В каждой медицинской организации должен быть отдел информационной безопасности.

Как следует из указа Президента № 250 от 01.05.2022 года, такое подразделение должно быть на любом объекте критической информационной структуры. Требования к объектам установил ФЗ-187. В статье разъяснили, как создать отдел информационной безопасности в медорганизации. 

Как организовать работу заместителя главного врача по информационной безопасности>>

↯ Ужесточили требования к образованию медработников. Есть ли риск потерять часы ДПО: читайте разъяснения директора института РМАНПО Минздрава >>

Как создать отдел информационной безопасности: алгоритм

Для организации работы подразделения по информационной безопасности используйте алгоритм:

1. Разработайте положение о создании нового отдела. Если решили возложить эти функции на ИТ-отдел – внесите соответствующие изменения в локальные акты, с учетом положений постановления Правительства РФ № 1272 от 15.07.2022 года.
2. Назначьте ответственного по информационной безопасности – одного из заместителей главврача.
3. Включите в функции ответственного обеспечение информационной безопасности. В том числе он должен организовать работу по реагированию на различные инциденты, обнаружению, профилактике и ликвидации последствий компьютерных атак. Пропишите эти направления в должностной инструкции специалиста.
4. Утвердите должностные инструкции сотрудников вновь создаваемого отдела или измените инструкции действующих специалистов ИТ-отдела с учетом новых обязанностей.
5. Составьте план работы отдела информационной безопасности на год, утвердите формы и поставьте сроки сдачи отчетности от заместителя по ИБ (раз в месяц, раз в квартал, полугодие).

Скачайте в журнале "Здравоохранение":

► Сравнительная таблица. Способы создания отела по информационной безопасности

► Алгоритм, чтобы организовать работу подразделения по информбезопасности

► Таблица. Функции отдела и задачи сотрудников подразделения по информбезопасности

Задачи отдела информационной безопасности

Все цели подразделений по информационной безопасности описаны в типовом положении об отделе ИБ.

Назовем главные задачи:

• минимизировать угрозы безопасности информации и снизить негативные последствия этих угроз (репутационный, экономический или правовой ущерб);
• защита данных, составляющих тайну (коммерческую, врачебную, персональные данные и т.д.);
• повышение защищенности медорганизации от внешних угроз и атак.

Кроме того, отдел ИБ должен обеспечить защиту данных, которые хранятся в медицинской информационной системе на всех уровнях работы клиники:

• информация о медорганизации (общие данные, отчетность);
• сведения о медперсонале, в том числе конфиденциальные сведения);
• сведения о пациентах;
• важные сведения о системе здравоохранения в целом.

Зафиксируйте цели и задачи нового отдела во внутреннем положении, локальный акт должен утвердить главный врач.

Скачайте образец положения по ссылке ниже.

В таблице смотрите задачи отдела информационной безопасности и как они распределяются между сотрудниками.

Чем занимается отдел информационной безопасности

Выделяют следующие направления работы ИТ-специалистов, которые работают в этом отделе:

• стабильная и надежная работа компьютерной техники;
• эффективная работа сети и интернета;
• обеспечение информационных процессов и их безопасность;
• организация взаимодействия подразделений медорганизации.

Сотрудники отдела отвечают за безопасную работу компьютерного и коммуникационного оборудования:

• серверное оборудование;
• персональные компьютеры в подразделениях;
• персональные компьютеры конкретных сотрудников;
• локальные сети медорганизации;
• административно-технический сетевой сегмент МО.

Может ли один руководитель по ИБ совмещать работу в нескольких МО?

Посмотрите ответ

Информационная безопасность в медицинских учреждениях имеет большое значение – в организации хранится огромный массив данных, связанных как с персональными данными пациентов, так и с врачебной тайной, которая охраняется законом.

Это возлагает особую ответственность на отдел ИБ: утечка медицинских данных грозит медорганизации серьезными санкциями – до 100 тыс. рублей штрафа по ст. 13.11 КоАП. За повторное нарушение штраф увеличится в 3 раза – до 300 тыс. рублей.

Ответственного сотрудника могут уволить за нарушение законодательства о персональных данных, в серьезных случаях ему могут запретить заниматься аналогичной деятельностью или лишить свободы (если будет возбуждено уголовное дело).

Кем комплектуется отдел информационной безопасности

В первую очередь, главный врач должен выбрать одного из своих заместителей, который будет отвечать за информационную безопасность медорганизации.

Если в клинике еще нет отдела ИБ, то логично назначить ответственным руководителя ИТ-отдела и направить его на повышение квалификации. Опытный специалист в ИТ-сфере сможет быстро погрузиться в тему информационной безопасности, а также оперативно взаимодействовать с контролирующими органами.

Зафиксируйте назначение ответственного приказом главного врача.

Квалификация руководителя отдела ИБ: требования

Требования к квалификации специалиста установлены письмом Минздрава № 18-4/И/2-9129 от 04.06.2022 года со ссылкой на приказ ФСТЭК № 235 от 21.12.2017 года.

Заместитель главврача, на которого возлагают направление информационной безопасности, должен иметь высшее образование по направлению «Обеспечение информационной безопасности» - специалитет или магистратура.

При наличии другого высшего образования сотрудника можно направить на профпереподготовку, объем программы должен составлять не менее 360 часов.

Еще одно требование касается стажа работы специалиста по ИБ – не менее 3 лет.

Отдел кадров по поручению главврача должен разработать должностную инструкцию заместителя, ответственного по направлению «Информационная безопасность». В ней пропишите:

• функционал специалиста;
• кому он подчиняется;
• полномочия;
• ответственность;
• требования к квалификации.

Помимо ответственного по ИБ, в отделе работают рядовые сотрудники. Кем комплектуется отдел информационной безопасности?

В новых требованиях содержится два условия допуска специалистов по ИБ к деятельности:

1. Высшее образование в области информационной безопасности.
2. Наличие иного высшего образования и обучение по программам подготовки «Информационная безопасность», длительность – не менее 72 часов.
3. Каждый сотрудник отдела по ИБ должен проходить повышение квалификации по направлению «Информационная безопасность» не реже 1 раза в 5 лет.

Если планируете переводить в новый отдел по ИБ действующих сотрудников ИТ-отдела – проверьте наличие у них профильного образования. При необходимости поручите отделу кадров направить их на переобучение.

Только в Системе Главный врач вы узнаете, куда можно отправить на переобучение сотрудников отдела по информационной безопасности Перечень образовательных организаций для переподготовки по информационной безопасности можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю. Узнать>>

Штатная численность ИБ-отдела

Отдел информационной безопасности в медорганизации формируется исходя из объемов задач подразделения. Как правило, штатная численность отдела составляет не менее 3 специалистов.

Кроме руководителя отдела, включите в отдел специалистов:

• инженер по ИБ (администратор средств защиты информации) – он работает с ПО, обеспечивающим защиту информации и оперативно реагирует на возникающие инциденты;
• администратор по ИБ – он реализует организационные меры защиты информации.

Только в Системе Главный врач вы узнаете, можно ли за счет средств ОМС платить зарплату руководителю отдела по информационной безопасности. Данная должность не относятся к медицинским или фармацевтическим должностям и включаются в немедицинское структурное подразделение учреждения, как правило, в общебольничный немедицинский персонал. Узнать>>

Контроль работы отдела по информационной безопасности

Отделы по ИБ активно сотрудничают с органами ФСБ и ФСТЭК. Они должны по требованию их представителей обеспечивать им беспрепятственный доступ к информационным базам медорганизации для проведения мониторинга, а также выполнять указания по итогам проведенных проверок.

Проверки могут быть плановыми или внеплановыми.

Подробнее о внешних проверках отдела ИБ >>