Эпопея с обсуждением роли МИАЦ в сфере здравоохранения закончилась - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/rol-miac-v-sisteme-zascity-informacii-sfery-zdravoohraneniia-62164f3f9db4c75b31e7fcae.
Приказ Минздрава официально увидел свет.
Приказ Министерства здравоохранения Российской Федерации от 25.03.2022 № 205н «Об утверждении Типового положения о медицинском информационно-аналитическом центре» (Зарегистрирован 04.05.2022 № 68408)
http://publication.pravo.gov.ru/Document/View/0001202205040033
Начало действия документа - 15.05.2022
Медицинский информационно-аналитический центр (далее - МИАЦ) является самостоятельной медицинской организацией особого типа , подведомственной органу государственной власти субъекта Российской Федерации в сфере охраны здоровья
Есть проблема, что в некоторых субъектах Федерации они подведомственны органам власти в других сферах. Об этой специфике подробно написали журналисты на этапе проекта приказа - https://www.kommersant.ru/doc/5229595
И как выход этого приказа Минздрава повлияет на ситуацию с подчиненностью МИАЦ в регионах прогнозировать сложно.
По сравнению с проектом произошли изменения:
1. Исчезло приложение №2. Теперь утверждено только типовое положение МИАЦ, но нет «минимальной штатной численности».
2. Изменилось назначение МИАЦ. Самое главное – исчезло «созданной с целью …защиты информации в сфере здравоохранения субъекта Российской Федерации». МИАЦ не отвечает за защиту информации в здравоохранении региона.
3. Исчез из структуры общий отдел.
4. Исчезло описание деятельности основных структурных подразделений МИАЦ.
Вопрос, а вот эти функции МИАЦ в области ИБ реализует отдел защиты информации или другие отделы тоже привлекаются?
В области ИБ отвечает за
1. организационно-методическое обеспечение при реализации органом власти деятельности по защите информации в сфере здравоохранения. (явно организационно-методический отдел)
2. участие в организации работы по проектированию, разработке и внедрению программного обеспечения для автоматизации процессов в медицинских организациях и учреждениях .. в части защиты информации и обеспечения безопасности значимых объектов критической информационной структуры (явно отдел разработки и внедрения информационных систем)
3. организационно-методическое обеспечение органа государственной власти субъекта Российской Федерации в сфере охраны здоровья, его подведомственных учреждений и медицинских организаций при разработке функциональных требований к информационным системам учреждений и медицинских организаций.. в части защиты информации и обеспечения безопасности значимых объектов критической информационной структуры (явно организационно-методический отдел)
4. создание, развитие, ввод в эксплуатацию, эксплуатация и вывод из эксплуатации информационных ресурсов в сфере охраны здоровья субъекта Российской Федерации (похоже на отдел разработки и внедрения информационных систем, отдел технического сопровождения информационных систем, сетевого и компьютерного оборудования)
5. организация сбора, обработки и анализа данных о состоянии защиты информации, выполнению требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры в сфере охраны здоровья субъекта Российской Федерации; (похоже на отдел анализа данных и прогнозирования)
6. организационно-методическое обеспечение органа государственной власти субъекта Российской Федерации в сфере охраны здоровья, его подведомственных учреждений и медицинских организаций при:
-формировании требований к защите информации ГИС субъекта Российской Федерации, медицинских информационных систем и иных информационных систем, содержащих персональные данных, а также по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
-подготовке организационно-распорядительных и методических документов по вопросам защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры;
-организации работы защищенных сетей передачи данных, используемых для взаимодействия информационных систем в сфере здравоохранения субъекта Российской Федерации;
-обнаружении компьютерных атак и ликвидации компьютерных инцидентов; (похоже на организационно-методический отдел)
7. организация методических мероприятий по повышению эффективности мер технической и криптографической защиты информации, в том числе информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в информационных системах органа государственной власти субъекта Российской Федерации в сфере охраны здоровья, его подведомственными учреждениями и медицинскими организациями (похоже на организационно-методический отдел)
Как видно из документа, основное назначение МИАЦ – обеспечение деятельности по защите информации самого органа власти региона в сфере здравоохранения.
Медучреждения могут рассчитывать на следующее участие МИАЦ в своей жизни:
1. методическую помощь
2. большой объем отчетности за выполнение требований по защите информации и обеспечению безопасности ЗОКИИ
3. потенциально возможно предоставление пакета проектов ОРД по ИБ и безопасности ЗОКИИ.
4. На семинар/конференцию по ИБ пригласит
Выводы:
1. Документ существенно выхолощен по сравнению с проектом. Оставлены только общие функции.
2. Отсутствие функций по защите информации ставит вопрос о лицензиях МИАЦ на ТЗКИ и СКЗИ.
3. Особой помощи медорганизации от МИАЦ не получат. В лучшем случае – грамотная и оперативная методология ИБ.
4. МИАЦ будет «драконить» медучреждения запросами с отчетами от имени регионального органа власти.
5. МИАЦ не будет участвовать в процессах реагирования на компьютерные атаки в регионе.
6. Непонятна роль МИАЦ в вопросах обеспечения технологической независимости и экономической безопасности КИИ (импортозамещение). Возможно что в « оказание технологической и технической поддержки, в том числе по вопросам программного обеспечения, пользователям средств вычислительной техники» что то заложено. Но не уверен.
#кии #187-фз #зокии #миац #минздрав
Пишите комментарии, ставьте лайки и подписывайтесь на канал "Клуб любителей КИИ". Нас ждет еще много интересного и полезного.
* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале
** Подборка методических и вспомогательных материалов для субъектов КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf
*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019