Il Ministero della Salute ha presentato i parametri per la categorizzazione degli oggetti specializzati delle infrastrutture critiche informatizzate

Secondo la bozza di risoluzione governativa, i sistemi informativi degli enti statali del settore sanitario, delle istituzioni mediche, delle persone giuridiche russe impegnate in attività mediche e farmaceutiche, del Fondo federale di assicurazione medica obbligatoria, del Fondo territoriale di assicurazione medica obbligatoria e delle società russe che garantiscono l'interazione informativa tra gli attori saranno categorizzati. La distribuzione dei sistemi di settore in gruppi sarà gestita da una commissione permanente di categorizzazione.

La valutazione sarà effettuata per ciascuno dei valori dell'indicatore di elenco applicabile al tema dell'infrastruttura informatica critica. Il Ministero della Salute propone di assegnare la categoria di significatività in base al valore più elevato di uno degli indicatori. Il Ministero della Salute propone di misurare i seguenti criteri: significatività sociale, politica, economica e ambientale. Il primo criterio prevede la valutazione del numero massimo possibile di persone che subiranno danni in caso di attacco informatico al sistema informativo, nonché il calcolo del tempo massimo ammissibile durante il quale il servizio pubblico fornito dall'operatore potrebbe non essere disponibile a causa di un guasto. Nel determinare gli indicatori di significatività economica, il Ministero della Salute propone di valutare la diminuzione del livello di reddito dell'operatore per tutti i tipi di attività durante gli attacchi.

Entro 10 giorni lavorativi dalla data di inserimento della piattaforma nell'elenco delle infrastrutture informatiche critiche, il suo titolare, secondo la bozza, deve inviare al Servizio federale per il controllo tecnico e delle esportazioni (FSTEC) un pacchetto di dati, comprendente: informazioni sull'impianto dell'infrastruttura informatica critica, informazioni sul proprietario del sistema, sui programmi e software e hardware utilizzati, sulle minacce alla sicurezza o sulla loro assenza, sulle possibili conseguenze di attacchi informatici e altre indicazioni.

Inoltre, il Ministero della Salute ha incluso nella bozza del documento un algoritmo per valutare l'entità delle conseguenze degli attacchi informatici ai sistemi informativi del settore. Pertanto, in tali incidenti, l'autore del regolamento propone di considerare gli scenari peggiori, durante i quali il funzionamento di un'infrastruttura informatica critica nel settore sanitario potrebbe essere interrotto o compromesso, per determinare la dipendenza di alcuni sistemi da altri e per identificare dati statistici sugli attacchi hacker che si sono verificati in precedenza su strutture simili.

La discussione pubblica della bozza di risoluzione governativa avrà luogo fino al 18 luglio 2025.

Il settore delle infrastrutture critiche informatizzate è attualmente regolamentato dalla legge federale "Sulla sicurezza delle infrastrutture critiche informatizzate della Federazione Russa", nonché dalle norme per la classificazione degli oggetti delle infrastrutture critiche informatizzate, approvate dal governo russo nel febbraio 2018. All'inizio di giugno 2025, la FSTEC ha pubblicato una bozza di elenco di oggetti tipici delle infrastrutture critiche informatizzate per il settore. Il documento proponeva di includere, tra gli altri, il sistema informativo medico di organizzazioni specializzate, i sistemi delle aziende farmaceutiche e il Sistema Informativo Statale per l'Assicurazione Medica Obbligatoria. La discussione pubblica del documento si è conclusa il 18 giugno 2025.