В медицинских учреждениях большинство медицинского оборудования не отнесено к значимым объектам КИИ, а не значимыми объектами приняты автоматизированные системы управления (АСУ) оборудованием. Что делать дальше?

За функционирование и безопасность АСУ назначены ответственные.

Оценены угрозы безопасности АСУ, при этом учитываются различные аспекты, которые должны выполняться, чтобы угрозы оставались не актуальными, а объект не значимым.

Мы разработали Положение об обеспечении безопасности информации в АСУ медицинским оборудованием, которое учитывает все меры обеспечения безопасности, рекомендуемые к применению в АСУ Приказом ФСТЭК №31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды".

Дополнительные документы:

Модель угроз безопасности АСУ медицинским оборудованием (учтены особенности эксплуатации и функциональность оборудования),  
Акт классификации АСУ (все АСУ медицинским оборудованием 3 класса защищенности),
Технический паспорт АСУ (пример заполнения),
Аналитическое обоснование мер обеспечения безопасности в АСУ (на основании Приказа ФСТЭК №31 и дополнительные меры по Приказу №239 и других рекомендаций ФСТЭК для не значимых объектов КИИ)

Положение об обеспечении безопасности АСУ медицинским оборудованием - содержание:

Оглавление    2 
1. Область применения    4
2. Источники разработки и нормативные ссылки    4
3. Определения и сокращения    5
4. Цели настоящего Положения    7
5. Характеристика объектов защиты    8
5.1. Общие сведения об АСУ МО    8
5.2. Архитектура АСУ МО    8
5.3. Особенности ОБИ АСУ МО    9
6. Модель угроз и нарушителя безопасности информации    10
6.1. Общие положения    10
6.2. Модель угроз безопасности информации    11
6.3. Модель нарушителя безопасности информации    11
7. Функциональное назначение системы обеспечения безопасности информации    12
8. Контроль физического доступа и защита от воздействия окружающей среды (ЗТС, ЗИС)    14
8.1. Требования по контролю физического доступа    14
8.1.1 Требования к периметру безопасности учреждения, зданий и помещений АСУ МО (ЗТС)    14
8.1.2 Требования по контролю физического доступа к компонентам АСУ МО (ЗИС)    15
8.2.Требования по защите от воздействий окружающей среды и внешних факторов (ЗТС.5)    16
8.2.1 Требования к размещению оборудования АСУ МО    16
8.2.2 Требования к кондиционированию и вентиляции    17
8.2.3 Требования по электроснабжению АСУ МО    17
8.3. Требования к техническим средствам обеспечения безопасности (ЗИС.2)    18
8.3.1 Требования к системам видеонаблюдения    18
8.3.2 Требования к системам охранной сигнализации    19
8.3.3 Требования к системам контроля и управления доступом    19
9. Меры обеспечения безопасности    19
9.1 Защита от несанкционированного доступа (ИАФ и УПД)    19
9.1.1 Особенности организации контроля доступа в АСУ МО    19
9.1.2 Организация и контроль доступа    20
9.1.3 Идентификация и аутентификация, разграничение прав и регистрация доступа    21
9.1.4 Реализация защищенного удаленного доступа (УПД.13)    24
9.1.5 Требования по контролю использования системных утилит, портов, сервисов и мобильных носителей    25
9.2 Защита от вредоносного программного обеспечения (АВЗ)    26
9.2.1 Требования по совместимости средств антивирусной защиты и ПО АСУ МО    26
9.2.2 Структура и состав системы антивирусной защиты    27
9.2.3 Конфигурация антивирусного ПО    27
9.2.4 Установка обновлений антивирусного ПО    28
9.2.5 Контроль функционирования системы антивирусной защиты    28
9.3 Защита носителей информации (ЗНИ)    29
9.3.1 Работа с конфиденциальными цифровыми носителями    29
9.3.2 Контроль записи информации на машинные носители    31
9.4 Контроль состава и целостности программного обеспечения (ОПС, ОЦЛ)    31
9.5 Контроль конфигураций АСУ МО (ОЦЛ, УКФ)    32
9.6 Контроль изменений и обновлений АСУ МО (ОЦЛ, ОПО)    33
9.7 Управление инцидентами ИБ (ИНЦ)    34
10 Обеспечение безопасности сетевой инфраструктуры    36
10.1 Безопасность коммуникаций и защита информации, передаваемой по каналам связи    37
10.2 Мониторинг сетевой инфраструктуры    38
10.3 Управление сетевой инфраструктурой    38
11 Обеспечение непрерывного функционирования АСУ МО    39
11.1 Планирование и управление непрерывностью (ПЛН)    39
11.2 Действия в нештатных ситуациях (ДНС)    39
11.2.1 Уровни реагирования на ситуацию    40
11.2.2 Меры обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций    40
11.2.3 Анализ ситуации    41
11.3 Отказоустойчивость и высокая доступность (ОДТ)    41
11.4 Резервное копирование данных    43
12 Аудит безопасности (АУД)    44
12.1 Организация аудита безопасности    44
12.2 Оценка соответствия архитектуры и мер по ОБИ установленным требованиям    47
12.3 Инвентаризация информационных ресурсов (АУД.1, АУД.3)    48
12.4 Управление уязвимостями (АУД.2)    48
12.5 Регистрация событий безопасности (АУД.4, АУД.6)    49
13 Управление персоналом (ИПО)    51
13.1 Определение потребностей в обучении и подготовке персонала   51
13.2 Инструктажи по вопросам ОБИ    52
14 Хранение и архивирование    53
15 Рассылка и актуализация    53
Приложение №1 Форма. Технический паспорт АСУ МО    54
Приложение №2 План обеспечения безопасности информации в АСУ МО    57
Приложение №3 План действий в внештатных ситуациях    60