Как организовать работу медорганизаций по информационной безопасности: новые правила

На всех объектах критической информационной инфраструктуры, к которым относятся и учреждения здравоохранения, придется создавать структурные подразделения для исполнения требований Указа Президента РФ от 01.05.2022 г. № 250. Расскажем, на кого возложить обязанность по информационной безопасности, как обрабатывать персданные и куда отчитываться, чтобы в итоге не нарваться на крупные штрафы.   

Скачайте образцы документов, которые понадобятся для создания системы ИБ и работы с персональными данными:

Категория критической информационной инфраструктуры медицинских учреждений

Существует всего три категории критической информационной инфраструктуры (КИИ): самая высокая — первая, средняя — вторая, низкая — третья. Медицинские организации относятся к первой категории, потому что в результате несанкционированного доступа к базам данных есть риск причинить ущерб жизни и здоровью более 500 граждан. При этом категорию присваивают члены внутренней комиссии, а потом отправляют отчет в ФСТЭК, чтобы данные внесли в специальный реестр. Все требования к категорированию вы можете посмотреть в Постановлении Правительства РФ от 8.02.2018 г. № 127

Правила категорирования объектов критической информационной инфраструктуры

Посмотреть полностью >>>

За реализацией норм закона о безопасности КИИ отвечают федеральные органы власти. Например, Федеральная служба по техническому и экспортному контролю отслеживает безопасность критической информационной инфраструктуры, Федеральная служба безопасности обеспечивает функционирование системы обнаружения, предупреждения и ликвидации последствий компьютерных атак. В 2018 году создали еще Национальный координационный центр по компьютерным инцидентам, который координирует деятельность субъектов по информационной безопасности. 

Читайте в нашем журнале актуальную статью: Как разработать внутренние СОПы для медорганизаций на 2023 год

Зачем создавать отдел по ИБ в медорганизации

Отдел по информационной безопасности создают для реализации требований Постановления Правительства РФ от 15.07.2022 г. № 1272 и Указа Президента РФ от 01.05.2022 г. № 250. В основные задачи специалистов, на которых возложена обязанность обеспечивать информационную безопасность, входит:

  • снижение негативных последствий от угроз безопасности информации;
  • защита конфиденциальных данных работников, пациентов и самого медучреждения;
  • повышение защищенности от компьютерных атак.

Таблица. Функции отдела и задачи сотрудников подразделения по информационной безопасности 

Функции Ответственный
Составление плана работ по обеспечению информационной безопасности   Руководитель отдела 
Разработка предложений по совершенствованию документов по обеспечению безопасности Руководитель отдела 
Анализ и устранение угроз безопасности информации, уязвимостей информационных систем и ПО  Руководитель отдела

Системный администратор

Обеспечение информационной безопасности Системный администратор

Сотрудник технической поддержки

Обнаружение, предупреждение и ликвидация последствий атак на базы данных и реагирование на прочие инциденты Системный администратор
Представление в НКЦКИ сведений о компьютерных инцидентах Руководитель отдела
Исполнение указаний ФСБ и ФСТЭК Руководитель отдела
Подготовка отчетов о состоянии работ по обеспечению информационной безопасности Руководитель отдела
Обучение по информационной безопасности Руководитель отдела по ИБ
Проведение контроля за уровнем защищенности систем и сетей, разработка предложений по их совершенствованию Системный администратор
Выполнение задач в рамках обеспечения информационной безопасности Руководитель отдела 

Системный администратор

На кого возложить обязанности по информационной безопасности медучреждения

На роль руководителя назначают главного врача или его заместителя. Остальные обязанности возлагают на специалистов ИТ-отдела или создают отдельное подразделение. В первом случае готовьтесь к затратам на переобучение айтишников и других ответственных за ИБ лиц, во втором — на зарплату вновь принятым работникам. Если вы привлечете к обеспечению информационной безопасности лиц, которые не пройдут профпереподготовку по КИИ, то не исключены критические ошибки и взлом баз данных. 

Требования к квалификации руководителя и ответственных за информационную безопасность

У главврача или его заместителя должно быть высшее образование по направлению «Обеспечение информационной безопасности» не ниже уровня специалитета или магистратуры. Если у руководителя высшее образование по иному направлению, то он может пройти курсы профпереподготовки по программе «Информационная безопасность» длительностью от 360 часов. Дополнительно он должен иметь опыт работы не менее трех лет в сфере ИБ, о чем сказано в письме Минздрава от 04.06.2022 № 18-4/И/2-9129. 

Остальные сотрудники, входящие в отдел по информационной безопасности, должны соответствовать этим же требованиям. Единственное отличие — они могут пройти обучение по программе «Информационная безопасность» длительностью от 72 часов. Если вы включите в отдел ИТ-специалистов, то отправьте их на переобучение по тому же направлению, что и всех других сотрудников. 

Темы, которые изучают сотрудники отдела ИБ до начала выполнения должностных обязанностей:

  • теоретические и методологические основы защиты информации;
  • правовые основы защиты информации;
  • основы криптографии;
  • основы сетевой информационной безопасности;
  • правила проведения аудита информационной безопасности;
  • создание организационных документов в области защиты информации.

В последующем раз в пять лет все сотрудники отдела и его руководители должны повышать квалификацию по направлению «Информационная безопасность». Для этого придется проходить курсы в лицензированных учебных центрах, аккредитованных ФСТЭК. 

Смотрите в нашем журнале актуальную статью: Аккредитация от А до Я: методичка для медицинских работников

Как организовать работу подразделения по информационной безопасности

➤ Шаг 1. Подготовьте Положение об информационных системах, средствах вычислительной техники и связи, локальной вычислительной сети и информационной безопасности. В нем должны быть следующие разделы: 

  1. Основные положения
  2. Организационно-правовые основы функционирования ЛВС
  3. Структура сети
  4. Средства вычислительной техники
  5. Порядок подключения компьютерной и оргтехники к ЛВС и оказания сетевых услуг
  6. Обязанности администратора ИБ по организации и поддержке ЛВС
  7. Безопасность в сети
  8. Злоупотребления в сети

Образец Положения об информационных системах, средствах вычислительной техники и связи, локальной вычислительной сети и информационной безопасности

Скачать полностью >>>

В качестве приложения прикрепите Инструкцию по работе в локальной вычислительной сети и соблюдению правил безопасности при работе с информационными ресурсами. В ней подробно опишите, что и как делать, чтобы избежать утечки информации и взлома компьютерных баз. 

➤ Шаг 2. Разработайте и утвердите Положение о создании отдела по ИБ. Если в вашем медучреждении отдел уже есть, то просто откорректируйте ЛНА с учетом Постановления Правительства от 15.07.2022 г. № 1272 и Указа Президента РФ от 01.05.2022 г. № 250. В частности измените Положение о заместителе руководителя, который несет ответственность за информационную безопасность, а также Положение о структурном подразделении, обеспечивающим ИБ. 

Образец Положения о заместителе руководителя организации, ответственном за обеспечение информационной безопасности

Скачать полностью >>>

➤ Шаг 3. Издайте приказ о назначении руководителя по информационной безопасности. В нем же можете перечислите ответственных за ИБ, которые войдут в отдел. В документ включите правовые обоснования, должности работников, их Ф.И.О., функции.

Образец приказа о назначении ответственных за информационную безопасность

Скачать полностью >>>

➤ Шаг 4. Составьте и утвердите должностные инструкции сотрудников отдела. Опирайтесь на Постановление Правительства РФ от 15.07.2022 г. № 1272. Если вы ранее создали отдел и подготовили все документы, внесите в них изменения с учетом требований новых законов. После этого отдайте на подпись тем, на кого они распространяются. 

Образец должностной инструкции заместителя главного врача по информационной безопасности

Скачать полностью >>>

➤ Шаг 5. Разработайте годовой план работ. В нем напишите, что и когда будут делать сотрудники отдела ИБ. К плану прикрепите рекомендуемые формы отчетности, чтобы специалисты оформляли их по одному шаблону. Найдите нужные документы в ЦОКО: База законов, приказов, инструкций, журналов, направлений и многого другого

Как контролировать работу отдела по информационной безопасности медорганизации

Контролировать работу отдела по информационной безопасности обязан руководитель медицинского учреждения. Такое требование закреплено в п. 2 Указа Президента РФ от 01.05.2022 г. № 250. Поручите заместителю периодически предоставлять отчеты и проверять работу отдела по чек-листу. 

Образец чек-листа по проверке службы информационной безопасности медорганизации

Скачать полностью >>> 

В периодические отчеты, которые нужно подавать раз в месяц, полгода и год, заместитель главного врача должен включать:

  • информацию обо всех инцидентах информационной безопасности;
  • перечень мер, которые применяются для снижения количества инцидентов;
  • статистику по закрытию уязвимостей;
  • сведения об обучении сотрудников отдела правилам ИБ.

Если системы постоянно взламывают, а конфиденциальные сведения попадают к третьим лицам, закажите проведение аудита компании-лицензиату ФСТЭК. По итогам углубленной проверки эксперт составит план по улучшению информационной защищенности медицинского учреждения. 

Кто из контролирующих органов проверяет работу службы информационной безопасности

Проверками работы подразделений занимается ФСТЭК и ФСБ. Работникам этих служб необходимо обеспечивать беспрепятственный доступ к информационным ресурсам медицинского учреждения, а также выполнять все их предписания по итогам проверок. 

В медучреждении могут приходить контролирующие органы как с плановыми проверками раз в три года, так и с внеплановыми после инцидентов или для контроля выполнения предписаний. Кроме того, внеплановые проверки могут быть инициированы по поручению Президента или Правительства РФ, в связи с требованиями прокурора в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

Что и когда проверяет ФСБ в рамках контроля соблюдения требований по информационной безопасности

Планы проверок ФСБ составляют раз в год и публикуют на официальном сайте Генеральной прокуратуры. Внеплановые проверки проводят при определенных обстоятельствах, о которых мы написали выше. 

Инспекторы ФСБ проверяют:

  • криптографические средства защиты;
  • сертификаты на СКЗИ;
  • способы применения средств шифрования;
  • наличие модели нарушителя и угроз;
  • условия хранения средств криптографической защиты информации и документов.

Если инспекторы обнаружат, что в медучреждении используются несертифицированные СКЗИ или с истекшим сроком действия, не установлены уровни защищенности персданных и классы защиты средств криптографической информации, то выпишут в лучшем случае предписание, в худшем — штраф. Сумма будет зависеть от типа нарушений и последствий. 

Что и когда проверяет ФСТЭК в рамках контроля соблюдения требований по информационной безопасности

Федеральная служба по техническому и экспортному контролю составляет план на следующий год и размещает его на официальном сайте ФСТЭК. В рамках плановых и внеплановых проверок инспекторы службы проверяют уровень защищенности информационной системы персональных данных (ИСПД). 

Помимо проверок, представители ВСТЭК могут попросить предоставить отчеты по форме, которая будет в запросе. Обычно в них нужно перечислить:

  • когда, кем и с помощью каких средств был обнаружен инцидент ИБ;
  • проведенные мероприятия при реагировании на инцидент ИБ;
  • все действия по реагированию на инциденты с указанием степени их эффективности.

Если не предоставить отчет в сроки, указанные в запросе, то в медицинскую организацию приедут с внеплановой проверкой. В ходе нее проверят уровень защищенности информационной системы и документацию. При обнаружении ошибок сделают предупреждение или выпишут штраф. 

Что и когда передавать в Национальный координационный центр по компьютерным инцидентам

Передавайте в НКЦКИ информацию, как того требует приказ ФСБ от 24.04.2018 г. № 367. Делайте это сразу же после обнаружения несанкционированного доступа к информации, которая хранится в базах данных медицинской организации. 

Передать сведения можно с помощью технической инфраструктуры Национального координационного центра по компьютерным инцидентам или путем отправки данных по альтернативным каналам. Например, по электронной почте или Почтой России заказным письмом, по факсу или телефону 

Обратите внимание! Если вы не подключены к технической инфраструктуре НКЦКИ, то отправьте запрос в Национальный координационный совет с просьбой создать для медучреждения учетную запись. 

Нововведения по персональным данным: что поменять клиникам в работе

С 1 сентября 2022 года вступила в силу обновленная версия Закона о персональных данных от 27.07.2006 г. № 152-ФЗ, а с 1 марта 2023 года начнет действовать Закон от 14.07.2022 № 266-ФЗ. Медорганизации обязаны изменить правила и документы, которые регулируют процесс получения, обработки и хранения персданных, их защиту и сроки уведомления Роскомнадзора. 

Что нужно срочно изменить в работе с персданными пациентов и сотрудников

➤ Отправьте уведомление в Роскомнадзор о начале обработки персданных

Медорганизации, как и всех других операторов персданных, обязали передавать уведомление об обработке информации личного характера. Это связано с тем, что список данных, которые можно обрабатывать без согласия, существенно сократили. Например, ранее клиники не были обязаны информировать об обработке персданных своих работников и пациентов, сейчас — это запрещено. 

Можно не информировать Роскомнадзор в трех случаях:

  • происходит обработка данных в государственных информационных системах, созданных в целях защиты безопасности государства и общественного порядка;
  • обработка данных выполняется вручную, то есть без использования средств автоматизации;
  • обработка данных ведется в соответствии с законом о транспортной безопасности.

С 1 сентября 2022 года отправляйте уведомление об обработке персональных данных в территориальное управление Роскомнадзора по месту регистрации юрлица в электронном виде с использованием ЭЦП, на бумаге или с помощью средств аутентификации ЕСИА. Форму уведомления возьмите из приказа Роскомнадзора от 30.05.2017 г. № 94.

Важно! Роскомнадзор планирует изменить формы. На момент отправки уведомления проверьте, не появились ли новые бланки. Уточнить информацию можно на официальном сайте. 

Предельный срок информирования до сих пор не определен, поэтому уведомляйте Роскомнадзор в ближайшие дни, после начала обработки персданных. Однако уведомление об изменении сведений вы обязаны подать в течение 10 рабочих дней. С 1 марта 2023 года срок увеличится — информировать Роскомнадзор придется до 15 числа следующего месяца. 

➤ Отказывайте в заключение договора в исключительных случаях, если пациент не подписывает согласие на обработку персданных

Не отказывайте пациенту в предоставлении услуг, если он отказывается подписать согласие. Исключение — ситуации, когда без этого не обойтись. Кстати, это правило зафиксировано не в новом Законе об обработке, защите и передачи персданных, а в Законе о защите прав потребителей. 

Не заключайте договор с пациентом, если он не разрешает обрабатывать персональные сведения, к которым относится его Ф.И.О., адрес места жительства, телефон, дата рождения, пол, вес, возраст и СНИЛС с паспортными данными. Только после предоставления этих сведений, удастся заключить договор. 

➤ Сделайте согласие на обработку персональных данных предметным 

Теперь конкретное, информированное и сознательное согласие на обработку персданных не подходит. Сделайте его предметным и однозначным, то есть пропишите конкретную цель обработки личной информации.

Если Роскомнадзор посчитает, что шаблон согласия не соответствует требованиям, которые, кстати, не регламентировали, попросите разъяснить, что не так. На основании замечаний внесите изменения. При корректировке документа опирайтесь не столько на Закон о работе с персональными данными, сколько на ст. 86 ТК РФ. 

Не забывайте, что ряд услуг можно оказывать анонимно — без запроса персданных. К ним относится тестирование на ВИЧ, лечение алкогольной, наркотической и токсикологической зависимости. Если пациент хочет, чтобы его внесли в базу под вымышленным именем, то не отказывайте в этом. В остальных случаях требуется согласие на обработку персональных данных до заключения договора. 

➤ Пересмотрите Положение о персональных данных

Изложите Положение в новой редакции, которая должна соответствовать ст. 18.1 Закона от 27.07.2006 № 152-ФЗ. Для всех целей обработки персональных данных пропишите:

  • категории и перечень данных;
  • категории субъектов персональных данных;
  • способы и сроки обработки и хранения информации;
  • порядок уничтожения сведений личного характера пациентов и работников.

Раньше Положение можно было составлять в произвольном виде. Теперь при проверках возникнут проблемы, если оно не будет отвечать требования нового Закона о персданных. Не ждите 1 марта 2023 года — измените документ уже сейчас, потому что все изменения вступили в силу. Пока что их внесли в Закон от 27.07.2006 г. № 152-ФЗ.

➤ Поручите ответственным изучить Закон о работе с персданными и работать по новым правилам

Специалисты могут ознакомиться как с обновленной версией старого Закона, так и с новой, которая вступит в силу 1 марта 2023 года. Если они продолжат обрабатывать персональные данные так, как раньше, то есть риск нарваться на штрафы. Это связано с тем, что нужно брать согласие на обработку сведений личного характера, которые раньше можно было использовать без разрешения пациентов или сотрудников медучреждения. 

➤ Уведомляйте Роскомнадзор об утечке персональных данных пациентов или работников

В течение 24 часов после того, как вы обнаружили утечку сведений, проинформируйте Роскомнадзор. Сделать это можно через систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы. 

Важно! Не забудьте передать информацию об утечке персональных данных и взломе системы в Национальный координационный центр по компьютерным инцидентам. 

Если вы не измените правила обработки персональных данных, медорганизацию и должностных лиц привлекут к административной ответственности по ст. 13.11 КоАП РФ. Штрафы составят от 10 000 рублей до 6 000 000 рублей. Сумма зависит от статуса ответчика и вида нарушений. 

Читайте другие актуальные материалы в нашем журнале: