Приложение II. Эскизные решения по реализации мер защиты информации в информационных системах в сфере здравоохранения. Концепция информационной безопасности в сфере здравоохранения (приложение N 2 к протоколу президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности от 10.03.2022 N 7)

Приложение II

Эскизные решения по реализации мер защиты информации в информационных системах в сфере здравоохранения

1. Порядок реализации мер защиты информации в информационных системах в сфере здравоохранения

В таблице приведены порядок реализации мер защиты информации в информационных системах в сфере здравоохранения и результаты на каждом этапе реализации.

N п/п	Мероприятия по реализации мер защиты	Способ реализации (результат)
		ГИС	ИСПДн	ЗОКИИ
	Принятие решения о необходимости защиты информации, содержащейся в информационной системе в сфере здравоохранения	Концепция создания системы*
		Приказ о создании системы защиты информации информационной системы
	Назначение лица, ответственного за организацию и контроль обеспечения ИБ в информационной системе в сфере зравоохранения	Приказ о назначении лица, ответственного за организацию обеспечения ИБ в информационной системе в сфере здравоохранения на уровне не ниже заместителя руководителя
	Назначение структурного подразделения либо должностного лица, ответственного за обеспечение ИБ в информационной системе в сфере здравоохранения	Приказ о создании структурного подразделения либо о назначении должностного лица, ответственного за обеспечение ИБ в информационной системе в сфере здравоохранения Положение о структурном подразделении (инструкция) ответственного за обеспечение ИБ
	Проведение классификации информационной системы Проведение категорирования объектов КИИ Определение уровня защищенности персональных данных при их обработке в информационной системе	Акт классификации информационной системы по требованиям защиты информации	Акт определения уровня защищенности персональных данных при их обработке в информационной системе	Приказ о создании постоянно действующей комиссии по категорированию объектов КИИ Положение о постоянно действующей комиссии по категорированию объектов КИИ Письмо во ФСТЭК России о направлении перечня объектов критической информационной инфраструктуры, подлежащих категорированию Перечень объектов критической информационной инфраструктуры, подлежащих категорированию Акт категорирования объекта КИИ Письмо во ФСТЭК России о направлении сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
	Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработка на их основе модели угроз безопасности информации	Модель угроз безопасности информации информационной системы, согласованная со ФСТЭК России и ФСБ России в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации (в случае, если реализация мероприятий по созданию информационной системы или системы защиты осуществляется федеральным органом исполнительной власти или органом исполнительной власти субъекта Российской Федерации**)	Модель угроз безопасности информации информационной системы	Модель угроз безопасности информации информационной системы
	Определение (формирование) требований по защите информации в информационной системе в сфере здравоохранения	Техническое задание на создание системы защиты информации информационной системы в сфере здравоохранения, согласованное со ФСТЭК России и ФСБ России в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации (в случае, если реализация мероприятий по созданию информационной системы или системы защиты осуществляется федеральным органом исполнительной власти или органом исполнительной власти субъекта Российской Федерации**)	Техническое задание на создание системы защиты информации информационной системы в сфере здравоохранения	Техническое задание на создание системы защиты информации информационной системы в сфере здравоохранения
	Разработка системы защиты информации информационной системы в сфере здравоохранения	Проектная документация (эскизный (технический) проект и рабочая документация) на информационную систему (систему защиты информации информационной системы), разрабатываемая с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" Эксплуатационная документация на систему защиты информации информационной системы
	Внедрение системы защиты информации информационной системы в сфере здравоохранения	Акты и протоколы установки и настройки средств защиты информации в информационной системе Организационно-распорядительные документы по защите информации Программа и методика предварительных испытаний Протокол предварительных испытаний Акт приемки информационной системы (системы защиты информации) в опытную эксплуатацию Программа опытной эксплуатации Протокол проведения анализа уязвимостей информационной системы Программа и методика приемочных испытаний Протокол приемочных испытаний
	Аттестация информационной системы в сфере здравоохранения	Программа и методики аттестационных испытаний*** Аттестат соответствия Заключение Протоколы испытаний
	Ввод в эксплуатацию системы защиты информационной системы в сфере здравоохранения	Акт о вводе системы защиты в эксплуатацию
	Обеспечение защиты информации в ходе эксплуатации информационной системы в сфере здравоохранения	В соответствии с перечнем организационных мероприятий по обеспечению информационной безопасности (п. 2 Приложения II)
	Обеспечение защиты информации при выводе из эксплуатации информационной системы в сфере здравоохранения или после принятия решения об окончании обработки информации	Акт о выводе системы из эксплуатации Документы (акты, протоколы), подтверждающие архивирование информации ИС и (или) уничтожение информации в ИС Документы (акты, протоколы), подтверждающие уничтожение носителей информации в ИС	Акт о выводе системы из эксплуатации Документы (акты, протоколы), подтверждающие архивирование ПДн в ИС и (или) уничтожение ПДн в ИС Документы (акты, протоколы), подтверждающие уничтожение носителей ПДн в ИС	Акт о выводе системы из эксплуатации Документы (акты, протоколы), подтверждающие архивирование информации ИС и (или) уничтожение информации в ИС Документы (акты, протоколы), подтверждающие уничтожение носителей информации в ИС

______________________________

* В соответствии с Постановлением Правительства Российской Федерации от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".

** В соответствии с Постановлением Правительства Российской Федерации от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".

*** См. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29.04.2021 N 77

2. Необходимость использования оператором средств защиты информации

Средства защиты

Архитектура/унифицированный класс защиты ИС

Инфраструктура оператора (все компоненты информационной системы и каналы связи расположены в пределах контролируемой зоны оператора информационной системы)

Инфраструктура как услуга (часть компонентов информационной системы, а также каналы связи предоставляются поставщиком услуг в качестве сервисов и выходят за пределы контролируемой зоны оператора информационной системы)

Платформа как услуга (часть компонентов информационной системы, включая связующее программное обеспечение, а также каналы связи предоставляются поставщиком услуг в качестве сервисов и выходят за пределы контролируемой зоны оператора)

Программное обеспечение как услуга (компоненты информационной системы, включая программное обеспечение, предоставляются поставщиком услуг в качестве сервисов, доступ к которым осуществляется через тонкие клиенты по каналам связи, выходящим за пределы контролируемой зоны оператора информационной системы)

ИО.1

ИО.2

ИО.3

ИУ.1

ИУ.2

ИУ.3

ПУ.1

ПУ.2

ПУ.3

ПОУ.1

ПОУ.2

ПОУ.3

СрЗИ НСД

Необходимо использовать

Не требуются

СДЗ

Необходимо использовать

Не требуются

Необходимо использовать

Не требуются

Необходимо использовать

Не требуются

Не требуются

СЭП

Требуются при необходимости использования ЭП

СМЭ

Необходимо использовать при сопряжении с другими ИС оператора и (или) с внешними сетями, включая сеть Интернет

Необходимо использовать

СКЗИ

Не требуются

Необходимо использовать

Необходимо использовать

ССИБ

Необходимо использовать

САВЗ

Необходимо использовать

СОВ

Необходимо использовать при сопряжении с другими ИС оператора и (или) с внешними сетями, включая сеть Интернет

Не требуются

Необходимо использовать

Не требуются

Необходимо использовать

Не требуются

Необходимо использовать

Не требуются

САЗ

Необходимо использовать

СРК

Необходимо использовать

Не требуются

СЗСВ

Требуются при использовании в ИС средств виртуализации

Не требуются (не применяются технологии виртуализации в инфраструктуре оператора ИС)

2.1. Эскизные решения для информационных систем при размещении всех технических средств в инфраструктуре оператора информационной системы

2.2. Эскизные решения для информационных систем классов защищенности 2 и 1 при использовании облачных услуг по модели "инфраструктура как услуга"

2.3. Эскизные решения для информационных систем класса защищенности 3 при использовании облачных услуг по модели "инфраструктура как услуга"

2.4. Эскизные решения для информационных систем классов защищенности 2 и 1 при использовании облачных услуг по модели "платформа как услуга"

2.5. Эскизные решения для информационных систем класса защищенности 3 при использовании облачных услуг по модели "платформа как услуга"

2.6. Эскизные решения для информационных систем при использовании облачных услуг по модели "программное обеспечение как услуга"

3. Решения по организационно-техническим мероприятиям

Реализация мер защиты информации информационных систем включает, помимо применения технических средств защиты, выполнение организационных мероприятий. К организационным мероприятиям по обеспечению защиты информации в информационных системах относится разработка локальных нормативных актов, инструкций, правил, регламентов и других организационно-распорядительных документов, касающихся организации защиты информации, утверждаемых руководителем организации или уполномоченным им должностным лицом. Контроль выполнения организационных мероприятий по обеспечению информационной безопасности должен быть возложен на уполномоченное лицо, назначенное приказом руководителя организации.

Перечень организационных мероприятий по обеспечению информационной безопасности в организации для информационных систем в сфере здравоохранения представлен в таблице.

N	Название мероприятия	Результат мероприятия	Примечание
1.	Мероприятия по обеспечению безопасности ПДн	Организационно-распорядительная документация и локальные нормативные акты по обеспечению безопасности ПДн	Мероприятия проводятся, если в информационной системе обрабатываются ПДн
1.1	Назначение ответственного за организацию обработки ПДн	Приказ о назначении ответственного за организацию обработки ПДн Инструкция ответственного за организацию обработки ПДн	Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
1.2	Разработка документа, определяющего политику оператора информационной системы в отношении обработки персональных данных	Политика оператора информационной системы в отношении обработки персональных данных
1.3	Разработка положения по организации и проведению работ по обеспечению безопасности ПДн	Приказ об утверждении положения по организации и проведению работ по обеспечению безопасности ПДн Положение по организации и проведению работ по обеспечению безопасности ПДн
1.4	Разработка правил рассмотрения запросов субъектов персональных данных или их представителей	Правила рассмотрения запросов субъектов персональных данных или их представителей	Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
1.5	Разработка правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных	Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных	Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
1.6	Разработка правил работы с обезличенными данными в случае обезличивания персональных данных	Правила работы с обезличенными данными в случае обезличивания персональных данных	Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
1.7	Определение перечня должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных	Приказ об утверждении перечня должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных	Разрабатывается в том случае, если оператор информационной системы в сфере здравоохранения является государственным или муниципальным органом Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
1.8	Разработка типового обязательства служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей	Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей	Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
1.9	Разработка типовой формы согласия на обработку персональных данных, а также типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные	Типовая форма согласия на обработку персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные	Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
1.10	Разработка типовой формы согласия на обработку общедоступных персональных данных	Типовая форма согласия на обработку общедоступных персональных данных
1.11	Выделение помещения (помещений), в котором производится обработка ПДн	Приказ о выделении помещения (помещений), в котором производится обработка ПДн
1.12	Формирование комиссии по определению уровня защищенности ПДн при их обработке в информационной системе	Приказ о составе комиссии по определению уровня защищенности ПДн при их обработке в информационной системе Положение о комиссии по определению уровня защищенности ПДн при их обработке в информационной системе
1.13	Разработка плана мероприятий по защите ПДн в ИС	План мероприятий по защите ПДн в ИС
1.14	Определение уровня защищенности персональных данных при их обработке в информационной системе	Акт определения уровня защищенности персональных данных при их обработке в информационной системе
1.15	Определение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей	Приказ об утверждении перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
1.16	Разработка и утверждение правил доступа в помещения, в которых производится обработка конфиденциальной информации, в том числе ПДн, в рабочее и нерабочее время, а также в нештатных ситуациях	Правила доступа в помещения, в которых производится обработка конфиденциальной информации, в том числе ПДн, в рабочее и нерабочее время, а также в нештатных ситуациях
1.17	Утверждение списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии	Приказ об утверждении списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии	Для ИС 1-го и 2-го унифицированных классов защиты
1.18	Назначение лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям	Приказ о назначении лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям	Для ИС 1-го унифицированного класса защиты
1.19	Определение и утверждение мест хранения материальных носителей персональных данных	Приказ об утверждении мест хранения материальных носителей персональных данных
1.20	Формирование комиссии по уничтожению документов с ПДн	Приказ о назначении комиссии по уничтожению документов с ПДн Положение о комиссии по уничтожению документов с ПДн
1.21	Организация охраны, внутриобъектового режима и порядка допуска лиц в помещения, в которых ведется обработка персональных данных	Приказ об утверждении инструкции, определяющей порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых ведется обработка персональных данных Инструкция, определяющая порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых ведется обработка персональных данных
1.22	Организация охраны, внутриобъектового режима и порядка допуска лиц в помещения, в которых установлены СКЗИ или хранятся ключевые документы	Приказ об утверждении инструкции, определяющей порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых установлены СКЗИ или хранятся ключевые документы Инструкция, определяющая порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых установлены СКЗИ или хранятся ключевые документы	Мероприятие проводится в случае применения оператором информационной системы СКЗИ
1.23	Определение перечня лиц, имеющих право доступа в помещения с элементами ИСПДн	Приказ об утверждении перечня лиц, имеющих право доступа в помещения с элементами ИСПДн Перечень лиц, имеющих право доступа в помещения с элементами ИСПДн
1.24	Определение перечня ПДн, обрабатываемых в информационной системе	Приказ об утверждении перечня ПДн, обрабатываемых в информационной системе Перечень ПДн, обрабатываемых в информационной системе
1.25	Определение перечня ИСПДн в организации	Приказ об утверждении перечня ИСПДн Перечень ИСПДн
1.26	Разработка и утверждение правил доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ	Правила доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ	Мероприятие проводится в случае применения оператором информационной системы СКЗИ
1.27	Разработка журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов	Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов	Мероприятие проводится в случае применения оператором информационной системы СКЗИ
1.28	Назначение ответственного за организацию работ по криптографической защите информации	Приказ о назначении ответственного за организацию работ по криптографической защите информации Инструкция ответственного за организацию работ по криптографической защите информации	Мероприятие проводится в случае применения оператором информационной системы СКЗИ
1.29	Разработка инструкции пользователя СКЗИ	Инструкция пользователя СКЗИ	Мероприятие проводится в случае применения оператором информационной системы СКЗИ
1.30	Разработка инструкции по обращению со средствами криптографической защиты информации СКЗИ	Инструкция по обращению со средствами криптографической защиты информации СКЗИ	Мероприятие проводится в случае применения оператором информационной системы СКЗИ
1.31	Разработка перечня пользователей, допущенных к работе с СКЗИ	Перечень пользователей, допущенных к работе с СКЗИ	Мероприятие проводится в случае применения оператором информационной системы СКЗИ
1.32	Разработка технического (аппаратного) журнала СКЗИ	Технический (аппаратный) журнал СКЗИ	Мероприятие проводится в случае применения оператором информационной системы СКЗИ
1.33	Разработка журнала учета носителей персональных#	Журнал учета носителей персональных данных
2.	Мероприятия по обеспечению безопасности значимых объектов КИИ	Организационно-распорядительная документация и локальные нормативные акты по обеспечению безопасности значимых объектов КИИ
2.1.	Формирование постоянно действующей комиссии по категорированию объектов КИИ	Приказ о создании постоянно действующей комиссии по категорированию объектов КИИ Положение о постоянно действующей комиссии по категорированию объектов КИИ	Требуется, если категорирование объектов КИИ осуществляется организацией (оператором ИС) самостоятельно
2.2.	Формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию	Письмо во ФСТЭК России о направлении перечня объектов критической информационной инфраструктуры, подлежащих категорированию Перечень объектов критической информационной инфраструктуры, подлежащих категорированию	Требуется, если категорирование объектов КИИ осуществляется организацией (оператором ИС) самостоятельно
2.3.	Категорирование объекта КИИ	Акт категорирования объекта КИИ	Требуется, если категорирование объектов КИИ осуществляется организацией (оператором ИС) самостоятельно
2.4.	Подготовка сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий	Письмо во ФСТЭК России о направлении сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий	Требуется, если категорирование объектов КИИ осуществляется организацией (оператором ИС) самостоятельно
2.5.	Разработка политики обеспечения безопасности значимых объектов КИИ	Политика обеспечения безопасности значимых объектов КИИ
2.6.	Разработка плана мероприятий обеспечения безопасности значимых объектов КИИ	План мероприятий обеспечения безопасности объектов КИИ	Должен составляться ежегодно
2.7.	Назначение лиц, ответственных за управление (администрирование) подсистемой безопасности значимого объекта КИИ	Приказ о назначении лиц, ответственных за управление (администрирование) подсистемой безопасности значимого объекта КИИ
2.8.	Назначение лиц, которым разрешены действия по внесению изменений в конфигурацию значимого объекта и его подсистемы безопасности	Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию значимого объекта и его подсистемы безопасности
2.9.	Разработка и утверждение регламента информирования ФСБ России (НКЦКИ) о компьютерных инцидентах	Регламент информирования ФСБ России (НКЦКИ) о компьютерных инцидентах
2.10	Разработка плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак	План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
2.11	Определение порядка контроля выполнения мероприятий по обеспечению безопасности значимого объекта	Порядок контроля выполнения мероприятий по обеспечению безопасности значимого объекта
2.12	Определение компонентов значимого объекта КИИ, подлежащих изменению и контролю	Приказ об утверждении перечня компонентов значимого объекта КИИ, подлежащих изменению и контролю Перечень компонентов значимого объекта КИИ, подлежащих изменению и контролю
3.	Мероприятия по обеспечению безопасности государственных ИС	Организационно-распорядительная документация и локальные нормативные акты по защите информации в информационной системе
3.1.	Назначение лиц, ответственных за управление (администрирование) системой защиты информации информационной системы	Приказ о назначении лиц, ответственных за управление (администрирование) системой защиты информации информационной системы	Включает перечень лиц, ответственных за управление (администрирование) системой защиты информации информационной системы
3.2.	Разработка перечня ИС организации	Перечень ИС организации
3.3.	Разработка перечня сведений конфиденциального характера, обрабатываемых в ИС	Перечень сведений конфиденциального характера, обрабатываемых в ИС
3.4.	Формирование комиссии по классификации ИС	Приказ о составе комиссии по классификации ИС Положение о комиссии по классификации информационной системы
3.5.	Классификация информационной системы	Акт классификации ИС
3.6.	Разработка политики обеспечения информационной безопасности в организации	Политика обеспечения информационной безопасности в организации
3.7.	Назначение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий	Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий	Включает перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий
3.8.	Назначение лиц, ответственных за выявление инцидентов и реагирование на них	Приказ о назначении лиц, ответственных за выявление инцидентов и реагирование на них	Включает перечень лиц, ответственных за выявление инцидентов и реагирование на них
3.9.	Разработка порядка контроля выполнения мероприятий по обеспечению защиты информации в информационной системе	Порядок контроля выполнения мероприятий по обеспечению защиты информации в информационной системе	Включает перечень лиц, ответственных за планирование и контроль мероприятий по защите информации в информационной системе
3.10	Разработка плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак	План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
4.	Мероприятия по обеспечению безопасности коммерческой тайны	Организационно-распорядительная документация и локальные нормативные акты по обеспечению защиты коммерческой тайны	Разрабатываются при наличии в ИС организации информации, составляющей коммерческую тайну
4.1.	Введение режима коммерческой тайны в организации	Приказ о введении режима коммерческой тайны в организации
4.2.	Назначение ответственного за обеспечение безопасности коммерческой тайны	Приказ о назначении ответственного за обеспечение безопасности коммерческой тайны
4.3.	Разработка перечня сведений, составляющих коммерческую тайну	Перечень сведений, составляющих коммерческую тайну
4.4.	Разработка положения о защите коммерческой тайны	Положение о защите коммерческой тайны
5.	Общие мероприятия по обеспечению безопасности защищаемых ИС
5.1.	Разработка правил и процедур идентификации и аутентификации в ИС	Раздел в инструкцию пользователя ИС в части описания правил и процедур идентификации и аутентификации в ИС Раздел в инструкцию администратора ИС в части описания правил и процедур идентификации и аутентификации в ИС
5.2.	Разработка правил и процедур управления доступом к информационным ресурсам ИС	Раздел в инструкцию пользователя ИС в части описания правил и процедур управления доступом к информационным ресурсам ИС Раздел в инструкцию администратора ИС в части описания правил и процедур управления доступом к информационным ресурсам ИС Матрица доступа пользователей к защищаемым информационным ресурсам информационной системы
5.3.	Регламентация правил и процедур ограничения программной среды	Раздел в инструкцию пользователя ИС в части описания правил и процедур правил и процедур ограничения программной среды Раздел в инструкцию администратора ИС в части описания правил и процедур ограничения программной среды	Для ИС 1-го и 2-го унифицированных классов защиты
5.4.	Разработка правил и процедур защиты машинных носителей информации	Инструкция по порядку учета, хранения и уничтожения съемных носителей конфиденциальной информации, журналы учета машинных носителей информации
5.5.	Регламентация правил и процедур аудита безопасности	Регламент аудита безопасности
5.6.	Разработка правил и процедур антивирусной защиты	Инструкция по антивирусной защите в ИС
5.7.	Регламентация правил и процедур предотвращения вторжений (компьютерных атак)	Регламент предотвращения вторжений (компьютерных атак)
5.8.	Разработка правил и процедур обеспечения целостности	Раздел в инструкцию пользователя ИС в части описания правил и процедур обеспечения целостности Раздел в инструкцию администратора ИС в части описания правил и процедур обеспечения целостности
5.9.	Регламентация правил и процедур обеспечения доступности	Регламент резервного копирования и восстановления информации
5.10	Регламентация правил и процедур защиты технических средств и систем	Приказ об утверждении границы контролируемой зоны информационной системы
5.11	Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов	Регламент защиты виртуальной инфраструктуры
5.12	Регламентация правил и процедур реагирования на компьютерные инциденты	Регламент управления инцидентами информационной безопасности
5.13	Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы	Регламент управления конфигурацией информационной (автоматизированной) системы
5.14	Регламентация правил и процедур управления обновлениями программного обеспечения	Регламент управления обновлениями программного обеспечения
5.15	Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации	Регламент планирования мероприятий по обеспечению защиты информации
5.16	Регламентация правил и процедур обеспечения действий в нештатных ситуациях	Регламент обеспечения действий в нештатных ситуациях
5.17	Регламентация правил и процедур информирования и обучения персонала	Регламент информирования и обучения персонала в области информационной безопасности

Перечень приведенных в настоящем приложении организационных мероприятий по обеспечению информационной безопасности в организации для информационных систем в сфере здравоохранения может уточняться оператором информационной системы при уточнении выбранного эскизного решения по реализации мер защиты информации.