4.1. Взаимосвязь сил и средств обеспечения информационной безопасности в сфере здравоохранения

Минздрав России в пределах своих полномочий выполняет следующие функции в системе обеспечения информационной безопасности в сфере здравоохранения:

- регулирует и контролирует деятельность участников системы обеспечения информационной безопасности в сфере здравоохранения;

- создает на базе подведомственного учреждения отраслевой центр информационной безопасности;

- в случаях, установленных законодательством Российской Федерации, осуществляет согласование с ФСТЭК России, ФСБ России проектов отраслевых стандартов и методических рекомендаций по защите информации в информационных системах в сфере здравоохранения, дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, учитывающих особенности функционирования значимых объектов критической информационной инфраструктуры в сфере здравоохранения;

- утверждает отраслевые стандарты и методические рекомендации по защите информации в информационных системах в сфере здравоохранения, дополнительные требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, учитывающих особенности функционирования значимых объектов критической информационной инфраструктуры в сфере здравоохранения;

- координирует и контролирует выполнение субъектами критической информационной инфраструктуры в сфере здравоохранения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования;

- устанавливает дополнительные требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, учитывающие особенности функционирования значимых объектов критической информационной инфраструктуры в сфере здравоохранения;

- согласовывает перечень объектов критической информационной инфраструктуры в сфере здравоохранения в части подведомственных субъектов критической информационной инфраструктуры <34>.

--------------------------------

<34> См. Правила категорирования объектов критической информационной инфраструктуры, утвержденные постановлением Правительства Российской Федерации от 08 февраля 2018 г. N 127. п. 15.

В целях обеспечения единых подходов к управлению системой обеспечения информационной безопасности в сфере здравоохранения отраслевой центр информационной безопасности в пределах своих полномочий выполняет следующие функции:

- организует и координирует деятельность участников системы обеспечения информационной безопасности в сфере здравоохранения;

- привлекается к осуществлению ведомственного контроля выполнения требований по защите информации в информационных системах в сфере здравоохранения, заказчиками и (или) операторами которых являются Минздрав России или подведомственные ему организации;

- привлекается к осуществлению контроля выполнение субъектами критической информационной инфраструктуры в сфере здравоохранения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования;

- разрабатывает проекты дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, учитывающих особенности функционирования значимых объектов критической информационной инфраструктуры в сфере здравоохранения;

- разрабатывает проекты отраслевых стандартов и методических рекомендаций по защите информации в информационных системах в сфере здравоохранения;

- осуществляет функции ведомственного центра ГосСОПКА в отношении объектов КИИ Минздрава России, а также объектов КИИ подведомственных учреждений и иных организаций, перечень которых определяется Минздравом России, и выполняет функции, определенные соглашением с НКЦКИ;

- осуществляет функции отраслевого центра ГосСОПКА в сфере здравоохранения, координирует силы и средства обеспечения информационной безопасности в сфере здравоохранения при обнаружении компьютерных атак, реагировании на инциденты, ликвидации их последствий, а при необходимости - принимает участие в мероприятиях по ликвидации последствий инцидентов в информационных системах в сфере здравоохранения;

- осуществляет непрерывное взаимодействие с НКЦКИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак на объекты критической информационной инфраструктуры Минздрава России;

- осуществляет функции отраслевого центра компетенции по вопросам обеспечения информационной безопасности в сфере здравоохранения, реагирования на компьютерные инциденты, связанные с нарушением или прекращением их функционирования, ликвидации последствий таких инцидентов;

- координирует вопросы организации функционирования защищенных сетей передачи данных, используемых для взаимодействия информационных систем в сфере здравоохранения;

- взаимодействует с ФСТЭК России и ФСБ России по вопросам обеспечения защиты информации в информационных системах в сфере здравоохранения, в том числе в рамках осуществления ими государственного контроля (надзора) в организациях, являющихся операторами информационных систем в сфере здравоохранения;

- оказывает методическую и практическую помощь участникам системы обеспечения информационной безопасности в сфере здравоохранения по вопросам защиты информации;

- осуществляет организацию и контроль качества подготовки кадров по информационной безопасности для сферы здравоохранения.

Ситуационный центр Минздрава России обеспечивает деятельность руководства Минздрава России и сотрудников профильных департаментов Минздрава России при реализации функций оценки, анализа и прогнозирования ситуации, стратегического, текущего и оперативного планирования, мониторинга и контроля исполнения управленческих решений в сфере здравоохранения.

Ситуационный центр Минздрава России является организационным ядром системы распределенных ситуационных центров сферы здравоохранения на федеральном и региональном уровне. Отраслевой центр информационной безопасности Минздрава России является для ситуационного центра Минздрава России источником оперативной и аналитической информации, необходимой для принятия комплексных управленческих решений в сфере здравоохранения.

Органы государственной власти субъектов Российской Федерации в сфере охраны здоровья и органы местного самоуправления в сфере охраны здоровья в пределах своих полномочий выполняют функции по обеспечению информационной безопасности в информационных системах в сфере здравоохранения, в том числе:

- обеспечивают выполнение требований по защите информации в информационных системах в сфере здравоохранения;

- осуществляют контроль за выполнением требований по защите информации в информационных системах в сфере здравоохранения.

В целях решения задач по обеспечению информационной безопасности в информационных системах в сфере здравоохранения и контроля за выполнением требований безопасности органы государственной власти субъектов Российской Федерации в сфере охраны здоровья и органы местного самоуправления в сфере охраны здоровья при необходимости могут привлекать отраслевой центр информационной безопасности Минздрава России.

В рамках системы обеспечения информационной безопасности в сфере здравоохранения Минздрав России и подведомственные организации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования, органы государственной власти субъектов Российской Федерации в сфере охраны здоровья, органы местного самоуправления в сфере охраны здоровья, медицинские и фармацевтические организации могут выступать как в роли заказчиков информационных систем, так и в роли операторов информационных систем.

Заказчики информационных систем в сфере здравоохранения:

- принимают решения о необходимости защиты информации, содержащейся в информационной системе в сфере здравоохранения;

- классифицируют информационные системы в сфере здравоохранения по требованиям защиты информации;

- определяют угрозы безопасности информации, реализация которых может привести к нарушению безопасности информации, и разрабатывают на их основе и с учетом отраслевых стандартов модели угроз безопасности информации для информационных систем в сфере здравоохранения;

- определяют требования к системам защиты информации для информационных систем в сфере здравоохранения;

- организуют разработку и внедрение систем защиты информации информационных систем в сфере здравоохранения.

Операторы информационных систем в сфере здравоохранения обеспечивают защиту информации в ходе эксплуатации информационных систем и при выводе их из эксплуатации в соответствии с нормативными правовыми актами Российской Федерации и, при наличии, в соответствии с дополнительными требованиями, установленными заказчиками информационных систем.

Для проведения работ по защите информации в ходе создания и эксплуатации информационных систем в сфере здравоохранения заказчиками и операторами в соответствии с законодательством Российской Федерации при необходимости могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации <35>.

--------------------------------

<35> См. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные Приказом ФСТЭК России от 11.02.2013 N 17.

Организации, являющиеся операторами иных информационных систем, которые могут взаимодействовать с информационными системами в сфере здравоохранения, и организации, информационные ресурсы и (или) инфраструктура которых используются в сфере здравоохранения, обеспечивают информационную безопасность принадлежащих им информационных систем, информационных ресурсов и инфраструктуры в соответствии с правовыми актами Российской Федерации.

Информационная безопасность в информационных системах в сфере здравоохранения обеспечивается путем реализации в информационных системах (включая информационно-телекоммуникационные сети и защищенные сети передачи данных) мер защиты информации в соответствии с требованиями, установленными заказчиками информационных систем на основании правовых актов Российской Федерации. Выполнение требований к мерам защиты подтверждается:

- результатами приемочных испытаний информационных систем на соответствие техническому заданию на создание или модернизацию информационной системы;

- результатами аттестации по требованиям безопасности информации в случаях, установленных правовыми актами;

- результатами периодического контроля за обеспечением уровня защищенности (оценки эффективности мер защиты информации, контроля за обеспечением безопасности) информационных систем в сфере здравоохранения.

Безопасность информации в защищенных сетях передачи данных федерального, регионального и муниципального уровня, используемых для взаимодействия информационных систем в сфере здравоохранения, должна обеспечиваться на основе требований правовых актов Российской Федерации. Безопасность информации в защищенных сетях передачи данных должна обеспечиваться на основе следующих принципов:

- законность;

- централизованный подход и стандартизация создания, функционирования, модернизации и управления защищенной сети передачи данных и ее компонентов;

- единство подходов к управлению доступом к защищенным сетям передачи данных;

- стандартизация требований по защите информации в инфраструктуре защищенной сети передачи данных и подключаемых конечных точках;

- резервирование каналов связи;

- реализация эшелонированной защиты защищенной сети передачи данных;

- регулярность, своевременность и полнота проводимых мероприятий по обеспечению информационной безопасности;

- осуществление взаимодействия в электронной форме, в том числе с гражданами и организациями в соответствии с правилами и принципами, установленными национальными стандартами Российской Федерации в области криптографической защиты информации;

- применение средств криптографической защиты информации, сертифицированных ФСБ России.