Информационные системы в сфере здравоохранения применяются для обработки информации, необходимой для обеспечения критических процессов, и (или) для управления, контроля критических процессов, связанных с оказанием медицинской помощи. Нарушение или прекращение функционирования таких информационных систем может привести к причинению ущерба жизни и здоровью граждан <36>. Такие системы в соответствии с законодательством Российской Федерации относятся к значимым объектам критической информационной инфраструктуры и подлежат защите в соответствии с требованиями правовых актов Российской Федерации в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.
--------------------------------
<36> См. Постановление Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
К силам обеспечения безопасности оператора информационной системы в сфере здравоохранения относятся:
- подразделения (работники) оператора, ответственные за обеспечение безопасности информационных систем;
- подразделения (работники) оператора, эксплуатирующие информационные системы;
- подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) технических средств информационных систем;
- иные подразделения (работники), участвующие в обеспечении безопасности информационных систем и (или) информационно-телекоммуникационных систем оператора.
Общее руководство по вопросам обеспечения информационной безопасности осуществляет руководитель организации сферы здравоохранения или его заместитель.
Руководитель организации, являющейся оператором информационной системы в сфере здравоохранения, определяет структурное подразделение, ответственное за защиту информации в информационных системах в сфере здравоохранения (структурное подразделение по информационной безопасности), или назначает отдельных работников, ответственных за защиту информации в информационных системах в сфере здравоохранения (специалистов по информационной безопасности). В соответствии с требованиями правовых актов Российской Федерации структурное подразделение по информационной безопасности, специалисты по информационной безопасности должны осуществлять следующие функции:
- разрабатывать предложения по совершенствованию организационно-распорядительных документов по защите информации в информационных системах и информационно-телекоммуникационных сетях, находящихся в эксплуатации у оператора, представлять их руководителю оператора;
- проводить анализ угроз безопасности информации в отношении информационных систем и информационно-телекоммуникационных сетей, находящихся в эксплуатации у оператора, выявлять уязвимости в них;
- обеспечивать реализацию требований по защите информации в информационных системах и информационно-телекоммуникационных сетях оператора в соответствии с законодательством Российской Федерации;
- обеспечивать в соответствии с требованиями по защите информации реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
- осуществлять реагирование на компьютерные инциденты в соответствии с нормативными правовыми актами Российской Федерации и организационно-распорядительными документами оператора;
- организовывать проведение оценки соответствия информационных систем в сфере здравоохранения требованиям по защите информации;
- готовить предложения по совершенствованию функционирования систем защиты информации информационных систем в сфере здравоохранения;
- обеспечивать обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты;
- осуществлять развитие сил и средств в соответствии с правовыми актами в области обнаружения, предупреждения или ликвидации последствий компьютерных атак и компьютерных инцидентов.
Структурное подразделение по информационной безопасности, специалисты по информационной безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими информационные системы в сфере здравоохранения, и подразделениями (работниками), обеспечивающими функционирование информационных систем в сфере здравоохранения.
Подразделения (работники), обеспечивающие функционирование информационных систем в сфере здравоохранения, должны обеспечивать безопасность информационных систем и информационно-телекоммуникационных сетей, обеспечивающих их функционирование, в следующем объеме:
- осуществлять поддержку функционирования информационных систем и информационно-телекоммуникационных сетей, обеспечивающих их функционирование, в соответствии с эксплуатационной документацией;
- выполнять требования по обеспечению информационной безопасности, закрепленные в организационно-распорядительных документах по обеспечению информационной безопасности информационных систем в сфере здравоохранения, при поддержке функционирования информационных систем в сфере здравоохранения (при администрировании, наладке, регламентных работах);
- осуществлять контроль за конфигурацией информационных систем в сфере здравоохранения и информационно-телекоммуникационных сетей, обеспечивающих их функционирование, и поддерживать ее неизменность с учетом функционирующей системы защиты информации;
- осуществлять взаимодействие с подразделением по информационной безопасности, специалистом по информационной безопасности в части информирования о нештатных ситуациях и инцидентах, выявленных в процессе выполнения работ по поддержке функционирования информационных систем в сфере здравоохранения и информационно-телекоммуникационных сетей, обеспечивающих их функционирование;
- осуществлять взаимодействие с подразделением по информационной безопасности, специалистом по информационной безопасности в части информирования о планируемых и (или) произошедших изменениях в конфигурации информационных систем в сфере здравоохранения и информационно-телекоммуникационных сетей, обеспечивающих их функционирование;
- осуществлять взаимодействие с подразделением по информационной безопасности, специалистом по информационной безопасности в части выявления сбоев в функционировании средств защиты информации в информационных системах в сфере здравоохранения и информационно-телекоммуникационных сетях, обеспечивающих их функционирование;
- осуществлять взаимодействие с подразделением, эксплуатирующим информационные системы в сфере здравоохранения, по вопросам возникновения в процессе эксплуатации информационных систем в сфере здравоохранения нештатных ситуаций и инцидентов;
- осуществлять внутренний контроль за соблюдением установленных для информационных систем в сфере здравоохранения правил и процедур обработки и защиты информации;
- оказывать содействие подразделению по информационной безопасности, специалисту по информационной безопасности в части выполнения мероприятий по реагированию на инциденты информационной безопасности и принимать непосредственное участие в этих мероприятиях в объеме, предусмотренном в организационно-распорядительных документах по обеспечению информационной безопасности информационных систем в сфере здравоохранения.
Подразделения (работники), эксплуатирующие информационные системы в сфере здравоохранения, должны обеспечивать безопасность эксплуатируемых информационных систем и информационно-телекоммуникационных сетей, обеспечивающих их функционирование, в следующем объеме:
- осуществлять эксплуатацию информационных систем и информационно-телекоммуникационных сетей, обеспечивающих их функционирование, в соответствии с эксплуатационной документацией;
- выполнять требования по обеспечению информационной безопасности, закрепленные в организационно-распорядительных документах по обеспечению информационной безопасности информационных систем в сфере здравоохранения, при эксплуатации информационных систем в сфере здравоохранения;
- осуществлять взаимодействие с подразделением по информационной безопасности, специалистом по информационной безопасности в части информирования о нештатных ситуациях и инцидентах, выявленных в процессе эксплуатации информационных систем в сфере здравоохранения;
- осуществлять внутренний контроль за соблюдением установленных для эксплуатируемых подразделением информационных систем в сфере здравоохранения правил и процедур обработки и защиты информации;
- оказывать содействие подразделению по информационной безопасности, специалисту по информационной безопасности в части выполнения мероприятий по реагированию на инциденты информационной безопасности в объеме, предусмотренном в организационно-распорядительных документах по обеспечению информационной безопасности информационных систем в сфере здравоохранения.
Оператор информационных систем в сфере здравоохранения должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности информационных систем в сфере здравоохранения и о возможных угрозах безопасности информации.
Нормативные правовые акты ФСТЭК России устанавливают требования к составу и содержанию мер защиты информации для следующих видов объектов защиты:
- государственные информационные системы в сфере здравоохранения;
- информационные системы персональных данных;
- значимые объекты критической информационной инфраструктуры Российской Федерации.
Требования к реализации мер защиты устанавливаются в соответствии с правовыми актами Российской Федерации для информационных систем в сфере здравоохранения (включая информационно-телекоммуникационные сети и защищенные сети передачи данных). Использование для функционирования информационных систем в сфере здравоохранения информационных ресурсов и инфраструктуры сторонних организаций допускается только при выполнении требований по защите информации, установленных для информационных систем.
В случае если на информационную систему одновременно распространяются требования двух или более нормативных правовых актов, при реализации мер защиты информации должны быть учтены требования всех этих актов.
Правовые акты Российской Федерации определяют базовые меры защиты информационной системы и (или) информационно-телекоммуникационной сети. Выбор мер защиты, которые должны быть реализованы, производится обладателем информации по следующим правилам:
- на основании класса защищенности государственной информационной системы, уровня защищенности персональных данных и (или) категории значимости объекта критической информационной инфраструктуры в соответствии с требованиями соответствующего правового акта ФСТЭК России формируется базовый набор мер защиты информации;
- из базового набора могут исключаться меры защиты, непосредственно связанные с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе (процедура адаптации базового набора мер защиты);
- если адаптированный базовый набор мер защиты информации не обеспечивает блокирование или нейтрализацию всех угроз, включенных в модель угроз безопасности информации, в него включаются недостающие меры защиты информации, необходимые для противодействия угрозам (процедура уточнения адаптированного базового набора мер защиты информации).
Если уточненный адаптированный базовый набор мер защиты информации не обеспечивает полное соответствие требованиям о защите информации, установленным иными нормативными актами, в него также включаются дополнительные меры защиты информации (процедура дополнения уточненного адаптированного базового набора мер защиты информации). Требования к каждой выбранной мере защиты информации определяются в соответствии с правовыми актами ФСТЭК России <37>.
--------------------------------
<37> Методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 г.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей