Информационная безопасность в медучреждении

Информационные технологии - это удобство, неимоверная скорость обмена информацией, возможность дистанционного управления и хранения огромных массивов данных. Одним из основных преимуществ информационных систем является возможность свободного внесения в нее любой информации. Правда этот плюс иногда является минусом. Именно поэтому, законодательно введено и закреплено понятие информационной безопасности.

Категория КИИ медицинской организации

В целях соблюдения той самой информационной безопасности введено понятие «категории критической информационной инфраструктуры». Категорирование осуществляется по размеру возможного ущерба, если информационными данными завладеют злоумышленники. Категории критической информационной инфраструктуры всего три: высокая, средняя и низкая.

Медицинские учреждения, как правило относятся к высокой категории, так как в случае несанкционированного доступа к базам данных больницы можно причинить существенный ущерб здоровью более 500 граждан.

Категорирование осуществляется комиссией, которую создает руководитель медучреждения. В состав такой комиссии в обязательном порядке должны входить:

• руководитель больницы или назначенное им должностное лицо;
• работник или работники IT-службы и организации связи;
• работник, ответственный за информационную безопасность;
• работник отдела по защите гостайны;
• работник по делам ГОЧС.

Конечно не во всех медицинских учреждениях есть отдельный работник по защите гостайны. В этом случае такие функции могут быть возложены на работника по делам ГОЧС, что означает сокращение количества членов комиссии. В комиссии председательствует руководитель медицинской организации или уполномоченное им должностное лицо.

Процесс обеспечения информационной безопасности в больнице не замыкается только на работе комиссии. Информация о объектах критической информационной инфраструктуры обязательно должна направляться в соответствующий госорган. Категория должна пересматриваться ежегодно, со дня утверждения перечня объектов КИИ. Этот перечень утверждается соответствующим комиссионным актом, который визируется всеми членами комиссии.

Указанные в акте сведения должны быть переданы в госорган, который обеспечивает безопасность КИИ.

Несмотря на существование комиссии обеспечение информационной безопасности не заканчивается на этом. Большую часть работы по обеспечению ИБ, как правило забирает на себя соответствующее структурное подразделение или уполномоченный работник.

Отдел по ИБ в медицинской организации - цели и задачи

Создание структуры обеспечения информационной безопасности начинается с назначения определенных должностных лиц для этой работы. От желания руководителя клиники это не зависит - Постановление Правительства РФ от 15.07.2022 № 1272 и Указ Президента от 01.05.2022 №250 обязывают его сделать такой организационно - штатный шаг.

Основными целями создания указанного структурного подразделения служат:

• устранение или минимизация негативки от угроз нарушения безопасности информации;
• создание системы защиты данных (в том числе персональных) работников, пациентов и самой больницы;
• увеличение защищенности от хакерских взломов и атак.

Достижение вышеуказанных целей возможно при четком распределении рабочих задач и функций в области информационной безопасности, к которым можно отнести:

• планирование мероприятий и работ по обеспечению информационной безопасности;
• создание и подача руководству предложений по совершенствованию документооборота в области обеспечению безопасности;
• устранение угроз безопасности информации, уязвимостей информационных систем и ПО и последующий их анализ;
• обнаружение, предупреждение и ликвидация последствий хакерских и вирусных атак на информационные базы данных;
• подготовка отчетов о состоянии системы информационной безопасности;
• организация обучения по вопросам информационной безопасности;
• проведение контроля за состоянием защитных сетей и подсистем, обеспечивающих информационную безопасность.

Естественно, что указанный выше перечень не исчерпывающий. Перечень задач возлагаемых на специалиста (службу) информационной безопасности может быть значительно больше. В этом отношении все зависит от “производственных размеров и мощностей” медицинского учреждения.

При создании службы или назначении ответственного работника за информационную безопасность важно уделить особое внимание уровню их профессиональной подготовки в этой области.

Заключение

Информационная безопасность - важная составляющая современного процесса управления медицинской организацией. Связано это с тем, что больница имеет отношение к так называемой критической информационной инфраструктуре. Именно по этой причине важно место в работе клиники имеет служба информационной безопасности.

Если вы и дальше хотите оставаться в курсе последних новостей и изменений в законодательстве - присоединяйтесь к нашему каналу в Телеграме. Будем рады видеть вас в нашем сообществе!