4.1. Создание системы безопасности значимых объектов КИИ

Весь документ

4.1. Создание системы безопасности значимых объектов КИИ

4.1.1. Общие положения

117. Целью создания системы безопасности значимых объектов КИИ организации сферы здравоохранения является обеспечение их устойчивого функционирования. Средства и методы должны соответствовать категории значимости и быть адекватны для противодействия текущим угрозам.

118. Системы безопасности создаются в отношении всех значимых объектов КИИ организации сферы здравоохранения. Допускается создавать отдельные системы безопасности для одного или группы значимых объектов КИИ.

119. Системы безопасности объединяют силы обеспечения безопасности значимых объектов КИИ организаций сферы здравоохранения и используемые ими средства обеспечения безопасности значимых объектов КИИ.

К силам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся подразделения (работники) организации сферы здравоохранения, ответственные за обеспечение безопасности значимых объектов КИИ.

К средствам обеспечения безопасности значимых объектов КИИ организаций сферы здравоохранения относятся программные и программно-аппаратные средства, применяемые для обеспечения безопасности значимых объектов КИИ (средства защиты информации), в том числе:

- средства защиты информации от несанкционированного доступа (включая встроенные в системное, прикладное программное обеспечение);

- межсетевые экраны;

- средства обнаружения (предотвращения) вторжений;

- средства антивирусной защиты;

- средства (системы) контроля (анализа) защищенности;

- средства управления событиями безопасности;

- средства защиты каналов передачи данных.

Средства защиты информации значимых объектов КИИ объединяются в подсистему обеспечения безопасности значимых объектов КИИ (систему безопасности).

120. Системы безопасности должны функционировать в соответствии с организационно-распорядительными документами по обеспечению безопасности значимых объектов КИИ, разрабатываемыми организацией сферы здравоохранения.

121. Состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов КИИ определяет руководитель организации сферы здравоохранения, в том числе определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов КИИ (структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ, а также определяет обязанности, возлагаемые на работников структурного подразделения по безопасности, в их должностных регламентах (инструкциях). При этом не допускается возложение на структурное подразделение по безопасности функций, не связанных с обеспечением безопасности значимых объектов КИИ или обеспечением информационной безопасности субъекта КИИ в целом.

122. Создание подсистемы обеспечения безопасности значимых объектов КИИ организации сферы здравоохранения включает следующие этапы:

- планирование;

- реализация;

- контроль.

4.1.2. Структурное подразделение по безопасности

123. Структурное подразделение по безопасности, взаимодействуя с подразделениями (работниками), эксплуатирующими значимые объекты КИИ, либо с привлечением организаций, имеющих лицензию на деятельность по технической защите информации и (или) на деятельность по технической защите конфиденциальной информации, должно:

- разработать необходимые организационно-распорядительные документы по безопасности значимых объектов КИИ;

- провести анализ угроз безопасности информации в отношении значимых объектов КИИ и разработать Модель угроз безопасности информации;

- определить необходимые требования по обеспечению безопасности значимых объектов КИИ и обеспечить реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;

- определить порядок реагирования на компьютерные инциденты в соответствии с пунктом 6 части 4 статьи 6 Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

- организовать проведение оценки соответствия значимых объектов КИИ требованиям по безопасности.

124. Для руководителя структурного подразделения по безопасности организации сферы здравоохранения с 01.01.2021 вводятся требования <57> по квалификации и стажу работы:

--------------------------------

<57> Приказ ФСТЭК России от 27.03.2019 г. N 64, пп. 4 п. 1.

- наличие высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов)

- наличие стажа работы в сфере информационной безопасности не менее трех лет;

- прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".

125. Для выполнения функций структурного подразделения по безопасности могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

4.1.3. Этап "Планирование" создания подсистемы обеспечения безопасности

126. На этапе "Планирование" устанавливаются требования, которые необходимо выполнить для обеспечения безопасности каждого значимого объекта КИИ организации сферы здравоохранения, и формируется план мероприятий по обеспечению безопасности значимых объектов КИИ. Этап предполагает выполнение следующих процедур:

- выбор мер обеспечения безопасности значимых объектов КИИ;

- проведение GAP-анализа (аудита) ИС, ИТКС, АСУ значимых объектов КИИ;

- планирование мероприятий по обеспечению безопасности значимых объектов КИИ.

Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.

127. Выбор организационных и технических мер обеспечения безопасности значимых объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно на основе анализа и моделирования угроз безопасности и определения возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения). Подходы, которыми необходимо руководствоваться при моделировании угроз безопасности информации и требования к содержанию Модели угроз, определены ФСТЭК России <58>.

--------------------------------

<58> Приказ ФСТЭК России от 25.12.2017 г. N 239, п. 11.1.

Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.

В случае, если в организации сферы здравоохранения ранее проводилось моделирование угроз безопасности информации, допускается использование результатов такого моделирования для выбора организационных и технических мер обеспечения безопасности значимых объектов КИИ.

128. Меры по обеспечению безопасности выбираются с учетом угроз безопасности информации в соответствии с разделом III Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <59>.

--------------------------------

<59> Утверждены приказом ФСТЭК России от 25.12.2017 г. N 239.

129. Для выявления уже реализованных обязательных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения и определения обязательных мер, подлежащих реализации при создании подсистемы обеспечения безопасности, проводится GAP-анализ (аудит) ИС, ИТКС, АСУ значимых объектов КИИ организаций сферы здравоохранения.

При необходимости, для проведения GAP-анализа (аудита) привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).

При проведении GAP-анализа (аудита) учитываются ранее реализованные меры, установленные требованиями к государственным информационным системам <60>, информационным системам персональных данных <61>, автоматизированным системам управления производственными и технологическими процессами <62>.

--------------------------------

<60> Утверждены приказом ФСТЭК России от 11.02.2013 г. N 17.

<61> Утверждены приказом ФСТЭК России от 18.02.2013 г. N 21.

<62> Утверждены приказом ФСТЭК России от 14.03.2014 г. N 31.

130. Меры, подлежащие реализации при создании подсистемы обеспечения безопасности, выявленные в ходе GAP-анализа (аудита), включаются в техническое задание на создание подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Содержание технического задания определяется п. 10 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <63>. Техническое задание оформляется в соответствии со стандартами <64>.

--------------------------------

<63> Утверждены приказом ФСТЭК России от 25.12.2017 г. N 239.

<64> ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на автоматизированные системы".

131. В рамках планирования мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения в соответствии с установленными требованиями <65> осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов КИИ.

--------------------------------

<65> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п. п. 29 - 33.

4.1.4. Этап "Реализация" создания подсистемы обеспечения безопасности

132. На этапе "Реализация" осуществляется внедрение организационных и технических мер, реализация плана мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения <66>. Этап предполагает выполнение следующих процедур:

--------------------------------

<66> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п. 34.

- разработка организационно-распорядительных документов по безопасности значимых объектов КИИ;

- проектирование подсистемы безопасности значимых объектов КИИ;

- внедрение организационных и технических мер по обеспечению безопасности значимых объектов КИИ.

Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.

133. Организационно-распорядительные документы, определяющие порядок и правила функционирования системы безопасности значимых объектов КИИ организации сферы здравоохранения, а также порядок и правила обеспечения их безопасности, разрабатываются с учетом особенностей деятельности организации сферы здравоохранения, нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры. При этом, положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации) организации сферы здравоохранения, а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Состав и формы организационно-распорядительных документов определяются руководителем организации сферы здравоохранения по предложениям структурного подразделения по безопасности. Организационно-распорядительные документы должны соответствовать установленным требованиям <67>.

--------------------------------

<67> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, раздел IV.

Организационно-распорядительные документы по безопасности значимых объектов КИИ утверждаются руководителем организации сферы здравоохранения (уполномоченным лицом). По решению руководителя организации сферы здравоохранения отдельные организационно-распорядительные документы по безопасности значимых объектов КИИ могут утверждаться иными уполномоченными на это лицами организации сферы здравоохранения.

Работники организации сферы здравоохранения, эксплуатирующие значимые объекты КИИ, должны быть ознакомлены с положениями организационно-распорядительных документов организации сферы здравоохранения по безопасности значимых объектов КИИ в части, их касающейся.

Перечень рекомендуемых организационно-распорядительных документов по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения приведен в Приложении 19.

134. Проектирование подсистемы безопасности значимого объекта КИИ организации сферы здравоохранения должно осуществляться в соответствии с техническим заданием на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта КИИ организации сферы здравоохранения.

135. В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:

- обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта КИИ организации сферы здравоохранения;

- практическую отработку выполнения средствами защиты информации функций безопасности;

- исключение влияния подсистемы безопасности на функционирование значимого объекта КИИ объекта сферы здравоохранения.

136. Применяемые средства защиты информации должны быть обеспечены гарантийной и/или технической поддержкой со стороны разработчиков (производителей). При этом, в значимом объекте КИИ не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств защиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц <68>.

--------------------------------

<68> "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", утв. приказом ФСТЭК России от 25.12.2017 N 239, п. 32.

137. Состав и формы рабочей (эксплуатационной) документации определяются в соответствии с техническим заданием на подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Рабочая (эксплуатационная) документация на значимый КИИ объект должна содержать:

- описание архитектуры подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения;

- порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;

- правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).

138. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ организуется организацией сферы здравоохранения в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект КИИ и включает:

- установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств;

- внедрение организационных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения;

- предварительные испытания значимого объекта КИИ организации сферы здравоохранения и его подсистемы обеспечения безопасности;

- опытную эксплуатацию значимого объекта КИИ организации сферы здравоохранения и его подсистемы безопасности;

- анализ уязвимостей значимого объекта КИИ организации сферы здравоохранения и принятие мер по их устранению;

- приемочные испытания значимого объекта и его подсистемы безопасности.

139. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <69>.

--------------------------------

<69> Утверждены приказом ФСТЭК России от 25.12.2017 N 239, п. 12 - 12.7.

4.1.5. Этап "Контроль" создания подсистемы обеспечения безопасности

140. На этапе "Контроль" осуществляется внутренний контроль организации работ по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения и эффективности принимаемых организационных и технических мер. По решению руководителя организации сферы здравоохранения может организовываться внешняя оценка с привлечением организаций, имеющих лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации). Этап предполагает выполнение следующих процедур:

- формирование комиссии организации сферы здравоохранения для внутреннего контроля либо выбор внешней организации-аудитора;

- проверка выполнения требований и организационно-распорядительных документов по безопасности значимых объектов КИИ организации сферы здравоохранения;

- инструментальный контроль выполнения технических мер безопасности значимых объектов КИИ организации сферы здравоохранения.

Состав процедур этапа "Контроль" создания подсистемы безопасности приведен в Приложении 18.

141. Контроль проводится ежегодно комиссией, назначаемой руководителем организации сферы здравоохранения. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты КИИ, и подразделений, обеспечивающих их функционирование. В состав комиссии могут включаться работники иных подразделений организации сферы здравоохранения.

142. Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых КИИ могут применяться средства контроля (анализа) защищенности.

143. Результаты контроля оформляются актом, который подписывается членами комиссии и утверждается руководителем организации сферы здравоохранения (уполномоченным лицом).

На основе замечаний, выявленных по результатам контроля, формируются предложения по совершенствованию безопасности значимых объектов КИИ организации сферы здравоохранения, включаются в ежегодный план мероприятий по обеспечению безопасности значимых объектов КИИ и устраняются в установленные сроки.

<<< 4. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ4. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ ["Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)]
4.2. Организация взаимодействия с центрами ГосСОПКА (справочно)4.2. Организация взаимодействия с центрами ГосСОПКА (справочно) ["Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)] >>>