Приложение N 2. Положение о постоянно действующей комиссии по категорированию объектов КИИ (проект)

Положение

о постоянно действующей комиссии по категорированию

объектов КИИ

<полное наименование организации сферы здравоохранения>

(проект)

1. Положение о комиссии по категорированию объектов критической информационной инфраструктуры (далее - Комиссия) определяет задачи, функции Комиссии, ее права и порядок организации ее деятельности.

2. Комиссия создается для организации работ по категорированию объектов КИИ <наименование организации сферы здравоохранения>.

3. Комиссия является постоянно действующим консультативно-совещательным органом.

4. Комиссия в своей деятельности руководствуется федеральными законами, актами Президента Российской Федерации, Правительства Российской Федерации, в том числе Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127, приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" и настоящим Положением.

5. Состав Комиссии устанавливается приказом по Организации.

6. Комиссия выполняет следующие функции:

6.1. определение бизнес-процессов, в рамках выполнения функций (полномочий) или осуществления видов деятельности <наименование организации сферы здравоохранения>, как субъекта КИИ;

6.2. выявление критических бизнес-процессов <наименование организации сферы здравоохранения>;

6.3. выявление объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических бизнес-процессов, и (или) осуществляют управление, контроль или мониторинг критических бизнес-процессов, подготовка предложений для включения в перечень объектов КИИ, подлежащих категорированию, оценка необходимости категорирования вновь создаваемых объектов;

6.4. рассмотрение возможных действий нарушителей в отношении объектов КИИ, а также иных источников угроз безопасности информации;

6.5. анализ угроз безопасности информации и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ <наименование организации сферы здравоохранения>;

6.6. оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;

6.7. расчет показателей значимости для объектов КИИ;

6.8. присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им категорий значимости.

7. Организация деятельности Комиссии.

7.1. Заседания Комиссии проводятся по мере необходимости.

7.2. Решение о проведении заседаний Комиссии принимается председателем Комиссии на основании предложений членов Комиссии.

7.3. Заседания Комиссии проводятся в случае присутствия не менее 50% численного состава постоянных членов Комиссии. Присутствие на заседании Комиссии иных лиц, кроме членов Комиссии, допускается с разрешения председателя Комиссии. В случае отсутствия председателя Комиссии, его полномочия осуществляет один из членов Комиссии, назначенный Председателем Комиссии. При отсутствии кворума заседание Комиссии переносится на другую дату, определяемую Председателем Комиссии.

7.4. Все решения по рассматриваемым Комиссией вопросам принимаются открытым голосованием простым большинством голосов членов Комиссии. При голосовании каждый член Комиссии имеет один голос. При равенстве голосов решающим голосом является голос Председателя Комиссии.

7.5. Решение Комиссии о включении объектов КИИ, <наименование организации сферы здравоохранения>, в перечень объектов КИИ, подлежащих категорированию, оформляется Протоколом Комиссии, подписывается всеми присутствующими членами Комиссии и утверждается Председателем Комиссии.

7.6. Решение Комиссии о присвоении объектам КИИ <наименование организации сферы здравоохранения> одной из категорий значимости, а также решения об отсутствии необходимости присвоения категорий значимости оформляется Актом, подписывается Председателем Комиссии, всеми присутствующими членами Комиссии и утверждается руководителем <наименование организации сферы здравоохранения>.

7.7. Срок подписания проекта Акта Комиссии членом Комиссии не может превышать двух рабочих дней с даты его получения от Секретаря Комиссии. Подписанный членами Комиссии акт Комиссии, направляются Секретарем Комиссии не позднее двух календарных дней Председателю Комиссии на утверждение.

7.8. Акт оформляется с учетом пункта 16 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 N 127 и должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Допускается оформление единого акта по результатам категорирования нескольких объектов КИИ, принадлежащих <наименование организации сферы здравоохранения>.

7.9. В течение 10 рабочих дней со дня утверждения Акта, указанного в пункте 7.7 настоящего Положения, сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий направляются в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.

7.10. По результатам заседания Комиссии, помимо решений, указанных в пунктах 7.5, 7.6 настоящего Положения, могут приниматься иные решения Комиссии, которые должны быть отражены в Протоколе Комиссии.

8. Председатель Комиссии:

8.1. несет ответственность за соблюдение установленных сроков проведения категорирования;

8.2. организует работу Комиссии;

8.3. назначает дату, время и место проведения заседаний Комиссии;

8.4. утверждает повестку заседания Комиссии;

8.5. руководит заседанием Комиссии;

8.6. распределяет обязанности между членами Комиссии;

8.7. пользуется правами члена Комиссии при голосовании;

8.8. имеет право:

8.8.1. привлекать для решения частных задач работников <наименование организации сферы здравоохранения>, экспертов сторонних организаций, представителей вышестоящих организаций (без права голоса);

8.8.2. отдавать распоряжения в пределах установленных полномочий, обязательные для исполнения всеми работниками <наименование организации сферы здравоохранения>.

9. Секретарь Комиссии:

9.1. координирует деятельность членов Комиссии;

9.2. готовит проекты повесток заседаний Комиссии и представляет на утверждение председателю Комиссии;

9.3. своевременно информирует членов Комиссии о дате, времени, месте и повестке заседаний Комиссии;

9.4. совместно с членами Комиссии готовит информацию, документы, иные материалы к заседаниям Комиссии;

9.5. ведет протокол заседания Комиссии;

9.6. в течение 3 рабочих дней с даты проведения заседания Комиссии и в соответствии с ее решением готовит итоговые документы и представляет их на подпись председателю Комиссии и членам Комиссии;

9.7. организует и ведет делопроизводство Комиссии и обеспечивает сохранность документов Комиссии;

9.8. осуществляет организационно-техническое обеспечение деятельности Комиссии.

10. Члены Комиссии:

10.1. лично участвуют в заседании Комиссии;

10.2. участвуют в обсуждении вопросов, включенных в повестку заседания Комиссии;

10.3. знакомятся с информацией, документами и материалами по вопросам, вынесенным на обсуждение Комиссии на стадии их подготовки, вносят свои предложения;

10.4. имеют право формировать запросы о получении информации, необходимой для работы Комиссии;

10.5. в случае несогласия с принятым решением излагают свое особое мнение в письменном виде, которое прилагается к соответствующему Протоколу Комиссии.

11. Проекты заключений и актов Комиссии, не позднее 5 календарных дней со дня проведения заседания, направляются Секретарем Комиссии всем членам Комиссии на подписание, за исключением Председателя Комиссии.

12. Протоколы Комиссии и Акты должны храниться в <наименование организации сферы здравоохранения> до вывода из эксплуатации объекта КИИ или до пересмотра ранее установленной категории значимости.

13. Не реже чем один раз в 5 лет, а также в случае изменения показателей критериев значимости объектов критической информационной инфраструктуры или их значений, Комиссия осуществляет пересмотр установленной категории значимости в соответствии с настоящим Положением. В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности КИИ (ФСТЭК России).

14. Организационное и материально-техническое обеспечение деятельности Комиссии осуществляется за счет средств <наименование организации сферы здравоохранения>.

15. Комиссия подлежит расформированию в случаях:

15.1. прекращения <наименование организации сферы здравоохранения> выполнения функций (полномочий) или осуществления видов деятельности в сфере здравоохранения;

15.2. ликвидации, реорганизации <наименование организации сферы здравоохранения> и (или) изменения его организационно-правовой формы, в результате которых были утрачены признаки субъекта КИИ.

С приказом ознакомлены: