Приложение 18. "Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)
Приложение 18. СОСТАВ И ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ | Состав этапов создания подсистемы безопасности значимых объектов КИИ и организации взаимодействия |
Приложение 18 
СОСТАВ
И ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ
Состав этапов создания подсистемы безопасности значимых
объектов КИИ и организации взаимодействия
Состав процедур этапа "Планирование" создания
подсистемы безопасности
ПРОЦЕДУРА:
. Разработка Модели угроз безопасности . ПРОЦЕДУРА:
. информации и Модели нарушителя, выбор . Оформление результатов
. мер обеспечения безопасности значимых . категорирования значимых
. объектов КИИ организации сферы . объектов КИИ медицинской
. здравоохранения . организации
. ИСХОДНЫЕ ДАННЫЕ: . ИСХОДНЫЕ ДАННЫЕ:
. Перечень значимых объектов КИИ . ТЗ на создание системы
. Приказ ФСТЭК России от 25.12.2017 г. . обеспечения безопасности
. N 239 . значимых объектов КИИ,
. Банк данных угроз (ФСТЭК России) . приказ ФСТЭК России
. РЕЗУЛЬТАТ: . от 21 декабря 2017 г. N 235
. Модель угроз, Модель нарушителя, . РЕЗУЛЬТАТ:
. Состав мер обеспечения безопасности . Ежегодный план мероприятий по
. значимых объектов КИИ . обеспечению безопасности
. значимых объектов КИИ
. организации сферы здравоохранения
┌──────────────────────────────────────────────────────────────────────
│ \ \ \
│ Выбор мер \ \ \
│ обеспечения \ Проведение \ Планирование мероприятий \
│ безопасности \ GAP-анализа ИС, ИТКС, \ по обеспечению безопасности \
│ значимых объектов / АСУ значимых объектов / значимых объектов КИИ /
│ КИИ организаций / КИИ организаций сферы / организации сферы /
│ сферы / здравоохранения / здравоохранения /
│ здравоохранения/ / /
└──────────────────────────────────────────────────────────────────────
.
. ПРОЦЕДУРА:
. Оценка "разрывов" между требуемыми
. и существующими мерами безопасности
. при использовании ИС, ИТКС, АСУ
. ИСХОДНЫЕ ДАННЫЕ:
. Перечень значимых объектов КИИ,
. Состав мер обеспечения безопасности
. значимых объектов КИИ
. РЕЗУЛЬТАТ:
. Техническое задание (ТЗ) на создание
. системы обеспечения безопасности
. значимых объектов КИИ организации сферы
. здравоохранения
Состав процедур этапа "Реализация" создания
подсистемы безопасности
ПРОЦЕДУРА:
. Разработка комплекта организационно- ПРОЦЕДУРА:
. распорядительных документов . Установка, настройка средств
. ИСХОДНЫЕ ДАННЫЕ: . защиты информации
. Приказ ФСТЭК России от 25.12.2017 г. . ИСХОДНЫЕ ДАННЫЕ:
. N 239 . Проектная и рабочая
. Приказ ФСТЭК России от 21.12.2017 г. . документация
. N 235 . РЕЗУЛЬТАТ:
. РЕЗУЛЬТАТ: . Действующая подсистема
. Комплект организационно-распорядительных . безопасности значимого объекта
. документов по обеспечению безопасности . КИИ
. значимых объектов КИИ .
. .
┌─────────────────────────────────────────────────────────────────────
│ \ \ \
│ Разработка \ Проектирование \ Внедрение \
│ организационно- \ подсистемы \ организационных и \
│ распорядительных \ безопасности \ технических мер по \
│ документов по безопасности \ значимых объектов \ обеспечению \
│ значимых объектов КИИ / КИИ организации / безопасности /
│ организаций сферы / сферы / значимых объектов /
│ здравоохранения / здравоохранения / КИИ организации /
│ / / сферы здравоохранения /
└──────────────────────────────────────────────────────────────────────
.
. ПРОЦЕДУРА:
. Проектирование подсистемы
. безопасности значимого
. объекта, разработка
. рабочей (эксплуатационной)
. документации на значимый
. объект КИИ (в части
. обеспечения его безопасности)
. ИСХОДНЫЕ ДАННЫЕ:
. ТЗ на создание системы
. обеспечения безопасности
. значимых объектов КИИ,
. Приказ ФСТЭК России
. от 25.12.2017 г. N 239
. РЕЗУЛЬТАТ:
Проектная и рабочая
документация на подсистему
безопасности значимого объекта
КИИ организации сферы
здравоохранения.
Состав процедур этапа "Контроль" создания
подсистемы безопасности
ПРОЦЕДУРА:
. Определение состава и назначение ПРОЦЕДУРА:
. комиссии по контролю (аудиту), . Пен-тест, анализ функционирования
. планирование контроля . подсистемы безопасности
. ИСХОДНЫЕ ДАННЫЕ: . ИСХОДНЫЕ ДАННЫЕ:
. Приказ ФСТЭК России от 21.12.2017 г. . приказ ФСТЭК России
. N 235, . от 21.12.2017 г. N 235,
. Ежегодный план мероприятий по . Приказ ФСТЭК России
. обеспечению безопасности значимых . от 25.12.2017 г. N 239
. объектов КИИ организации сферы . РЕЗУЛЬТАТ:
. здравоохранения . План совершенствования
. РЕЗУЛЬТАТ: . мероприятий по обеспечению
. Локальный нормативный акт . безопасности значимых объектов
. о назначении комиссии по контролю . КИИ организации сферы
. состояния безопасности значимых . здравоохранения
. объектов КИИ организации сферы .
. здравоохранения. .
. .
┌─────────────────────────────────────────────────────────────────────
│ \ \ \
│ \ Проверка выполнения \ \
│ \ требований и \ \
│ Формирование \ организационно- \ Инструментальный \
│ для внутреннего \ распорядительных \ контроль выполнения \
│ контроля / документов / технических мер /
│ либо выбор внешней / по безопасности / безопасности /
│ организации-аудитора / значимых объектов / значимых объектов КИИ /
│ / КИИ организации / /
│ / сферы здравоохранения / /
└─────────────────────────────────────────────────────────────────────
.
. ПРОЦЕДУРА:
. Контроль организации работ
. по обеспечению безопасности
. значимых объектов КИИ
. и эффективности принимаемых
. организационных и технических мер
. ИСХОДНЫЕ ДАННЫЕ:
. Организационно-распорядительные
. документы, Приказ ФСТЭК России
. от 25.12.2017 г. N 239
. РЕЗУЛЬТАТ:
. Акт проверки, План совершенствования
. мероприятий по обеспечению
. безопасности значимых объектов КИИ
организации сферы здравоохранения