Приложение 15. ФОРМА ПРОТОКОЛА РАСЧЕТОВ ЗНАЧЕНИЙ КРИТЕРИЕВ ЗНАЧИМОСТИ ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ

Приложение 15

ФОРМА ПРОТОКОЛА
РАСЧЕТОВ ЗНАЧЕНИЙ КРИТЕРИЕВ ЗНАЧИМОСТИ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ

                                                  УТВЕРЖДАЮ
                                Председатель постоянно действующей Комиссии
                                      по категорированию объектов КИИ
                                     <полное наименование организации
                                          сферы здравоохранения>
                                ___________________________________________
                                                 (Ф.И.О.)
                                          "  " __________ 20__ г.

                                ПРОТОКОЛ N ______________
              расчетов значений критериев значимости объектов
                        критической инфраструктуры

"  " _________ 20__ г.             гор. ____________________

Председательствующий: _____________________________________________________
Секретарь: ________________________________________________________________

Присутствовали: ___________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

Приглашенные эксперты: ____________________________________________________
___________________________________________________________________________
___________________________________________________________________________

Повестка дня:
    1. Рассмотрение  и  утверждение  расчетов значений критериев значимости
       объектов КИИ <полное наименование организации сферы здравоохранения>
    2. Формирование   Заключения   о   присвоении   объекту   КИИ   <полное
       наименование   организации  сферы  здравоохранения>  или  отсутствии
       необходимости присвоения одной из категорий значимости объектов КИИ.

Кворум  для проведения заседания Комиссии по категорированию в соответствии
с   пунктом   7.4.   Положения   о   постоянно   действующей   комиссии  по
категорированию   объектов   КИИ <полное  наименование   организации  сферы
здравоохранения> имеется.

В результате анализа представленных в Комиссию материалов, установлено:

I. СВЕДЕНИЯ ОБ ОБЪЕКТЕ КИИ <91>
КОД ОБЪЕКТА КИИ
СФЕРА ДЕЯТЕЛЬНОСТИ
ТИП ОБЪЕКТА КИИ
НАИМЕНОВАНИЕ
НАЗНАЧЕНИЕ
АРХИТЕКТУРА <92>

II. СВЕДЕНИЯ О ВЗАИМОДЕЙСТВИИ ОБЪЕКТА КИИ С ДРУГИМИ ОБЪЕКТАМИ
КАТЕГОРИЯ СЕТИ ЭЛЕКТРОСВЯЗИ <93>
НАИМЕНОВАНИЕ ОПЕРАТОРА СВЯЗИ
ЦЕЛЬ ВЗАИМОДЕЙСТВИЯ <94>
СПОСОБ ВЗАИМОДЕЙСТВИЯ <95>
ЗАВИСИМЫЙ ОБЪЕКТ КИИ <96>
ТИП ЗАВИСИМОГО ОБЪЕКТА КИИ

III. СВЕДЕНИЯ О КРИТИЧЕСКИХ БИЗНЕС-ПРОЦЕССАХ, В КОТОРЫХ ЗАДЕЙСТВОВАН ОБЪЕКТ КИИ <97>
ТИП БИЗНЕС-ПРОЦЕССА
НАИМЕНОВАНИЕ БИЗНЕС-ПРОЦЕССА

    --------------------------------
    <91>  Заполняется  в  соответствии  с  Реестром  информационных систем,
автоматизированных  систем  управления,  информационно-телекоммуникационных
сетей,  имеющихся  на  праве  собственности,  аренды  или  на ином законном
основании.
    <92>   Указывается:   одноранговая   сеть,   клиент-серверная  система,
технология  "тонкий  клиент",  сеть передачи данных, система диспетчерского
управления и контроля, распределенная система управления, иная архитектура.
    <93> Указывается: сеть общего пользования, выделенная, технологическая,
присоединенная  к  сети  связи общего пользования, специального назначения,
другая  сеть  связи или сведения об отсутствии взаимодействия объекта КИИ с
сетями электросвязи.
    <94>   Указывается:   передача   (прием)  информации,  оказание  услуг,
управление,  контроль  за  технологическим,  производственным оборудованием
(исполнительными устройствами), иная цель.
    <95>   Указывается:   проводной,   беспроводной,   технологии  доступа,
протоколы взаимодействия.
    <96> Указывается от какого другого объекта КИИ зависит функционирование
оцениваемого объекта КИИ или сведения об отсутствии зависимости.
    <97>   Указывается   в   соответствии   с   Реестром   бизнес-процессов
юридического лица.

IV. РЕЗУЛЬТАТЫ РАСЧЕТА ЗНАЧЕНИЙ КРИТЕРИЕВ ЗНАЧИМОСТИ ОБЪЕКТА КИИ <98>

КРИТЕРИИ ЗНАЧИМОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
ВОЗМОЖНЫЕ ИНЦИДЕНТЫ (результат компьютерных атак <99>)
ОТКАЗ В ОБСЛУЖИВАНИИ
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
УТЕЧКА ДАННЫХ
МОДИФИКАЦИЯ (ПОДМЕНА) ДАННЫХ
НАРУШЕНИЕ РАБОТЫ ТЕХНИЧЕСКИХ СРЕДСТВ
НЕЗАКОННОЕ ИСПОЛЬЗОВАНИЕ ВЫЧИСЛИТЕЛЬНЫХ РЕСУРСОВ
СОЦИАЛЬНАЯ ЗНАЧИМОСТЬ
Причинение ущерба жизни и здоровью людей
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к причинению ущерба жизни и здоровью людей
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к причинению ущерба жизни и здоровью людей
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к причинению ущерба жизни и здоровью людей
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования объектов обеспечения жизнедеятельности населения
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению или нарушению функционирования объектов обеспечения жизнедеятельности населения
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к прекращению или нарушению функционирования объектов обеспечения жизнедеятельности населения
Прекращение или нарушение функционирования объектов транспортной инфраструктуры
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования объектов транспортной инфраструктуры
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению или нарушению функционирования объектов транспортной инфраструктуры
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методический документ. Рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к прекращению или нарушению функционирования объектов транспортной инфраструктуры
Прекращение или нарушение функционирования сети связи
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования сети связи
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению или нарушению функционирования сети связи
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 21)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к прекращению или нарушению функционирования сети связи
Отсутствие доступа к государственной услуге
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению доступа к государственной услуге
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению доступа к государственной услуге
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Модификация (подмена) данных не может привести к прекращению доступа к государственной услуге
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к прекращению доступа к государственной услуге
ПОЛИТИЧЕСКАЯ ЗНАЧИМОСТЬ
Прекращение или нарушение функционирования государственного органа
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования государственного органа
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как утечка данных не может привести к прекращению или нарушению функционирования государственного органа
Нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Отказ в обслуживании не может привести к нарушению условий международного договора, срыву переговоров или подписания планируемого к заключению международного договора
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к нарушению условий международного договора, срыву переговоров или подписания планируемого к заключению международного договора
ЭКОНОМИЧЕСКАЯ ЗНАЧИМОСТЬ
Возникновение ущерба субъекту критической информационной инфраструктуры <100>
Возникновение ущерба бюджетам Российской Федерации
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Отказ в обслуживании не может причинить ущерб бюджетам Российской Федерации
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может причинить ущерб бюджетам Российской Федерации
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может причинить ущерб бюджетам Российской Федерации
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Нарушение работы технических средств не может причинить ущерб бюджетам Российской Федерации
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций <101>
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 25)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не может привести к Прекращению или нарушению проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций
ЭКОЛОГИЧЕСКАЯ ЗНАЧИМОСТЬ
Вредные воздействия на окружающую среду
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Отказ в обслуживании не оказывает вредного воздействия на окружающую среду
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Несанкционированный доступ не оказывает воздействия на окружающую среду
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не оказывает воздействия на окружающую среду
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Незаконное использование вычислительных ресурсов не оказывает вредные воздействия на окружающую среду
ЗНАЧИМОСТЬ ДЛЯ ОБЕСПЕЧЕНИЯ ОБОРОНЫ СТРАНЫ, БЕЗОПАСНОСТИ ГОСУДАРСТВА И ПРАВОПОРЯДКА
Прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может стать причиной прекращения или нарушения функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может стать причиной прекращения или нарушения функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра)
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27)
Снижение показателей государственного оборонного заказа
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Отказ в обслуживании не может стать причиной снижения показателей государственного оборонного заказа
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Несанкционированный доступ не может стать причиной снижения показателей государственного оборонного заказа
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может стать причиной снижения показателей государственного оборонного заказа
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27)
Прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27)
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как несанкционированный доступ не может привести к прекращению или нарушению функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка
ОЦЕНКА НЕ ПРОВОДИТСЯ
Не входит в наихудший сценарий компьютерной атаки, так как Утечка данных не может привести к прекращению или нарушению функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка
РАСЧЕТ ПОКАЗАТЕЛЕЙ ЗНАЧИМОСТИ ДЛЯ ОБЪЕКТОВ КИИ НЕ ПРОВОДИТСЯ
(см. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения п. 27)

    --------------------------------
    <98>  В  данный  раздел  включено  обоснование неприменимости критериев
значимости  с учетом раздела "Допущения и ограничения" и Приложений 13 и 14
настоящего документа.
    <99>  Компьютерная  атака  по  своей  сути является одной из реализаций
угроз безопасности информации.
    <100>   Для   государственных   корпораций,  государственных  унитарных
предприятий,  государственных компаний, стратегических акционерных обществ,
стратегических предприятий.
    <101>  Для  системно  значимой  кредитной  организации, оператора услуг
платежной  инфраструктуры  системно  и  (или)  социально значимых платежных
систем, системно значимой инфраструктурной организации финансового рынка.

V. ЗАКЛЮЧЕНИЕ КОМИССИИ

    (ВАРИАНТ 1)

    На  основании  проведенных  расчетов  показателей  критериев значимости
объектов  критической  инфраструктуры  для  <наименование  ИС,  АСУ,  ИТКС>
постоянно  действующая  Комиссия  по  категорированию  объектов КИИ <полное
наименование  организации  сферы  здравоохранения> пришла к заключению, что
<наименование ИС, АСУ, ИТКС> относится к ____ категории значимости объектов
критической     инфраструктуры    Российской    Федерации,    установленных
постановлением Правительства РФ от 08.02.2018 г. N 127.

    (ВАРИАНТ 2)

    Проведенные  расчеты  показывают,  что для <наименование ИС, АСУ, ИТКС>
показатели  критериев  значимости объектов критической инфраструктуры, ниже
установленных  постановлением  Правительства  РФ  от  08.02.2018  г. N 127.
Постоянно  действующая  Комиссия  по  категорированию  объектов КИИ <полное
наименование  организации  сферы  здравоохранения> пришла к заключению, что
для <наименование ИС, АСУ, ИТКС> отсутствует необходимость присвоения одной
из  категорий  значимости  объектов  критической  инфраструктуры Российской
Федерации,  установленных  .
Постоянно  действующая  Комиссия  по  категорированию  объектов КИИ <полное
наименование  организации  сферы  здравоохранения> пришла к заключению, что
для <наименование ИС, АСУ, ИТКС> отсутствует необходимость присвоения одной
из  категорий  значимости  объектов  критической  инфраструктуры Российской
Федерации,  установленных  постановлением Правительства РФ от 08.02.2018 г.
N 127.

СЕКРЕТАРЬ КОМИССИИ
__________________ - ____________________________________
      (ФИО)                      (подпись)

ЧЛЕНЫ КОМИССИИ:
__________________ - ____________________________________
      (ФИО)                      (подпись)
__________________ - ____________________________________
      (ФИО)                      (подпись)
__________________ - ____________________________________
      (ФИО)                      (подпись)
__________________ - ____________________________________
      (ФИО)                      (подпись)