Методические рекомендации Минздрава по категорированию объектов КИИ

Несколько дней назад на сайте ДИТ Минздрава России для общественного обсуждения был выложен проект документа Методические рекомендации по категорированию объектовкритической информационной инфраструктуры сферы здравоохранения

Давайте посмотрим на основные тезисы данного документа и отличия от остальных методических документов в сфере КИИ.

·        Явно перечислены виды организаций сферы здравоохранения, на которые распространяются действия МР – органы управления, лечебные организации, мед. организации особого типа, мед. организации по надзору, организации, осуществляющие фармацевтическую деятельность и т.п.

·        Подробные рекомендации по формированию комиссии по категорированию, в том числе форма приказа о создании, положение о комиссии, заключение комиссии.

·        Приведена форма и пример заполнения реестра бизнес-процессов (крайне полезно)

·        Здравые рекомендации по оценке критичности бизнес-процессов (на этом этапе оценивать не количественно, а качественно, такие-то показатели не оценивать, так как они не применимы и т.п.)


·        Приводится форма и пример заполнения итоговой информации о критических процессах и их связи с объектами КИИ

·        Приведены примеры объектов КИИ в соответствии с их типами – ИС или АСУ (а по этому пункту мне часто задают вопросы) Примеров мало, можно было бы сделать максимально исчерпывающий перечень – это облегчило бы работу ответственным лицам

·        Приведено много образцов документов – протоколы, акты, сопроводительные письма, . За это спасибо.

·        А вот алгоритм выбора сценариев реализации компьютерных атак на этапе категорирования представляется чрезмерно сложным – тут предлагается заполнить с десяток различных неочевидных таблиц, причем в явном виде такой вариант делать не требуется. Усложняют жизнь. У меня в блоге ранее был предложен гораздо более простой вариант.


 

Выводы:

·        Рекомендации крайне полезные, так как учитывают специфику сферы здравоохранения и содержат много конкретных примеров которые можно “брать и применять”

·        Можно было бы сделать отдельные примеры перечней бизнес-процессов и перечней объектов КИИ для организаций разных типов (гос. органы, лечебные организации, аптеки и т.п.) Это ещё больше облегчило бы работу для них

·        По категориям нарушителей, основным угрозам и типам компьютерных инцидентов можно было бы сделать готовые примеры перечней для организаций разных типов.   

 


PPS: Чтобы не пропустить другие рекомендации и практики по КИИ подписывайтесь в вашем любимом канале


Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3