Информация по критической информационной инфраструктуре
Прошли категорирование. Что дальше?
В медицинских учреждениях большинство медицинского оборудования не отнесено к значимым объектам КИИ, а не значимыми объектами приняты автоматизированные системы управления (АСУ) оборудованием. Что делать дальше?

категорирование объектов кии в медицине
За 2019 и 2020 год мы сделали 25 проектов по категорированию объектов КИИ в медицине. Опыт согласования Перечня объектов и Сведений о категорировании объектов КИИ во ФСТЭК России.
правовая база
- Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
- Указ Президента РФ от 25 ноября 2017 г. № 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085»
- Указ Президента РФ «О внесении изменений в Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации компьютерных атак»
- Указ Президента РФ от 2 марта 2018 г. № 98 «О внесении изменений в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203»
- Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства РФ от 8 февраля 2018 г. № 127
- Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства РФ от 17 февраля 2018 г. № 162
- Приказ ФСТЭК России от 11 декабря 2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. № 227
- Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235
- Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239
- Форма сведений о результатах присвоению объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденная приказом ФСТЭК России от 22 декабря 2017 г. № 236
- Указ Президента Российской Федерации от 22 декабря 2017 г. № 620 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
25.04.2019
Категорирование объектов кии в медицинских организациях
Департамент здравоохранения Курганской области озадачил медицинские учреждения необходимостью до 1 мая 2019 г. определиться с перечнем объектов КИИ, направить его на согласование во ФСТЭК.
Произведенный анализ потенциальных объектов КИИ в медицинских учреждениях показал, что в качестве объектов могут быть приняты:
- автоматизированная система управления пожарной безопасностью и эвакуацией, если имеется компьютер с ПО (например, "Орион") и возможностью дистанционной настройки приборов, или имеется радиоканал до ЕДДС с заключенным договором на обслуживание;
- система прикроватных мониторов, когда данные выводятся на центральную станцию управления мониторами;
- некоторое сложное высокотехнологичное оборудование, которое обслуживается внешней организацией по договору;
- автоматизированная система управления котельной и теплопунктом, при их наличии;
- компьютерная сеть организации или единая региональная медицинская информационная система (в части автоматизированных рабочих мест, с которых ведется работа в системе);
- ИС управления вызовами скорой медицинской помощи (включающая телефонию и ИС "Диспетчеризация" БСМП).
РМИС была включена в перечень объектов КИИ по рекомендации ФСТЭК. Однако для точного определения объектов КИИ и достижения некоторого единообразия хотелось бы, чтобы МИАЦ направил во ФСТЭК письмо с запросом об отнесении РМИС и иных ИС, которые обслуживают процесс оказания медицинских услуг, к объектам КИИ. МИАЦ, к сожалению, делать этого не хочет, рекомендаций больницам по данным вопросам не дает. Поэтому ждем ответов ФСТЭК на отправленные Перечни объектов КИИ.
03.06.2019
изменениЯ регламентирующих документов фстэк в сфере Кии
ФСТЭК России внес некоторые изменения в форму "Сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий". Поэтому в конце года будем направлять Сведения именно по ней.
Во-вторых, установил новый срок предоставления Перечня объектов КИИ - 1 сентября 2019 г.
В-третьих, установил, что теперь Перечень объектов КИИ нужно будет направлять не только в бумажном виде, но и в электронном виде.
Перечни нужно направлять на адреса:
ФСТЭК России, 105066 г. Москва, ул. Старая Басманная, д.17, postin@fstec.ru
ФСТЭК России по Уральскому федеральному округу, 620078,
г. Екатеринбург, ул. Гагарина, 28, ufo@fstec.ru