Угрозы программно-математического воздействия (вирусные атаки)	Нет	Да	Воздействие на ИС, ИТКС, АСУ с помощью вредоносных программ для дестабилизации ИС, ИТКС, АСУ, либо отказа в обслуживании, а также получения данных пользователей
Угрозы социально-психологического характера	Нет	Нет	Выполнение несанкционированного доступа к информации или внедрения вредоносных программ путем воздействия на физические, моральные, психологические особенности пользователей ИС, ИТКС, АСУ либо деструктивные действия пользователей ИС, АСУ, ИТКС на почве антагонистических отношений или неудовлетворенности своим положением

При актуализации состава возможных угроз безопасности информации с учетом с учетом структурно-функциональных характеристик МПКС определены следующие объекты воздействия:

- Исполнительные устройства

- Прикладные программы доступа и обработки информации

Взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) показал, что угрозы социально-психологического характера не являются актуальными.

В п. 6.2 Формы представления Сведений о категорировании вносится:

6.2.

Основные угрозы безопасности информации или обоснование их неактуальности

Угрозы, которые могут привести к отсутствию доступа к ущербу жизни и здоровью людей: - угрозы создания нештатных режимов работы

4. На основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определены типы (категории) возможных нарушителей:

Тип нарушителя	Класс нарушителя	Описание нарушителя	создания нештатных режимов работы
	Внутренний или внешний антропогенный	Нарушитель с базовым низким потенциалом, имеет физический доступ к средствам (системам) обработки ИС, ИТКС, АСУ организации сферы здравоохранения, но не имеет прав пользователя ИС, ИТКС, АСУ, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак (обслуживающий персонал, поставщик)	Да
	Внутренний антропогенный	Нарушитель с базовым повышенным потенциалом является пользователем, в том числе удаленным, ИС, ИТКС, АСУ организации сферы здравоохранения, имеет права администрирования и конфигурирования средств (систем) ИС, ИТКС, АСУ, осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атаки с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак (привилегированный пользователь)	Да
	Внешний антропогенный	Нарушитель с высоким потенциалом, не является пользователем ИС, ИТКС, АСУ организации сферы здравоохранения, осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атаки с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа методов компьютерных атак (специальные службы иностранных государств)	Да

Учитывая, что нарушители типа имеют мотивацию только в отношении определенной категории пациентов, данный тип нарушителей не актуален для обычного организации сферы здравоохранения и могут быть исключены из состава актуальных.

В п. 6.1 Формы представления Сведений о категорировании вносится:

6.1.

Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации

1. Внутренний или внешний антропогенный (обслуживающий персонал, поставщик) Нарушитель с базовым низким потенциалом, имеет физический доступ к средствам (системам) обработки МПКС, но не имеет прав пользователя МПКС, самостоятельно осуществляет создание методов и средств реализации компьютерных атак, а также самостоятельно реализует компьютерные атаки с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак 2. Внутренний антропогенный (привилегированный пользователь) нарушитель с базовым повышенным потенциалом является пользователем, в том числе удаленным, МПКС, имеет права администрирования и конфигурирования средств (систем) МПКС, осуществляет создание методов и средств реализации компьютерных атак, а также реализацию компьютерных атаки с привлечением отдельных специалистов, имеющих опыт в разработке и анализе методов компьютерных атак