Категорирование объектов КИИ для медицинских организаций

Поможем организациям сферы здравоохранения определить, какие системы относятся к объектам КИИ, провести категорирование и подготовить документы с учетом требований законодательства.

Для клиник

Лабораторий

Фармацевтики

Стоматологий

Что делать, если пришло письмо от ФСТЭК или прокуратуры

Сначала нужно определить, есть ли в организации объекты КИИ, затем оформить документы и подготовить корректный ответ проверяющим органам.

Оставьте заявку - подскажем, какие действия нужны именно в вашей ситуации

Какие медицинские организации
попадают под действие закона о КИИ

Если в вашей деятельности используются информационные системы, оборудование с АСУ или сети передачи данных - у Вас могут быть объекты КИИ, подлежащие категорированию.

Государственные больницы, поликлиники, диспансеры, санатории и другие.

Клиники, медицинские центры, стоматологии, офтальмологии и другие мед. организации

Лаборатории, центры исследований, центры диагностики и другие.

Фармацевтические компании, производители лекарственных препаратов, аптеки и другие.

Какие системы в медицинских организациях относятся к объектам КИИ

Если в медицинской организации имеются в наличии информационные системы, оборудование или телекоммуникационные сети, из этого перечня - согласно 187-ФЗ, организция ОБЯЗАНА провести категорирвание таких систем.

Что входит в услугу
категорирования объектов КИИ

Проводим полную процедуру - от анализа систем до подготовки полного комплекта документов и ответов проверяющим органам

Определение, есть ли объекты КИИ

Анализируем информационные системы, сети, АСУ ТП и сети.
Определяем, попадают ли они под признаки объектов КИИ согласно 187-ФЗ.
Готовим обоснование о наличии или отсутствии объектов КИИ.

Проведение категорирования

Собираем необходимые сведения об объектах КИИ.
Проводим категорирование в соответствии с требованиями Постановления Правительства РФ №127.
Определяем категорию значимости объектов.

Оформление пакета документов

Подготавливаем комплект документов по результатам категорирования.
Составляем перечень объектов КИИ и сведения.
Готовим сопроводительное письмо и ответы на запросы ФСТЭК или других надзорных органов.

Консультация по законодательству КИИ

Разъясняем требования законодательства в сфере безопасности КИИ.
Консультируем по вопросам взаимодействия с ФСТЭК и другими органами.
Даем рекомендации по дальнейшим действиям и срокам.

Стоимость услуг
подготовки документов по КИИ

Выберите подходящий пакет услуг и получите профессиональную помощь в сфере категорирования объектов КИИ

Отсутствие объектов КИИ

нет объектов КИИ

Если нужно обосновать ФСТЭК или прокуратуре отсутствие объектов КИИ

Анализ инфраструктуры организации.
Подготовка документов с обоснованием отсутствия объектов КИИ.
Формируем ответ в надзорные органы

40 000 руб.

Базовый пакет

1 объект КИИ

Если нужно категорировать 1 объект КИИ и подготовить для него документацию

Анализ инфраструктуры организации.
Подготовка пакета внутренних документов
Подготовка пакета документов для отправки В ФСТЭК или прокуратуру
Консультация по законодательству в сфере КИИ

75 000 руб.

Расширенный пакет

до 5 объектов КИИ

Если нужно категорировать до 5 объектов КИИ и подготовить для них документацию

Анализ инфраструктуры организации.
Подготовка пакета внутренних документов
Подготовка пакета документов для отправки В ФСТЭК или прокуратуру
Консультация по законодательству в сфере КИИ

125 000 руб.

Премиум пакет

до 10 объектов КИИ

Если нужно категорировать 10 объектов КИИ и подготовить для него документацию

Анализ инфраструктуры организации.
Подготовка пакета внутренних документов
Подготовка пакета документов для отправки В ФСТЭК или прокуратуру
Консультация по законодательству в сфере КИИ

175 000 руб.

Что вы по итогу получите
от наших услуг

Берем на себя весь процесс категорирования объектов КИИ, чтобы вы могли сосредоточиться на развитии бизнеса.

Почему
нужно выбрать нас

Специализируемся на медицинском бизнесе, понимаем специфику, а также целевые запросы от контролирующих органов.

Как мы работаем

Структурированный подход и понятный процесс на каждом этапе -
вы всегда знаете, что происходит и какой следующий шаг.

Заключаем
договор

Согласовываем условия, фиксируем задачи, сроки и стоимость работ

Проводим
опрос

Собираем информацию о организации, системах и процессах удобным для Вас способом

Составляем
документацию

Анализируем данные и готовим все необходимые документыв соответствии с законодательством

Подробно
консультируем

Объясняем результаты, отвечаем на вопросы, подробно консультируем о дальнейших действиях

Готовы начать работу?

Подскажем, какие данные потребуются и какой формат сопровождения подойдет вашей организации.

Часто задаваемые вопросы

Ответы на популярные вопросы по процедуре категорирования, нашей работе, процессах и взаимодействии.

Что такое категорирование объектов КИИ простыми словами?

Категорирование — это процедура, в ходе которой организация определяет, есть ли у неё объекты КИИ, оценивает их значимость по установленным критериям и принимает решение: присвоить объекту одну из категорий значимости или зафиксировать отсутствие необходимости присвоения категории. По 187-ФЗ категорирование — это установление соответствия объекта КИИ критериям значимости и показателям их значений, присвоение категории и проверка сведений о результатах.

Какие документы нужны по результатам категорирования?

Мы формируем комплект документов, который подтверждает ход и результат процедуры: перечень анализируемых систем, приказ и положение о комиссии, акты категорирования, приказ о ответсвенном за обеспечение безопасности объектов КИИ, в которых указывается решение о присвоении категории или об отсутствии необходимости её присвоения, сведения о результатах категорирования и сопроводительные письма. Во ФСТЭК направляются именно сведения о результатах присвоения категории значимости либо об отсутствии необходимости её присвоения; форма таких сведений утверждена приказом ФСТЭК России.

Сколько времени занимает категорирование и что для этого требуется?

Срок зависит от количества систем, структуры ИТ-инфраструктуры, наличия филиалов и готовности исходных данных. Обычно от организации требуется назначить ответственных, предоставить сведения об используемых системах, процессах, сетях, подрядчиках и оборудовании, а также ответить на уточняющие вопросы. Основную аналитическую и документальную работу мы берём на себя: разбираем инфраструктуру, готовим обоснования, комплект документов и объясняем дальнейшие действия.

Если у нас небольшая клиника, МИС в облаке - мы субъект КИИ?

Если МИС размещена в облаке, не находится в собственности, аренде или ином законном владении медицинской организации, а клиника только пользуется сервисом по договору с провайдером, тогда организация не является субъектом КИИ.

Но это не означает, что вопрос можно оставить без анализа. Нужно проверить, есть ли у организации другие информационные системы, сети или автоматизированные системы управления, которые принадлежат ей на законном основании: локальная сеть, оборудование с программным управлением.

Если у нас нет объектов КИИ, зачем вообще что-то оформлять?

Проверяющий орган может запросить, проводила ли организация анализ своих информационных систем, сетей и АСУ, какие системы рассматривались и почему они не признаны объектами КИИ. Поэтому даже при отсутствии объектов КИИ важно подготовить документальную позицию: какие системы есть, на каком основании они используются, какие процессы обеспечивают и почему по итогам анализа отсутствует необходимость присвоения категории значимости.

Кто принимает решение о наличии объектов КИИ и присвоении категории?

Решение принимает сама организация как субъект КИИ в рамках процедуры категорирования. Внешний подрядчик не “присваивает категорию вместо клиники”, а помогает провести анализ, подготовить материалы, обоснования и комплект документов. Это важный момент: итоговые решения утверждаются субъектом КИИ в установленном порядке, а сведения о результатах направляются в ФСТЭК по утверждённой форме. Такой подход соответствует Правилам категорирования объектов КИИ, утверждённым Постановлением Правительства РФ №127.

Нужно ли проводить категорирование повторно?

Категорирование не стоит воспринимать как разовое действие “навсегда”. Если у организации меняется ИТ-инфраструктура, появляются новые системы, филиалы, оборудование или существенно меняются процессы, ранее сделанные выводы могут потребовать пересмотра. Кроме того, сведения, которые направляются регулятору, должны соответствовать фактическому состоянию инфраструктуры.

Можно ли провести работу удалённо?

Да, мы проводим предварительный анализ и подготовку документов удалённо. Для этого организация заполняет анкету, предоставляет сведения об информационных системах и отвечает на уточняющие вопросы. Если инфраструктура сложная, есть несколько филиалов, собственные серверы, АСУ или много интеграций, может потребоваться интервьюирование ответственных сотрудников или дополнительный разбор схемы ИТ-инфраструктуры. Такой формат позволяет быстро понять ситуацию и подготовить документы без лишней нагрузки на клинику.

Категорирование объектов КИИ в здравоохранении

Категорирование объектов КИИ в здравоохранении — это не формальная подготовка “папки документов”, а процедура, с помощью которой медицинская организация определяет, есть ли в её инфраструктуре объекты критической информационной инфраструктуры и нужно ли присваивать им категорию значимости.

Для медицинских организаций основной фокус анализа обычно приходится на три группы объектов: медицинские информационные системы, медицинское оборудование с автоматизированными системами управления и локальные вычислительные сети. Именно эти элементы инфраструктуры могут обеспечивать процессы, от которых зависит работа клиники, лаборатории, стоматологии или фармацевтической организации.

По 187-ФЗ объектами КИИ являются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ. А субъектами КИИ могут быть российские юридические лица или ИП, которым такие системы, сети или АСУ принадлежат на праве собственности, аренды или ином законном основании и функционируют, в том числе, в сфере здравоохранения.

Поэтому задача категорирования — не “найти КИИ любой ценой”, а корректно установить статус систем: что действительно является объектом КИИ медицинской организации, что не является таким объектом, и какие выводы можно обосновать документально.

Какие системы медицинской организации относятся к объектам КИИ

В медицинской организации к анализу по КИИ не нужно относить всё подряд. Сайт, форма онлайн-записи, рекламный кабинет или отдельная интеграция сами по себе не являются самостоятельными объектами КИИ. Их можно учитывать только в контексте той информационной системы или сети, частью которой они фактически являются.

Основные объекты, которые следует рассматривать в здравоохранении:

Медицинская информационная система, МИС
МИС может обеспечивать ведение электронных медицинских карт, работу врачей, регистрацию пациентов, хранение медицинской информации, формирование медицинской документации и другие процессы медицинской организации.

Медицинское оборудование с АСУ
К анализу относится оборудование, в котором автоматизированная система управления используется для контроля, управления, мониторинга, обработки данных или обеспечения технологического медицинского процесса.

Локальная вычислительная сеть
ЛВС может обеспечивать взаимодействие рабочих мест, серверов, МИС, медицинского оборудования и иных элементов инфраструктуры. Если сеть используется для работы медицинских процессов, её необходимо оценивать в рамках анализа КИИ.

При этом важен не только вид системы, но и правовое основание её использования. Категорирование проводится в отношении объектов, которые принадлежат субъекту КИИ на праве собственности, аренды или ином законном основании. Это прямо указано в Правилах категорирования объектов КИИ, утверждённых Постановлением Правительства РФ №127.

Когда медицинской организации нужно категорирование КИИ

Категорирование КИИ нужно проводить, когда у медицинской организации есть МИС, ЛВС или медицинское оборудование с АСУ, которые принадлежат ей на законном основании и используются в деятельности в сфере здравоохранения.

Отдельного внимания требуют ситуации, когда организация получила письмо от ФСТЭК, прокуратуры, органа исполнительной власти или другого проверяющего органа. В этом случае недостаточно ответить общей формулировкой “объектов КИИ нет”. Проверяющие обычно ожидают увидеть, что организация провела анализ, определила состав систем, оценила их статус и может объяснить, почему категория значимости присваивается или не присваивается.

Если анализ не проведён, любая позиция выглядит слабой. Даже когда объектов КИИ действительно нет, это нужно оформить так, чтобы вывод был понятен не только руководству клиники, но и проверяющим.

Облачная МИС и КИИ: когда клиника не является субъектом КИИ по этой системе

Частая ситуация: небольшая клиника пользуется облачной МИС по договору, не владеет сервером, не арендует саму систему как объект инфраструктуры и фактически получает доступ к сервису.

В таком случае облачная МИС не всегда образует объект КИИ самой клиники. Если система не принадлежит медицинской организации на праве собственности, аренды или ином законном основании, оснований считать именно эту МИС объектом КИИ клиники может не быть.

Но это не означает, что анализ можно не проводить. Нужно проверить, есть ли у организации другие элементы инфраструктуры: локальная вычислительная сеть, собственные серверы, медицинское оборудование с АСУ, иные информационные системы, которые действительно находятся в её владении или использовании на законном основании.

Правильная позиция в такой ситуации звучит не как “у нас облако, поэтому КИИ нет”, а как: “проведён анализ инфраструктуры, установлено правовое основание использования систем, по таким-то объектам сделан вывод об отсутствии признаков объекта КИИ организации”. Это уже можно защищать перед регулятором.

Что входит в услугу категорирования КИИ для медицинских организаций

Мы начинаем не с шаблонов, а с разборки инфраструктуры. На первом этапе определяем, какие системы есть у организации, что из этого относится к МИС, ЛВС или медицинскому оборудованию с АСУ, кому эти системы принадлежат и какие процессы они обеспечивают.

Далее проводится оценка: есть ли у организации объекты КИИ, требуется ли их категорирование, нужно ли присваивать категорию значимости или можно обосновать отсутствие необходимости её присвоения.

В рамках услуги мы готовим документы, которые фиксируют ход анализа и итоговую позицию организации. Это важно, потому что при запросе ФСТЭК или прокуратуры проверяющему нужен не устный комментарий ИТ-специалиста, а оформленный комплект материалов: что рассмотрели, на основании чего сделали вывод, какие сведения готовы представить.

Категорирование по ПП РФ №127 включает выявление процессов, определение объектов КИИ, формирование перечня объектов, оценку возможных последствий компьютерных инцидентов и принятие решения о присвоении категории либо об отсутствии необходимости её присвоения.

Документы по категорированию КИИ

Результат работы — это не универсальный “пакет по КИИ”, а комплект документов, привязанный к конкретной медицинской организации и её инфраструктуре.

В зависимости от ситуации могут быть подготовлены:

перечень рассматриваемых объектов;
документ о ответственно за обеспечение безопасности КИИ;
документы комиссии по категорированию;
Акты категорирования;
сведения для направления во ФСТЭК;
сопроводительное или ответное письмо для проверяющего органа.

Форма направления сведений о результатах присвоения объекту КИИ категории значимости либо об отсутствии необходимости присвоения категории утверждена приказом ФСТЭК России №236. Поэтому важно не только провести анализ, но и правильно оформить итоговые сведения.

Обоснование отсутствия объектов КИИ

Во многих медицинских организациях ключевая задача — не присвоить категорию, а корректно подтвердить, что объектов КИИ нет либо что конкретным объектам не требуется присвоение категории значимости.

Такой вывод должен быть обоснован. Проверяющий орган должен видеть, какие системы рассматривались, почему они не признаны объектами КИИ организации или почему по ним отсутствует необходимость присвоения категории.

Например, если МИС используется как облачный сервис и не принадлежит клинике на праве собственности, аренды или ином законном основании, это может быть важным аргументом. Но параллельно нужно проверить ЛВС и оборудование с АСУ. Если они есть и обеспечивают медицинские процессы, их нельзя исключать из анализа только потому, что МИС облачная.

Грамотное обоснование отсутствия объектов КИИ — это не отказ от процедуры. Это результат процедуры, оформленный так, чтобы организация могла подтвердить свою позицию при запросе регулятора.

Ответ на письмо ФСТЭК или прокуратуры по КИИ

Если в организацию поступил запрос по КИИ, лучше не готовить ответ до анализа инфраструктуры. Формальный ответ может создать больше проблем, чем его отсутствие: организация может заявить об отсутствии объектов КИИ, но при этом не иметь документов, которые подтверждают такой вывод.

Правильный порядок действий:

сначала изучить запрос;
определить, какие сведения требуют проверяющие;
проверить МИС, ЛВС и медицинское оборудование с АСУ;
оформить выводы;
подготовить ответное письмо с понятной позицией.

Такой подход показывает, что организация не игнорирует требования законодательства, а провела анализ и готова обосновать результат.

Почему стоит заказать категорирование КИИ у специалистов

В категорировании КИИ важно не просто знать закон. Нужно понимать, как устроена медицинская организация: какие системы действительно участвуют в медицинском процессе, где заканчивается облачный сервис провайдера и начинается инфраструктура клиники, какие элементы принадлежат организации, а какие нет.

Мы работаем с медицинскими организациями и понимаем специфику их инфраструктуры. Для нас МИС, ЛВС и медицинское оборудование с АСУ — не абстрактные термины из закона, а реальные элементы работы клиники, лаборатории или стоматологии.

В работе участвуют специалисты с профилем информационной безопасности. Мы помогаем сформировать позицию, которая понятна руководителю, ИТ-специалисту и проверяющему органу: какие объекты рассмотрены, какие выводы сделаны, какие документы подготовлены и что делать дальше.

Цель услуги — не “нагрузить” клинику лишней документацией, а закрыть вопрос КИИ профессионально: без необоснованного отнесения систем к объектам КИИ, без слабых формальных ответов и без риска, что при проверке у организации не окажется документов, подтверждающих её позицию.

Показать