КИИ в письмах из прокуратуры: что должен знать врач?

Согласно положениям закона № 187, субъектами КИИ признаются: государственные структуры, бюджетные учреждения, российские юридические лица и индивидуальные предприниматели, владеющие на праве собственности, аренды или иного законного основания информационными системами, телекоммуникационными сетями и автоматизированными управляющими комплексами, функционирующими в таких ключевых отраслях, как здравоохранение, наука, транспорт, связь, энергетика, банковская система и другие сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая отрасль, горнодобывающая, металлургическая и химическая промышленность, а также организации, обеспечивающие взаимодействие указанных систем.

Вывод: для корректного определения статуса субъекта КИИ требуется комплексная оценка:

• тип организационно-правовой формы;
• специфика осуществляемой деятельности;
• наличие информационных систем в соответствующей сфере;
• правовой режим владения этими системами.

Для наглядности рассмотрим процедуру категорирования объектов КИИ в здравоохранении на примере гипотетического медицинского учреждения «Клиника».

Медицинское учреждение «Клиника» зарегистрировано как юридическое лицо и имеет следующие коды ОКВЭД:

• основной вид деятельности – 86.22 «Специализированная врачебная практика»;
• дополнительный – 86.21 «Общая врачебная практика».

Медицинские организации обычно функционируют в качестве юридических лиц или государственных учреждений. В рассматриваемом случае статус юридического лица позволяет провести аналогичный анализ и для государственных медицинских учреждений.

Первым этапом определения статуса является идентификация сферы деятельности. Основной вид деятельности организации (ОКВЭД 86.22) и дополнительный (ОКВЭД 86.21) относятся к группе 86 «Деятельность в сфере здравоохранения», что подтверждает работу учреждения в данной отрасли. Следует отметить, что некоторые организации могут функционировать одновременно в нескольких сферах, в этом случае анализируется каждая из них.

Следующий этап – определение наличия у организации прав собственности, аренды или иного законного владения информационными системами, телекоммуникационными сетями и автоматизированными системами управления, функционирующими в сфере здравоохранения, включая высокотехнологичное компьютеризированное оборудование (томографы, лабораторные комплексы, рентгеновские установки и т. д.).

Существует два возможных сценария:

1. Организация не владеет указанными системами. Это может быть связано с использованием исключительно неавтоматизированного оборудования (например, стоматологических установок) и ведением документооборота в бумажном формате. В этом случае, несмотря на функционирование в сфере здравоохранения, «Клиника» не относится к субъектам КИИ, и соблюдение требований ФЗ №187 не требуется. Для официального подтверждения отсутствия объектов КИИ рекомендуется использовать шаблон «АКТ о выполнении требований ФЗ №187», доступный в разделе документации системы ЦСМК (папка «Информационная безопасность»).
2. Организация владеет высокотехнологичным автоматизированным оборудованием (рентгенодиагностические аппараты с цифровыми терминалами, гамма-камеры, автоматизированные лаборатории и т. п.). В этом случае «Клиника» признается субъектом КИИ и обязана соблюдать требования ФЗ №187.

При этом важно учитывать, что критерием владения является наличие системы на балансе организации, физическое размещение оборудования на ее территории, документальное оформление ввода информационных систем в эксплуатацию и т. д.

Системы, которыми организация лишь пользуется, но не владеет (например, медицинская информационная система, которой пользуется клиника, может принадлежать МИАЦ, ЕМИАС или ООО «Айдент», например), не учитываются при определении статуса субъекта КИИ.

В случае подтверждения статуса субъекта КИИ организация обязана провести процедуру категорирования.

Алгоритм действий:

1. Формирование комиссии по категорированию (образец приказа о создании доступен в системе ЦСМК, папка «Информационная безопасность»);
2. Формирование и направление в ФСТЭК утвержденного перечня объектов КИИ (образец перечня также доступен в системе ЦСМК);
3. Проведение комплексного анализа актуальных угроз информационной безопасности;
4. Выполнение процедуры категорирования в соответствии с Постановлением Правительства РФ № 127, утверждающим правила категорирования объектов КИИ и перечень критериев их значимости;
5. Подготовка акта, фиксирующего результаты проведенного категорирования;
6. Направление в ФСТЭК сведений о присвоенной категории значимости объекту КИИ или об отсутствии необходимости категорирования в соответствии с установленной формой (Приказ ФСТЭК № 236 от 22 декабря 2017 г.), образец которой доступен в системе ЦСМК.

Запрос прокуратуры по КИИ