В документе около 400 позиций, причем 12 из них относятся непосредственно к сфере здравоохранения. Речь о информационных системах фарм- и медорганизаций, IT-ресурсов для обеспечения работы отделений реанимации, операционных и лабораторий.
Основные требования 187-ФЗ
Закон устанавливает жесткие требования для операторов КИИ:
1 Уведомление о компьютерных инцидентах.
2 Планирование мероприятий по защите информации.
3 Мониторинг и анализ рисков.
4 Контроль и реагирование на инциденты.
5 Использование современных технологий защиты.
Ответственность за нарушение требований 187-ФЗ
Несоблюдение норм 187-ФЗ может привести к серьезным последствиям для организаций. Штрафы для юридических лиц могут составлять от 50 тыс. до 500 тыс рублей в зависимости от характера нарушения.В случае наступления инцидента с тяжкими последствиями до 10 лет лишения свободы (УК РФ ст. 274.1)
Подготовили список рекомендуемых документов, которые должны быть в каждой клинике!
Если у вас нет времени или профильного специалиста, кто мог бы это подготовить, купить готовые документы можно в юридическом отделе МЕДИАТОРА!
Выбрать и заказать на сайте 👉https://mediator-pravo.ru/gotovie-dokumenti-po-vsem-napravleniyam/tproduct/441368178272-komplekt-dokumentov-subekta-kii
Список документов по КИИ👇
1 Сводная (инвентаризационную) таблица всех принадлежащих организации систем: ИС, АСУ, ИТКС (Перечень объектов КИИ, подлежащих категорированию)
2 Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
3 План проведения мероприятий по обеспечению безопасности значимых объектов КИИ
4 План реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак
5 Документы по внедрению, приемке и эксплуатации средств
6 Порядок хранения и учета средств
7 План реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак
8 План по восстановлению функционирования
9 Правила резервного копирования
10 Приказ о создании комиссии
11 Перечень процессов в рамках функций (полномочий) или видов деятельности
12 Перечень критических процессов
13 Перечень возможных действий нарушителей в отношении объектов КИИ
14 Перечень угроз безопасности и уязвимостей программного обеспечения объектов КИИ
15 Акт (протокол работы комиссии) оценки возможных последствий
16 Акт категорирования объектов КИИ
17 Приказ о создании системы безопасности, назначении ответственных (подразделений) отвечающих за функции обеспечения безопасности КИИ, определении системы контроля
18 Приказ об определении функциональных обязанностей должностных лиц
(подразделений), либо внесение корректировок в должностные инструкции ответственных работников
19 Приказ о назначении ответственных за обеспечение безопасности значимых
объектов КИИ
20 Регламент по повышению осведомленности персонала по вопросам
обеспечения безопасности значимых объектов КИИ
21 План проведения занятий
22 Накладные на приобретение, сертификаты (для сертифицированных средств защиты информации), паспорт-формуляр, инструкции (пример)
23 Инструкции для оператора, пользователя, системного администратора
24 Политика, определяющая порядок и правила обеспечения безопасности значимых объектов КИИ
25 Приказ о назначении комиссии
26 Положение (методика) о работе комиссии
27 План работы комиссии.
28 Акт по результатам работы.
29 Результаты реализации мероприятий, проводимых для обеспечения безопасности значимого объекта на стадиях (этапах) его жизненного цикла,
30 Рекомендации по корректировке архитектуры значимого объекта и организационно-распорядительных документов по безопасности значимых объектов, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации
31 Модель угроз безопасности информации для объекта КИИ
32 Техническое задание (частное техническое задание). Технический проект.
33 Описание архитектуры подсистемы безопасности значимого объекта
34 Порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации
35 Правила эксплуатации программных и программно- аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации)
36 Акт установки средств защиты
37 Правила (инструкции) безопасной работы работников, эксплуатирующих значимые объекты, и работников, обеспечивающих функционирование значимых объектов, а также действия работников при возникновении нештатных ситуаций, в том числе вызванных компьютерными инцидентами
38 Регламент реагирования на инциденты информационной безопасности
39 Приказ по организации контроля физического доступа к программно-аппаратным средствам значимого объекта и его линиям связи
40 Правила (Регламент) разграничения доступа, определяющие права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств
41 Приказ о назначении администратора безопасности значимого объекта
42 Порядок и План отработки действий пользователей и администраторов значимого
объекта по реализации мер по обеспечению безопасности значимого объекта
43 Программа и методики предварительных испытаний работоспособности подсистемы безопасности значимого объекта и отдельных средств защиты информации
44 Акт (протокол) оценки влияния подсистемы безопасности на функционирование значимого объекта при проектных режимах его работы
45 Приказ о вводе в опытную эксплуатацию значимого объекта и его подсистемы безопасности
46 Программа и методики опытной эксплуатации, включая проверку функционирования подсистемы безопасности значимого объекта, в том числе реализованных организационных и технических мер
47 Проверка знаний и умений пользователей и администраторов, необходимых для эксплуатации значимого объекта и его подсистемы безопасности (журнал)
48 Программа и методики приемочных испытаний
49 Акт приемки значимого объекта в эксплуатацию
50 Приказ о вводе в действие значимого объекта и его подсистемы безопасности
51 Приказ о назначении ответственных за выявление компьютерных инцидентов и реагирование на них
52 Утверждение функциональных обязанностей
53 Инструкция по реагированию на компьютерные инциденты
54 План мероприятий по обеспечению безопасности значимого объекта на
случай возникновения нештатных ситуаций
55 Журнал (Зачетная ведомость) по обучению и отработке действий персонала по обеспечению безопасности значимого объекта в случае возникновения нештатных ситуаций
56 Приказ об определении альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций
57 Положение (Регламент) о резервировании программных и программно-аппаратных средств, в том числе средств защиты информации, каналов связи на случай возникновения нештатных ситуаций
58 Приказ об обеспечении восстановления значимого объекта и (или) его компонентов в случае возникновения нештатных ситуаций
59 Положение (Регламент) по проведению анализа возникших нештатных ситуаций и принятию мер по недопущению их повторного возникновения
Выбрать и заказать на сайте 👉https://mediator-pravo.ru/gotovie-dokumenti-po-vsem-napravleniyam/tproduct/441368178272-komplekt-dokumentov-subekta-kii
