Приложение 6 [к: "Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)] - последняя редакция

Приложение 6

СОСТАВ
ПРОЦЕССОВ, ОСУЩЕСТВЛЯЕМЫХ ПРИ КАТЕГОРИРОВАНИИ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ

Содержание процессов, осуществляемых при категорировании
объектов КИИ

 .
 .
 .
 . Требуется ревизия ВСЕХ                   .
 . бизнес-процессов и их анализ             . Требуется анализ объектов
 . на критичность                           . КИИ по критериям ПП-127. <*>
 . РЕЗУЛЬТАТ: Перечень                      . РЕЗУЛЬТАТ: Сведения о
 . критичных бизнес-процессов               . присвоении категории значимым
 .                                          . объектам КИИ для ФСТЭК
 .                                          .
 .                                          .
┌─────────────────────────────────────────────────────────────────────
│                     \                       \                        \
│                      \      Формирование     \                        \
│    Определение        \ Перечня объектов КИИ  \                        \
│  бизнес-процессов      \  организации сферы    \  Категорирование       \
│  организации сферы     /    здравоохранения    /                        /
│ здравоохранения       / и выделение критичных /                        /
│ и выделение критичных/(значимых) объектов КИИ/                        /
│                     /                       /                        /
│                    /                       /                        /
└────────────────────────────────────────────────────────────────────
                     .
                     . Требуется ревизия ВСЕХ
                     . ИС, АСУ, ИТС и их
                     . задействованности в
                     . реализации
                     . ВСЕХ процессов
                     . РЕЗУЛЬТАТ:    Перечень
                     . потенциально  значимых
                     . объектов КИИ для ФСТЭК
                     . России

--------------------------------

<*> Постановление Правительства Российской Федерации от 08.02.2018 N 127.

Содержание этапов процесса определения бизнес-процессов
организации сферы здравоохранения

 .
 . ПРОЦЕДУРА:                               .
 . Выявление и описание бизнес-процессов в  . ПРОЦЕДУРА:
 . деятельности организации сферы           . Оформление результатов оценки
 . здравоохранения                          . критичности бизнес-процессов
 . ИСХОДНЫЕ ДАННЫЕ:                         . в деятельности организации
 . Реестр типовых бизнес-процессов,         . сферы здравоохранения
 . учредительные документы, Положения о     . ИСХОДНЫЕ ДАННЫЕ:
 . структурных подразделениях, Должностные  . Заключение о критичности
 . обязанности                              . бизнес-процессов
 . РЕЗУЛЬТАТ:                               . РЕЗУЛЬТАТ:
 . Перечень управленческих,                 . Перечень критичных
 . технологических, производственных,       . бизнес-процессов в
 . финансово-экономических и иных           . деятельности организации
 . бизнес-процессов организации             . сферы здравоохранения
┌─────────────────────────────────────────────────────────────────────
│ Составление Перечня \    Высокоуровневая    \                        \
│    управленческих,   \   оценка негативных   \                        \
│    технологических,   \    последствий от     \  Формирование Перечня  \
│   производственных,    \      нарушения        \        критичных       \
│ финансово-экономических/   бизнес-процессов в  /    бизнес-процессов    /
│и иных бизнес-процессов/      деятельности     /   организаций сферы    /
│   Организации сферы  /   организации сферы   /     здравоохранения    /
│   здравоохранения   /    здравоохранения    /                        /
│                    /                       /                        /
└────────────────────────────────────────────────────────────────────
                     .
                     . ПРОЦЕДУРА:
                     . Оценка негативных социальных,
                     . политических, экономических,
                     . экологических последствий,
                     . последствий для обеспечения
                     . обороны страны, безопасности
                     . государства и правопорядка от
                     . нарушения бизнес-процессов в
                     . деятельности медицинской
                     . организации
                     . ИСХОДНЫЕ ДАННЫЕ:
                     . Описание управленческих,
                     . технологических,
                     . производственных,
                     . финансово-экономических и
                     . иных процессов в
                       деятельности медицинской
                       организации
                       РЕЗУЛЬТАТ:
                       Заключение о критичности
                       бизнес-процессов

Содержание этапов процесса определения и формирования
Перечня объектов КИИ организации сферы здравоохранения

 .
 . ПРОЦЕДУРА:                                . ПРОЦЕДУРА:
 . Выявление и определение назначения        . Оформление результатов
 . всех ИС, ИТКС, АСУ, имеющихся в           . анализа задействованности и
 . организации сферы здравоохранения         . влияния ИС, ИТКС, АСУ в
 . ИСХОДНЫЕ ДАННЫЕ:                          . бизнес-процессах
 . Договоры, приказы, ТЗ, бухучет            . организации сферы
 . РЕЗУЛЬТАТ:                                . здравоохранения
 . Перечень объектов КИИ организации         . ИСХОДНЫЕ ДАННЫЕ:
 . сферы здравоохранения                     . Заключение о критичности
                                             . объектов КИИ
                                             . РЕЗУЛЬТАТ:
                                             . Перечень потенциально
                                             . значимых объектов КИИ
                                             . организации сферы
                                             . здравоохранения
┌────────────────────────────────────────────────────────────────────
│                   \                        \                       \
│                    \                        \                       \
│Ревизия и составление\          Оценка        \                       \
│Перечня информационных\   задействованности    \                       \
│        систем,        \       и влияния        \  Формирование Перечня \
│   автоматизированных   \ информационных систем, \ потенциально значимых \
│   систем управления,   /  автоматизированных    /  объектов критической /
│  информационно-теле-  /   систем управления,   /     информационной    /
│   коммуникационных   /  информационно-теле-   /      инфраструктуры   /
│  сетей, имеющихся в / коммуникационных сетей /    организации сферы  /
│  организации сферы /   в бизнес-процессах   /     здравоохранения   /
│  здравоохранения  /    организации сферы   /                       /
│                  /     здравоохранения    /                       /
└──────────────────────────────────────────────────────────────────
                   .
                   . ПРОЦЕДУРА:
                   . Анализ задействованности и
                   . влияния ИС, ИТКС, АСУ в
                   . бизнес-процессах
                   . организации сферы
                   . здравоохранения
                   . ИСХОДНЫЕ ДАННЫЕ:
                   . Перечень объектов КИИ
                   . организации, Перечень
                   . управленческих,
                   . технологических,
                   . производственных,
                   . финансово-экономических и
                   . иных бизнес-процессов
                   . организации сферы
                   . здравоохранения
                   . РЕЗУЛЬТАТ:
                   . Заключение о критичности
                   . объектов КИИ
                   . организации сферы
                   . здравоохранения

Содержание этапов процесса категорирования объектов КИИ
организации сферы здравоохранения

.
.
. . ПРОЦЕДУРА:
. ПРОЦЕДУРА: . Оформление результатов
. Анализ возможных действий . категорирования значимых
. нарушителей в отношении объектов . объектов КИИ организации сферы
. КИИ организации сферы . здравоохранения
. здравоохранения и угроз . ИСХОДНЫЕ ДАННЫЕ:
. безопасности информации . Рассчитанные количественные
. ИСХОДНЫЕ ДАННЫЕ: . значения показателей критериев
. Сведения о мотивации, знаниях . значимости объектов КИИ
. и возможностях нарушителя . РЕЗУЛЬТАТ:
. РЕЗУЛЬТАТ: . Сведения о результатах
. Наихудший сценарий . присвоения объекту КИИ одной
. компьютерной атаки . из категорий значимости либо
. . об отсутствии необходимости
. присвоения ему таких категорий
┌─────────────────────────────────────────────────────────────────────
│ \ Расчет показателей \ \
│ \ критериев значимости \ Оформление результатов \
│ Выбор сценария \ объектов критической \ категорирования \
│ реализации \ инфраструктуры \ значимых объектов \
│ компьютерных / организаций / критической /
│ атак / сферы / инфраструктуры /
│ / здравоохранения / организации сферы /
│ / / здравоохранения /
└─────────────────────────────────────────────────────────────────────
.
. ПРОЦЕДУРА:
. Оценка применимости
. критериев значимости
. объектов КИИ, расчет
. показателей критериев
. значимости
. ИСХОДНЫЕ ДАННЫЕ:
. Перечень объектов КИИ,
. подлежащих категорированию,
. постановление Правительства
. РФ от 08.02.2018 г. N 127
. РЕЗУЛЬТАТ:
. Количественные значения
. показателей критериев
. значимости объектов КИИ
. организации сферы
. здравоохранения
Обоснование об отсутствии
необходимости присвоения
объекту КИИ категории
значимости