Приложение 5. Рекомендации по формированию постоянно действующей комиссии по категорированию объектов КИИ организации сферы здравоохранения

Приложение 5

Рекомендации по формированию постоянно действующей комиссии по категорированию объектов КИИ организации сферы здравоохранения

Согласно Правилам категорирования объектов критической информационной инфраструктуры Российской Федерации*(1) категорирование объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно, для чего локальным правовым актом (приказом) руководителя организации сферы здравоохранения создается постоянно действующая комиссия по категорированию объектов КИИ (далее - Комиссия)*(2).

Состав Комиссии

Комиссию возглавляет председатель, в качестве которого выступает руководитель организации сферы здравоохранения или уполномоченное им лицо*(3). При создании Комиссии необходимо учитывать высокую ответственность председателя Комиссии в определении категории значимости объектов КИИ, необходимость привлечения экспертов из различных областей деятельности, а также постоянный характер деятельности Комиссии. Исходя из этого, уполномоченное лицо должно быть наделено определенными полномочиями, а его должностные обязанности должны быть закреплены в порядке, установленном трудовым законодательством*(4).

Членами Комиссии назначаются эксперты из числа наиболее квалифицированных работников организации сферы здравоохранения, являющихся специалистами в области осуществляемых видов деятельности, информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования. В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в ИС, ИТКС, АСУ организации сферы здравоохранения, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

В состав комиссии также включаются работники организации сферы здравоохранения, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры, работники подразделения по защите государственной тайны (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну), работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

Допускается по решению руководителя организации сферы здравоохранения или уполномоченного лица, для оценки критичности бизнес-процессов, выявления задействованности ИС, ИТКС, АСУ в критических бизнес-процессах организации сферы здравоохранения привлекать экспертов сторонних организаций, в том числе организаций, имеющих соответствующие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. При этом, не допускается передавать внешним экспертам право принятия решения о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо решения об отсутствии необходимости присвоения им категорий значимости. Привлекаемые эксперты не являются членами Комиссии.

Форма локального нормативного акта о создании Комиссии

Создание комиссии необходимо оформить локальным нормативным актом (приказом), в котором определяется состав Комиссии, вводится Положение о постоянно действующей комиссии, порядок хранения документов Комиссии.

При назначении председателем Комиссии уполномоченного лица, в локальном нормативном акте должны быть отражены его полномочия.

Локальный нормативный акт (приказ) о создании Комиссии оформляется в соответствии с правилами документооборота, принятыми в организации сферы здравоохранения.

<полное наименование организации сферы здравоохранения>

ПРИКАЗ
(проект)

"___" __________ 20__ г.      __________________________________ N ______

              ___________________________________________

                   (наименование населенного пункта)

О создании постоянно действующей

комиссии по категорированию

объектов КИИ (наименование

организации сферы здравоохранения)

Во исполнение пункта 11 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 г. N 127, в целях организации проведения работ по категорированию объектов критической информационной инфраструктуры в <полное наименование организации сферы здравоохранения>

ПРИКАЗЫВАЮ:

1. Создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры в <полное наименование организации сферы здравоохранения>.

2. Утвердить состав постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры согласно приложению N 1 к приказу.

3. Утвердить Положение о постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения>.

4. Комиссии организовать работу по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения> в строгом соответствии с постановлением Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.

5. Контроль за исполнением настоящего приказа оставляю за собой.

_____________________                      __________ ___________________

     (должность)                            (подпись)      (Ф.И.О.)

Приложение N 1
к приказу
<полное наименование организации
сферы здравоохранения>
от " " 20__ г. N ______

СОСТАВ ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ
<полное наименование организации сферы здравоохранения>
по категорированию объектов КИИ

Председатель комиссии:			,
(ФИО)	-		,
		(должность)
Секретарь комиссии:			,
(ФИО)	-		,
		(должность)
Члены комиссии:
(ФИО)	-		,
		(должность)
(ФИО)	-		,
		(должность)
(ФИО)	-		,
		(должность)
(ФИО)	-		.
		(должность)

Приложение N 2
к приказу
<полное наименование организации
сферы здравоохранения>
от " " 20__ г. N ______

Положение о постоянно действующей комиссии по категорированию объектов КИИ
<полное наименование организации сферы здравоохранения>
(проект)

1. Положение о комиссии по категорированию объектов критической информационной инфраструктуры (далее - Комиссия) определяет задачи, функции Комиссии, ее права и порядок организации ее деятельности.

2. Комиссия создается для организации работ по категорированию объектов КИИ <наименование организации сферы здравоохранения>.

3. Комиссия является постоянно действующим консультативно-совещательным органом.

4. Комиссия в своей деятельности руководствуется федеральными законами, актами Президента Российской Федерации, Правительства Российской Федерации, в том числе Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127, приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий и настоящим Положением.

5. Состав Комиссии устанавливается приказом по Организации.

6. Комиссия выполняет следующие функции:

6.1. определение бизнес-процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности <наименование организации сферы здравоохранения>, как субъекта КИИ;

6.2. выявление критических бизнес-процессов <наименование организации сферы здравоохранения>;

6.3. выявление объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических бизнес-процессов, и (или) осуществляют управление, контроль или мониторинг критических бизнес-процессов, подготовка предложений для включения в перечень объектов КИИ, подлежащих категорированию, оценка необходимости категорирования вновь создаваемых объектов;

6.4. рассмотрение возможных действий нарушителей в отношении объектов КИИ, а также иных источников угроз безопасности информации;

6.5. анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ <наименование организации сферы здравоохранения>;

6.6. оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;

6.7. расчет показателей значимости для объектов КИИ;

6.8. присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им категорий значимости.

7. Организация деятельности Комиссии.

7.1. Заседания Комиссии проводятся по мере необходимости.

7.2. Решение о проведении заседаний Комиссии принимается председателем Комиссии на основании предложений членов Комиссии.

7.3. Заседания Комиссии проводятся в случае присутствия не менее 50% численного состава постоянных членов Комиссии. Присутствие на заседании Комиссии иных лиц, кроме членов Комиссии, допускается с разрешения председателя Комиссии. В случае отсутствия председателя Комиссии, его полномочия осуществляет один из членов Комиссии, назначенный Председателем Комиссии. При отсутствии кворума заседание Комиссии переносится на другую дату, определяемую Председателем Комиссии.

7.4. Все решения по рассматриваемым Комиссией вопросам принимаются открытым голосованием простым большинством голосов членов Комиссии. При голосовании каждый член Комиссии имеет один голос. При равенстве голосов решающим голосом является голос Председателя Комиссии.

7.5. Решение Комиссии о включении объектов КИИ, <наименование организации сферы здравоохранения>, в перечень объектов КИИ, подлежащих категорированию, оформляется Протоколом Комиссии, подписывается всеми присутствующими членами Комиссии и утверждается Председателем Комиссии.

7.6. Решение Комиссии о присвоении объектам КИИ <наименование организации сферы здравоохранения> одной из категорий значимости, а также решения об отсутствии необходимости присвоения категорий значимости оформляется Актом, подписывается Председателем Комиссии, всеми присутствующими членами Комиссии и утверждается руководителем <наименование организации сферы здравоохранения>.

7.7. Срок подписания проекта Акта Комиссии членом Комиссии не может превышать двух рабочих дней с даты его получения от Секретаря Комиссии. Подписанный членами Комиссии акт Комиссии, направляются Секретарем Комиссии не позднее двух календарных дней Председателю Комиссии на утверждение.

7.8. Акт оформляется с учетом пункта 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127 и должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов КИИ, принадлежащих <наименование организации сферы здравоохранения>.

7.9. В течение 10 рабочих дней со дня утверждения Акта, указанного в пункте 7.7 настоящего Положения, сведения

<< Приложение 4. Примеры информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих...		Приложение 6. >> Состав процессов, осуществляемых при категорировании объектов КИИ организации сферы здравоохранения
	Содержание Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. Версия...