132. На этапе "Реализация" осуществляется внедрение организационных и технических мер, реализация плана мероприятий по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения <66>. Этап предполагает выполнение следующих процедур:
--------------------------------
<66> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, п. 34.
- разработка организационно-распорядительных документов по безопасности значимых объектов КИИ;
- проектирование подсистемы безопасности значимых объектов КИИ;
- внедрение организационных и технических мер по обеспечению безопасности значимых объектов КИИ.
Состав процедур этапа "Планирование" создания подсистемы безопасности приведен в Приложении 18.
133. Организационно-распорядительные документы, определяющие порядок и правила функционирования системы безопасности значимых объектов КИИ организации сферы здравоохранения, а также порядок и правила обеспечения их безопасности, разрабатываются с учетом особенностей деятельности организации сферы здравоохранения, нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры. При этом, положения, определяющие порядок и правила обеспечения безопасности значимых объектов КИИ, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации) организации сферы здравоохранения, а также могут являться частью документов по вопросам функционирования значимого объекта КИИ. Состав и формы организационно-распорядительных документов определяются руководителем организации сферы здравоохранения по предложениям структурного подразделения по безопасности. Организационно-распорядительные документы должны соответствовать установленным требованиям <67>.
--------------------------------
<67> "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утв. приказом ФСТЭК России от 21.12.2017 N 235, раздел IV.
Организационно-распорядительные документы по безопасности значимых объектов КИИ утверждаются руководителем организации сферы здравоохранения (уполномоченным лицом). По решению руководителя организации сферы здравоохранения отдельные организационно-распорядительные документы по безопасности значимых объектов КИИ могут утверждаться иными уполномоченными на это лицами организации сферы здравоохранения.
Работники организации сферы здравоохранения, эксплуатирующие значимые объекты КИИ, должны быть ознакомлены с положениями организационно-распорядительных документов организации сферы здравоохранения по безопасности значимых объектов КИИ в части, их касающейся.
Перечень рекомендуемых организационно-распорядительных документов по обеспечению безопасности значимых объектов КИИ организации сферы здравоохранения приведен в Приложении 19.
134. Проектирование подсистемы безопасности значимого объекта КИИ организации сферы здравоохранения должно осуществляться в соответствии с техническим заданием на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта КИИ организации сферы здравоохранения.
135. В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:
- обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта КИИ организации сферы здравоохранения;
- практическую отработку выполнения средствами защиты информации функций безопасности;
- исключение влияния подсистемы безопасности на функционирование значимого объекта КИИ объекта сферы здравоохранения.
136. Применяемые средства защиты информации должны быть обеспечены гарантийной и/или технической поддержкой со стороны разработчиков (производителей). При этом, в значимом объекте КИИ не допускается техническая поддержка программных и программно-аппаратных средств, в том числе средств защиты информации, зарубежными организациями, а также организациями, находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц <68>.
--------------------------------
<68> "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации", утв. приказом ФСТЭК России от 25.12.2017 N 239, п. 32.
137. Состав и формы рабочей (эксплуатационной) документации определяются в соответствии с техническим заданием на подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения. Рабочая (эксплуатационная) документация на значимый КИИ объект должна содержать:
- описание архитектуры подсистемы обеспечения безопасности значимого объекта КИИ организации сферы здравоохранения;
- порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;
- правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).
138. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ организуется организацией сферы здравоохранения в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект КИИ и включает:
- установку и настройку средств защиты информации, настройку программных и программно-аппаратных средств;
- внедрение организационных мер по обеспечению безопасности значимого объекта КИИ организации сферы здравоохранения;
- предварительные испытания значимого объекта КИИ организации сферы здравоохранения и его подсистемы обеспечения безопасности;
- опытную эксплуатацию значимого объекта КИИ организации сферы здравоохранения и его подсистемы безопасности;
- анализ уязвимостей значимого объекта КИИ организации сферы здравоохранения и принятие мер по их устранению;
- приемочные испытания значимого объекта и его подсистемы безопасности.
139. Внедрение организационных и технических мер по обеспечению безопасности значимого объекта КИИ осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации <69>.
--------------------------------
<69> Утверждены приказом ФСТЭК России от 25.12.2017 N 239, п. 12 - 12.7.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей