3.5. "Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)

108. Для целей определения категории значимости объектов КИИ организации сферы здравоохранения разработка Модели угроз и Модели нарушителя не требуется, для этих целей проводится верхнеуровневая оценка угроз безопасности информации. Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта КИИ организации сферы здравоохранения определяются в следующем порядке:

- на основании раздела IV Протокола расчетов значений критериев значимости для категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения определяется состав возможных событий (инцидентов), которые могут возникнуть в результате реализации наихудшего сценария целенаправленных компьютерных атак;

- на основании определенных возможных событий (инцидентов) с использованием сведений о взаимосвязи возможных угроз безопасности информации и событий (инцидентов) безопасности (раздел V Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17), для категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения выбираются потенциальные угрозы безопасности информации;

- на основе анализа сведений о взаимодействии угроз безопасности информации и объектов воздействия (раздел VI Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) и с учетом структурно-функциональных характеристик <53> категорируемой ИС, ИТКС, АСУ организации сферы здравоохранения проводится актуализация потенциальных угроз безопасности информации, неактуальные угрозы исключаются;

--------------------------------

<53> Структура и состав системы, физические, логические, функциональные и технологические взаимосвязи.

- на основании полученного перечня актуальных угроз безопасности информации и возможностей нарушителей по реализации угроз безопасности информации (раздел VII Справочных материалов по подготовке документов для отправки в ФСТЭК России, Приложение 17) определяются типы (категории) возможных нарушителей;

- полученные данные о типе (категории) нарушителя с краткой характеристикой основных возможностей нарушителя по реализации угроз безопасности информации или обоснованием невозможности нарушителем реализовать угрозы безопасности информации вносятся в п. 6.1 формы Сведений о результатах категорирования;

- полученные данные об актуальных угрозах безопасности информации или обоснование их неактуальности вносятся в п. 6.2 формы Сведений о результатах категорирования;

- полученные данные о типах компьютерных инцидентов, которые могут произойти в результате реализации угроз безопасности информации, или обоснование невозможности наступления компьютерных инцидентов вносятся в п. 7.1 формы Сведений о результатах категорирования.

Пример определения угроз безопасности информации, нарушителей и последствий от возможных инцидентов приведен в разделе VIII Справочных материалов по подготовке документов для отправки в ФСТЭК России (Приложение 17).