Как организовать отдел информационной безопасности в медучреждении


AI Summary Hide AI Generated Summary

Setting up an Information Security Department in a Medical Institution

This article details the process of establishing an information security department in a medical organization within the Russian Federation, in accordance with Presidential Decree No. 250 of May 1, 2022 and Federal Law No. 187.

Algorithm for Creating an Information Security Department

  • Develop regulations for the new department or amend existing ones for the IT department.
  • Appoint a deputy chief physician responsible for information security.
  • Define the responsibilities of the information security officer, including incident response and cybersecurity measures.
  • Update job descriptions for existing or new staff to reflect new duties.
  • Establish a yearly work plan for the department, including reporting schedules.

Tasks of the Information Security Department

The department's main goals are to minimize information security risks, protect confidential data (commercial, medical, personal), and enhance the organization's protection from external threats. Data protection includes medical information systems, organizational data, staff information, patient data, and broader healthcare information.

Activities of the Information Security Department

The department's responsibilities include maintaining computer hardware and network functionality, ensuring information security processes, and facilitating inter-departmental communication. They also manage server equipment, personal computers, local networks, and the administrative-technical network segment.

Staffing the Information Security Department

The department should be led by a deputy chief physician responsible for information security, ideally with a relevant higher education. Other staff must meet educational requirements and undergo regular professional development in information security. A minimum of three specialists (including a manager) is typically recommended.

Qualifications of the Information Security Department Head

The head of the department should possess a higher education in information security (specialist or master's degree) or undergo professional retraining. At least three years of experience is also required.

Control and Oversight

The information security department cooperates with the FSB and FSTEC, providing access to databases and complying with their instructions and findings during scheduled or unscheduled audits.

Sign in to unlock more AI features Sign in with Google

В каждой медицинской организации должен быть отдел информационной безопасности.

Как следует из указа Президента № 250 от 01.05.2022 года, такое подразделение должно быть на любом объекте критической информационной структуры. Требования к объектам установил ФЗ-187. В статье разъяснили, как создать отдел информационной безопасности в медорганизации. 

Как организовать работу заместителя главного врача по информационной безопасности>>

↯ Ужесточили требования к образованию медработников. Есть ли риск потерять часы ДПО: читайте разъяснения директора института РМАНПО Минздрава >>

Как создать отдел информационной безопасности: алгоритм

Для организации работы подразделения по информационной безопасности используйте алгоритм:

  1. Разработайте положение о создании нового отдела. Если решили возложить эти функции на ИТ-отдел – внесите соответствующие изменения в локальные акты, с учетом положений постановления Правительства РФ № 1272 от 15.07.2022 года.
  2. Назначьте ответственного по информационной безопасности – одного из заместителей главврача.
  3. Включите в функции ответственного обеспечение информационной безопасности. В том числе он должен организовать работу по реагированию на различные инциденты, обнаружению, профилактике и ликвидации последствий компьютерных атак. Пропишите эти направления в должностной инструкции специалиста.
  4. Утвердите должностные инструкции сотрудников вновь создаваемого отдела или измените инструкции действующих специалистов ИТ-отдела с учетом новых обязанностей.
  5. Составьте план работы отдела информационной безопасности на год, утвердите формы и поставьте сроки сдачи отчетности от заместителя по ИБ (раз в месяц, раз в квартал, полугодие).

Скачайте в журнале "Здравоохранение":

► Сравнительная таблица. Способы создания отела по информационной безопасности

► Алгоритм, чтобы организовать работу подразделения по информбезопасности

► Таблица. Функции отдела и задачи сотрудников подразделения по информбезопасности

Задачи отдела информационной безопасности

Все цели подразделений по информационной безопасности описаны в типовом положении об отделе ИБ.

Назовем главные задачи:

  • минимизировать угрозы безопасности информации и снизить негативные последствия этих угроз (репутационный, экономический или правовой ущерб);
  • защита данных, составляющих тайну (коммерческую, врачебную, персональные данные и т.д.);
  • повышение защищенности медорганизации от внешних угроз и атак.

Кроме того, отдел ИБ должен обеспечить защиту данных, которые хранятся в медицинской информационной системе на всех уровнях работы клиники:

  • информация о медорганизации (общие данные, отчетность);
  • сведения о медперсонале, в том числе конфиденциальные сведения);
  • сведения о пациентах;
  • важные сведения о системе здравоохранения в целом.

Зафиксируйте цели и задачи нового отдела во внутреннем положении, локальный акт должен утвердить главный врач.

Скачайте образец положения по ссылке ниже.

В таблице смотрите задачи отдела информационной безопасности и как они распределяются между сотрудниками.

Чем занимается отдел информационной безопасности

Выделяют следующие направления работы ИТ-специалистов, которые работают в этом отделе:

  • стабильная и надежная работа компьютерной техники;
  • эффективная работа сети и интернета;
  • обеспечение информационных процессов и их безопасность;
  • организация взаимодействия подразделений медорганизации.

Сотрудники отдела отвечают за безопасную работу компьютерного и коммуникационного оборудования:

  • серверное оборудование;
  • персональные компьютеры в подразделениях;
  • персональные компьютеры конкретных сотрудников;
  • локальные сети медорганизации;
  • административно-технический сетевой сегмент МО.

Может ли один руководитель по ИБ совмещать работу в нескольких МО?

Посмотрите ответ

Информационная безопасность в медицинских учреждениях имеет большое значение – в организации хранится огромный массив данных, связанных как с персональными данными пациентов, так и с врачебной тайной, которая охраняется законом.

Это возлагает особую ответственность на отдел ИБ: утечка медицинских данных грозит медорганизации серьезными санкциями – до 100 тыс. рублей штрафа по ст. 13.11 КоАП. За повторное нарушение штраф увеличится в 3 раза – до 300 тыс. рублей.

Ответственного сотрудника могут уволить за нарушение законодательства о персональных данных, в серьезных случаях ему могут запретить заниматься аналогичной деятельностью или лишить свободы (если будет возбуждено уголовное дело).

Кем комплектуется отдел информационной безопасности

В первую очередь, главный врач должен выбрать одного из своих заместителей, который будет отвечать за информационную безопасность медорганизации.

Если в клинике еще нет отдела ИБ, то логично назначить ответственным руководителя ИТ-отдела и направить его на повышение квалификации. Опытный специалист в ИТ-сфере сможет быстро погрузиться в тему информационной безопасности, а также оперативно взаимодействовать с контролирующими органами.

Зафиксируйте назначение ответственного приказом главного врача.

Квалификация руководителя отдела ИБ: требования

Требования к квалификации специалиста установлены письмом Минздрава № 18-4/И/2-9129 от 04.06.2022 года со ссылкой на приказ ФСТЭК № 235 от 21.12.2017 года.

Заместитель главврача, на которого возлагают направление информационной безопасности, должен иметь высшее образование по направлению «Обеспечение информационной безопасности» - специалитет или магистратура.

При наличии другого высшего образования сотрудника можно направить на профпереподготовку, объем программы должен составлять не менее 360 часов.

Еще одно требование касается стажа работы специалиста по ИБ – не менее 3 лет.

Отдел кадров по поручению главврача должен разработать должностную инструкцию заместителя, ответственного по направлению «Информационная безопасность». В ней пропишите:

  • функционал специалиста;
  • кому он подчиняется;
  • полномочия;
  • ответственность;
  • требования к квалификации.
Как составить должностную инструкцию заместителя главного врача по информационной безопасности

Смотреть>>

Помимо ответственного по ИБ, в отделе работают рядовые сотрудники. Кем комплектуется отдел информационной безопасности?

В новых требованиях содержится два условия допуска специалистов по ИБ к деятельности:

  1. Высшее образование в области информационной безопасности.
  2. Наличие иного высшего образования и обучение по программам подготовки «Информационная безопасность», длительность – не менее 72 часов.
  3. Каждый сотрудник отдела по ИБ должен проходить повышение квалификации по направлению «Информационная безопасность» не реже 1 раза в 5 лет.

Если планируете переводить в новый отдел по ИБ действующих сотрудников ИТ-отдела – проверьте наличие у них профильного образования. При необходимости поручите отделу кадров направить их на переобучение.

Только в Системе Главный врач вы узнаете, куда можно отправить на переобучение сотрудников отдела по информационной безопасности Перечень образовательных организаций для переподготовки по информационной безопасности можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю. Узнать>>

Штатная численность ИБ-отдела

Отдел информационной безопасности в медорганизации формируется исходя из объемов задач подразделения. Как правило, штатная численность отдела составляет не менее 3 специалистов.

Кроме руководителя отдела, включите в отдел специалистов:

  • инженер по ИБ (администратор средств защиты информации) – он работает с ПО, обеспечивающим защиту информации и оперативно реагирует на возникающие инциденты;
  • администратор по ИБ – он реализует организационные меры защиты информации.

Только в Системе Главный врач вы узнаете, можно ли за счет средств ОМС платить зарплату руководителю отдела по информационной безопасности. Данная должность не относятся к медицинским или фармацевтическим должностям и включаются в немедицинское структурное подразделение учреждения, как правило, в общебольничный немедицинский персонал. Узнать>>

Контроль работы отдела по информационной безопасности

Отделы по ИБ активно сотрудничают с органами ФСБ и ФСТЭК. Они должны по требованию их представителей обеспечивать им беспрепятственный доступ к информационным базам медорганизации для проведения мониторинга, а также выполнять указания по итогам проведенных проверок.

Проверки могут быть плановыми или внеплановыми.

Подробнее о внешних проверках отдела ИБ >>

Чек-лист для контроля отдела по информационной безопасности

скачать

Was this article displayed correctly? Not happy with what you see?

Tabs Reminder: Tabs piling up in your browser? Set a reminder for them, close them and get notified at the right time.

Try our Chrome extension today!


Share this article with your
friends and colleagues.
Earn points from views and
referrals who sign up.
Learn more

Facebook

Save articles to reading lists
and access them on any device


Share this article with your
friends and colleagues.
Earn points from views and
referrals who sign up.
Learn more

Facebook

Save articles to reading lists
and access them on any device