2.4. Оценка критичности бизнес-процессов
2.4.1. Допущения и ограничения
20. При проведении высокоуровневой оценки возможных последствий от нарушения бизнес-процесса организации сферы здравоохранения не оцениваются количественные показатели критериев значимости, а дается их качественная оценка.
21. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения влияния на прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения <7>, транспортной инфраструктуры <8>, сетей связи <9>, а также, в дальнейшем, расчет этих показателей значимости для объектов КИИ организации сферы здравоохранения не проводится, так как бизнес-процессы организаций сферы здравоохранения не задействованы:
--------------------------------
<7> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 2, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<8> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 3, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<9> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 4, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
- в управлении объектами обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, контроле или мониторинге и эксплуатации таких объектов;
- в обеспечении бесперебойного функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи;
- в поддержании качества функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи.
22. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения экономической значимости <10> проводится исключительно для организаций сферы здравоохранения, имеющих организационно-правовую форму "государственное унитарное предприятие".
--------------------------------
<10> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 8, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
23. Оценка критичности бизнес-процессов и дальнейший расчет показателей значимости для объектов КИИ с точки зрения экономической значимости <11> для организаций сферы здравоохранения иных организационно-правовых форм не проводится, так как такие организации сферы здравоохранения не являются государственными корпорациями, государственными компаниями, стратегическими акционерными обществами <12>, стратегическими предприятиями <13>, у которых возможно снижение уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей).
--------------------------------
<11> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 8, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<12> Указ Президента РФ от 04.08.2004 N 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ".
<13> Распоряжение Правительства РФ от 20.08.2009 N 1226-р "Об утверждении перечня стратегических предприятий и организаций".
24. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения возникновения ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации <14>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, если организация сферы здравоохранения применяет нулевую ставку по налогу на прибыль <15> и (или) оказывает медицинские услуги, освобождаемые от налогообложения <16>.
--------------------------------
<14> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 9, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<15> При выполнении условий, перечисленных в ст. 284.1 НК РФ.
<16> Ст. 149 НК РФ.
25. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения влияния на прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета <17>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как организации сферы здравоохранения не осуществляют для клиентов операции по банковским счетам и (или) без открытия банковского счета и не являются в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка <18>.
--------------------------------
<17> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 10, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<18> Федеральный закон "О национальной платежной системе" от 27.06.2011 N 161-ФЗ.
26. Оценка критичности бизнес-процессов организации сферы здравоохранения, за исключением организаций сферы здравоохранения, использующих в своей деятельности источники ионизирующего излучения, с точки зрения экологической значимости <19>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как организации сферы здравоохранения, не использующие в своей деятельности источники ионизирующего излучения, не относятся к опасным производственным объектам <20>, нарушение функционирования которых может привести к авариям, инцидентам или катастрофам, влияющим на ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосфере, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иных вредных воздействий <21>.
--------------------------------
<19> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. 11, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
<20> Федеральный закон от 21.07.1997 N 116-ФЗ "О промышленной безопасности опасных производственных объектов".
<21> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. примечание 5, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
27. Оценка критичности бизнес-процессов организации сферы здравоохранения с точки зрения значимости для обеспечения обороны страны, безопасности государства и правопорядка <22>, а также, в дальнейшем, расчет таких показателей значимости для объектов КИИ организации сферы здравоохранения, не проводится, так как бизнес-процессы организации сферы здравоохранения не могут повлиять на прекращение или нарушение функционирования пункта управления (ситуационного центра) государственных органов власти или государственной корпорации, информационных систем в области обеспечения обороны страны, безопасности государства и правопорядка, снижение показателей государственного оборонного заказа.
--------------------------------
<22> Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений. п. п. 12, 13, 14, (утв. постановлением Правительства РФ от 08.02.2018 г. N 127).
28. Допущения и ограничения, приведенные в разделе 2.4.1 настоящих методических рекомендаций, могут быть использованы для обоснования неприменимости того или иного критерия значимости для бизнес-процесса организации сферы здравоохранения.
2.4.2. Критерии оценки критичности бизнес-процессов
29. При проведении оценки необходимо учитывать, что любой бизнес-процесс организации сферы здравоохранения может быть как полностью автоматизирован, так и частично <23>. Неавтоматизированная (ручное управление) часть должна рассматриваться как составляющая оцениваемого бизнес-процесса, позволяющая исключить или снизить масштаб возможных негативных последствий, приводящих к нарушению или прекращению выполнения организацией сферы здравоохранения установленных функций (полномочий).
--------------------------------
<23> Полностью неавтоматизированные бизнес-процессы не рассматриваются, так как они выходят из-под юрисдикции Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (ст. 1).
30. При оценке критичности бизнес-процесса с точки зрения социальной значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможный ущерб, причиняемый жизни или здоровью людей, а также максимальное время отсутствия доступа к государственной услуге для получателей такой услуги.
31. При оценке критичности бизнес-процесса с точки зрения политической значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможность причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики.
32. При оценке критичности бизнес-процесса с точки зрения экономической значимости оценивается влияние бизнес-процесса организации сферы здравоохранения на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию.
33. Бизнес-процесс организации сферы здравоохранения считается критическим, если в ходе оценки возможных последствий от его нарушения установлено, что он задействован и оказывает влияние хотя бы по одному критерию, определенному постановлением Правительства РФ от 08.02.2018 N 127.
Критерии влияния (задействованности) бизнес-процессов организации сферы здравоохранения на показатели возможных последствий приведены в разделе I Справочных материалов по оценке критичности бизнес-процессов организации сферы здравоохранения Приложения 8.
2.4.3. Порядок оценки критичности бизнес-процессов
34. На этом этапе проводится оценка возможного негативного влияния последствий от нарушения бизнес-процесса организации сферы здравоохранения по показателям, определенным постановлением Правительства РФ от 08.02.2018 N 127.
35. Используя результаты определения и описания бизнес-процессов в деятельности организации сферы здравоохранения, зафиксированные в описательной части Реестра бизнес-процессов организации сферы здравоохранения проводятся обоснование критичности бизнес-процессов организации сферы здравоохранения, проводящей категорирование объектов КИИ и оценка возможного негативного влияния последствий от нарушения бизнес-процесса. Такая оценка проводится с использованием Алгоритмов оценки значимости бизнес-процесса, приведенных в разделе II Справочных материалов по оценке критичности бизнес-процессов организации сферы здравоохранения (Приложение 8), для следующих показателей, определенных постановлением Правительства РФ от 08.02.2018 N 127:
- социальная значимость (способность причинить ущерб жизни и здоровью людей; способность привести к нарушению максимального времени отсутствия доступа в оказании государственных услуг);
- политическая значимость (способность оказывать влияние на функционирование органа государственной власти <24>);
--------------------------------
<24> В контексте настоящих методических рекомендаций, если это специально не оговорено, под органом государственной власти подразумеваются федеральные органы государственной власти, органы государственной власти субъекта Российской Федерации или города федерального значения.
- экономическая значимость (способность оказывать влияние на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию).
При этом бизнес-процесс организации сферы здравоохранения считается способным причинить ущерб жизни и здоровью людей, если он задействован (обеспечивает) в управлении или обеспечении работоспособности механизмов и устройств, нарушение функционирования которых может привести:
- к авариям, катастрофам с человеческими жертвами;
- к бактериологическому, радиационному или химическому заражению;
- к отключению приборов, обеспечивающих жизненно важные функции организма;
- к нарушению технологий производства и хранения фармацевтической и медицинской продукции;
- к иным последствиям, пагубно влияющим на жизнь и здоровье людей.
Бизнес-процесс организации сферы здравоохранения считается способным привести к отсутствию доступа в оказании государственных услуг, если он задействован:
- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры доступа к государственной услуге;
- в аналитической, экспертной, учетной деятельности, необходимой для обеспечения функционирования государственных органов власти, оказывающих государственные услуги;
- в обеспечении взаимодействия государственных органов власти, оказывающих государственные услуги.
Бизнес-процесс организации сферы здравоохранения считается оказывающим влияние на функционирование органа государственной власти, если он задействован:
- в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений органом государственной власти;
- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры взаимодействия органов государственной власти;
- в управлении, контроле или мониторинге и поддержании бесперебойного функционирования элементов инфраструктуры оповещения населения о чрезвычайных ситуациях;
- в поддержании бесперебойного функционирования элементов системы управления, необходимой для реализации возложенных на орган государственной власти полномочий.
Бизнес-процесс организации сферы здравоохранения считается оказывающим влияние на возможность причинения прямого и косвенного ущерба государственному унитарному предприятию, если он задействован:
- в аналитической, экспертной, учетной деятельности, необходимой для принятия управленческих решений руководством государственного унитарного предприятия;
- в обеспечении взаимодействия с организациями кредитно-финансовой сферы, включая страховые компании, биржи, банки, казначейство, налоговые органы.
Для обоснования неприменимости для таких бизнес-процессов остальных показателей, определенных постановлением Правительства РФ от 08.02.2018 N 127, используется раздел "Допущения и ограничения" настоящих методических рекомендаций.
36. В случае если осуществление критического бизнес-процесса организации сферы здравоохранения зависит от осуществления иных критических бизнес-процессов, оценка проводится исходя из совокупного масштаба возможных последствий от нарушения или прекращения функционирования всех выполняемых критических бизнес-процессов.
37. Результаты оценки критичности бизнес-процессов в деятельности организации сферы здравоохранения фиксируются в разделе оценки критичности Реестра бизнес-процессов организации сферы здравоохранения (Приложение 7).
2.4.4. Формирование Перечня критических бизнес-процессов
38. После оценки критичности бизнес-процессов в деятельности организации сферы здравоохранения, из Реестра исключаются бизнес-процессы, которые не являются критическими, и формируется описательная часть Перечня критических бизнес-процессов организации сферы здравоохранения. Форма Перечня критических бизнес-процессов организации сферы здравоохранения представлена в Приложении 9.