Приложение 6. "Национальный проект "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021)
Приложение 6. СОСТАВ ПРОЦЕССОВ, ОСУЩЕСТВЛЯЕМЫХ ПРИ КАТЕГОРИРОВАНИИ ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ | Содержание процессов, осуществляемых при категорировании объектов КИИ
Приложение 6 
СОСТАВ
ПРОЦЕССОВ, ОСУЩЕСТВЛЯЕМЫХ ПРИ КАТЕГОРИРОВАНИИ
ОБЪЕКТОВ КИИ ОРГАНИЗАЦИИ СФЕРЫ ЗДРАВООХРАНЕНИЯ
Содержание процессов, осуществляемых при категорировании
объектов КИИ
.
.
.
. Требуется ревизия ВСЕХ .
. бизнес-процессов и их анализ . Требуется анализ объектов
. на критичность . КИИ по критериям ПП-127. <*>
. РЕЗУЛЬТАТ: Перечень . РЕЗУЛЬТАТ: Сведения о
. критичных бизнес-процессов . присвоении категории значимым
. . объектам КИИ для ФСТЭК
. .
. .
┌─────────────────────────────────────────────────────────────────────
│ \ \ \
│ \ Формирование \ \
│ Определение \ Перечня объектов КИИ \ \
│ бизнес-процессов \ организации сферы \ Категорирование \
│ организации сферы / здравоохранения / /
│ здравоохранения / и выделение критичных / /
│ и выделение критичных/(значимых) объектов КИИ/ /
│ / / /
│ / / /
└────────────────────────────────────────────────────────────────────
.
. Требуется ревизия ВСЕХ
. ИС, АСУ, ИТС и их
. задействованности в
. реализации
. ВСЕХ процессов
. РЕЗУЛЬТАТ: Перечень
. потенциально значимых
. объектов КИИ для ФСТЭК
. России
--------------------------------
<*> Постановление Правительства Российской Федерации от 08.02.2018 N 127.
Содержание этапов процесса определения бизнес-процессов
организации сферы здравоохранения
.
. ПРОЦЕДУРА: .
. Выявление и описание бизнес-процессов в . ПРОЦЕДУРА:
. деятельности организации сферы . Оформление результатов оценки
. здравоохранения . критичности бизнес-процессов
. ИСХОДНЫЕ ДАННЫЕ: . в деятельности организации
. Реестр типовых бизнес-процессов, . сферы здравоохранения
. учредительные документы, Положения о . ИСХОДНЫЕ ДАННЫЕ:
. структурных подразделениях, Должностные . Заключение о критичности
. обязанности . бизнес-процессов
. РЕЗУЛЬТАТ: . РЕЗУЛЬТАТ:
. Перечень управленческих, . Перечень критичных
. технологических, производственных, . бизнес-процессов в
. финансово-экономических и иных . деятельности организации
. бизнес-процессов организации . сферы здравоохранения
┌─────────────────────────────────────────────────────────────────────
│ Составление Перечня \ Высокоуровневая \ \
│ управленческих, \ оценка негативных \ \
│ технологических, \ последствий от \ Формирование Перечня \
│ производственных, \ нарушения \ критичных \
│ финансово-экономических/ бизнес-процессов в / бизнес-процессов /
│и иных бизнес-процессов/ деятельности / организаций сферы /
│ Организации сферы / организации сферы / здравоохранения /
│ здравоохранения / здравоохранения / /
│ / / /
└────────────────────────────────────────────────────────────────────
.
. ПРОЦЕДУРА:
. Оценка негативных социальных,
. политических, экономических,
. экологических последствий,
. последствий для обеспечения
. обороны страны, безопасности
. государства и правопорядка от
. нарушения бизнес-процессов в
. деятельности медицинской
. организации
. ИСХОДНЫЕ ДАННЫЕ:
. Описание управленческих,
. технологических,
. производственных,
. финансово-экономических и
. иных процессов в
деятельности медицинской
организации
РЕЗУЛЬТАТ:
Заключение о критичности
бизнес-процессов
Содержание этапов процесса определения и формирования
Перечня объектов КИИ организации сферы здравоохранения
.
. ПРОЦЕДУРА: . ПРОЦЕДУРА:
. Выявление и определение назначения . Оформление результатов
. всех ИС, ИТКС, АСУ, имеющихся в . анализа задействованности и
. организации сферы здравоохранения . влияния ИС, ИТКС, АСУ в
. ИСХОДНЫЕ ДАННЫЕ: . бизнес-процессах
. Договоры, приказы, ТЗ, бухучет . организации сферы
. РЕЗУЛЬТАТ: . здравоохранения
. Перечень объектов КИИ организации . ИСХОДНЫЕ ДАННЫЕ:
. сферы здравоохранения . Заключение о критичности
. объектов КИИ
. РЕЗУЛЬТАТ:
. Перечень потенциально
. значимых объектов КИИ
. организации сферы
. здравоохранения
┌────────────────────────────────────────────────────────────────────
│ \ \ \
│ \ \ \
│Ревизия и составление\ Оценка \ \
│Перечня информационных\ задействованности \ \
│ систем, \ и влияния \ Формирование Перечня \
│ автоматизированных \ информационных систем, \ потенциально значимых \
│ систем управления, / автоматизированных / объектов критической /
│ информационно-теле- / систем управления, / информационной /
│ коммуникационных / информационно-теле- / инфраструктуры /
│ сетей, имеющихся в / коммуникационных сетей / организации сферы /
│ организации сферы / в бизнес-процессах / здравоохранения /
│ здравоохранения / организации сферы / /
│ / здравоохранения / /
└──────────────────────────────────────────────────────────────────
.
. ПРОЦЕДУРА:
. Анализ задействованности и
. влияния ИС, ИТКС, АСУ в
. бизнес-процессах
. организации сферы
. здравоохранения
. ИСХОДНЫЕ ДАННЫЕ:
. Перечень объектов КИИ
. организации, Перечень
. управленческих,
. технологических,
. производственных,
. финансово-экономических и
. иных бизнес-процессов
. организации сферы
. здравоохранения
. РЕЗУЛЬТАТ:
. Заключение о критичности
. объектов КИИ
. организации сферы
. здравоохранения
Содержание этапов процесса категорирования объектов КИИ
организации сферы здравоохранения
.
.
. . ПРОЦЕДУРА:
. ПРОЦЕДУРА: . Оформление результатов
. Анализ возможных действий . категорирования значимых
. нарушителей в отношении объектов . объектов КИИ организации сферы
. КИИ организации сферы . здравоохранения
. здравоохранения и угроз . ИСХОДНЫЕ ДАННЫЕ:
. безопасности информации . Рассчитанные количественные
. ИСХОДНЫЕ ДАННЫЕ: . значения показателей критериев
. Сведения о мотивации, знаниях . значимости объектов КИИ
. и возможностях нарушителя . РЕЗУЛЬТАТ:
. РЕЗУЛЬТАТ: . Сведения о результатах
. Наихудший сценарий . присвоения объекту КИИ одной
. компьютерной атаки . из категорий значимости либо
. . об отсутствии необходимости
. присвоения ему таких категорий
┌─────────────────────────────────────────────────────────────────────
│ \ Расчет показателей \ \
│ \ критериев значимости \ Оформление результатов \
│ Выбор сценария \ объектов критической \ категорирования \
│ реализации \ инфраструктуры \ значимых объектов \
│ компьютерных / организаций / критической /
│ атак / сферы / инфраструктуры /
│ / здравоохранения / организации сферы /
│ / / здравоохранения /
└─────────────────────────────────────────────────────────────────────
.
. ПРОЦЕДУРА:
. Оценка применимости
. критериев значимости
. объектов КИИ, расчет
. показателей критериев
. значимости
. ИСХОДНЫЕ ДАННЫЕ:
. Перечень объектов КИИ,
. подлежащих категорированию,
. постановление Правительства
. РФ от 08.02.2018 г. N 127
. РЕЗУЛЬТАТ:
. Количественные значения
. показателей критериев
. значимости объектов КИИ
. организации сферы
. здравоохранения
Обоснование об отсутствии
необходимости присвоения
объекту КИИ категории
значимости