Новости СРО НАКЭМ

Организация работы структурного подразделения по информационной безопасности. Часть 3

По новым требованиям в клинике должно быть отдельное структурное подразделение, которое обеспечивает ИБ. Его функции — обнаруживать, предупреждать и ликвидировать последствия компьютерных атак, реагировать на компьютерные инциденты. Есть два варианта.

✅ Существует два варианта создания отдела ИБ в медицинской организации.
Первый – возложение функций по обеспечению информационной безопасности на существующий в МО отдел информационных технологий, связанный с работой с компьютерными сетями. (ИТ-отдел).
Второй вариант – создание отдельного подразделения.
Сотрудники отдела по ИБ должны следующим требованиям:
  • иметь высшее профобразование в области информационной безопасности или
  • иное высшее образование и документ, подтверждающий прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» со сроком обучения не менее 72 часов.
Прохождение не реже одного раза в пять лет обучения по программам повышения квалификации по направлению «Информационная безопасность» на курсах, аккредитованных ФСТЭК, обязательно для всех сотрудников отдела ИБ.
Если в новый отдел по ИБ будут входить сотрудники уже существующего ИТ-отдела, то поручите отделу кадров направить специалистов на переобучение.
Перечень образовательных организаций для переподготовки по информационной безопасности можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Проверьте, что квалификация сотрудников соответствует требованиям (п. 12 приказа ФСТЭК России от 21.12.2017 № 235).
Задачи отдела.
Основные цели отдела по ИБ:
  • снижение негативных последствий от угроз безопасности информации. Например, нарушение законодательства, экономический или репутационный ущерб;
  • защита конфиденциальных данных;
  • повышение защищенности от компьютерных атак.
Отдел ИБ должен обеспечить защищенность данных на всех уровнях работы МИС:
  • сведения о пациентах;
  • данные о персонале;
  • информация о МО;
  • сведения о системе здравоохранения.
Документы необходимые для функционирования отдела ИБ:
1. Положение о создании отдела по информационной безопасности, если создается новое подразделение. Если отдел по ИБ уже существует, внесите изменения в имеющиеся локальные документы. За образец возьмите типовое положение, которое разработало Правительство (постановление № 1272).
2. Приказ о назначении заместителя руководителя по информационной безопасности.
3. Должностные инструкции сотрудников отдела по ИБ.
4. Годовой план работ по обеспечению ИБ и формы отчетности от заместителя руководителя по ИБ.
Проверки отдела ИБ
Подразделения по ИБ обязаны сотрудничать с ФСТЭК и ФСБ и обеспечивать сотрудникам служб беспрепятственный доступ к информационным ресурсам МО для мониторинга, а также выполнять их указания по итогам проверок. Проверки могут быть плановые и внеплановые.
ИБ на аутсорсинге
Если в клинике нет своего отдела ИТ нет возможности создать отдел по ИБ, то разрешается привлекать аутсорсинговые компании — Корпоративные центры ГосСОПКА для передачи им части задач по мониторингу и реагированию на инциденты ИБ. К ним предъявляются серьезные требования, которые прописаны в методических рекомендациях по созданию Центров ГосСОПКА и регулируются ФСБ России. Если компания хочет стать Корпоративным центром и оказывать услуги, она должна подтвердить наличие разрешительных лицензий ФСТЭК России и ФСБ России, выполнить требования по кадровому и процессному обеспечению, а также внедрить необходимые технические средства.
Наличие лицензии ФСТЭК у подрядчика возможно проверить в реестр лицензиатов, который возможно найти по следующей ссылке: https://reestr.fstec.ru/reg1

🟢 Обратите внимание! с 1 января 2025 г. запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
2023-07-21 13:26