1.28M
Category: informaticsinformatics
Similar presentations:

Реализация мероприятий по обеспечению безопасности объектов критической информационной инфраструктуры

1.

Реализация мероприятий по
обеспечению безопасности
объектов критической
информационной
инфраструктуры
02 ноября 2022г.

2.

Перечень медицинских организаций
№ п/п
Район
Наименование МО
№ п/п
Район
Наименование МО
№ п/п
Район
Наименование МО
1
Абинский
ГБУЗ "Абинская ЦРБ" МЗ КК
26
Краснодар
ГБУЗ СПБ №7 МЗ КК
51
Новокубанский
ГБУЗ "Новокубанская ЦРБ" МЗ КК
2
Апшеронский
ГБУЗ "Апшеронская ЦРБ" МЗ КК
27
Краснодар
ГБУЗ ККГВВ МЗ КК
52
Новопокровский
ГБУЗ "Новопокровская ЦРБ" МЗ КК
3
Армавир
ГБУЗ "КВД Армавирский" МЗ КК
28
Краснодар
ГБУЗ ККВД МЗ КК и филиалы
53
Отрадненский
ГБУЗ "Отрадненская ЦРБ" МЗ КК
4
Армавир
ГБУЗ "ПНД №2 Армавирский" МЗ КК
29
Краснодар
ГБУЗ "ДГП №3 г. Краснодара" МЗ КК
54
ПриморскоАхтарский
ГБУЗ "Приморско-Ахтарская ЦРБ им. Кравченко
Н.Г." МЗ КК
5
Армавир
ГБУЗ "ДГБ г. Армавира" МЗ КК
30
Краснодар
ГАУЗ "СП №2 г. Краснодар" МЗ КК
55
Северский
ГБУЗ "Северская РСП" МЗ КК
6
Армавир
ГБУЗ АПТД МЗ КК
31
Краснодар
ГБУЗ "ДГП №5 г.Краснодара" МЗ КК
56
Славянский
ГБУЗ "Славянская ЦРБ" МЗ КК
7
Армавир
ГБУЗ "ПЦ г. Армавира" МЗ КК
32
Краснодар
ГБУЗ "ГП №3 г. Краснодара" МЗ КК
57
Тихорецкий
ГБУЗ "Тихорецкая ЦРБ" МЗ КК
8
Армавир
ГБУЗ "ГБ г. Армавира" МЗ КК
33
Краснодар
ГБУЗ ГКБ №3" г.Краснодара" МЗ КК
58
Успенский
ГБУЗ "Успенская ЦРБ" МЗ КК
9
Армавир
ГБУЗ АЦОЗМП МЗ КК
34
Краснодар
ГБУЗ СКИБ МЗ КК
59
Усть-Лабинский
ГБУЗ "Усть-Лабинская ЦРБ" МЗ КК
10
Белореченский
ГБУЗ "Белореченская ЦРБ" МЗ КК
35
Краснодар
ГБУЗ "ГКБ №1 г. Краснодара" МЗ КК
60
Усть-Лабинский
ГКУЗ ДРС №3 МЗ КК
11
Белореченский
ГБУЗ "Белореченская СП" МЗ КК
36
Краснодар
ГБУЗ "ГП №27 г. Краснодара" МЗ КК
61
Усть-Лабинский
ГБУЗ "Усть-Лабинская СП" МЗ КК
12
Белореченский
ГБУЗ ПТД №6 МЗ КК
37
Краснодар
ГБУЗ "ГП №22 г. Краснодара" МЗ КК
13
Выселковский
ГБУЗ "Выселковская ЦРБ" МЗ КК
38
Краснодар
ГБУЗ ЦОЗиМП МЗ КК
14
Геленджик
ГБУЗ "СП г. Геленджик" МЗ КК
39
Краснодар
ГБУЗ КЦ ПБ СПИД МЗ КК
15
Геленджик
ГБУЗ "ДС имени Н.И.Пирогова"
40
Краснодар
ГБУЗ СП №3 МЗ КК
16
Горячий Ключ
ГБУЗ "СП г. Горячий Ключ" МЗ КК
41
Краснодар
ГБУЗ "ДС БИТ Василек" МЗ КК
17
Гулькевичский
ГАУЗ "СП Гулькевичская" МЗ КК
42
Краснодар
ГБУЗ "ДСП №1 "г. Краснодара" МЗ КК
18
Динской
ГБУЗ "Динская ЦРБ" МЗ КК
43
Краснодар
ГБУЗ СПК МЗ КК
19
Ейский
ГБУЗ ЕПНД МЗ КК
44
Краснодар
ГБУЗ "ГП №19 г.Краснодар" МЗ КК
20
Ейский
ГБУЗ ЕЦ ПБ СПИД МЗ КК
45
Краснодар
ГКУ КК ЦБ ДЗ КК
21
Ейский
ГБУЗ "Ейская ЦРБ" МЗ КК
46
Крыловский
ГБУЗ "Крыловская ЦРБ" МЗ КК
22
Ейский
ГБУЗ "СП Ейского района" МЗ КК
47
Крымский
ГБУЗ "Крымская ЦРБ" МЗ КК
23
Красноармейский
ГБУЗ "Красноармейская ЦРБ" МЗ КК
48
Кущевский
ГБУЗ "Кущевская ЦРБ" МЗ КК
24
Краснодар
ГБУЗ КМЦМР "Резерв" МЗ КК
49
Лабинский
ГБУЗ "Лабинская ЦРБ" МЗ КК
25
Краснодар
ГБУЗ "ДСП №2 г. Краснодар" МЗ КК
50
Ленинградский
ГБУЗ "Ленинградская ЦРБ" МЗ КК

3.

Реестр процессов
КЛАСС БИЗНЕСПРОЦЕССОВ
БИЗНЕС-ПРОЦЕССЫ В
ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
КРАТКОЕ ОПИСАНИЕ БИЗНЕС-ПРОЦЕССОВ В ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
Управление деятельностью медицинской организации;
Процессы канцелярии;
Административно-управленческая
деятельность
Кадровый учет;
Повышение квалификации работников;
Организационно-методические процессы;
Претензионная и судебная работа.
Управленческие
Бухгалтерский учет;
Финансово-экономическая
деятельность
Планово-экономическая деятельность медицинской организации;
Ведение договоров;
Взаиморасчеты с контрагентами за оказанные услуги;
Медицинская статистика и архив
медицинских документов
Формирование медицинской статистики и другой отчетности;
Ведение медицинского архива

4.

Реестр процессов
КЛАСС БИЗНЕСПРОЦЕССОВ
БИЗНЕС-ПРОЦЕССЫ В
ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
КРАТКОЕ ОПИСАНИЕ БИЗНЕС-ПРОЦЕССОВ В ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
Оказание первичной, в т.ч. доврачебной, врачебной и специализированной, медико-санитарной помощи, в
том числе в условиях дневного стационара, стационарной медицинской помощи:
Процессы, связанные с деятельностью приемного отделения.
Основные медицинские процессы
Учет движения пациентов в стационаре.
Процессы, связанные с деятельностью лечебного отделения.
Процессы, связанные с деятельностью реанимационного отделения.
Процессы оказания медикаментозного лечения.
Лучевая диагностика
Вспомогательные медицинские
Производственные процессы
Лабораторные, инструментальные, исследования.
Использование источников ионизирующего излучения (генерирующих», эксплуатация источников
ионизирующего излучения.
Проведение медицинских осмотров, медицинских экспертиз.
Диагностические, иммунологические исследования, связанные с использованием возбудителей
инфекционных заболеваний.
Хранение, отпуск (за исключением отпуска физическим лицам) наркотических средств, психотропных
веществ и их прекурсоров, подлежащих контролю в Российской Федерации.
Камерное обеззараживание вещей, доставленных из очагов инфекционных и паразитарных заболеваний и в
условиях чрезвычайных ситуаций, возврат вещей их собственникам.
Санитарная обработка лиц по эпидемическим и санитарным показаниям.
Лабораторный контроль качества проводимых дезинфекционных мероприятий.
Санитарно-гигиенические и
противоэпидемические
мероприятия
Разработка рецептур, производство, хранение дезинфекционных, дезинсекционных, дератизационных средств,
производство и хранение оборудования, применяемого для целей дезинфекции, дезинсекции, дератизации.
Создание неснижаемого резерва дезсредств по перечню и в объемах, согласованных с Уполномоченным
органом.
Проведение в установленном порядке санитарно-гигиенических и противоэпидемических мероприятий
Организация и проведение заключительной дезинфекции, дезинсекции, дератизации в очагах инфекционных
заболеваний по заявкам медицинских организаций.

5.

Реестр процессов
КЛАСС БИЗНЕСПРОЦЕССОВ
БИЗНЕС-ПРОЦЕССЫ В
ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
КРАТКОЕ ОПИСАНИЕ БИЗНЕС-ПРОЦЕССОВ В ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
обеспечение функционирования медицинских информационных систем;
Обеспечение функционирования
медицинского оборудования и
информационных систем
Технологические
администрирование медицинских информационных систем, проведение технического аудита доступа к базам
данных медицинских информационных систем и контроль выполнения различных операций с информацией
(сбор, предварительная обработка, консолидация, агрегация, накопление и хранение)
инвентаризация и мониторинг состояния и состава технических средств и программного обеспечения
медицинских информационных систем.
обслуживание ИТ-инфраструктуры.
обслуживание инженерных систем (электроснабжение, система отопления, водопровод, канализация,
вентиляция и кондиционирование, системы пожаробезопасности).
настройка рабочих процессов оказания лабораторных услуг в виде алгоритма выполнения отдельных работ,
включая автоматический выбор анализаторов для проведения исследований по различным критериям;
регистрация пациентов, заказов и материалов;
отправка заданий в автоматические анализаторы, распечатка списка заданий для рабочих мест с ручным
выполнением исследований;
Информатизация лаборатории на
преаналитическом, аналитическом и прием результатов исследований, поступающих от анализаторов и другого оборудования, а также вводимых
вручную с клавиатуры компьютера;
постаналитическом этапах
контроль состояния материалов и заказов в специальном инструменте, который позволяет отбирать данные
для просмотра с помощью различных фильтров;
выдача результатов в необходимом формате: печать и/или отправка данных в электронном виде;
печать лабораторных журналов, а также журналов регистрации и детализации заказов;
формирование статистических отчетов о работе лаборатории.

6.

Реестр процессов
КЛАСС БИЗНЕСПРОЦЕССОВ
БИЗНЕС-ПРОЦЕССЫ В
ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
КРАТКОЕ ОПИСАНИЕ БИЗНЕС-ПРОЦЕССОВ В ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ
Закупочные процессы;
Материальное обеспечение лечебноОбеспечение медикаментами и изделиями медицинского назначения;
диагностического процесса
Учет и обслуживание медицинского оборудования.
Материальный учет лекарственных средств и товаров аптечного ассортимента;
Обеспечение складского учета
Иные
Материальный учет продуктов питания;
Материальный учет изделий медицинского назначения;
Обеспечение исполнения требований законодательства РФ в области защиты информации и
информационной безопасности в организации.
Осуществление контроля и аудита состояния информационной безопасности, контроль защиты врачебной
тайны и персональных данных.
Организация и контроль использования средств криптографической защиты информации, в т.ч. ЭП.
Реализация политики
информационной безопасности,
организация работ по защите
персонифицированной информации
Защита от вешних воздействий на информационные ресурсы организации.
от несанкционированного доступа в
организации
Повышение осведомленности работников в вопросах информационной безопасности и защиты информации.
Контрольно-пропускной режим.

7.

Критерии значимости
Показатель
Применимость
I. Социальная значимость
1.
2.
3.
4.
5.
Показатель подлежит оценке, т.к. основные бизнес-процессы Учреждения связаны
с оказанием медицинской помощи населению. В т.ч. необходимо оценить ущерб от
Причинение ущерба жизни и здоровью людей.
реализации возможной компьютерной атаки на ОКИИ обеспечивающие процесс
«Лучевая диагностика» (оценка см. п.11 Перечня).
Показатель не оценивается, т.к. бизнес-процессы Учреждения не задействованы в
Прекращение или нарушение функционирования объектов
управлении, обеспечении бесперебойного функционирования, поддержании качества
обеспечения жизнедеятельности населения.
функционирования объектов обеспечения жизнедеятельности населения.
Показатель не оценивается, т.к. бизнес-процессы Учреждения не задействованы в
Прекращение или нарушение функционирования объектов
управлении, обеспечении бесперебойного функционирования, поддержании качества
транспортной инфраструктуры.
функционирования объектов транспортной инфраструктуры.
Прекращение или нарушение функционирования сети связи, Показатель не оценивается, т.к. бизнес-процессы Учреждения не задействованы в
оцениваемое по количеству абонентов, для которых могут
управлении, обеспечении бесперебойного функционирования, поддержании качества
быть недоступны услуги связи (тыс. человек).
функционирования сетей связи.
Показатель не оценивается, т.к. Учреждение не является государственным органом
Отсутствие доступа к государственной услуге, оцениваемое в
власти, оказывающим государственные услуги или юридическим лицом,
максимальном допустимом времени, в течение которого
обеспечивающим эксплуатацию информационной системы, автоматизированной
государственная услуга может быть недоступна для
системы управления, информационно-телекоммуникационные сети, задействованной в
получателей такой услуги (часов)
процессе оказания государственной услуги.
Показатель
Применимость
II. Политическая значимость
6.
7.
Показатель не оценивается, т.к. Учреждение не является государственным органом
Прекращение или нарушение функционирования
власти или юридическим лицом, обеспечивающим эксплуатацию информационной
государственного органа в части невыполнения возложенной системы, автоматизированной системы управления, информационнона него функции (полномочия)
телекоммуникационной сети, задействованной в процессе выполнения возложенной на
государственный орган власти функции (полномочия).
Нарушение условий международного договора Российской Показатель не оценивается, т.к. Учреждение не является государственным органом
Федерации, срыв переговоров или подписания планируемого власти или юридическим лицом, обеспечивающим эксплуатацию информационной
к заключению международного договора Российской
системы, автоматизированной системы управления, информационноФедерации, оцениваемые по уровню международного
телекоммуникационной сети, задействованной в процессе подготовки условий
договора Российской Федерации
планируемого к заключению международного договора Российской Федерации или

8.

Критерии значимости
Показатель
Применимость
III. Экономическая значимость
8.
9.
10.
Возникновение ущерба субъекту критической
информационной инфраструктуры, который является
государственной корпорацией, государственным унитарным
предприятием, государственной компанией, стратегическим
Показатель не оценивается, т.к. Учреждение не является государственной корпорацией,
акционерным обществом, стратегическим предприятием,
государственным унитарным предприятием, государственной компанией,
оцениваемого в снижении уровня дохода (с учетом налога на
стратегическим акционерным обществом, стратегическим предприятием
добавленную стоимость, акцизов и иных обязательных
платежей) по всем видам деятельности (процентов от
годового объема доходов, усредненного за прошедший
пятилетний период)
Показатель подлежит оценке.Усредненный суммарный годовой размер
выплачиваемых Учреждением отчислений в бюджеты Российской Федерации за
Возникновение ущерба бюджетам Российской Федерации,
предыдущий трехлетний период составляет:ННДФЛ+Ним-во+Нэкол+НДС=
оцениваемого в снижении выплат (отчислений) в бюджеты
ХХХХХХХ млн. рублей, что менее 0,001% от прогнозируемого годового дохода
Российской Федерации, осуществляемых субъектом
критической информационной инфраструктуры (процентов федерального бюджета, усредненного за планируемый трехлетний период (на 2022прогнозируемого годового дохода федерального бюджета,
2025 гг. – 0,001% от прогнозируемого годового дохода федерального бюджета,
усредненного за планируемый трехлетний период)
усредненного за планируемый трехлетний период составляет 25 463,33 млн.
рублей).
Прекращение или нарушение проведения клиентами
операций по банковским счетам и (или) без открытия
банковского счета или операций, осуществляемых субъектом
критической информационной инфраструктуры,
Показатель не оценивается, т.к. Учреждение не осуществляет для клиентов операции по
являющимся в соответствии с законодательством Российской
банковским счетам и (или) без открытия банковского счета и не являются в соответствии
Федерации системно значимой кредитной организацией,
с законодательством Российской Федерации системно значимой кредитной
оператором услуг платежной инфраструктуры системно и
организацией, оператором услуг платежной инфраструктуры системно и (или)
(или) социально значимых платежных систем или системно
социально значимых платежных систем или системно значимой инфраструктурной
значимой инфраструктурной организацией финансового
организацией финансового рынка (Федеральный закон «О национальной платежной
рынка, оцениваемое среднедневным (по отношению к числу
системе» от 27.06.2011 № 161-ФЗ).
календарных дней в году) количеством осуществляемых
операций (млн. единиц) (расчет осуществляется по итогам
года, а для создаваемых объектов – на основе прогнозных
значений)

9.

Критерии значимости
Показатель
Применимость
IV. Экологическая значимость
11.
Вредные воздействия на окружающую среду, оцениваемые:
Показатель
Показатель подлежит оценке, так как организации сферы здравоохранения,
использующие в своей деятельности источники ионизирующего излучения,
относятся к опасным производственным объектам (Федеральный закон от
21.07.1997 № 116-ФЗ «О промышленной безопасности опасных производственных
объектов»). Необходимо установить категорию радиационной опасности (п. 3.1
СП 2.6.1.2612-10)
Применимость
V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка
12.
13.
14.
Прекращение или нарушение функционирования
(невыполнение установленных показателей) пункта
управления (ситуационного центра), оцениваемое в уровне
(значимости) пункта управления или ситуационного центра
Снижение показателей государственного оборонного заказа,
выполняемого (обеспечиваемого) субъектом критической
Показатель не оценивается, т.к. бизнес-процессы Учреждения не могут повлиять на
информационной инфраструктуры
прекращение или нарушение функционирования пункта управления (ситуационного
Прекращение или нарушение функционирования
центра) государственных органов власти или государственной корпорации,
(невыполнение установленных показателей)
информационных систем в области обеспечения обороны страны, безопасности
информационной системы в области обеспечения обороны государства и правопорядка, снижение показателей государственного оборонного
страны, безопасности государства и правопорядка,
заказа.
оцениваемое в максимально допустимом времени, в течение
которого информационная система может быть недоступна
пользователю (часов) в максимально допустимом времени, в
течение которого информационная система может быть
недоступна пользователю (часов)

10.

Реестр процессов с оценкой критичности

11.

Перечень критичных процессов

12.

Реестр ИС

13.

Итоговый перечень объектов

14.

1. Шаблоны
https://disk.yandex.ru/d/puT28emhzaA5ZA
2. Согласование через ЕМСЕД в адрес МЗ КК
3. Согласованный и утверждённый перечень направляется в адрес Управлении
ФСТЭК России по Южному и Северо-Кавказскому федеральным округам по
адресу:
344079, г. Ростов-на-Дону, ул. Ярослава Галана, д. 1е/25
English     Русский Rules