⚡️ С 1 мая действует Указ Президента РФ от 1 мая 2022 г. № 250 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации”.
Под данный Указ попадают подавляющее число медицинских организаций, которые являются субъектами критической информационной инфраструктуры (КИИ).
В соответствии с п. 8 ст. 2 ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 № 187-ФЗ:
Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юр. лица и (или) ИП, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения и иных сферах.
☝🏼 Таким образом, все юр. лица и ИП, которым на любом законном основании (например: аренда, право собственности), принадлежат информационные системы в сфере здравоохранения попадают под действие этого закона.
❓ Что необходимо сделать медорганизациям:
▪️ Руководитель клиники должен назначить заместителя руководителя и возложить на него полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Руководитель клиники — несет персональную ответственность за обеспечение информационной безопасности (ИБ).
▪️ Создать структурное подразделение, которое будет контролировать обеспечение ИБ. Если такое структурное подразделение уже имеется в организации, то возложить данные функции на уже существующее подразделение. Отдел может состоять из 1 человека, но это должно быть обязательно самостоятельное подразделение.
▪️ До 1 июня необходимо утвердить в организации типовые положения:
- о заместителе руководителя клиники, ответственного за обеспечение ИБ;
- о структурном подразделении клиники, обеспечивающем ИБ.
▪️ Чтобы обеспечить ИБ своих информационных систем можно привлекать только организации, имеющие соответствующие лицензии ФСТЭК. Реестр лицензиатов ФСТЭК России представлен на их офиц. сайте.
▪️ Привлекать для мониторинга ИБ можно только аккредитованные центры государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). На сегодняшний день требования к аккредитации центров ГосСОПКА не утверждены.
Кроме того, c 1 января 2025 года в России запрещается использовать средства защиты информации, происходящие из недружественных стран.
Данный Указ Президента введен из-за увеличившегося роста компьютерных атак на онлайн ресурсы российских компаний. Основная цель злоумышленников — дестабилизировать работу сайтов и программного обеспечения.