538.63K

Категорирование объектов КИИ

1.

ГКУЗ ПО «Медицинский информационно-аналитический центр»
Категорирование объектов КИИ
Специалист по информационной безопасности
Бринюк Максим Викторович
Тел: 8(8112)29-84-00 Почта: [email protected]

2.

Административная ответственность
Статья 13.12.1 КоАП РФ Нарушение требований в области
безопасности КИИ РФ
обеспечения
Статья 19.7.15 КоАП РФ Непредставление сведений, предусмотренных
законодательством в области обеспечения безопасности критической информационной
инфраструктуры Российской Федерации
Должностные лица
Юридические лица
От 10 до 50 тысяч рублей
От 50 до 100 тысяч рублей
От 50 до 100 тысяч рублей
От 100 до 200 тысяч рублей

3.

Порядок категорирования объектов критической информационной
инфраструктуры
Создание постоянно действующей комиссии
Пункт 11 ПП-127
Выявление критических процессов
Формирование перечня объектов КИИ подлежащих
категорированию
Согласование с МИАЦ и утверждение перечня
объектов КИИ, подлежащих категорированию
Пункт 15 ПП-127
Направление перечня в Управление ФСТЭК России
по Северо-Западному федеральному округу
Пункт 11 ПП-127
( в течении 10 рабочих дней)
Категорирование объектов КИИ
Формирование акта о результатах категорирования
с приложение в виде Сведений по форме
Направление сведений в Управление ФСТЭК России
по Северо-Западному федеральному округу
Уведомление о результатах рассмотрения Сведений
Актуализация Сведений
Пункт 16 ПП-127
Пункт 17 ПП-127
( в течении 10 рабочих дней)
Статья 7 пункт 5 ФЗ-157
Пункт 19-20 ПП-127

4.

Шаг №1 Создание постоянно действующей комиссии для проведения
категорирования
В состав комиссии включаются:
1. Руководитель субъекта критической информационной
инфраструктуры или уполномоченное им лицо;
2. Работники субъекта критической информационной инфраструктуры,
являющиеся специалистами в области выполняемых функций или
осуществляемых видов деятельности, и в области информационных
технологий и связи, а также специалисты по эксплуатации основного
технологического оборудования, технологической (промышленной)
безопасности, контролю за опасными веществами и материалами,
учету опасных веществ и материалов;
3. Работники субъекта критической информационной инфраструктуры,
на которых возложены функции обеспечения безопасности
(информационной безопасности) объектов критической
информационной инфраструктуры;
4. Работники подразделения по защите государственной тайны
субъекта критической информационной инфраструктуры (в случае,
если объект критической информационной инфраструктуры
обрабатывает информацию, составляющую государственную тайну);
5. Работники структурного подразделения по гражданской обороне и
защите от чрезвычайных ситуаций или работники, уполномоченные
на решение задач в области гражданской обороны и защиты от
чрезвычайных ситуаций.
Результат: Приказ о создании комиссии и
Положение о комиссии

5.

Шаг №2 Выявление критических процессов
Результат: перечень критических процессов
Критические процессы — это управленческие, технологические, производственные, финансово-экономические
и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности
субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может
привести к негативным социальным, политическим, экономическим, экологическим последствиям,
последствиям для обеспечения обороны страны, безопасности государства и правопорядка.
Анализируются учредительные документы, устав, иные положения организации, где прописаны основные и
вспомогательные виды деятельности, имеющиеся лицензии, сертификаты и иные разрешительные
документы на виды деятельности — из них выписываются все указанные функции и виды деятельности.
Анализируется организационная структура Организации, анализируются положения об отделах и/или
запрашивается информация об обязанности и функциях подразделений Организации. Данная информация
используется для детализации или расширения перечня, полученного на первом шаге. Для каждой
выявленной функции / осуществляемого вида деятельности (соответствующих областям (сферам),
установленным пунктом 8 статьи 2 Федерального закона «О безопасности критической информационной
инфраструктуры Российской Федерации») формируется перечень процессов, реализуемых в рамках этой
функции / вида деятельности

6.

Шаг №2 Выявление критических процессов
1. Медицинская деятельность:
1.1. Оказание первичной медико-санитарной помощи;
1.2. Оказание специализированной медицинской помощи (в том числе высокотехнологичной),
1.3. Оказание скорой медицинской помощи (в том числе скорой специализированной),
1.4. Оказание паллиативной медицинской помощи;
1.5. Оказание медицинской помощи при санаторно-курортном лечении;
1.6. Оказание медицинских экспертиз, медицинских осмотров, медицинских освидетельствований;
1.7. Оказание санитарно-противоэпидемических (профилактических) мероприятий в рамках оказания медицинской помощи;
1.8. Оказание трансплантации (пересадка) органов и (или) тканей,
1.9. Обращение донорской крови и (или) ее компонентов.
2. Фармацевтическая деятельность (обращение лекарственных средств для медицинского применения);
3. Деятельность по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений.
4. Дополнительные автоматизированные процессы:
4.1.информационная поддержка принятия управленческих решений в медицинской организации (автоматизированное формирование форм статистического учета и
отчетности в сфере здравоохранения;
4.2. формирование счетов за оказанную медицинскую помощь; сбор, хранение и обработка информации об обеспеченности отдельных категорий граждан
лекарственными препаратами;
4.3. автоматизация учета запасов, списания лекарственных препаратов и т.д.);
4.4. мониторинг и управление потоками пациентов (электронная регистратура);
4.5. ведение электронной медицинской карты пациента;
4.6. ведение специализированных регистров пациентов по отдельным нозологиям и категориям граждан;
4.7. сбор, хранение и обработка информации об обеспеченности отдельных категорий граждан, в том числе граждан, имеющих право на получение государственной
социальной помощи, лекарственными препаратами, специализированными продуктами лечебного питания, медицинскими изделиями;
4.8. оказание медицинской помощи с применением телемедицинских технологий;
4.9. организация профилактики заболеваний, включая проведение диспансеризации, профилактических медицинских осмотров (формирование списков граждан,
которым необходимо
пройти диспансеризацию, профилактические медицинские осмотры, а также автоматизированное выявление случаев, требующих реагирования и
контроля предпринятых мер,
4.10. мониторинг необходимости направления пациента на второй этап диспансеризации);
4.11. организация иммунопрофилактики инфекционных болезней (ведение и учет данных по осуществлению иммунопрофилактики инфекционных болезней);
4.12. управление лабораторными исследованиями;
4.13. хранение и обработка результатов диагностических исследований (медицинских изображений);
4.14. автоматизация процессов оказания медицинской помощи по отдельным нозологиям и категориям граждан;
4.15. организация электронного документооборота в сфере охраны здоровья;
4.16. учет обращения рецептов на лекарственные препараты, специализированные продукты лечебного питания, медицинские изделия, сформированных в форме
электронных документов;
4.17. учет отпуска лекарственных препаратов, специализированных продуктов лечебного питания и медицинских изделий;
4. 18.формирование учетных, отчетных и иных документов, характеризующих деятельность по оптовой торговле лекарственными средствами, их хранению, перевозке
и (или) розничной торговле лекарственными препаратами, их отпуску, хранению, перевозке, изготовлению лекарственных препаратов.
5. Прочие процессы:
5.1. Обеспечение функционирования ИТ-инфраструктуры.

7.

Примеры объектов критической информационной инфраструктуры сферы
здравоохранения
Медицинская информационная система
Сети передачи данных, локально-вычислительные
сети
Лабораторная информационная система
Фармацевтическая информационная система
Автоматизированные системы диагностики
заболеваний и программирования результатов
исследования:
Компьютерные диагностические системы
(вероятностные, консультативные, скрининговые
и экспертные)
Программно-аппаратные медицинские
комплексы:
• Системы функциональной диагностики
• Системы оперативного слежения за состоянием
пациента (системы мониторинга)
• Системы хранения и обработки медицинских
изображений
• Системы лабораторной диагностики
• Биотехнические системы замещения
жизненно-важных функций организма и
протезирования

8.

Перечень видов оборудования, рекомендации по необходимости
рассмотрения их в качестве объектов КИИ
Аппаратура и оборудование общего профиля
Аппаратура и оборудование для лучевой диагностики
Аппараты и оборудование отделений (кабинетов) лучевой терапии
Лабораторное оборудование, используемое для выполнения неотложных и
экстренных лабораторных исследований
Для выполнения неотложных и экстренных
лабораторных исследований с последующей
постановкой диагноза без дополнительной
перепроверки результата
При использовании которого решение о
диагнозе и методе лечения пациентов врач
принимает по совокупности показаний и при
сомнительных результатах лабораторного
исследования назначается повторное
исследование

9.

Шаг №3 Составление перечня объектов КИИ, подлежащих
категорированию

10.

Шаг №4 Категорирование объектов КИИ
Проводится для каждого объекта, который
признан объектом КИИ.
На основании оценки масштаба
возможных последствий осуществляется
присвоение одной из категорий
значимости.
Объект получает категорию значимости
объекта КИИ или отсутствие
необходимости присвоения категории.
Результаты формирования перечня
процессов, определения критических
процессов и перечня объектов КИИ
отражаются в отчете об обследовании
(заключение).
Направление сведений о результатах
категорирования в ФСТЭК России (10 дней)

11.

Шаг №4 Категорирование объектов КИИ

12.

Шаг №4 Категорирование объектов КИИ
1.
Категория нарушителя (внешний или внутренний),
краткая характеристика основных возможностей
нарушителя по реализации угроз безопасности
информации в части его оснащенности, знаний,
мотивации
или
краткое
обоснование
невозможности нарушителем реализовать угрозы
безопасности информации
2.
Основные угрозы безопасности информации или
обоснование их неактуальности
1.
Организационные меры по обеспечению
безопасности объекта
2.
Технические
меры
по
обеспечению
безопасности объекта в соответствии с
Требованиями по обеспечению безопасности
значимых объектов КИИ, утвержденными
приказом ФСТЭК России
от 25.12.2017 № 239

13.

Шаг №4 Категорирование объектов КИИ

Показатель
Значение показателя
I. Социальная значимость
жизни
и
1.
Причинение
ущерба
здоровью людей (человек)
5.
Отсутствие
доступа
к
государственной услуге, оцениваемое
в
максимальном
допустимом
времени,
в
течение
которого
государственная услуга может быть
недоступна для получателей такой
услуги (часов)
Категорий значимости

14.

Шаг №4 Категорирование объектов КИИ
На основании установленной категории значимости и в соответствии с «Требованиями по
обеспечению безопасности значимых объектов КИИ», утверждёнными приказом ФСТЭК России
от 25.12.2017 № 239 обеспечить выполнение мер по обеспечению безопасности.
Согласно главе III п. 22 приказа ФСТЭК России от 25.12.2017 № 239 на объекте КИИ
предприняты следующие меры:
Идентификация и аутентификация (ИАФ);
Управление доступом (УПД);
Аудит безопасности (АУД);
Антивирусная защита (АВЗ);
Планирование мероприятий по обеспечению безопасности (ПЛН);
Управление обновлениями программного обеспечения (ОПО);
Реагирование на инциденты информационной безопасности (ИНЦ);
Обеспечение действий в нештатных ситуациях (ДНС);
Информирование и обучение персонала (ИПО).

15.

Шаг №5 Предоставление сведений в Управление ФСТЭК
Сведения о результатах категорирования
необходимо направить в Управление ФСТЭК по
СЗФО в течении 10 дней после заключения
акта категорирования.
Адрес Управления: 190000, г. Санкт-Петербург,
Исаакиевская пл., д. 11
Если у субъекта КИИ нет объектов КИИ, то
направляется копия акта (не оригинал)
Если у субъекта есть хотя бы один объект КИИ,
то направляются, сведения о результатах на
бумажном носителе и на электронном (диск,
флешка), а также сопроводительное письмо
English     Русский Правила