Согласно проекту правительственного постановления, распределяться по категориям будут информационные системы госорганов в сфере здравоохранения, медучреждений, российских юрлиц, занимающихся медицинской и фармацевтической деятельностью, ФФОМС, ТФОМС, российских компаний, которые обеспечивают информационное взаимодействие между акторами. Распределением отраслевых систем по группам будет заниматься постоянно действующая комиссия по категорированию.
Оценка будет проводиться по каждому из значений показателя перечня, применимого к субъекту КИИ. Саму категорию значимости Минздрав предлагает присваивать по наивысшему значению одного из показателей. Измерять Минздрав предлагает следующие критерии: социальная, политическая, экономическая и экологическая значимость. Первый критерий предполагает оценку максимально возможного числа человек, которые пострадают в случае компьютерной атаки на информационную систему, а также расчет максимально допустимого времени, в течение которого предоставляемая оператором госуслуга может быть недоступна в результате сбоя. При определении показателей экономической значимости Минздрав предлагает оценивать снижение уровня дохода оператора по всем видам деятельности при атаках.
В течение 10 рабочих дней со дня включения платформы в список КИИ ее держатель, согласно проекту, должен направлять в Федеральную службу по техническому и экспортному контролю (ФСТЭК) пакет данных, среди которых: сведения об объекте КИИ, информация о владельце системы, об используемых программах и программно-аппаратных средствах, об угрозах безопасности или их отсутствии, о возможных последствиях компьютерных атак и другие показания.
Помимо этого, Минздрав погрузил в проект документа алгоритм оценки масштаба последствий компьютерных атак на отраслевые информационные системы. Так, при таких инцидентах разработчик регламента предлагает рассматривать наихудшие сценарии, в ходе которых может произойти прекращение или нарушение работы объекта КИИ в сфере здравоохранения, определять зависимость одних систем от других, а также выявлять статистические данные о хакерских атаках, произошедших ранее на похожих объектах.
Общественное обсуждение проекта правительственного постановления будет проходить до 18 июля 2025 года.
Сфера КИИ сейчас регламентируется федеральным законом «О безопасности критической информационной инфраструктуры РФ», а также правилами категорирования объектов КИИ, утвержденными Правительством России в феврале 2018 года. В начале июня 2025 года ФСТЭК опубликовала проект перечней типовых отраслевых объектов КИИ. В документе к таким объектам предлагалось отнести, помимо прочего, медицинскую информационную систему профильных организаций, системы фармацевтических организаций и ГИС ОМС. Общественное обсуждение документа завершилось 18 июня 2025 года.
Согласно проекту правительственного постановления, распределяться по категориям будут информационные системы госорганов в сфере здравоохранения, медучреждений, российских юрлиц, занимающихся медицинской и фармацевтической деятельностью, ФФОМС, ТФОМС, российских компаний, которые обеспечивают информационное взаимодействие между акторами. Распределением отраслевых систем по группам будет заниматься постоянно действующая комиссия по категорированию.
Оценка будет проводиться по каждому из значений показателя перечня, применимого к субъекту КИИ. Саму категорию значимости Минздрав предлагает присваивать по наивысшему значению одного из показателей. Измерять Минздрав предлагает следующие критерии: социальная, политическая, экономическая и экологическая значимость. Первый критерий предполагает оценку максимально возможного числа человек, которые пострадают в случае компьютерной атаки на информационную систему, а также расчет максимально допустимого времени, в течение которого предоставляемая оператором госуслуга может быть недоступна в результате сбоя. При определении показателей экономической значимости Минздрав предлагает оценивать снижение уровня дохода оператора по всем видам деятельности при атаках.
В течение 10 рабочих дней со дня включения платформы в список КИИ ее держатель, согласно проекту, должен направлять в Федеральную службу по техническому и экспортному контролю (ФСТЭК) пакет данных, среди которых: сведения об объекте КИИ, информация о владельце системы, об используемых программах и программно-аппаратных средствах, об угрозах безопасности или их отсутствии, о возможных последствиях компьютерных атак и другие показания.
Помимо этого, Минздрав погрузил в проект документа алгоритм оценки масштаба последствий компьютерных атак на отраслевые информационные системы. Так, при таких инцидентах разработчик регламента предлагает рассматривать наихудшие сценарии, в ходе которых может произойти прекращение или нарушение работы объекта КИИ в сфере здравоохранения, определять зависимость одних систем от других, а также выявлять статистические данные о хакерских атаках, произошедших ранее на похожих объектах.
Общественное обсуждение проекта правительственного постановления будет проходить до 18 июля 2025 года.
Сфера КИИ сейчас регламентируется федеральным законом «О безопасности критической информационной инфраструктуры РФ», а также правилами категорирования объектов КИИ, утвержденными Правительством России в феврале 2018 года. В начале июня 2025 года ФСТЭК опубликовала проект перечней типовых отраслевых объектов КИИ. В документе к таким объектам предлагалось отнести, помимо прочего, медицинскую информационную систему профильных организаций, системы фармацевтических организаций и ГИС ОМС. Общественное обсуждение документа завершилось 18 июня 2025 года.
