Категорирование объектов КИИ

Комплекс услуг по категорированию объектов КИИ включает:

п/п

Наименование услуг

Количество

рабочих дней

 

АНАЛИЗ КОРРЕКТНОСТИ ОТНЕСЕНИЯ УЧРЕЖДЕНИЯ К СУБЪЕКТУ КИИ и АНАЛИЗ СОСТАВА КОМИССИИ ПО КАТЕГОРИРОВАНИЮ ОБЪЕКТОВ КИИ В УЧРЕЖДЕНИИ

I

Анализ корректности отнесения учреждения здравоохранения к субъекту КИИ:

  • Анализ материалов и заключений относительно принадлежности вашего учреждения к субъекту КИИ;
  • Анализ видов деятельности вашего учреждения;
  • Анализ наличия законных оснований принадлежности информационных систем учреждения;

Анализ состава комиссии по категорированию объектов КИИ:

  • Анализ должностных обязанностей членов комиссии по категорированию;
  • Определение зон ответственности членов комиссии по категорированию;
  • Определение достаточности состава комиссии по категорированию.

Подготовка отчета по результатам анализа корректности отнесения вашего учреждения к субъекту КИИ и предложение по составу комиссии по категорированию.

2

II

ОБСЛЕДОВАНИЕ, СБОР ДАННЫХ ОБ ОБЪЕКТАХ КИИ УЧРЕЖДЕНИЯ

  

Проведение обследования процессов в рамках выполнения полномочий учреждения и инфраструктуры, с целью получения объективной информации для проведения категорирования:

  • Сбор сведений о всех процессах в рамках основных функций и осуществления уставных видов деятельности учреждения, которые могут быть отнесены к критическим процессам;
  • Выявление объектов КИИ учреждения, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов;
  • Сбор сведений о возможном потенциальном ущербе, его масштабах, в случае нарушения критических процессов по основным видам деятельности;
  • Сбор общих сведений о конфигурации инфраструктуры, в т.ч. используемое программное обеспечение (наименования, версии и т.д.), топологии объектов информатизации (автоматизированные рабочие места, серверы, активное сетевое оборудование, средства беспроводного доступа и т.д.);
  • Определение наличия взаимодействия объектов информатизации с сетями общего пользования, в т.ч. международного информационного обмена;
  • Определение наличия взаимодействия со сторонними информационными системами;
  • Определение состава информации, обрабатываемой объектами КИИ учреждения;
  • Определение перечня операций, производимых с информацией на автоматизированных рабочих местах;
  • Сбор сведений о существующих средствах защиты информации, процедурах обеспечения безопасности информации;
  • Определение перечня лиц, обрабатывающих информацию на объектах КИИ учреждения и степени их участия в её обработке (обсуждении, передаче, хранении) информации, характер и взаимодействие между собой;
  • Определение возможных действий нарушителей в отношении объекта КИИ, а также иных источников угроз безопасности информации;

Подготовка Аналитического отчета о результатах анализа перечня объектов КИИ учреждения (информационных систем, автоматизированных систем управления, информационно-телекоммуникационных систем) подлежащих категорированию, перечня критических информационных процессов

18

III

МОДЕЛИРОВАНИЕ УГРОЗ И НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ОБЪЕКТА КИИ

 

Формирование перечня угроз безопасности объектов КИИ учреждения:

  • Описание угрозы безопасности;
  • Описание объекта воздействия угрозы;
  • Описание последствия от реализации угрозы;
  • Описание типов источника угрозы;
  • Оценка актуальности угрозы (в т.ч. обоснование неактуальности).

Описание возможных нарушителей. Оценка возможностей нарушителя по реализации угроз безопасности информации.

Подготовка Модели угроз и нарушителя безопасности для каждого объекта КИИ учреждения

10

IV

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ УЧРЕЖДЕНИЯ

  

На основе данных обследования объектов КИИ учреждения:

  • Определение оценки объектов КИИ учреждения в соответствии со значениями показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;
  • Установление соответствия объектов КИИ значениям показателей критериев значимости в соответствии с согласованной методикой и присвоение каждому из объектов КИИ одной из категорий значимости, либо принятие решения об отсутствии необходимости присвоения им такой категории;

Подготовка проекта перечня объектов КИИ, для утверждения в комиссии учреждения и   его согласования с Министерством здравоохранения региона.

Подготовка проекта Акта категорирования объектов КИИ в соответствии с формой, утвержденной приказом ФСТЭК России от 22.12.2017 №236 для утверждении в комиссии учреждения и его подачи в Управление ФСТЭК России по ФО

10

V

ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ ОТВЕТСТВЕННЫХ РАБОТНИКОВ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

 

Предоставление доступа к обучающему электронному курсу по обеспечении безопасности объектов критической информационной инфраструктуры в соответствии с законодательство РФ

в течении 2018 года