2.11. "Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)

2.11.1. Порядок расчета критериев значимости объектов КИИ

67. До начала расчета показателей критериев значимости объекта КИИ организации сферы здравоохранения определяется применимость критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127, для оценки значимости ИС, ИТКС, АСУ организаций сферы здравоохранения.

Обоснования неприменимости критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 N 127 для оценки значимости ИС, ИТКС, АСУ организации сферы здравоохранения, приведены в Приложении 14 (для справки).

68. Для показателей критериев значимости объекта КИИ организации сферы здравоохранения, по которым обоснована их неприменимость, расчет показателей критериев значимости не проводится.

69. Расчет показателей критериев значимости объектов КИИ, установленных постановлением Правительства РФ от 08.02.2018 N 127, проводится для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки <30>.

--------------------------------

<30> Допущение: после ликвидации последствий компьютерной атаки предполагается, что существующая система безопасности объекта КИИ восстановлена и не может быть подвержена другой атаке.

70. Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

71. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения по одному из показателей критериев значимости отнесена к первой категории, расчет по остальным показателям критериев значимости не проводится.

72. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения не соответствует ни одному значению показателя критериев значимости, категория значимости объекту КИИ не присваивается.

73. В случае, если функционирование одного объекта КИИ зависит от функционирования другого объекта КИИ, оценка масштаба возможных последствий проводится исходя из предположения о прекращении или нарушении функционирования вследствие компьютерной атаки объекта КИИ, от которого зависит оцениваемый объект.

74. В случае, если ИС, ИТКС, АСУ организации сферы здравоохранения обрабатывают информацию, необходимую для обеспечения нескольких критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг нескольких критических бизнес-процессов организации сферы здравоохранения, оценка показателей критериев значимости производится для каждого критического бизнес-процесса организации сферы здравоохранения, а категория значимости присваивается по наивысшему значению показателя.

2.11.2. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей"

75. Расчет показателя критерия "Причинение ущерба жизни и здоровью людей <31>" для организации сферы здравоохранения проводится в следующей последовательности:

--------------------------------

<31> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 1, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ, которые обрабатывают информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляют управление, контроль или мониторинг таких критических бизнес-процессов, определяется максимально допустимый период простоя (tдоп);

- если время активного использования (задействованности) ИС и АСУ для достижения целей критического бизнес-процесса меньше или равно установленному периоду проведения контроля или мониторинга параметров таких бизнес-процессов (Tк), максимально допустимый период простоя принимается tдоп = 0;

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;

- определяется время, в течение которого при эксплуатации ИС, ИТКС, АСУ, обрабатывающих информацию, необходимую для обеспечения критических бизнес-процессов организации сферы здравоохранения, и (или) осуществляющих управление, контроль или мониторинг таких критических бизнес-процессов, может быть причинен ущерб жизни и здоровью пациентов, и (или) время, в течение которого такие ИС, ИТКС, АСУ могут быть недоступны, (T) по формуле:

T = Tк + tустр - tдоп

- на основании статистических данных <32> либо технической документации на ИС, ИТКС, АСУ, а также рассчитанного времени, в течение которого может быть причинен ущерб жизни и здоровью пациентов, и (или) времени, в течение которого ИС, ИТКС, АСУ могут быть недоступны, (T), определяется максимальное число пациентов, которым может быть причинен ущерб жизни и здоровью и (или) для которых могут быть недоступны ИС, ИТКС, АСУ;

--------------------------------

<32> Приказ Росстата от 30.12.2019 N 830 "Об утверждении форм федерального статистического наблюдения с указаниями по их заполнению для организации министерством здравоохранения Российской Федерации федерального статистического наблюдения в сфере охраны здоровья", Форма N 30.

- полученные данные о максимальном числе пациентов, которым может быть причинен ущерб жизни и здоровью и (или) для которых могут быть недоступны ИС, ИТКС, АСУ организации сферы здравоохранения, сравниваются с показателями, приведенными в пункте 1 Перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений <33>, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария целенаправленной компьютерной атаки.

--------------------------------

<33> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утв. постановлением Правительства РФ от 08.02.2018 N 127.

2.11.3. Расчет показателя критерия "Отсутствие доступа к государственной услуге"

76. Расчет показателя критерия "Отсутствие доступа к государственной услуге <34>" для организации сферы здравоохранения проводится в следующей последовательности:

--------------------------------

<34> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 5, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- на основании статистических данных за прошлый трехлетний период определяется усредненное время, требуемое для устранения последствий компьютерной атаки (tустр); в случае отсутствия статистических данных за прошлый трехлетний период, время, требуемое для устранения последствий компьютерной атаки, принимается равным минимально допустимому времени, в течение которого государственная услуга может быть недоступна, приведенному в п. 5 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений (tустр = 6 часов);

- время, в течение которого государственная услуга может быть недоступна (T) определяется по формуле:

T = tустр

- полученный результат расчета сопоставляется с показателями, приведенными в пункте 5 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.4. Оценка показателя критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции"

77. Показатель критерия "Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)" рассчитывается для федеральных органов власти, органов государственной власти субъектов Российской Федерации в сфере охраны здоровья и оценивается по масштабу органа управления государственной или муниципальной системами здравоохранения в деятельности (функционировании) которого задействованы ИС, ИТКС, АСУ организации сферы здравоохранения.

78. Исходя из масштаба государственного органа власти, указанного в пункте 6 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.5. Расчет показателя критерия "Возникновение ущерба субъекту КИИ"

79. Расчет показателя критерия "Возникновение ущерба субъекту критической информационной инфраструктуры <35>" для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие" проводится в следующей последовательности:

--------------------------------

<35> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях <36> за предыдущий пятилетний период определяется усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения в бюджеты Российской Федерации в соответствии с Налоговым Кодексом Российской Федерации налогов ;

--------------------------------

<36> Приказ ФНС России от 19.10.16 N ММВ-7-3/572@ "Об утверждении формы налоговой декларации по налогу на прибыль организаций, порядка ее заполнения, а также формата представления налоговой декларации по налогу на прибыль организаций в электронной форме.

- на основании сведений управленческого и бухгалтерского учета за прошлый пятилетний период определяется усредненный размер годового дохода (Rгод);

- на основании регламентов проведения профилактических работ ИС, ИТКС, АСУ организации сферы здравоохранения определяется максимально допустимый период простоя (tдоп);

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;

- ущерб организации сферы здравоохранения от компьютерной атаки (Uб) рассчитывается по формуле:

- полученный возможный ущерб организации сферы здравоохранения от компьютерной атаки сопоставляется с показателем усредненного размера годового дохода и определяется показатель возможного ущерба по формуле:

U% = Uб/Rгод

- рассчитанный показатель возможного ущерба организации сферы здравоохранения сопоставляется с показателями, приведенными в пункте 8 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.6. Расчет показателя критерия "Возникновение ущерба бюджетам РФ"

80. Расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации <37>" для организаций сферы здравоохранения, применяющих нулевую ставку по налогу на прибыль <38> и (или) оказывающих медицинские услуги, освобождаемые от налогообложения <39>, не проводится.

--------------------------------

<37> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 9, утв. постановлением Правительства РФ от 08.02.2018 N 127.

<38> При выполнении условий, перечисленных в ст. 284.1 НК РФ.

<39> Ст. 149 НК РФ.

81. Для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и (или) не оказывающих медицинские услуги, освобождаемые от налогообложения, на основании налоговой отчетности и предоставляемых в Федеральную налоговую службу декларациях <40> за предыдущий трехлетний период определяется усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения в бюджеты Российской Федерации налогов в соответствии с Налоговым Кодексом Российской Федерации.

--------------------------------

<40> Приказ ФНС России от 19.10.16 N ММВ-7-3/572@ "Об утверждении формы налоговой декларации по налогу на прибыль организаций, порядка ее заполнения, а также формата представления налоговой декларации по налогу на прибыль организаций в электронной форме.

82. Для организаций сферы здравоохранения, для которых усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения отчислений в бюджеты Российской Федерации за предыдущий трехлетний период составляет менее 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период <41>, расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации" не проводится, и постоянно действующей комиссией по категорированию принимается решение об отсутствии необходимости присвоения категории значимости объекту КИИ организации сферы здравоохранения.

--------------------------------

<41> Сумма в 21 300,00 млн. руб. составляет 0,001% прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период с 2020 по 2022 года. В последующие периоды размер суммы 0,001% прогнозируемого годового дохода федерального бюджета должен быть пересчитан с учетом данных Минфина России и Федерального закона о федеральном бюджете на текущий год.

При этом, в обосновании отсутствия необходимости присвоения категории значимости объекту КИИ организации сферы здравоохранения указывается, что возможное снижение выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом КИИ (организацией сферы здравоохранения), менее 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период с 2020 по 2022 года (с представлением соответствующих расчетов).

83. Расчет показателя критерия "Возникновение ущерба бюджетам Российской Федерации" для организаций сферы здравоохранения, не применяющих нулевую ставку по налогу на прибыль и (или) не оказывающих медицинские услуги, освобождаемые от налогообложения, и имеющих усредненный суммарный годовой размер выплачиваемых организацией сферы здравоохранения отчислений в бюджеты Российской Федерации за предыдущий трехлетний период более 0,001% от прогнозируемого годового дохода федерального бюджета, усредненного за планируемый трехлетний период, проводится в следующей последовательности:

- на основании нормативов, установленных в сфере здравоохранения, определяющих период недоступности для оказания услуг, регламентов проведения профилактических работ ИС, ИТКС, АСУ организации сферы здравоохранения определяется максимально допустимый период простоя (tдоп);

- на основании эксплуатационных, технических, договорных и (или) иных документов определяется время, требуемое для устранения последствий компьютерной атаки (tустр), при отсутствии таких документов используются статистические данные за прошлый пятилетний период, а в случае отсутствия статистических данных за прошлый пятилетний период принимается tустр = 10 суток;

- ущерб бюджетам Российской Федерации от компьютерной атаки (Uб) рассчитывается по формуле:

- полученный показатель ущерба бюджетам Российской Федерации от компьютерной атаки сопоставляется с показателем прогнозируемого годового дохода федерального бюджета (R), усредненного за планируемый трехлетний период <42>, и определяется показатель возможного ущерба бюджетам Российской Федерации (U%) по формуле:

--------------------------------

<42> Прогнозируемый годовой доход федерального бюджета, усредненный за период 2020 - 2022 годы с учетом Федерального закона от 02.12.2019 N 380-ФЗ "О федеральном бюджете на 2020 год и на плановый период 2021 и 2022 годов" принимается равным R = 21 300 млрд. руб. Актуальные сведения (законы и законопроекты) о прогнозируемом годовом доходе бюджета Российской Федерации доступны на сайте официального печатного органа Правительства Российской Федерации https://rg.ru или Министерства финансов Российской Федерации https://www.minfin.ru.

U% = Uб/R

- полученный показатель возможного ущерба бюджетам Российской Федерации сопоставляется с показателями, приведенными в пункте 9 Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.

2.11.7. Расчет показателя критерия "Вредные воздействия на окружающую среду"

84. Расчет показателя критерия "Вредные воздействия на окружающую среду <43>" для организации сферы здравоохранения, использующего источники ионизирующего излучения, проводится в следующей последовательности:

--------------------------------

<43> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, п. 11, утв. постановлением Правительства РФ от 08.02.2018 N 127.

- на основании сведений из Единого государственного реестра недвижимости о границе между субъектами Российской Федерации, границе муниципального образования и границе населенного пункта <44>, декларации промышленной безопасности организации сферы здравоохранения, использующей источники ионизирующего излучения, анализа действия поражающих факторов для наиболее опасных по последствиям и вероятных сценариев аварий определяются граница и территория опасной зоны, на которой возможны вредные воздействия на окружающую среду;

--------------------------------

<44> Актуальные сведения о границах о границах инженерной и транспортной инфраструктуры (земли транспорта) доступны на официальном сайте Федеральной службы государственной регистрации, кадастра и картографии или на портале "Госуслуги".

- на основании данных статистических органов о численности населения <45> на начало и конец периода (года) в границах опасной зоны определяется среднеарифметическая численность населения в границах опасной зоны;

--------------------------------

<45> Актуальные сведения о численности населения доступны на официальном сайте Федеральной службы государственной статистики Российской Федерации www.gks.ru.

- полученные данные о границах опасной зоны сравниваются с показателями, приведенными в пункте 11(а) Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и определяется потенциальная категория значимости объекта КИИ организации сферы здравоохранения;

- полученные данные о численности населения в границах опасной зоны сравниваются с показателями, приведенными в пункте 11(б) Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, и определяется потенциальная категория значимости объекта КИИ организации сферы здравоохранения;

- из результатов определения потенциальных категорий значимости объекта КИИ организации сферы здравоохранения, полученных по признаку территории (п. 11(а)) и численности населения (п. 11(б)), выбирается наивысшая категория, и делается заключение о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для каждого возможного события (инцидента), которое может возникнуть в результате реализации наихудшего сценария одной целенаправленной компьютерной атаки.