"Концепция информационной безопасности в сфере здравоохранения" (утв. протоколом президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности от 10.03.2022 N 7)
- Концепция
- Сокращения, термины и определения
- Введение
- 1. Область действия Концепции
- 2. Характеристика текущего состояния защиты информации сферы здравоохранения
- 2.1. Структура информационных систем в сфере здравоохранения
- 2.1.1. Систематизированная информация об информационных системах в сфере здравоохранения
- 2.1.2. Результаты анализа фактического состояния защиты информации в информационных системах в сфере здравоохранения
- 2.1.3. Результаты анализа проектов по цифровизации здравоохранения, в том числе влияния результатов их реализации на защиту информации в информационных системах в сфере здравоохранения
- 2.1.4. Типовые подходы и эскизные решения реализации систем защиты информации в информационных системах в сфере здравоохранения
- 2.2. Цели и задачи защиты информации в информационных системах в сфере здравоохранения
- 2.2.1. Результаты анализа нормативных правовых актов Российской Федерации и национальных стандартов Российской Федерации в сфере защиты информации
- 2.2.2. Определение основных типов угроз безопасности информации в информационных системах в сфере здравоохранения
- Угрозы безопасности информации, связанные с преднамеренными и непреднамеренными действиями внутреннего нарушителя
- Угрозы безопасности информации, связанные с применением методов социальной инженерии
- Угрозы безопасности информации, связанные с уничтожением или блокированием информации вредоносным программным обеспечением
- Угрозы безопасности информации, связанные с передачей информации по каналам связи
- Угрозы безопасности информации, связанные с использованием нарушителем уязвимостей и недекларированных возможностей программного обеспечения
- Угрозы безопасности информации, связанные с нарушением функционирования средств, реализующих технологии искусственного интеллекта
- Угрозы безопасности информации, связанные с нарушениями предоставления облачных услуг
- Угрозы безопасности информации, связанные с техногенными источниками
- 2.2.3. Результаты анализа негативных последствий информационной безопасности в информационных системах в сфере здравоохранения, связанных с нарушением или прекращением функционирования информационных систем в сфере здравоохранения, а также защиты информации
- Невозможность предоставления медицинских услуг и оказания медицинской помощи, оказание ненадлежащей медицинской помощи
- Невозможность точного определения диагноза и назначения лечения, а также невозможность обеспечения преемственности оказания медицинской помощи
- Неправомерное использование конфиденциальной информации, обрабатываемой в информационных системах в сфере здравоохранения
- 2.2.4. Определение целей создания системы обеспечения информационной безопасности в сфере здравоохранения
- 2.2.5. Определение задач, решение которых необходимо для создания системы обеспечения информационной безопасности в сфере здравоохранения
- 3. Нормативное правовое регулирование в сфере защиты информации в информационных системах в сфере здравоохранения, основные принципы и подходы к обеспечению защиты информации в информационных системах в сфере здравоохранения
- 3.1. Перечень нормативных правовых актов Российской Федерации и национальных стандартов Российской Федерации, на основании которых разрабатывается Концепция
- 3.2. Основные принципы и подходы к обеспечению защиты информации в информационных системах в сфере здравоохранения
- 3.2.1. Основные принципы и подходы к обеспечению защиты информации при ее обработке в информационных системах в сфере здравоохранения
- 3.2.2. Основные принципы и подходы к обеспечению защиты информации в информационных системах в сфере здравоохранения при межведомственном взаимодействии, а также при ее передаче по сетям связи в рамках обмена информацией между информационными системами в сфере здравоохранения
- 3.2.3. Основные принципы и подходы к обеспечению защиты информации в иных информационных системах, которые могут взаимодействовать с информационными системами в сфере здравоохранения
- 3.2.4. Единые подходы к обеспечению безопасности объектов критической информационной инфраструктуры, функционирующих в сфере здравоохранения, и к взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
- 4. Архитектура системы обеспечения информационной безопасности в сфере здравоохранения и требования к обеспечению защиты информации в информационных системах в сфере здравоохранения. Эскизные решения
- 4.1. Взаимосвязь сил и средств обеспечения информационной безопасности в сфере здравоохранения
- 4.2. Требования к обеспечению защиты информации в информационных системах в сфере здравоохранения
- 4.3. Эскизные решения по реализации мер защиты информации в информационных системах в сфере здравоохранения
- 5. Основные принципы и подходы к выбору и (или) разработке программного обеспечения информационных систем в сфере здравоохранения
- 6. Основные принципы и подходы к мониторингу защиты информации в информационных системах в сфере здравоохранения. Обнаружение компьютерных атак и реагирование на инциденты информационной безопасности в информационных системах и объектах критической информационной инфраструктуры в сфере здравоохранения. Архитектура, эскизные решения
- 6.1. Основные принципы и подходы к мониторингу защиты информации в информационных системах в сфере здравоохранения. Обнаружение компьютерных атак и реагирование на инциденты информационной безопасности в информационных системах и объектах критической информационной инфраструктуры в сфере здравоохранения
- Осуществление мониторинга защиты информации на основе нормативной правовой базы Российской Федерации
- Разделение функций по осуществлению мониторинга между участниками системы обеспечения информационной безопасности в сфере здравоохранения
- Единство координации, контроля реализации, научно-технической и организационно-методической политики комплекса технических и организационных мер обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы в сфере здравоохранения
- Достаточность и рациональность использования сил обнаружения, предупреждения и ликвидации последствий компьютерных атак
- 6.2. Архитектура, эскизные решения построения системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
- 7. Основные этапы реализации концепции
- Приложение I
- Архитектура системы обеспечения информационной безопасности в сфере здравоохранения. Организационная схема
- Архитектура системы обеспечения информационной безопасности в сфере здравоохранения. Функциональная схема
- Приложение II. Эскизные решения по реализации мер защиты информации в информационных системах в сфере здравоохранения
- 1. Порядок реализации мер защиты информации в информационных системах в сфере здравоохранения
- 2. Необходимость использования оператором средств защиты информации
- 2.1. Эскизные решения для информационных систем при размещении всех технических средств в инфраструктуре оператора информационной системы
- 2.2. Эскизные решения для информационных систем классов защищенности 2 и 1 при использовании облачных услуг по модели "инфраструктура как услуга"
- 2.3. Эскизные решения для информационных систем класса защищенности 3 при использовании облачных услуг по модели "инфраструктура как услуга"
- 2.4. Эскизные решения для информационных систем классов защищенности 2 и 1 при использовании облачных услуг по модели "платформа как услуга"
- 2.5. Эскизные решения для информационных систем класса защищенности 3 при использовании облачных услуг по модели "платформа как услуга"
- 2.6. Эскизные решения для информационных систем при использовании облачных услуг по модели "программное обеспечение как услуга"
- 3. Решения по организационно-техническим мероприятиям
- Приложение III. Архитектура системы реагирования на компьютерные атаки и инциденты информационной безопасности в сфере здравоохранения
- Приложение IV. Эскизные решения построения системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
- 1. Требования к технической реализации функций системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
- 1.1. Предупреждение компьютерных атак
- 1.1.1. Сбор и обработка сведений об инфраструктуре информационных систем в сфере здравоохранения
- 1.1.2. Сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения, используемого в информационной системе в сфере здравоохранения
- 1.2. Обнаружение компьютерных атак
- 1.2.1. Прием сообщений об инцидентах информационной безопасности от персонала и пользователей информационной системы в сфере здравоохранения
- 1.2.2. Сбор событий информационной безопасности
- 1.2.3. Анализ событий информационной безопасности
- 1.3. Ликвидация последствий компьютерных атак
- 2. Взаимодействие сторон в рамках системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения
- 2.1. Взаимодействие отраслевого центра информационной безопасности Минздрава России и центров ГосСОПКА с организациями в сфере здравоохранения
- 2.2. Взаимодействие отраслевого центра информационной безопасности Минздрава России с НКЦКИ
- 2.3. Взаимодействие отраслевого центра информационной безопасности Министерства здравоохранения Российской Федерации с центрами ГосСОПКА
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей