В последнее время к нам поступает большое количество заявок от медицинских организаций на консультацию по теме безопасности КИИ в здравоохранении, а точнее о необходимости выполнения требований по категорированию критической информационной инфраструктуры в медицинских учреждениях (далее – КИИ) ФЗ №187 «», в связи с чем появилась необходимость написать поясняющую статью.
Хотелось бы отметить, что действие ФЗ № 187 распространяется только на организации, которые являются субъектом КИИ.
Согласно ФЗ 187 субъектами критической информационной инфраструктуры являются – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
То есть, для определения принадлежности к субъекту КИИ, необходимо определить тип организации, сферу деятельности, наличие информационных систем в этой сфере и на каком основании принадлежат эти ИС организации.
Для наглядности, рассмотрим процесс категорирования объектов кии в здравоохранении, а именно процесс оценки необходимости выполнения требований ФЗ № 187 на примере медицинского учреждения «Клиника»
Медицинское учреждение «Клиника» является юридическим лицом и имеет согласно ОКВЭД следующие виды деятельности:
Основной вид деятельности:
– 86.22 Специальная врачебная практика.
Дополнительные виды деятельности:
– 85.30 Обучение профессиональное;
– 86.21 Общая врачебная практика.
Основной вид деятельности:
– 86.22 Специальная врачебная практика.
Дополнительные виды деятельности:
– 85.30 Обучение профессиональное;
– 86.21 Общая врачебная практика.
Медицинские организации как правило являются юридическими лицами или государственными учреждениями. В рассматриваемом примере организация – юридическое лицо. Для государственного учреждения в сфере здравоохранения дальнейший анализ проводится аналогично.
Первоначально необходимо определить сферу деятельности. Основным видом деятельности организации является ОКВЭД 86.22 «Специальная врачебная практика», и дополнительным ОКВЭД 86.21 «Общая врачебная практика», которые входят в группу 86 «Деятельность в области здравоохранения», соответственно медицинское учреждение функционирует в сфере здравоохранения. Помимо сферы здравоохранения, в некоторых случаях, организация может функционировать в других сферах. В таком случае рассматриваются обе сферы.
Теперь необходимо определить, согласно ФЗ-187, принадлежат ли организации на праве собственности, аренды или на ином законном основанииинформационные системы, информационно-телекоммуникационные сети и/или автоматизированные системы, функционирующим в сфере здравоохранения, т.е. высокотехнологичное компьютеризированное оборудование (томографы, лаборатории, рентгены и т.п.).
Здесь возможны два варианта.
- 1. Предположим, что организации не принадлежат описанные системы. Такое возможно если организация имеет только неавтоматизированное медицинское оборудование (например, стоматологическая установка) и бумажный документооборот.
В этом случае, согласно анализу определено, что Клиника является юридическим лицом, функционирующим в сфере здравоохранения, но системы, функционирующие в этой сфере, отсутствуют, следовательно, организация не является субъектом КИИ хоть и функционирует в сфере здравоохранения, и в выполнении требований ФЗ № 187 нет необходимости. В этом случае для обоснования отсутствия объектов КИИ в организации можно использовать данный шаблон. - 2. Теперь предположим, что организация имеет высокотехнологичное автоматизированное компьютеризированное оборудование (например, рентгенодиагностические аппараты с цифровым терминалом, гамма-камера, автоматизированные лаборатории и иное).
В этом случае организации принадлежат на праве собственности, аренды или на ином законном основании автоматизированные системы, функционирующие в сфере здравоохранения, поэтому Клиника является субъектом КИИ, и необходимо выполнять требования ФЗ № 187.
Здесь необходимо обратить внимание на определение права собственности. Принадлежит — числится на балансе, оборудование физически размещено в организации, информационные системы документально введены в эксплуатацию и т.п. Если имеющееся система используется, но не принадлежит Клинике (система вышестоящей организации, для которой Клиника просто пользователь, например, информационная система «Инфоклиника» – принадлежит МИАЦ, Федеральный Регистр сахарного диабета принадлежит ФГБУ Эндокринологический Научный Центр и т.п.), то такую систему рассматривать не нужно.
Если же по результатам анализа вы являетесь субъектом КИИ, то вам необходимо проводить работы по категорированию.
Вот перечень действий для организации, субъекта КИИ в здравоохранении, для выполнения требований ФЗ №187 «О безопасности КИИ в РФ»:
- 1. создать комиссию по категорированию ();
- 2. определить и направить в ФСТЭК перечень объектов КИИ, утвержденный Информационным сообщением ФСТЭК от 24 августа 2018 г. № 240/25/3752 ();
- 3. провести анализ актуальных угроз;
- 4. провести категорирование в соответствии с «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
- 5. составить акт результатов категорирования;
- 6. направить сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в ФСТЭК. Форма сведений в ФСТЭК утверждена Приказом N 236 от 22 декабря 2017 г. «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» ().
