Вы должны определить список объектов КИИ коллегиально, в составе комиссии по КИИ. Сложно дать конкретный совет, не зная профиль вашего медучреждения. Но лично я бы в список объектов КИИ включил бы МИСы, диспетчерскую службу, 1С, локальную вычислительную сеть.

По объектам более менее понятно к вашему списку можно добавить медоборудования

А вот критические объекты какие будут считаться ?

МИСы, диспетчерская служба, 1С, ЛВС, томографы и т.п. и будут критическими объектами инфраструктуры (объектами КИИ). Но не все объекты КИИ (по результатам составления модели угроз, нарушителя и акта категорирования объектов КИИ) будут признаны значимыми.

К примеру, из 12-ти объектов КИИ значимым может быть признан только один. Тот, нарушение деятельности которого приведет к негативным последствиям согласно таблице 6 Методики определения угроз  безопасности информации в информационных системах (https://fstec.ru/component/attachments/download/812).

Яснее стало, спасибо.

Нет, не требуется

Коллеги, здравствуйте! Какие есть мнения о том, чему конкретно обучать пользователей ОКИИ? Требования в основном касаются сисадминов и безопасников. +требование по обучению пользователей. Пока включила в презентацию только информирование об инциденте, что считается инцидентом и УК РФ

Я понимаю, что зависит от объекта, но если в общем? Приходит ещё в голову защита от фишинга, важность паролей.. Чему вы обучаете (если обучаете) своих пользователей?

Судя из действующей редакции нормы уголовного кодекса, пользователей надо обучать не только правилам ИБ, но правилам эксплуатации ИС, ИТС, АСУ, являющейся ОКИИ, в принципе.

Пользователя необходимо обучать безопасному исполнению своих обязанностей.

Стоит начать с ознакомления с политикой ИБ, если она есть.

Да. Но для этого нужно хорошо понимать их обязанности. Безопасники зачастую далеки от производства, а обязанность по обучению ложится на них из-за приставки "безопасному"

Тогда толку нет от такого безопасника.

Мы включали в обучение цифровую гигиену и защиту еще. Показывали примеры как злоумышленники поступают и разводят на деньги людей.
Т.е. помимо выполнения регламентов по ИБ в организации, обучали людей собственной компьютерной защите. Такой подход вызвал заинтересованность у штатных сотрудников и положительную обратную связь.

В защиту такого безопасника. Если речь не о простых распространённых системах, а о специфических отраслевых, понимания тех.процессов в них не достаточно для формулирования принципов безопасной эксплуатации. Для этого есть техноголи, которые даже не айтишники, не то что не безопасники..

Отличная практика) в том числе, наверное, повышает лояльность к ИБ в целом. Ну и мотивацию личную поднимем. Сделаю

Безопасник обязан добиться разработки, утверждения и доведения до каждого задействованного работника: Работники, эксплуатирующие значимые объекты критической информационной инфраструктуры (пользователи), а также работники, обеспечивающие функционирование значимых объектов критической информационной инфраструктуры, должны выполнять свои обязанности на значимых объектах критической информационной инфраструктуры в соответствии с правилами безопасности, установленными организационно-распорядительными документами по безопасности значимых объектов (инструкциями, руководствами).
До работников должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся.
Субъект критической информационной инфраструктуры должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности критической информационной инфраструктуры и о возможных угрозах безопасности информации.   Правила безопасной работы работников субъекта критической информационной инфраструктуры на значимых объектах критической информационной инфраструктуры, действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций.

Если подходить с точки зрения формальностей и, допустим в той же больнице с ЗОКИИ, всех сотрудников заставлять читать регламенты, когда у сотрудников своих правил и регламентов полно, то все выливается в "поставлю подпись, лишь бы не прикапывались".
Поэтому, на мой взгляд, стоит заинтересовать сотрудников не только потому, что законодательство требует, но и банально чтобы было интересно сотруднику.
А так со всем написанным согласен.

"о возможных угрозах безопасности информации", "действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций" - никто кроме безопасника это не сделает. И это не "поставь галку",а выстраивание живого процесса с обратной связью и постоянной актуализацией.

Что касается возможных угроз в плане компьютерных атак, эксплуатации уязвимостей и т.п - это только безопасник. Но безопасная эксплуатация ОКИИ включает в себя и вывод из строя ОКИИ, в том числе непреднамеренный. Обучать тут может, имхо, тот, кто понимает технологию работы данного ОКИИ. Если это безопасник - честь ему и хвала, но это скорее исключение, разве нет?