По новым требованиям в клинике должно быть отдельное структурное подразделение, которое обеспечивает ИБ. Его функции — обнаруживать, предупреждать и ликвидировать последствия компьютерных атак, реагировать на компьютерные инциденты. Есть два варианта.
✅ Существует два варианта создания отдела ИБ в медицинской организации.
Первый – возложение функций по обеспечению информационной безопасности на существующий в МО отдел информационных технологий, связанный с работой с компьютерными сетями. (ИТ-отдел).
Второй вариант – создание отдельного подразделения.
Сотрудники отдела по ИБ должны следующим требованиям:
Если в новый отдел по ИБ будут входить сотрудники уже существующего ИТ-отдела, то поручите отделу кадров направить специалистов на переобучение.
Перечень образовательных организаций для переподготовки по информационной безопасности можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК).
✅ Проверьте, что квалификация сотрудников соответствует требованиям (п. 12 приказа ФСТЭК России от 21.12.2017 № 235).
Задачи отдела.
Основные цели отдела по ИБ:
1. Положение о создании отдела по информационной безопасности, если создается новое подразделение. Если отдел по ИБ уже существует, внесите изменения в имеющиеся локальные документы. За образец возьмите типовое положение, которое разработало Правительство (постановление № 1272).
2. Приказ о назначении заместителя руководителя по информационной безопасности.
3. Должностные инструкции сотрудников отдела по ИБ.
4. Годовой план работ по обеспечению ИБ и формы отчетности от заместителя руководителя по ИБ.
✅ Проверки отдела ИБ
Подразделения по ИБ обязаны сотрудничать с ФСТЭК и ФСБ и обеспечивать сотрудникам служб беспрепятственный доступ к информационным ресурсам МО для мониторинга, а также выполнять их указания по итогам проверок. Проверки могут быть плановые и внеплановые.
✅ ИБ на аутсорсинге
Если в клинике нет своего отдела ИТ нет возможности создать отдел по ИБ, то разрешается привлекать аутсорсинговые компании — Корпоративные центры ГосСОПКА для передачи им части задач по мониторингу и реагированию на инциденты ИБ. К ним предъявляются серьезные требования, которые прописаны в методических рекомендациях по созданию Центров ГосСОПКА и регулируются ФСБ России. Если компания хочет стать Корпоративным центром и оказывать услуги, она должна подтвердить наличие разрешительных лицензий ФСТЭК России и ФСБ России, выполнить требования по кадровому и процессному обеспечению, а также внедрить необходимые технические средства.
Наличие лицензии ФСТЭК у подрядчика возможно проверить в реестр лицензиатов, который возможно найти по следующей ссылке: https://reestr.fstec.ru/reg1
🟢 Обратите внимание! с 1 января 2025 г. запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
✅ Существует два варианта создания отдела ИБ в медицинской организации.
Первый – возложение функций по обеспечению информационной безопасности на существующий в МО отдел информационных технологий, связанный с работой с компьютерными сетями. (ИТ-отдел).
Второй вариант – создание отдельного подразделения.
Сотрудники отдела по ИБ должны следующим требованиям:
- иметь высшее профобразование в области информационной безопасности или
- иное высшее образование и документ, подтверждающий прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» со сроком обучения не менее 72 часов.
Если в новый отдел по ИБ будут входить сотрудники уже существующего ИТ-отдела, то поручите отделу кадров направить специалистов на переобучение.
Перечень образовательных организаций для переподготовки по информационной безопасности можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК).
✅ Проверьте, что квалификация сотрудников соответствует требованиям (п. 12 приказа ФСТЭК России от 21.12.2017 № 235).
Задачи отдела.
Основные цели отдела по ИБ:
- снижение негативных последствий от угроз безопасности информации. Например, нарушение законодательства, экономический или репутационный ущерб;
- защита конфиденциальных данных;
- повышение защищенности от компьютерных атак.
- сведения о пациентах;
- данные о персонале;
- информация о МО;
- сведения о системе здравоохранения.
1. Положение о создании отдела по информационной безопасности, если создается новое подразделение. Если отдел по ИБ уже существует, внесите изменения в имеющиеся локальные документы. За образец возьмите типовое положение, которое разработало Правительство (постановление № 1272).
2. Приказ о назначении заместителя руководителя по информационной безопасности.
3. Должностные инструкции сотрудников отдела по ИБ.
4. Годовой план работ по обеспечению ИБ и формы отчетности от заместителя руководителя по ИБ.
✅ Проверки отдела ИБ
Подразделения по ИБ обязаны сотрудничать с ФСТЭК и ФСБ и обеспечивать сотрудникам служб беспрепятственный доступ к информационным ресурсам МО для мониторинга, а также выполнять их указания по итогам проверок. Проверки могут быть плановые и внеплановые.
✅ ИБ на аутсорсинге
Если в клинике нет своего отдела ИТ нет возможности создать отдел по ИБ, то разрешается привлекать аутсорсинговые компании — Корпоративные центры ГосСОПКА для передачи им части задач по мониторингу и реагированию на инциденты ИБ. К ним предъявляются серьезные требования, которые прописаны в методических рекомендациях по созданию Центров ГосСОПКА и регулируются ФСБ России. Если компания хочет стать Корпоративным центром и оказывать услуги, она должна подтвердить наличие разрешительных лицензий ФСТЭК России и ФСБ России, выполнить требования по кадровому и процессному обеспечению, а также внедрить необходимые технические средства.
Наличие лицензии ФСТЭК у подрядчика возможно проверить в реестр лицензиатов, который возможно найти по следующей ссылке: https://reestr.fstec.ru/reg1
🟢 Обратите внимание! с 1 января 2025 г. запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
