Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
1350 подписчиков

Обучение сотрудников и цифровая гигиена для всех

14
5 мин
Продолжение цикла о Приказе ФСТЭК №117. Раньше — документы, уязвимости, подрядчики. Сегодня — сотрудники: самая совершенная защита не спасёт, если врач откроет фишинговую ссылку или регистратор оставит МИС без блокировки. Мы разобрали политику, патчи, вендора МИС. Но человек — главная мишень: фишинг, «срочный перевод», пароль на стикере, выписка в WhatsApp. №117 это учитывает: п. 56–57 — обязательные мероприятия по обучению сотрудников и оценка знаний. Параллельно для ПДн пациентов действует 152-ФЗ и ПП №1119 (инструктаж, ознакомление с правилами обработки). Один курс «для галочки» не закрывает оба контура. Всех пользователей — кто имеет доступ к вашим ИС, включая эпизодический: Исключений нет. Обучение должно покрывать запреты из ваших стандартов — флешки, личное ПО, мессенджеры (п. 14 «г», п. 26). Привилегированным (админ МИС, домена, СУБД, массовые выгрузки) — отдельный углублённый модуль и, как правило, более частая оценка. Минимум по закону (п. 57): Периодичность самого обучения —
Оглавление

Продолжение цикла о Приказе ФСТЭК №117. Раньше — документы, уязвимости, подрядчики. Сегодня — сотрудники: самая совершенная защита не спасёт, если врач откроет фишинговую ссылку или регистратор оставит МИС без блокировки.

Почему это важно

Мы разобрали политику, патчи, вендора МИС. Но человек — главная мишень: фишинг, «срочный перевод», пароль на стикере, выписка в WhatsApp.

№117 это учитывает: п. 56–57 — обязательные мероприятия по обучению сотрудников и оценка знаний. Параллельно для ПДн пациентов действует 152-ФЗ и ПП №1119 (инструктаж, ознакомление с правилами обработки). Один курс «для галочки» не закрывает оба контура.

Кого учить

Всех пользователей — кто имеет доступ к вашим ИС, включая эпизодический:

  • руководители и заместители;
  • медики, медсёстры, регистраторы (МИС);
  • кадры, бухгалтерия, закупки;
  • сисадмины, админы МИС, разработчики;
  • сотрудники с удалённым доступом;
  • подрядчики (инженер вендора МИС) — ознакомление с политикой и регламентами в части доступа (п. 16, 26).

Исключений нет. Обучение должно покрывать запреты из ваших стандартов — флешки, личное ПО, мессенджеры (п. 14 «г», п. 26).

Привилегированным (админ МИС, домена, СУБД, массовые выгрузки) — отдельный углублённый модуль и, как правило, более частая оценка.

Как часто

Минимум по закону (п. 57):

  • оценка знанийне реже 1 раза в 3 года;
  • внеплановопосле компьютерного инцидента у вашей организации (утечка, взлом, остановка МИС, ransomware);
  • провалил оценкуповторное прохождение обучающих курсов (п. 57), не стоит действовать по принципу «пересдал и забыл».

Периодичность самого обученияв вашем регламенте (п. 14 «д»). Закон не требует «раз в год», но для больницы с МИС раз в годразумная практика, а не «когда-нибудь перед проверкой».

Фиксируйте всё: протоколы, ведомости, скриншоты. Без журналов на проверке сложно доказать, что вы организовали защиту, а не «провели один семинар в 2023-м».

Что должна включать программа обучения (п. 56)

Закон: мероприятия должны включать все четыре блока. Конкретные способы — в регламенте, но программа не может состоять только из памятки на стене.

1. Материалы (п. 56 «а»)

Памятки, баннеры, буклеты — крупно, по делу:

  • не переходить по ссылкам из неожиданных писем;
  • не пересылать ЭМК и снимки в личные мессенджеры;
  • не фотографировать экран с данными пациента;
  • блокировать сессию МИС, уходя от АРМ;
  • не использовать общие пароли типа «регистратура1».

Размещайте в зоне ресепшен, ординаторской, IT-зоне; дублируйте на служебную почту.

2. Лекции, семинары, игры (п. 56 «б»)

Массово — очно или онлайн. Зам по ИБ / ответственное лицо + юрист (ПДн, врачебная тайна). Квизы «угадай фишинг» — разрешены и полезны.

3. Имитационный фишинг (п. 56 «в»)

Прямо в №117: рассылки на служебные адреса и служебные каналы — чтобы оценить устойчивость к социальной инженерии.

Правила:

  • предупредите коллектив (регламент / приказ), что учения бывают;
  • цель — тренировка, не «охота на виноватых»;
  • «попавших» — на повторное обучение, не на дисциплинарку;
  • не используйте личные каналы; не собирайте лишние ПДн при тесте.

4. Практические тренировки (п. 56 «г») — часто забывают

Отработка мер из ваших регламентов:

  • МИС недоступна — работа по регламенту непрерывности;
  • подозрение на утечку ЭМК — кому сообщить (зам по ИБ, ответственное лицо);
  • компрометация пароля — смена, блокировка;
  • физическая охрана серверной — кого пускать.

Это не менее важно, чем фишинг.

Зачёты и тесты — обязательны

Мало провести лекцию. Нужна оценка знаний (тест, зачёт, собеседование) — п. 57.

Зафиксируйте: кто, когда, результат, подпись / запись в системе.

Примеры вопросов для МО:

  1. «Письмо «от главврача» с просьбой срочно перевести деньги — что делать?» → позвонить и уточнить по официальному номеру, не по ссылке из письма.
  2. «Коллега просит ФИО и диагноз пациента в личку — что делать?» → отказ, официальный канал, врачебная тайна и ПДн.
  3. «Нашли флешку в коридоре — что делать?» → не вставлять в рабочий ПК, сообщить IT/ИБ.

Если сотрудник не сдал

П. 57: организовать повторное прохождение обучающих курсов.

Порядок (в регламенте):

  1. Дополнительное обучение / курс.
  2. Повторная оценка.
  3. Допуск к ИС — после успешной оценки (если так закрепите в регламенте).

Закон не предписывает «наказания», но допуск неподготовленного пользователя к МИСриск для всей организации.

Что закрепить в регламенте (п. 14 «д»)

  • периодичность обучения и оценки (минимум оценки — 3 года);
  • формы — все четыре блока п. 56;
  • порядок оценки знаний;
  • действия при неудовлетворительной оценке;
  • ответственныйзам по ИБ / структурное подразделение (специалисты) по защите информации (п. 19–23), с участием IT и кадров;
  • внеплановое обучение после инцидента;
  • подрядчики с доступом — инструктаж по вашим правилам.

Регламент доводите до пользователей (п. 26).

Что будет, если не учить

Ст. 13.12 КоАП — за нарушение требований по защите информации, в том числе организации обучения. Штрафы для организаций — обычно десятки–сотни тысяч рублей. Отдельно — 13.11 и 152-ФЗ, если инцидент из‑за неграмотного действия привёл к утечке ПДн.

Предписание ФСТЭК — срочно организовать обучение и документы.

Инцидент «сотрудник кликнул» — без журналов обучения сложно показать, что вы добросовестно организовали защиту.

Простая программа для руководителя МО

  1. Назначьте ответственногозам по ИБ + исполнитель (специалист по защите / IT под контролем ИБ).
  2. Утвердите регламент — периодичность, 4 блока п. 56, оценка, повтор.
  3. Раз в год (рекомендуемо) — лекция + памятки; раз в 3 года минимум — оценка; чаще — для админов МИС.
  4. Раз в годимитационный фишинг на служебную почту (с предупреждением в политике/регламенте).
  5. Тренировка — сценарий «МИС лежит» или «утечка».
  6. Журналы — протоколы, ведомости, LMS.
  7. Провалповторный курс, не «ну ладно».
  8. Подрядчик вендораинструктаж перед доступом к prod.

Итог

Самая дорогая СЗИ бессильна, если регистратор откроет фишинг или врач сольёт ЭМК в мессенджер.

№117 требует: не «разовый плакат», а систему — материалы, занятия, фишинг-тренировки, отработку регламентов, оценку раз в 3 года и после инцидента.

В следующем выпуске: мониторинг информационной безопасности и отчёты — что собирать, как готовиться к ФСТЭК без паники (п. 49 и смежные требования).

Консультация по регламенту обучения и тестам для медорганизации — на том же сайте.

Подпишитесь на канал, чтобы не пропустить продолжение серии. Нужны шаблоны памяток — пишите в комментариях.

Безопасность и правопорядок
95,2 тыс интересуются