Приложение 5. РЕКОМЕНДАЦИИ ПО ФОРМИРОВАНИЮ ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ
РЕКОМЕНДАЦИИ
ПО ФОРМИРОВАНИЮ ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ
ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ
СФЕРЫ ЗДРАВООХРАНЕНИЯ
Согласно Правилам категорирования объектов критической информационной инфраструктуры Российской Федерации <73> категорирование объектов КИИ осуществляется организацией сферы здравоохранения самостоятельно, для чего локальным правовым актом (приказом) руководителя организации сферы здравоохранения создается постоянно действующая комиссия по категорированию объектов КИИ (далее - Комиссия) <74>.
--------------------------------
<73> Утверждены постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 2.
<74> Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 11.
Состав Комиссии
Комиссию возглавляет председатель, в качестве которого выступает руководитель организации сферы здравоохранения или уполномоченное им лицо <75>. При создании Комиссии необходимо учитывать высокую ответственность председателя Комиссии в определении категории значимости объектов КИИ, необходимость привлечения экспертов из различных областей деятельности, а также постоянный характер деятельности Комиссии. Исходя из этого, уполномоченное лицо должно быть наделено определенными полномочиями, а его должностные обязанности должны быть закреплены в порядке, установленном трудовым законодательством <76>.
--------------------------------
<75> Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утв. постановлением Правительства Российской Федерации от 08.02.2018 N 127, п. 13.
<76> Трудовой кодекс Российской Федерации, ст. 60.2.
Членами Комиссии назначаются эксперты из числа наиболее квалифицированных работников организации сферы здравоохранения, являющихся специалистами в области осуществляемых видов деятельности, информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования. В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в ИС, ИТКС, АСУ организации сферы здравоохранения, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.
В состав комиссии также включаются работники организации сферы здравоохранения, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры, работники подразделения по защите государственной тайны (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну), работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.
Допускается по решению руководителя организации сферы здравоохранения или уполномоченного лица, для оценки критичности бизнес-процессов, выявления задействованности ИС, ИТКС, АСУ в критических бизнес-процессах организации сферы здравоохранения привлекать экспертов сторонних организаций, в том числе организаций, имеющих соответствующие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. При этом, не допускается передавать внешним экспертам право принятия решения о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо решения об отсутствии необходимости присвоения им категорий значимости. Привлекаемые эксперты не являются членами Комиссии.
Форма локального нормативного акта о создании Комиссии
Создание комиссии необходимо оформить локальным нормативным актом (приказом), в котором определяется состав Комиссии, вводится Положение о постоянно действующей комиссии, порядок хранения документов Комиссии.
При назначении председателем Комиссии уполномоченного лица, в локальном нормативном акте должны быть отражены его полномочия.
Локальный нормативный акт (приказ) о создании Комиссии оформляется в соответствии с правилами документооборота, принятыми в организации сферы здравоохранения.
<полное наименование организации сферы здравоохранения>
ПРИКАЗ
(проект)
"__" __________ 20__ г.
|
________________________________ N __________
|
|
___________________________________________________
(наименование населенного пункта)
|
||
О создании постоянно действующей комиссии по категорированию объектов КИИ (наименование организации сферы здравоохранения)
|
Во исполнения пункта 11 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 г. N 127, в целях организации проведения работ по категорированию объектов критической информационной инфраструктуры в <полное наименование организации сферы здравоохранения>
ПРИКАЗЫВАЮ:
1. Создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры в <полное наименование организации сферы здравоохранения>.
2. Утвердить состав постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры согласно приложению N 1 к приказу.
3. Утвердить Положение о постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения>.
4. Комиссии организовать работу по категорированию объектов критической информационной инфраструктуры <полное наименование организации сферы здравоохранения> в строгом соответствии с постановлением Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.
5. Контроль за исполнением настоящего приказа оставляю за собой.
(должность)
|
(подпись)
|
(Ф.И.О.)
|
Приложение N 1
---------------------
к приказу
<полное наименование организации
сферы здравоохранения>
|
||
от " "
|
20__ г. N _________
|
СОСТАВ ПОСТОЯННО ДЕЙСТВУЮЩЕЙ КОМИССИИ
<полное наименование организации сферы здравоохранения>
по категорированию объектов КИИ
Председатель комиссии:
|
||
(ФИО)
|
-
|
____________________________________,
|
(должность)
|
||
Секретарь комиссии:
|
||
(ФИО)
|
-
|
____________________________________,
|
(должность)
|
||
Члены комиссии:
|
||
(ФИО)
|
-
|
____________________________________,
|
(должность)
|
||
(ФИО)
|
-
|
____________________________________,
|
(должность)
|
||
(ФИО)
|
-
|
____________________________________,
|
(должность)
|
||
(ФИО)
|
-
|
____________________________________.
|
(должность)
|
Приложение N 2
---------------------
к приказу
<полное наименование организации
сферы здравоохранения>
|
||
от ""
|
20__ г. N _________
|
Положение
о постоянно действующей комиссии по категорированию
объектов КИИ
<полное наименование организации сферы здравоохранения>
(проект)
1. Положение о комиссии по категорированию объектов критической информационной инфраструктуры (далее - Комиссия) определяет задачи, функции Комиссии, ее права и порядок организации ее деятельности.
2. Комиссия создается для организации работ по категорированию объектов КИИ <наименование организации сферы здравоохранения>.
3. Комиссия является постоянно действующим консультативно-совещательным органом.
4. Комиссия в своей деятельности руководствуется федеральными законами, актами Президента Российской Федерации, Правительства Российской Федерации, в том числе Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127, приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" и настоящим Положением.
5. Состав Комиссии устанавливается приказом по Организации.
6. Комиссия выполняет следующие функции:
6.1. определение бизнес-процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности <наименование организации сферы здравоохранения>, как субъекта КИИ;
6.2. выявление критических бизнес-процессов <наименование организации сферы здравоохранения>;
6.3. выявление объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических бизнес-процессов, и (или) осуществляют управление, контроль или мониторинг критических бизнес-процессов, подготовка предложений для включения в перечень объектов КИИ, подлежащих категорированию, оценка необходимости категорирования вновь создаваемых объектов;
6.4. рассмотрение возможных действий нарушителей в отношении объектов КИИ, а также иных источников угроз безопасности информации;
6.5. анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ <наименование организации сферы здравоохранения>;
6.6. оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;
6.7. расчет показателей значимости для объектов КИИ;
6.8. присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им категорий значимости.
7. Организация деятельности Комиссии.
7.1. Заседания Комиссии проводятся по мере необходимости.
7.2. Решение о проведении заседаний Комиссии принимается председателем Комиссии на основании предложений членов Комиссии.
7.3. Заседания Комиссии проводятся в случае присутствия не менее 50% численного состава постоянных членов Комиссии. Присутствие на заседании Комиссии иных лиц, кроме членов Комиссии, допускается с разрешения председателя Комиссии. В случае отсутствия председателя Комиссии, его полномочия осуществляет один из членов Комиссии, назначенный Председателем Комиссии. При отсутствии кворума заседание Комиссии переносится на другую дату, определяемую Председателем Комиссии.
7.4. Все решения по рассматриваемым Комиссией вопросам принимаются открытым голосованием простым большинством голосов членов Комиссии. При голосовании каждый член Комиссии имеет один голос. При равенстве голосов решающим голосом является голос Председателя Комиссии.
7.5. Решение Комиссии о включении объектов КИИ, <наименование организации сферы здравоохранения>, в перечень объектов КИИ, подлежащих категорированию, оформляется Протоколом Комиссии, подписывается всеми присутствующими членами Комиссии и утверждается Председателем Комиссии.
7.6. Решение Комиссии о присвоении объектам КИИ <наименование организации сферы здравоохранения> одной из категорий значимости, а также решения об отсутствии необходимости присвоения категорий значимости оформляется Актом, подписывается Председателем Комиссии, всеми присутствующими членами Комиссии и утверждается руководителем <наименование организации сферы здравоохранения>.
7.7. Срок подписания проекта Акта Комиссии членом Комиссии не может превышать двух рабочих дней с даты его получения от Секретаря Комиссии. Подписанный членами Комиссии акт Комиссии, направляются Секретарем Комиссии не позднее двух календарных дней Председателю Комиссии на утверждение.
7.8. Акт оформляется с учетом пункта 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127 и должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов КИИ, принадлежащих <наименование организации сферы здравоохранения>.
7.9. В течение 10 рабочих дней со дня утверждения Акта, указанного в пункте 7.7 настоящего Положения, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.
7.10. По результатам заседания Комиссии, помимо решений, указанных в пунктах 7.5, 7.6 настоящего Положения, могут приниматься иные решения Комиссии, которые должны быть отражены в Протоколе Комиссии.
8. Председатель Комиссии:
8.1. несет ответственность за соблюдение установленных сроков проведения категорирования;
8.2. организует работу Комиссии;
8.3. назначает дату, время и место проведения заседаний Комиссии;
8.4. утверждает повестку заседания Комиссии;
8.5. руководит заседанием Комиссии;
8.6. распределяет обязанности между членами Комиссии;
8.7. пользуется правами члена Комиссии при голосовании;
8.8. имеет право:
8.8.1. привлекать для решения частных задач работников <наименование организации сферы здравоохранения>, экспертов сторонних организаций, представителей вышестоящих организаций (без права голоса);
8.8.2. отдавать распоряжения в пределах установленных полномочий, обязательные для исполнения всеми работниками <наименование организации сферы здравоохранения>.
9. Секретарь Комиссии:
9.1. координирует деятельность членов Комиссии;
9.2. готовит проекты повесток заседаний Комиссии и представляет на утверждение председателю Комиссии;
9.3. своевременно информирует членов Комиссии о дате, времени, месте и повестке заседаний Комиссии;
9.4. совместно с членами Комиссии готовит информацию, документы, иные материалы к заседаниям Комиссии;
9.5. ведет протокол заседания Комиссии;
9.6. в течение 3 рабочих дней с даты проведения заседания Комиссии и в соответствии с ее решением готовит итоговые документы и представляет их на подпись председателю Комиссии и членам Комиссии;
9.7. организует и ведет делопроизводство Комиссии и обеспечивает сохранность документов Комиссии;
9.8. осуществляет организационно-техническое обеспечение деятельности Комиссии.
10. Члены Комиссии:
10.1. лично участвуют в заседании Комиссии;
10.2. участвуют в обсуждении вопросов, включенных в повестку заседания Комиссии;
10.3. знакомятся с информацией, документами и материалами по вопросам, вынесенным на обсуждение Комиссии на стадии их подготовки, вносят свои предложения;
10.4. имеют право формировать запросы о получении информации, необходимой для работы Комиссии;
10.5. в случае несогласия с принятым решением излагают свое особое мнение в письменном виде, которое прилагается к соответствующему Протоколу Комиссии.
11. Проекты заключений и актов Комиссии, не позднее 5 календарных дней со дня проведения заседания, направляются Секретарем Комиссии всем членам Комиссии на подписание, за исключением Председателя Комиссии.
12. Протоколы Комиссии и Акты должны храниться в <наименование организации сферы здравоохранения> до вывода из эксплуатации объекта КИИ или до пересмотра ранее установленной категории значимости.
13. Не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений, Комиссия осуществляет пересмотр установленной категории значимости в соответствии с настоящим Положением. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности КИИ (ФСТЭК России).
14. Организационное и материально-техническое обеспечение деятельности Комиссии осуществляется за счет средств <наименование организации сферы здравоохранения>.
15. Комиссия подлежит расформированию в случаях:
15.1. прекращения <наименование организации сферы здравоохранения> выполнения функций (полномочий) или осуществления видов деятельности в сфере здравоохранения;
15.2. ликвидации, реорганизации <наименование организации сферы здравоохранения> и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта КИИ.
С приказом ознакомлены:
(наименование должности)
|
(Ф.И.О.)
|
|
(наименование должности)
|
(Ф.И.О.)
|
|
(наименование должности)
|
(Ф.И.О.)
|