Le ministère de la Santé a présenté les paramètres de catégorisation des objets spécialisés des infrastructures d'information critiques

Selon le projet de résolution gouvernementale, les systèmes d'information des organismes publics du secteur de la santé, des établissements médicaux, des personnes morales russes exerçant des activités médicales et pharmaceutiques, de la Caisse fédérale d'assurance maladie obligatoire, de la Caisse territoriale d'assurance maladie obligatoire et des entreprises russes assurant l'interaction informationnelle entre les acteurs seront catégorisés. La répartition des systèmes sectoriels en groupes sera assurée par une commission permanente de catégorisation.

L'évaluation sera réalisée pour chacune des valeurs de l'indicateur de liste applicable à l'infrastructure d'information critique. Le ministère de la Santé propose d'attribuer la catégorie d'importance en fonction de la valeur la plus élevée de l'un des indicateurs. Le ministère de la Santé propose de mesurer les critères suivants : importance sociale, politique, économique et environnementale. Le premier critère consiste à évaluer le nombre maximal de personnes susceptibles de souffrir en cas d'attaque informatique du système d'information, ainsi qu'à calculer la durée maximale autorisée d'indisponibilité du service public fourni par l'opérateur suite à une panne. Pour déterminer les indicateurs d'importance économique, le ministère de la Santé propose d'évaluer la baisse du niveau de revenu de l'opérateur pour tous les types d'activités pendant les attaques.

Dans les 10 jours ouvrables à compter de la date d'inscription de la plateforme sur la liste des infrastructures d'information critiques, son titulaire, selon le projet, doit envoyer au Service fédéral de contrôle technique et d'exportation (FSTEC) un ensemble de données comprenant : des informations sur l'installation d'infrastructure d'information critique, des informations sur le propriétaire du système, sur les programmes et logiciels et le matériel utilisés, sur les menaces de sécurité ou leur absence, sur les conséquences possibles des attaques informatiques et d'autres indications.

Par ailleurs, le ministère de la Santé a intégré au projet de règlement un algorithme permettant d'évaluer l'ampleur des conséquences des attaques informatiques sur les systèmes d'information du secteur. Ainsi, face à de tels incidents, l'auteur du règlement propose d'envisager les scénarios les plus pessimistes, susceptibles d'interrompre ou de perturber le fonctionnement d'une infrastructure informatique critique du secteur de la santé, de déterminer la dépendance de certains systèmes à d'autres et d'identifier des données statistiques sur les attaques informatiques survenues précédemment sur des installations similaires.

La discussion publique du projet de résolution gouvernementale aura lieu jusqu'au 18 juillet 2025.

Le domaine des infrastructures d'information critiques est actuellement réglementé par la loi fédérale « Sur la sécurité des infrastructures d'information critiques de la Fédération de Russie », ainsi que par les règles de catégorisation des objets d'infrastructure d'information critiques approuvées par le gouvernement russe en février 2018. Début juin 2025, le FSTEC a publié un projet de liste des objets d'infrastructure d'information critiques typiques du secteur. Ce document proposait d'inclure, entre autres, le système d'information médicale des organisations spécialisées, les systèmes des organisations pharmaceutiques et le système d'information national de l'assurance maladie obligatoire parmi ces objets. La discussion publique sur le document s'est terminée le 18 juin 2025.