Организация работы структурного подразделения по информационной безопасности. Часть 3
По новым требованиям в клинике должно быть отдельное структурное подразделение, которое обеспечивает ИБ. Его функции — обнаруживать, предупреждать и ликвидировать последствия компьютерных атак, реагировать на компьютерные инциденты. Есть два варианта.
✅ Существует два варианта создания отдела ИБ в медицинской организации. Первый – возложение функций по обеспечению информационной безопасности на существующий в МО отдел информационных технологий, связанный с работой с компьютерными сетями. (ИТ-отдел). Второй вариант – создание отдельного подразделения. Сотрудники отдела по ИБ должны следующим требованиям:
иметь высшее профобразование в области информационной безопасности или
иное высшее образование и документ, подтверждающий прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» со сроком обучения не менее 72 часов.
Прохождение не реже одного раза в пять лет обучения по программам повышения квалификации по направлению «Информационная безопасность» на курсах, аккредитованных ФСТЭК, обязательно для всех сотрудников отдела ИБ. Если в новый отдел по ИБ будут входить сотрудники уже существующего ИТ-отдела, то поручите отделу кадров направить специалистов на переобучение. Перечень образовательных организаций для переподготовки по информационной безопасности можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК). ✅ Проверьте, что квалификация сотрудников соответствует требованиям (п. 12 приказа ФСТЭК России от 21.12.2017 № 235). Задачи отдела. Основные цели отдела по ИБ:
снижение негативных последствий от угроз безопасности информации. Например, нарушение законодательства, экономический или репутационный ущерб;
защита конфиденциальных данных;
повышение защищенности от компьютерных атак.
✅ Отдел ИБ должен обеспечить защищенность данных на всех уровнях работы МИС:
сведения о пациентах;
данные о персонале;
информация о МО;
сведения о системе здравоохранения.
✅ Документы необходимые для функционирования отдела ИБ: 1. Положение о создании отдела по информационной безопасности, если создается новое подразделение. Если отдел по ИБ уже существует, внесите изменения в имеющиеся локальные документы. За образец возьмите типовое положение, которое разработало Правительство (постановление № 1272). 2. Приказ о назначении заместителя руководителя по информационной безопасности. 3. Должностные инструкции сотрудников отдела по ИБ. 4. Годовой план работ по обеспечению ИБ и формы отчетности от заместителя руководителя по ИБ. ✅ Проверки отдела ИБ Подразделения по ИБ обязаны сотрудничать с ФСТЭК и ФСБ и обеспечивать сотрудникам служб беспрепятственный доступ к информационным ресурсам МО для мониторинга, а также выполнять их указания по итогам проверок. Проверки могут быть плановые и внеплановые. ✅ ИБ на аутсорсинге Если в клинике нет своего отдела ИТ нет возможности создать отдел по ИБ, то разрешается привлекать аутсорсинговые компании — Корпоративные центры ГосСОПКА для передачи им части задач по мониторингу и реагированию на инциденты ИБ. К ним предъявляются серьезные требования, которые прописаны в методических рекомендациях по созданию Центров ГосСОПКА и регулируются ФСБ России. Если компания хочет стать Корпоративным центром и оказывать услуги, она должна подтвердить наличие разрешительных лицензий ФСТЭК России и ФСБ России, выполнить требования по кадровому и процессному обеспечению, а также внедрить необходимые технические средства. Наличие лицензии ФСТЭК у подрядчика возможно проверить в реестр лицензиатов, который возможно найти по следующей ссылке: https://reestr.fstec.ru/reg1
🟢 Обратите внимание! с 1 января 2025 г. запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.