8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Политика
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • DOCSHELL – интеллектуальный сервис защиты информации
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Политика
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • DOCSHELL – интеллектуальный сервис защиты информации
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Политика
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • DOCSHELL – интеллектуальный сервис защиты информации
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400001, г. Волгоград, ул. Социалистическая, д. 17
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      КИИ в здравоохранении. Как определить и что делать дальше!

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • КИИ в здравоохранении. Как определить и что делать дальше!
      19 апреля 2019
      // КИИ

      КИИ в здравоохранении. Разбираемся как определить и что делать потом если все-таки угораздило. С примерами, шаблонами и экспресс-тестом.

      Обеспечить безопасность КИИ

      В последнее время к нам поступает большое количество заявок от медицинских организаций на консультацию по теме безопасности КИИ в здравоохранении, а точнее о необходимости выполнения требований по категорированию критической информационной инфраструктуры в медицинских учреждениях (далее – КИИ) ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации», в связи с чем появилась необходимость написать поясняющую статью.

      Хотелось бы отметить, что действие ФЗ № 187 распространяется только на организации, которые являются субъектом КИИ.

      Согласно ФЗ 187 субъектами критической информационной инфраструктуры являются – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

      То есть, для определения принадлежности к субъекту КИИ, необходимо определить тип организации, сферу деятельности, наличие информационных систем в этой сфере и на каком основании принадлежат эти ИС организации.

      Для наглядности, рассмотрим процесс категорирования объектов кии в здравоохранении, а именно процесс оценки необходимости выполнения требований ФЗ № 187 на примере медицинского учреждения «Клиника»

      Медицинское учреждение «Клиника» является юридическим лицом и имеет согласно ОКВЭД следующие виды деятельности: Основной вид деятельности: – 86.22 Специальная врачебная практика. Дополнительные виды деятельности: – 85.30 Обучение профессиональное; – 86.21 Общая врачебная практика.

      Медицинские организации как правило являются юридическими лицами или государственными учреждениями. В рассматриваемом примере организация – юридическое лицо. Для государственного учреждения в сфере здравоохранения дальнейший анализ проводится аналогично.

      Первоначально необходимо определить сферу деятельности. Основным видом деятельности организации является ОКВЭД 86.22 «Специальная врачебная практика», и дополнительным ОКВЭД 86.21 «Общая врачебная практика», которые входят в группу 86 «Деятельность в области здравоохранения», соответственно медицинское учреждение функционирует в сфере здравоохранения. Помимо сферы здравоохранения, в некоторых случаях, организация может функционировать в других сферах. В таком случае рассматриваются обе сферы.

      Теперь необходимо определить, согласно ФЗ-187, принадлежат ли организации на праве собственности, аренды или на ином законном основании информационные системы, информационно-телекоммуникационные сети и/или автоматизированные системы, функционирующим в сфере здравоохранения, т.е. высокотехнологичное компьютеризированное оборудование (томографы, лаборатории, рентгены и т.п.).


      Пройдите экспресс-тест и определите является ли ваше учреждение субъектом КИИ. Заполнив данную форму, вы узнаете стоит ли вам готовиться к работам по выполнению требований ФЗ-187, а также, мы пришлем вам шаблон акта, который понадобится вам вне зависимости от того является ли учреждение здравоохранения субъектом КИИ или нет.

      ОПРЕДЕЛИТЬ


      Здесь возможны два варианта.

      1. Предположим, что организации не принадлежат описанные системы. Такое возможно если организация имеет только неавтоматизированное медицинское оборудование (например, стоматологическая установка) и бумажный документооборот. В этом случае, согласно анализу определено, что Клиника является юридическим лицом, функционирующим в сфере здравоохранения, но системы, функционирующие в этой сфере, отсутствуют, следовательно, организация не является субъектом КИИ хоть и функционирует в сфере здравоохранения, и в выполнении требований ФЗ № 187 нет необходимости. В этом случае для обоснования отсутствия объектов КИИ в организации можно использовать данный шаблон.  Скачать «АКТ о выполнении требований ФЗ №187»
      2. Теперь предположим, что организация имеет высокотехнологичное автоматизированное компьютеризированное оборудование (например, рентгенодиагностические аппараты с цифровым терминалом, гамма-камера, автоматизированные лаборатории и иное). В этом случае организации принадлежат на праве собственности, аренды или на ином законном основании автоматизированные системы, функционирующие в сфере здравоохранения, поэтому Клиника является субъектом КИИ, и необходимо выполнять требования ФЗ № 187.

      Здесь необходимо обратить внимание на определение права собственности. Принадлежит — числится на балансе, оборудование физически размещено в организации, информационные системы документально введены в эксплуатацию и т.п. Если имеющееся система используется, но не принадлежит Клинике (система вышестоящей организации, для которой Клиника просто пользователь, например, информационная система «Инфоклиника» – принадлежит МИАЦ, Федеральный Регистр сахарного диабета принадлежит ФГБУ Эндокринологический Научный Центр и т.п.), то такую систему рассматривать не нужно.

      Если же по результатам анализа вы являетесь субъектом КИИ, то вам необходимо проводить работы по категорированию.


      ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ

      Отправьте нам запрос, и мы БЕСПЛАТНО проконсультируем вас по вопросам безопасности критической информационной инфраструктуры.

       


      Вот перечень действий для организации, субъекта КИИ в здравоохранении, для выполнения требований ФЗ №187 «О безопасности КИИ в РФ»:

      1. Создать комиссию по категорированию (Приказа о создании комиссии в по категорированию объекты КИИ);
      2. Определить и направить в ФСТЭК перечень объектов КИИ, утвержденный Информационным сообщением ФСТЭК от 24 августа 2018 г. № 240/25/3752 (Образец перечня объектов КИИ подлежащих категорированию);
      3. Провести анализ актуальных угроз;
      4. Провести категорирование в соответствии с Постановлением Правительства №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
      5. Составить акт результатов категорирования;
      6. Направить сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в ФСТЭК. Форма сведений в ФСТЭК утверждена Приказом N 236 от 22 декабря 2017 г. «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» (Образец формы для подачи сведений о результатах присвоения категории объекту КИИ).


      Специальное предложение для медицинских учреждений в области выполнения требований ФЗ-187 "О безопасности КИИ".


      В рамках данного предложением вы в течение 10 рабочих дней (с момента предоставления исходных данных в полном объеме) получите готовый комплект документов для предоставления в ФСТЭК который включает в себя:

      1. Перечень объектов КИИ;
      2. Акт категорирования;
      3. Сведения о результатах присвоения категорий для предоставления в ФСТЭК.
      ЗАПРОСИТЬ

      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных12
      • Пентест3
      • КИИ22
      • Информационная безопасность20
      • АСУ3
      • Средства защиты информации5
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Организационно-распорядительной документация по обеспечению безопасности значимых объектов КИИ
        18 февраля 2021
      • 187-ФЗ «О безопасности КИИ РФ» официальная позиция ФСТЭК к выполнению требований субъектами
        21 декабря 2020
      • Ключевые изменения Приказа ФСТЭК №239 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ (КИИ)» внесенные приказом ФСТЭК №35
        16 сентября 2020
      • Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ.
        19 марта 2020
      • Категорирование объектов КИИ – есть ли жизнь после?
        31 октября 2019
      • Безопасность КИИ: как определить, что делать и что если не делать
        19 сентября 2019
      • Категория значимости объекта КИИ. С 3 до 1 своими руками.
        20 августа 2019
      • 1 сентября - крайний срок чтобы предоставить перечень объектов КИИ
        18 июня 2019
      • Постановление 127 Правительства РФ в формате “Было-Стало”
        18 июня 2019
      • 187-ФЗ. Безопасность объектов КИИ организации
        29 апреля 2019
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Политика
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2023 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.