🚩 Внимание! Просим Вас обращать внимание на дату выхода публикации, в связи с изменениями в законодательстве представленный материал может утратить актуальность частично или полностью в более поздние даты.
В соответствии с пп. "а" п. 1 Указа Президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" медицинским организациям необходимо на заместителя руководителя субъекта КИИ требуется возложить полномочия по обеспечению информационной безопасности (далее ИБ), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
Требования по ИБ распространяются на юридических лиц — субъектов критической информационной инфраструктуры (КИИ).
Если обратиться к Федеральному закону от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - ФЗ № 187), то согласно ст.2 субъектами критической информационной инфраструктуры в том числе являются - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
✅ Примеры объектов КИИ — программно-аппаратные медицинские комплексы, компьютерные диагностические системы, медицинские информационно-справочные системы (приложение 4 МР по категорированию объектов КИИ сферы здравоохранения, версия 1.0, утв. Минздравом 05.04.2021).
Такие есть у большинства клиник, ведь многие используют медицинские информационные системы (МИС).
✅ Предусмотрена административная ответственность за нарушение безопасности критической информационной инфраструктуры (ч. 6 ст. 13.12 КоАП, 13.12.1 КоАП, 19.7.15 КоАП):
- если нарушили требования к созданию и обеспечению работы систем безопасности значимых объектов КИИ;
- не представили сведения или нарушение сроков представления в ФСТЭК о присвоении объекту КИИ категории значимости или о том, что необходимости присваивать ему такую категорию нет;
- не соблюсти порядок уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ;
- нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ);
- непредставление или нарушение порядка либо сроков представления информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры.
🟢 Во второй части статьи мы рассмотрим тему "Категорирование объекта КИИ"
🟢 Нормативно правовые акты, которые упоминаются в статье, доступны в личном кабинете членов СРО НАКЭМ
