Концепция информационной безопасности в сфере здравоохранения (приложение N 2 к протоколу президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности от 10 марта 2022 г. N 7)

Сокращения, термины и определения

В настоящем документе использованы следующие сокращения и термины с соответствующими определениями.

Архитектура (системы)	Основные понятия или свойства системы в окружающей среде, воплощенной в ее элементах, отношениях и конкретных принципах ее проекта и развития (ГОСТ Р 57100-2016/ISO/IEC/IEEE 42010:2011)
Архитектура системы обеспечения информационной безопасности	Совокупность основных организационных и технических мер защиты информации, предназначенных для достижения уровня защищенности, обеспечивающего конфиденциальность, целостность и доступность информации
Аудит информационной безопасности	Независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения установленных требований по обеспечению информационной безопасности (ГОСТ Р 50922-2006)
Верификация	Подтверждение на основе предоставления объективных свидетельств того, что установленные требования были выполнены (ГОСТ Р 56839-2015/IEC/TR 80001-2-1:2012)
ГосСОПКА	Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
Государственные информационные системы	Федеральные информационные системы и региональные информационные системы, созданные на основании федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов (Федеральный закон от 27.07.2006 N 149-ФЗ)
Доверие	Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности (ГОСТ Р ИСО/МЭК 15408-1-2012)
ЕГИСЗ	Единая государственная информационная система в сфере здравоохранения. Созданная Министерством здравоохранения Российской Федерации единая информационная система, необходимая для решения следующих задач: - информационного обеспечения государственного регулирования в сфере здравоохранения; - информационной поддержки деятельности медицинских организаций, включая поддержку осуществления медицинской деятельности; - информационного взаимодействия поставщиков информации в единую систему и пользователей информации, содержащейся в единой системе; - информирования населения по вопросам ведения здорового образа жизни, профилактики заболеваний, получения медицинской помощи, передачи сведений о выданных рецептах на лекарственные препараты из медицинских информационных систем медицинских организаций в информационные системы фармацевтических организаций; - обеспечения доступа граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения, иных информационных систем и информационных систем государственных внебюджетных фондов. (Федеральный закон от 21.11.2011 N 323-ФЗ, Постановление Правительства Российской Федерации от 05.05.2018 N 555)
Жизненный цикл	Развитие системы, продукта, услуги, проекта или других изготовленных человеком объектов, начиная со стадии разработки концепции и заканчивая прекращением применения (ИСО/МЭК 12207:2008)
Защита информации	Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922-2006)
Зона ответственности центра ГосСОПКА	Совокупность информационных ресурсов, в отношении которых субъектом ГосСОПКА обеспечиваются обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты (Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации)
Защищенная сеть передачи данных (ЗСПД)	Сеть передачи данных, создаваемая и эксплуатируемая с целью обеспечения надежной, безопасной и достоверной передачи информации
Информационная безопасность	Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки (ГОСТ Р ИСО/МЭК 13335-1-2006)
Информационные ресурсы Российской Федерации	Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, находящиеся на территории Российской Федерации и в дипломатических представительствах и (или) консульских учреждениях Российской Федерации (Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации)
Информационные системы	Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 N 149-ФЗ)
Информационные системы в сфере здравоохранения	- Федеральные государственные информационные системы в сфере здравоохранения; - информационные системы в сфере здравоохранения Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования; - государственные информационные системы в сфере здравоохранения субъектов Российской Федерации; - медицинские информационные системы медицинских организаций; - информационные системы фармацевтических организаций. (Федеральный закон от 21.11.2011 N 323-ФЗ)
Информационные системы общего пользования	Федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет (Требования о защите информации, содержащейся в информационных системах общего пользования, утвержденные Приказом ФСБ России, ФСТЭК России от 31.08.2010 N 416/489)
Инцидент информационной безопасности	Появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности (ГОСТ Р ИСО/МЭК ТО 18044-2007)
Источник угрозы безопасности информации	Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации (ГОСТ Р 50922-2006)
Информация	Сведения (сообщения, данные) независимо от формы их представления (Федеральный закон от 27.07.2006 N 149-ФЗ)
Иные информационные системы	Информационные системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг (Федеральный закон от 21.11.2011 N 323-ФЗ)
Компьютерная атака	Целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации (Федеральный закон от 26.07.2017 N 187-ФЗ)
Компьютерный инцидент	Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки (Федеральный закон от 26.07.2017 N 187-ФЗ)
Концепция	Концепция информационной безопасности в сфере здравоохранения
Мониторинг	Систематический сбор и обработка информации по процессам и объектам внимания для оценки их состояния и прогнозов развития с целью принятия решения (ГОСТ Р 56875-2016)
НКЦКИ	Национальный координационный центр по компьютерным инцидентам
Объект информатизации	Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (ГОСТ Р 51275-2006)
Объекты критической информационной инфраструктуры	Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры (Федеральный закон от 26.07.2017 N 187-ФЗ)
Персональные данные	Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (Федеральный закон от 27.07.2006 N 152-ФЗ)
Приложение	Решение в области ИТ, включающее прикладное программное средство, прикладные данные и процедуры, предназначенные для содействия пользователям организации в осуществлении определенных задач или обработке конкретных видов задач ИТ посредством автоматизации процесса или функции бизнеса (ГОСТ Р ИСО/МЭК 27034-1-2014)
Риск информационной безопасности	Возможность того, что Угроза безопасности информации сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации. Измеряется исходя из комбинации вероятности события и его последствия (ГОСТ Р ИСО/МЭК 27005-2010)
Свидетельство доверия	Документированные результаты, представленные данными, полученными при анализе доверия к оцениваемому объекту, включая отчеты (обоснования) в поддержку утверждения о доверии (ГОСТ Р 54581-2011)
Сеть связи	Технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи (Федеральный закон от 07.07.2003 N 126-ФЗ)
Система обеспечения информационной безопасности	Совокупность сил обеспечения информационной безопасности, осуществляющих скоординированную и спланированную деятельность, и используемых ими средств обеспечения информационной безопасности (Указ Президента Российской Федерации от 05.12.2016 N 646)
Социальная инженерия	Метод манипулирования мыслями и поступками людей, базирующийся на психологических особенностях личности и закономерностях человеческого мышления
Субъект критической информационной инфраструктуры	Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей (Федеральный закон от 26.07.2017 N 187-ФЗ)
Угроза безопасности информации	Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации (ГОСТ Р 50922-2006)
Уровень доверия	Уровень, характеризующий безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа (Приказ ФСТЭК России от 30.07.2018 N 131)
Центр ГосСОПКА	Структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты в своей зоне ответственности (Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации)
Центр ГосСОПКА, ведомственный	Центр ГосСОПКА, созданный заинтересованным органом государственной власти или в интересах органа государственной власти, организацией, осуществляющей лицензируемую деятельность в области защиты информации (Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации)
Центр ГосСОПКА, корпоративный	Центр ГосСОПКА, созданный государственной корпорацией, оператором связи или другой организацией, осуществляющей лицензируемую деятельность в области защиты информации (Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации)
Центр ГосСОПКА, отраслевой	Ведомственный центр ГосСОПКА, являющийся головным центром ГосСОПКА в сфере здравоохранения
Эскизное решение	Описание базового набора мер защиты информации и средств защиты информации, необходимое для их реализации в информационных системах в сфере здравоохранения в соответствии с установленными требованиями

Введение

Расширение областей применения информационных технологий в различных отраслях, включая здравоохранение, является одним из основных факторов совершенствования функционирования институтов государственной власти. Вместе с тем эпоха масштабной реализации проектов цифровой трансформации системы государственного управления Российской Федерации характеризуется повышением сложности, увеличением масштабов и ростом скоординированности компьютерных атак на создаваемые информационные ресурсы. При этом практика централизованного внедрения единых цифровых решений без одновременного создания системы обеспечения их информационной безопасности существенно повышает риски проявления угроз безопасности и, как следствие, нанесения ущерба интересам личности, общества и государства.

Обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры, в первую очередь критической информационной инфраструктуры Российской Федерации, относится к национальным интересам Российской Федерации в информационной сфере и направлено на формирование безопасного информационного пространства оборота достоверной информации и устойчивой к различным видам воздействия информационной инфраструктуры.

В соответствии со Стратегией национальной безопасности Российской Федерации достижение цели обеспечения информационной безопасности осуществляется путем реализации государственной политики, направленной на решение следующих задач*(1):

- снижение до минимально возможного уровня количества утечек информации ограниченного доступа и персональных данных, а также уменьшение количества нарушений установленных российским законодательством требований по защите такой информации и персональных данных;

- обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных, в том числе с использованием информационных технологий;

- обеспечение приоритетного использования в информационной инфраструктуре Российской Федерации российских информационных технологий и оборудования, отвечающих требованиям информационной безопасности, в том числе при реализации национальных проектов (программ) и решении задач в области цифровизации экономики и государственного управления.

В соответствии с Доктриной информационной безопасности Российской Федерации*(2) Министерство здравоохранения Российской Федерации входит в состав организационной основы системы обеспечения информационной безопасности Российской Федерации и в рамках своей деятельности по развитию и совершенствованию системы обеспечения информационной безопасности в сфере здравоохранения выполняет в числе прочего:

- планирование, осуществление и оценку эффективности комплекса мер по обеспечению информационной безопасности в сфере здравоохранения;

- организацию деятельности и координацию взаимодействия сил обеспечения информационной безопасности в сфере здравоохранения, совершенствование их правового, организационного, информационно-аналитического, кадрового и экономического обеспечения;

- укрепление вертикали управления и централизацию сил обеспечения информационной безопасности в сфере здравоохранения на федеральном, региональном, муниципальном уровнях, а также на уровне объектов информатизации и операторов информационных систем в сфере здравоохранения.

Настоящая Концепция является базовым отраслевым документом стратегического планирования, определяющим направления развития системы обеспечения информационной безопасности в сфере здравоохранения, систему взглядов, принципы, подходы и требования к обеспечению защиты информации, обрабатываемой в информационных системах в сфере здравоохранения, и включает:

- результаты анализа текущего состояния защиты информации в информационных системах в сфере здравоохранения;

- задачи и цели, достижение которых обеспечит реализацию единого комплексного подхода к созданию и совершенствованию системы обеспечения информационной безопасности в сфере здравоохранения и позволит минимизировать возможные негативные последствия реализации угроз безопасности информации в информационных системах в сфере здравоохранения;

- базовые принципы и подходы к обеспечению защиты информации в информационных системах в сфере здравоохранения, к построению системы реагирования на компьютерные атаки и инциденты информационной безопасности, к созданию и функционированию защищенных сетей передачи данных;

- эскизные решения по реализации мер защиты информации в информационных системах в сфере здравоохранения;

- основные этапы реализации концепции.

1. Область действия Концепции

Настоящая Концепция определяет систему взглядов, принципы и подходы к обеспечению защиты информации, не составляющей государственную тайну, а также к построению единой системы обеспечения информационной безопасности в сфере здравоохранения.

В настоящей Концепции рассматривается обеспечение информационной безопасности в информационных системах, автоматизированных системах управления и информационно-телекоммуникационных сетях в сфере здравоохранения, включающее в себя:

- реализацию мер защиты информации, предусмотренных нормативными правовыми актами Российской Федерации и техническими заданиями на создание информационных систем с учетом модели угроз безопасности информации, а также уровней защищенности персональных данных при их обработке в информационных системах персональных данных;

- реализацию мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы в сфере здравоохранения в соответствии с нормативными правовыми актами Российской Федерации, включая осуществление мониторинга информационной безопасности в сфере здравоохранения и информационно-телекоммуникационных сетей, обеспечивающих их функционирование.

Единая система обеспечения информационной безопасности в сфере здравоохранения включает в себя совокупность сил обеспечения информационной безопасности в сфере здравоохранения, осуществляющих скоординированную и спланированную деятельность, и используемых ими средств обеспечения информационной безопасности*(3).

К силам обеспечения информационной безопасности в сфере здравоохранения относятся подразделения и должностные лица, уполномоченные на решение в соответствии с законодательством Российской Федерации задач по обеспечению информационной безопасности, следующих категорий участников системы обеспечения информационной безопасности в сфере здравоохранения:

Министерство здравоохранения Российской Федерации;

- федеральные органы исполнительной власти, являющиеся операторами информационных систем в сфере здравоохранения;

- организации, подведомственные Министерству здравоохранения Российской Федерации;

- Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования;

- органы государственной власти субъектов Российской Федерации в сфере охраны здоровья;

- органы местного самоуправления в сфере охраны здоровья;

- медицинские и фармацевтические организации;

- организации, информационные ресурсы и (или) инфраструктура которых используются в сфере здравоохранения;

- организации - операторы иных информационных систем, которые могут взаимодействовать с информационными системами в сфере здравоохранения;

- организации, имеющие соответствующие лицензии и привлекаемые к обеспечению информационной безопасности информационных систем в сфере здравоохранения.

К средствам обеспечения информационной безопасности в сфере здравоохранения относятся:

- программные, программно-аппаратные и технические средства, применяемые для реализации мер защиты информации в информационных системах в сфере здравоохранения и информационно-телекоммуникационных сетях, обеспечивающих их функционирование;

- средства обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы в сфере здравоохранения и информационно-телекоммуникационные сети, обеспечивающие их функционирование.

Настоящая Концепция определяет архитектуру и функции системы обеспечения информационной безопасности в сфере здравоохранения на основе правовой базы Российской Федерации, а также результатов анализа текущего состояния информационных систем и тенденций цифровой трансформации сферы здравоохранения.

2. Характеристика текущего состояния защиты информации сферы здравоохранения

2.1. Структура информационных систем в сфере здравоохранения

2.1.1. Систематизированная информация об информационных системах в сфере здравоохранения

Информационное обеспечение в сфере здравоохранения осуществляется посредством создания, развития и эксплуатации федеральных государственных информационных систем в сфере здравоохранения, информационных систем в сфере здравоохранения Федерального фонда обязательного медицинского страхования, в том числе развития и эксплуатации государственной информационной системы обязательного медицинского страхования, и территориальных фондов обязательного медицинского страхования, государственных информационных систем в сфере здравоохранения субъектов Российской Федерации, медицинских информационных систем медицинских организаций, информационных систем фармацевтических организаций (информационные системы в сфере здравоохранения)*(4).

На федеральном уровне уполномоченным федеральным органом исполнительной власти в сфере здравоохранения создается, развивается и эксплуатируется единая государственная информационная система в сфере здравоохранения (ЕГИСЗ) с целью обеспечения доступа граждан к услугам в сфере здравоохранения в электронной форме, а также для организации иерархического взаимодействия информационных систем в сфере здравоохранения*(5).

Информационное взаимодействие ЕГИСЗ с федеральными государственными информационными системами и информационными системами государственных внебюджетных фондов осуществляется с использованием единой системы межведомственного электронного взаимодействия*(6). Для организации информационного взаимодействия с государственными информационными системами в сфере здравоохранения субъектов Российской Федерации, медицинскими информационными системами медицинских организаций государственной, муниципальной и частной систем здравоохранения, а также с иными информационными системами используется защищенная сеть передачи данных*(7).

Пользователи информации, содержащейся в ЕГИСЗ, получают информацию из ЕГИСЗ, в том числе посредством единой системы межведомственного электронного взаимодействия*(8). Доступ граждан к услугам в сфере здравоохранения в электронной форме осуществляется посредством взаимодействия ЕГИСЗ с единым порталом государственных и муниципальных услуг*(9).

На региональном уровне органами исполнительной власти субъектов Российской Федерации, уполномоченными высшим исполнительным органом государственной власти субъекта Российской Федерации, создаются, развиваются и эксплуатируются ГИС в сфере здравоохранения субъектов Российской Федерации, содержащие информацию, необходимую для информационной поддержки управленческой деятельности в сфере охраны здоровья граждан в субъекте Российской Федерации, включая информацию о медицинских и фармацевтических организациях на территории субъекта Российской Федерации и об осуществлении ими медицинской и фармацевтической деятельности на территории субъекта Российской Федерации*(10). К ГИС в сфере здравоохранения субъектов Российской Федерации предоставляется доступ и (или) осуществляется подключение медицинских информационных систем медицинских организаций*(11).

В то же время ГИС в сфере здравоохранения субъектов Российской Федерации в отдельных случаях могут обеспечивать выполнение функций медицинских информационных систем медицинских организаций*(12). Также допускается взаимодействие ГИС в сфере здравоохранения субъектов Российской Федерации с региональными порталами государственных и муниципальных услуг*(13).

Медицинские информационные системы медицинских организаций (МИС МО) предназначены для обеспечения автоматизации процессов оказания и учета медицинской помощи, а также информационной поддержки медицинских работников*(14). При этом системы хранения результатов диагностических исследований (архив медицинских изображений), а также системы хранения результатов лабораторных исследований могут быть удаленными, самостоятельными и не входящими в состав МИС МО, полностью интегрированными с МИС МО или являться ее частью*(15). Взаимодействие МИС МО с информационными системами территориальных фондов обязательного медицинского страхования и страховых медицинских организаций осуществляется через интеграцию с данными системами либо через автоматизированную передачу данных о медицинской помощи*(16).

Информационные системы фармацевтических организаций предназначены для автоматизации процессов осуществления фармацевтической деятельности и информационной поддержки фармацевтических работников*(17).

С информационными системами в сфере здравоохранения и медицинскими организациями также могут взаимодействовать информационные системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, в порядке, на условиях и в соответствии с требованиями, установленными Правительством Российской Федерации*(18).

В настоящее время состояние информационных систем в сфере здравоохранения характеризуется в числе прочего:

- разнотипностью решаемых задач;

- разнообразием программных и технических решений;

- разнообразием подходов и способов реализации ИТ-архитектуры (локальные, облачные и гибридные решения);

- консолидацией информации различного назначения, принадлежности и конфиденциальности;

- подходом к управлению доступом различных категорий пользователей без учета их функциональных обязанностей;

- разнородностью способов реализации информационного взаимодействия;

- недостаточностью уровня обеспечения отказоустойчивости;

- территориальной распределенностью и интенсивностью информационного обмена;

- интеграцией разнородных функциональных подсистем;

- отсутствием единых форматов и структуры данных;

- непрерывным развитием функциональных возможностей.

2.1.2. Результаты анализа фактического состояния защиты информации в информационных системах в сфере здравоохранения

Согласно оценкам Всемирного экономического форума, компьютерные атаки занимают 9-е место в рейтинге наиболее вероятных причин глобального кризиса. Возрастают масштабы компьютерной преступности и увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека и гражданина, в том числе в части, касающейся неприкосновенности частной жизни, личной и семейной тайны, при обработке персональных данных с использованием информационных технологий*(19).

Анализ статистической информации, публикуемой правоохранительными органами Российской Федерации и экспертными организациями, показывает постоянный рост количества компьютерных атак на информационные системы во всех сферах деятельности. В 2020 году общее количество компьютерных атак на информационные системы в сфере здравоохранения по сравнению с 2019 годом выросло на 91%. При этом 68% компьютерных атак на информационные системы в сфере здравоохранения связаны с использованием вредоносного программного обеспечения; более половины из них - это атаки с использованием программ-шифровальщиков, блокирующих доступ к информации*(20).

Подверженность информационных систем в сфере здравоохранения компьютерным атакам обусловлена особенностями реализации как самих информационных систем, так и систем защиты информации, а также видами обрабатываемой информации.

В информационных системах в сфере здравоохранения обрабатываются следующие основные виды информации ограниченного доступа (распространения):

- информация ограниченного доступа органов государственной власти;

- информация, обрабатываемая в государственных информационных системах;

- сведения, составляющие врачебную тайну;

- персональные данные;

- иные сведения ограниченного доступа (распространения).

Фактическое состояние защиты информации в информационных системах в сфере здравоохранения характеризуется в числе прочего следующим:

- организационные меры защиты информации в информационных системах в сфере здравоохранения разработаны не в полном объеме;

- внедрение и эксплуатация средств защиты информации носят несистемный, фрагментарный характер;

- защита информации, передаваемой по защищенной сети передачи данных при взаимодействии информационных систем в сфере здравоохранения, реализована с применением российских сертифицированных средств криптографической защиты;

- подтверждение соответствия требованиям информационной безопасности получено не для всех информационных систем в сфере здравоохранения;

- в информационных системах в сфере здравоохранения используется недоверенное прикладное и системное программное обеспечение;

- анализ защищенности информационных систем в сфере здравоохранения носит нерегулярный характер;

- укомплектованность организаций в сфере здравоохранения специалистами по защите информации имеет несистемный характер и в большинстве случаев не соответствует требованиям правовых актов Российской Федерации в области защиты информации;

- подходы и способы реализации архитектуры систем защиты информации имеют разнородный характер;

- внутренний контроль и (или) аудит соответствия обработки защищаемой информации требованиям нормативных правовых актов Российской Федерации в сфере защиты информации и локальных актов оператора информационной системы осуществляются на нерегулярной и несистемной основе.

2.1.3. Результаты анализа проектов по цифровизации здравоохранения, в том числе влияния результатов их реализации на защиту информации в информационных системах в сфере здравоохранения

В рамках цифровизации государственного управления Российской Федерации реализуются проекты, направленные на создание механизмов взаимодействия медицинских организаций на основе единой государственной информационной системы в сфере здравоохранения, что обеспечивает повышение эффективности отрасли на всех уровнях.

Цифровизация здравоохранения планомерно ведет к непрерывному развитию услуг и сервисов в сфере здравоохранения, предоставляемых в электронной форме, постоянному повышению сложности применяемых ИТ-решений и технологий, а также значительному росту количества информационных систем, интегрируемых в единый цифровой контур в сфере здравоохранения. Ведутся федеральные проекты по разработке специализированных вертикально интегрированных медицинских информационных систем по отдельным профилям оказания медицинской помощи. В целях обеспечения взаимодействия информационных систем в сфере здравоохранения в рамках единого цифрового контура осуществляется развитие защищенной сети передачи данных.

На федеральном уровне реализуется проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)", который включает в себя мероприятия по организации условий для создания и активного применения современных технологий, внедрению и развитию медицинских информационных систем в медицинских организациях, созданию механизмов юридически значимого электронного документооборота, развитию информационно-телекоммуникационной инфраструктуры, дооснащению медицинских организаций компьютерной техникой*(21).

На основе федерального проекта субъекты Российской Федерации реализуют региональные проекты по созданию единого цифрового контура здравоохранения субъекта Российской Федерации на основе ЕГИСЗ. Анализ реализации проектов цифровизации показал, что при внедрении и развитии информационных систем в сфере здравоохранения учитывается необходимость соблюдения требований нормативных правовых актов Российской Федерации в сфере защиты информации, при этом сами требования, а также принципы и способы их выполнения не детализируются. В паспортах региональных проектов требования к информационной безопасности преимущественно сфокусированы на обеспечении функционирования защищенных сетей передачи данных.

Проекты по цифровизации сферы здравоохранения реализуются по следующим направлениям:

- использование технологических решений на основе искусственного интеллекта;

- внедрение рецептов на лекарственные препараты, сформированных в форме электронных документов;

- создание единой интегрированной электронной медицинской карты;

- внедрение электронных медицинских свидетельств о рождении и смерти;

- разработка цифрового медицинского ассистента;

- создание ситуационного центра Минздрава России;

- и другие.

В результате реализации проектов по цифровизации в числе прочего:

- увеличиваются количество и сложность реализации информационных систем в сфере здравоохранения;

- многократно увеличивается количество участников информационного взаимодействия;

- увеличивается количество пользователей услуг и сервисов в сфере здравоохранения, предоставляемых в электронной форме;

- значительно увеличивается объем данных, обрабатываемых в информационных системах в сфере здравоохранения;

- увеличивается территориальная распределенность информационных систем в сфере здравоохранения;

- расширяется география покрытия электронных услуг и сервисов в сфере здравоохранения, предоставляемых в электронном виде.

Внедрение новых технологических решений может повлечь существенные изменения подходов к созданию и совершенствованию системы обеспечения информационной безопасности в сфере здравоохранения в части:

- своевременного и непрерывного нормативно-правового и методологического обеспечения информационной безопасности в процессе внедрения и эксплуатации современных технологий и ИТ-решений;

- регулярного анализа рисков и угроз информационной безопасности применяемых современных технологий;

- единых принципов создания ИТ-архитектур, контуров безопасности, а также правил обработки и хранения данных, в том числе обезличивания персональных данных;

- непрерывного анализа защищенности создаваемых и модернизируемых ИТ-решений и информационных систем;

- защиты информационно-телекоммуникационной инфраструктуры и каналов передачи информации, в том числе при использовании энергоэффективных технологий передачи данных, например таких, как NB IоТ;

- контроля полноты, достоверности, целостности и актуальности данных, обрабатываемых с применением современных технологий, в том числе для машинного обучения;

- системного и регулярного внутреннего контроля и (или) аудита соответствия обработки защищаемой информации требованиям нормативных правовых актов Российской Федерации в сфере защиты информации и локальных актов оператора информационной системы.

Учитывая тенденции цифровизации в сфере здравоохранения и их влияние на защиту информации, особую важность приобретает реализация единого комплексного подхода при создании и совершенствовании системы обеспечения информационной безопасности в сфере здравоохранения.

2.1.4. Типовые подходы и эскизные решения реализации систем защиты информации в информационных системах в сфере здравоохранения

Фактическое состояние информационных систем в сфере здравоохранения является следствием исторически сложившегося децентрализованного подхода к созданию и развитию информационных систем в сфере здравоохранения, реализуемого в условиях ограниченности ресурсов. На современном этапе в рамках цифровизации государственного управления усилилась тенденция, направленная на создание и развитие централизованных платформенных решений, создание механизмов взаимодействия медицинских организаций на основе единой государственной системы в сфере здравоохранения и размещение технических средств информационной системы преимущественно на территории Российской Федерации. Примером реализации такого подхода в сфере здравоохранения является создание механизмов взаимодействия медицинских организаций на основе единой государственной системы в сфере здравоохранения.

Результаты анализа текущего состояния защиты информации в отрасли показали необходимость разработки типовых подходов и эскизных решений реализации систем защиты информации в информационных системах в сфере здравоохранения. Набор эскизных решений*(22), определенных в настоящей Концепции, создан на основе совокупности требований правовых актов ФСТЭК России в следующих областях:

- защита информации в государственных информационных системах;

- обеспечение безопасности персональных данных;

- обеспечение безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Выбор эскизного решения осуществляется на основе использования двух принципов:

- построение архитектуры информационной системы, основанной на модели распределения границ при оценке угроз безопасности информации между оператором и поставщиком облачных услуг;

- определение категории значимости информационной системы как объекта критической информационной инфраструктуры; уровня защищенности персональных данных при их обработке в информационных системах в сфере здравоохранения; класса защищенности государственной информационной системы (для государственных информационных систем в сфере здравоохранения).

Построение архитектуры информационной системы и информационно-телекоммуникационной инфраструктуры с учетом распределения границ при оценке угроз безопасности информации между оператором и поставщиком облачных услуг основывается на следующих моделях:

- использование только программных и аппаратных средств, принадлежащих оператору информационной системы на праве собственности или ином законном основании;

- использование облачных услуг по модели "инфраструктура как услуга", при которой оператор информационной системы получает и использует вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы, предоставляемые поставщиком облачных услуг;

- использование облачных услуг по модели "платформа как услуга", при которой оператор информационной системы устанавливает, управляет и запускает прикладное программное обеспечение, используя вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы и среду исполнения, предоставляемые поставщиком облачных услуг;

- использование облачных услуг по модели "программное обеспечение как услуга", при которой оператор информационной системы использует прикладное программное обеспечение, вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы и среду исполнения, предоставляемые поставщиком облачных услуг.

Для выбора эскизного решения используется наивысшее значение из следующих возможных характеристик информационной системы:

- класс защищенности (для государственных информационных систем);

- уровень защищенности персональных данных (для информационных систем персональных данных);

- категория значимости (для значимых объектов критической информационной инфраструктуры).

Для информационных систем, не обладающих ни одной из перечисленных характеристик, рекомендуется применять эскизное решение, соответствующее третьей категории значимости объектов критической информационной инфраструктуры.

2.2. Цели и задачи защиты информации в информационных системах в сфере здравоохранения

2.2.1. Результаты анализа нормативных правовых актов Российской Федерации и национальных стандартов Российской Федерации в сфере защиты информации

Базовыми законодательными актами в сфере защиты информации в информационных системах в сфере здравоохранения являются:

- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

- Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".

Законодательство Российской Федерации*(23) выделяет две категории информации, для которых нормативными правовыми актами Российской Федерации устанавливаются обязанности по защите информации:

- информация, доступ к которой ограничивается федеральными законами;

- информация, которая в соответствии с федеральными законами подлежит предоставлению или распространению.

Кроме того, законодательство Российской Федерации предоставляет обладателю информации право в случаях, когда иное не предусмотрено федеральными законами, самостоятельно разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа.

По результатам анализа нормативных правовых актов Российской Федерации в сфере защиты информации можно выделить следующие области регулирования:

- защита информации, не составляющей государственную тайну, в государственных информационных системах;

- защита информации в информационных системах общего пользования;

- обеспечение безопасности персональных данных;

- защита информации в государственных информационных системах в сфере здравоохранения субъектов Российской Федерации, медицинских информационных системах медицинских организаций и информационных системах фармацевтических организаций;

Защита информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах, регулируется следующими правовыми актами:

- Постановление Правительства Российской Федерации от 06.07.2015 N 676 определяет обязанности федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации по обеспечению защиты информации в государственных информационных системах на разных стадиях их жизненного цикла;

- Приказ ФСТЭК России от 11.02.2013 N 17 утверждает Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах;

- методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 г., содержит методические указания по выбору мер защиты информации, а также раскрывает содержание мер защиты информации, установленных в указанных выше требованиях.

В соответствии с указанными правовыми актами защита информации, содержащейся в государственной информационной системе, обеспечивается путем выполнения требований к организации защиты информации и требований к мерам защиты информации, дифференцированных по трем классам защищенности государственных информационных систем. Приказ ФСТЭК России от 11.02.2013 N 17 определяет:

- требования к организации защиты информации;

- порядок формирования требований к защите информации;

- порядок разработки и внедрения системы защиты информации;

- порядок аттестации и ввода в действие;

- требования по обеспечению защиты информации в ходе эксплуатации, при выводе из эксплуатации или после принятия решения об окончании обработки информации;

- состав мер защиты информации и их базовые наборы для соответствующих классов защищенности.

При этом в обязанности заказчика государственной информационной системы входят адаптация и дополнение базового набора мер защиты информации в зависимости от особенностей реализации информационной системы.

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, могут применяться:

- для защиты информации, содержащейся в негосударственных информационных системах, по решению заказчиков или операторов таких систем*(24);

- для защиты информации в информационных системах в сфере здравоохранения в соответствии с нормативными правовыми актами Минздрава России*(25).

Отдельные требования по защите информации устанавливаются для информационных систем общего пользования. Такие требования устанавливаются следующими нормативными правовыми актами:

- Постановление Правительства Российской Федерации от 24.11.2009 N 953 устанавливает перечни сведений, которые должны публиковаться Правительством Российской Федерации и федеральными органами исполнительной власти в информационных системах общего пользования;

- совместный Приказ ФСТЭК России N 489 и ФСБ России N 416 от 31.08.2010 устанавливает требования о защите информации в информационных системах общего пользования.

В соответствии с законодательством Российской Федерации требования указанных правовых актов распространяются на иные информационные системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, взаимодействующие с информационными системами в сфере здравоохранения и медицинскими организациями*(26).

Основой для регулирования вопросов защиты персональных данных является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных". Реализация мер защиты персональных данных регулируется следующими нормативными правовыми актами:

- Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" устанавливает правила классификации информационных систем персональных данных и требуемые уровни их защищенности, а также устанавливает требования к отдельным организационным мерам защиты;

- Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 определяет состав и содержание организационных и технических мер защиты персональных данных при их обработке в информационных системах персональных данных, дифференцированных по уровням защищенности персональных данных;

- Методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 г., устанавливает рекомендации по реализации указанных выше мер защиты персональных данных.

При этом в государственных информационных системах требования по защите персональных данных должны выполняться наряду с требованиями по защите информации, не составляющей государственную тайну, в государственных информационных системах. В государственных информационных системах (информационных систем персональных данных) обрабатывающие специальные категории ПДн должны предъявлять повышенные требования и максимальный класс защищенности для государственных информационных систем и уровню защищенности информационных систем персональных данных#

В соответствии с Федеральным законом N 323-ФЗ от 21.11.2011 "Об основах охраны здоровья граждан в Российской Федерации" сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Закон устанавливает конфиденциальность сведений, составляющих врачебную тайну, но не конкретизирует требования о защите таких сведений. Сведения, составляющие врачебную тайну, относятся к определенному физическому лицу и, следовательно, включают в себя персональные данные этого лица. Таким образом, требования по защите информации, составляющей врачебную тайну, устанавливаются:

- в части, касающейся защиты персональных данных, - нормативными правовыми актами Российской Федерации, устанавливающими требования по защите персональных данных;

- в части, касающейся обеспечения конфиденциальности сведений, не являющихся персональными данными, в государственных информационных системах, - нормативными правовыми актами Российской Федерации, устанавливающими требования по защите информации в государственных информационных системах;

- в части, касающейся обеспечения конфиденциальности сведений, не являющихся персональными данными, в прочих информационных системах, - законодательством Российской Федерации об информации, информационных технологиях и о защите информации*(27);

- в информационных системах в сфере здравоохранения - Минздравом России.

Вопросы криптографической защиты информации при ее обработке в государственных информационных системах и в информационных системах персональных данных регулируются следующими нормативными правовыми актами:

- Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- Приказ ФСБ России от 09.02.2005 года N 66 "Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

- инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная Приказом ФАПСИ от 13.06.2001 N 152.

В соответствии с указанными нормативными правовыми актами для нейтрализации актуальных угроз устанавливается обязательность применения средств криптографической защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. При выборе средств криптографической защиты информации предпочтение следует отдавать отечественному программному обеспечению, использующему российские криптографические алгоритмы и средства шифрования, а также отечественному оборудованию, соответствующему требованиям безопасности.

Отдельной областью в сфере защиты информации является обеспечение безопасности критической информационной инфраструктуры Российской Федерации. Правовой основой регулирования в данной области является Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", который:

- устанавливает, что информационные системы, функционирующие в сфере здравоохранения, являются объектами критической информационной инфраструктуры;

- определяет необходимость категорирования объектов критической информационной инфраструктуры;

- устанавливает права и обязанности субъектов критической информационной инфраструктуры в части обеспечения безопасности объектов критической информационной инфраструктуры;

- устанавливает права и обязанности субъектов критической инфраструктуры в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Правила категорирования объектов критической информационной инфраструктуры и обеспечение безопасности значимых объектов критической информационной инфраструктуры регулируются следующими нормативными правовыми актами:

- Постановление Правительства Российской Федерации от 08.02.2018 N 127 устанавливает правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также показатели, по которым проводится категорирование, и значения этих показателей, дифференцирующие значимые объекты критической информационной инфраструктуры на три категории значимости;

- Приказ ФСТЭК России от 25.12.2017 N 239 устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;

- Приказ ФСТЭК России от 21.12.2017 N 235 устанавливает требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования.

Обнаружение, предупреждение и ликвидация последствий компьютерных атак и компьютерных инцидентов регулируются следующими нормативными правовыми актами Российской Федерации:

- Приказ ФСБ России от 19.06.2019 N 282 устанавливает порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, а также принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении объектов критической информационной инфраструктуры;

- Приказ ФСБ России от 24.07.2018 N 367 устанавливает перечень сведений, представляемых субъектами критической информационной инфраструктуры в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) и порядок представления такой информации;

- Приказ ФСБ России от 06.05.2019 N 196 устанавливает требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

- Приказ ФСБ России от 24.07.2018 N 368 устанавливает порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры;

- Приказ ФСБ России от 19.06.2019 N 281 устанавливает порядок, технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Отдельные вопросы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации регулируются правовыми актами ограниченного распространения ФСБ России.

Правовой основой применения национальных стандартов является Федеральный закон от 29.06.2015 N 162-ФЗ "О стандартизации в Российской Федерации". Закон устанавливает, что национальные стандарты применяются на добровольной основе, кроме следующих случаев:

- изготовитель продукции публично заявил о ее соответствии национальному стандарту;

- ссылка на национальный стандарт содержится в нормативном правовом акте.

В настоящее время ряд национальных стандартов Российской Федерации является обязательным в силу наличия ссылок на них в нормативных правовых актах ФСТЭК России.

Анализ правовых актов и национальных стандартов Российской Федерации выявил ряд проблемных вопросов государственного регулирования в сфере защиты информации в информационных системах в сфере здравоохранения, одним из которых является отсутствие у Минздрава России полномочий по контролю выполнения требований по защите информации в информационных системах в сфере здравоохранения.

Совершенствование и своевременная актуализация правовых актов Российской Федерации позволят минимизировать проблемы регулирования защиты информации в сфере здравоохранения.

2.2.2. Определение основных типов угроз безопасности информации в информационных системах в сфере здравоохранения

При определении основных типов угроз безопасности информации в информационных системах в сфере здравоохранения использованы подходы, установленные методическим документом "Методика оценки угроз безопасности информации" ФСТЭК России*(28), с учетом анализа информации об информационных системах в сфере здравоохранения и сведений, содержащихся в банке данных угроз безопасности информации ФСТЭК России.

Угрозы безопасности информации, связанные с преднамеренными и непреднамеренными действиями внутреннего нарушителя

Источниками таких угроз являются пользователи, правомерно обладающие доступом к информационным системам в сфере здравоохранения и обрабатываемой в них информации. К угрозам данного типа относятся:

- ошибочные действия, связанные с непреднамеренным или осознанным нарушением требований нормативной, эксплуатационной и иной документации при работе с информационными системами;

- злоупотребление пользователями предоставленным доступом к информационным системам.

Угрозы данного типа могут привести к самому широкому кругу негативных последствий, связанных с утечкой, искажением, модификацией и удалением информации, нарушением или прекращением функционирования информационной системы. Примерами таких типовых негативных последствий реализации угроз данного типа являются:

- раскрытие, искажение или уничтожение охраняемой информации в результате ошибочных действий пользователей и персонала информационных систем или злоупотребления предоставленными им полномочиями;

- снижение уровня защищенности информационных систем и создание условий, способствующих несанкционированным действиям нарушителей.

Угрозы безопасности информации, связанные с применением методов социальной инженерии

Источником угроз данного типа являются нарушители, использующие средства социальной коммуникации с пользователями информационных систем в сфере здравоохранения.

Методы социальной инженерии используют низкую осведомленность пользователей информационных систем в вопросах информационной безопасности и призваны побудить их совершить нужное нарушителю действие (в том числе непреднамеренное нарушение правил эксплуатации информационной системы): открыть вредоносное вложение, полученное по электронной почте, перейти по вредоносной ссылке, ввести имя и пароль на веб-сайте, имитирующем интерфейс определенной информационной системы в сфере здравоохранения, и т.п.

Примерами типовых негативных последствий реализации угроз данного типа являются:

- раскрытие, искажение или уничтожение охраняемой информации в результате спровоцированных нарушителем действий пользователей и персонала информационных систем;

- получение нарушителем доступа к информационным системам и информационно-телекоммуникационным сетям, создание предпосылок для проведения компьютерных атак на смежные информационные системы и информационно-телекоммуникационные сети.

Угрозы безопасности информации, связанные с уничтожением или блокированием информации вредоносным программным обеспечением

Источником данных угроз могут являться как внешние, так и внутренние нарушители. Угроза может реализоваться в процессе целенаправленной атаки на информационные системы в сфере здравоохранения либо как сопутствующий результат атаки, совершаемой на другие объекты.

Угроза заключается в распространении в инфраструктуре, обеспечивающей функционирование информационной системы, вредоносного программного обеспечения, осуществляющего уничтожение или блокирование (шифрование) информации по заданному признаку (например, файлов определенного формата). Целью нарушителя является временное нарушение или прекращение деятельности организации.

Примерами типовых негативных последствий реализации угроз данного типа являются:

- нарушение штатного режима функционирования информационных систем;

- нарушение процессов деятельности организации, в том числе лечебных процессов;

- причинение вреда жизни и здоровью людей;

- необходимость дополнительных (незапланированных) затрат на восстановление работоспособности информационной системы и деятельности организации.

Угрозы безопасности информации, связанные с передачей информации по каналам связи

Источниками угроз данного типа являются как внутренние нарушители, так и внешние нарушители, получившие несанкционированный доступ к компонентам информационной системы или информационно-телекоммуникационных сетей, обеспечивающих ее функционирование.

Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к передаваемой в системе защищаемой информации за счет деструктивного воздействия на протоколы сетевого (локального) обмена данными. Несанкционированный доступ осуществляется на тех участках маршрута передачи данных, на которых не реализуется комплекс мер технической и криптографической защиты информации.

Примерами типовых негативных последствий реализации угроз данного типа является несанкционированный доступ к информации ограниченного доступа, включая информацию, позволяющую реализовывать иные типы угроз безопасности информации (сведения об уязвимостях компонентов информационных систем, идентификаторы и пароли пользователей и т.п.).

Угрозы безопасности информации, связанные с использованием нарушителем уязвимостей и недекларированных возможностей программного обеспечения

Источниками угроз данного типа являются как внутренние, так и внешние нарушители:

- имеющие санкционированный доступ к компонентам информационной системы и (или) информационно-телекоммуникационных сетей, обеспечивающих ее функционирование;

- получившие несанкционированный доступ к компонентам информационной системы и (или) информационно-телекоммуникационных сетей, обеспечивающих ее функционирование, в результате реализации угроз безопасности информации.

Угроза заключается в преднамеренном повышении привилегий и получении (распространении) доступа к компонентам информационной системы и (или) инфраструктуры, обеспечивающей ее функционирование, с использованием уязвимостей системного и прикладного программного обеспечения. При этом злоумышленник может использовать:

- известные уязвимости серийно выпускаемого программного обеспечения;

- ранее неизвестные уязвимости протоколов сетевого взаимодействия сетевого и прикладного уровней эталонной модели ISO OSI;

- уязвимости веб-интерфейсов программных и аппаратных компонентов информационной системы и инфраструктуры;

- ошибки в настройке программного и аппаратного обеспечения;

- ошибки в архитектуре информационной системы и информационно-телекоммуникационных сетей;

- недекларированные возможности в программном обеспечении.

Угрозы данного типа могут привести к самому широкому кругу негативных последствий, связанных с неправомерным копированием, искажением, модификацией и удалением информации, компрометацией аутентификационных данных, нарушением или прекращением функционирования информационной системы.

Примером типовых негативных последствий угроз данного типа является получение несанкционированного доступа к защищаемой информации в обход реализованных технических мер защиты.

Угрозы безопасности информации, связанные с нарушением функционирования средств, реализующих технологии искусственного интеллекта

К данному типу относятся угрозы, связанные с раскрытием информации о модели машинного обучения, хищением обучающих данных, нарушением функционирования ("обходом") средств, реализующих технологии искусственного интеллекта, модификацией модели машинного обучения путем искажения ("отравления") обучающих данных, подменой модели машинного обучения*(29).

Примерами типовых негативных последствий реализации угроз данного типа являются:

- нарушение процессов деятельности организации, в том числе лечебных процессов;

- причинение вреда жизни и здоровью людей;

- необходимость дополнительных (незапланированных) затрат на восстановление работоспособности информационной системы и деятельности организации;

- причинение иного финансового ущерба.

Угрозы безопасности информации, связанные с нарушениями предоставления облачных услуг

Источниками угроз данного типа являются как внутренние нарушители, так и внешние нарушители, получившие несанкционированный доступ к облачной инфраструктуре и компонентам, обеспечивающим ее функционирование.

К данному типу относятся угрозы, связанные с нарушением доступности облачных серверов, неопределенностью в распределении ответственности между ролями в облачной инфраструктуре, потерей данных, обрабатываемых в облаке, приостановкой оказания облачных услуг вследствие технических сбоев, и другие угрозы, оказывающие влияние на предоставление облачных услуг*(29).

Угрозы безопасности информации, связанные с техногенными источниками

К данному типу относятся угрозы, связанные с нарушением функционирования технических и программно-аппаратных средств информационных систем и информационно-телекоммуникационных сетей в результате физических явлений, не зависящих от человеческого фактора (спонтанные отказы программного и аппаратного обеспечения, нарушения электропитания и климатических условий функционирования информационных систем, стихийные бедствия и т.п.).

Примерами типовых негативных последствий реализации угроз данного типа являются:

- нарушение штатного режима функционирования информационных систем;

- нарушение процессов деятельности организации, в том числе лечебных процессов;

- причинение вреда жизни и здоровью людей;

2.2.3. Результаты анализа негативных последствий информационной безопасности в информационных системах в сфере здравоохранения, связанных с нарушением или прекращением функционирования информационных систем в сфере здравоохранения, а также защиты информации

По результатам анализа информационных систем в сфере здравоохранения, проектов по цифровизации здравоохранения, а также основных типов угроз безопасности информации в информационных системах в сфере здравоохранения можно выделить ряд негативных последствий, связанных с реализацией угроз безопасности, имеющих критически опасный характер с учетом специфики сферы здравоохранения.

Невозможность предоставления медицинских услуг и оказания медицинской помощи, оказание ненадлежащей медицинской помощи

Указанные негативные последствия являются следствием реализации угроз безопасности информации, приводящих в числе прочего к следующему:

- недоступность (блокировка), длительные прерывания, нарушения штатного функционирования работы информационных систем в сфере здравоохранения, а также автоматизированных систем управления технологическим процессом, эксплуатируемых организациями в сфере здравоохранения;

- полная или частичная потеря связи с компонентами информационных систем в сфере здравоохранения, а также с медицинским персоналом при оказании неотложной и экстренной медицинской помощи;

- сбои и ошибки в работе информационных систем в сфере здравоохранения, приводящие к нарушению целостности и достоверности информации, необходимой для предоставления медицинской помощи;

- нештатное функционирование высокотехнологичного медицинского оборудования*(30);

- причинение вреда жизни и здоровью пациента.

Невозможность точного определения диагноза и назначения лечения, а также невозможность обеспечения преемственности оказания медицинской помощи

- недоступность данных электронной медицинской карты (например, диагноза, плана лечения, характеристики пациента);

- полная или частичная утрата данных электронной медицинской карты;

- нарушение целостности результатов диагностических и лабораторных исследований;

- невозможность осуществления ретроспективного анализа диагностических данных и лабораторных исследований;

- ошибочные результаты диагностических исследований, проводимых с помощью информационных систем и (или) автоматизированных систем управления технологическим процессом;

- нарушение штатного функционирования диагностического оборудования;

- некорректные или ошибочные рекомендации в системе поддержки принятия врачебных решений;

- причинение вреда жизни и здоровью пациента.

Неправомерное использование конфиденциальной информации, обрабатываемой в информационных системах в сфере здравоохранения

- разглашение персональных данных граждан, включая специальную категорию персональных данных;

- разглашение сведений, составляющих врачебную тайну;

- разглашение сведений конфиденциального характера;

- нарушение неприкосновенности частной жизни;

- причинение морального вреда;

- причинение вреда деловой репутации;

- нанесение имущественного ущерба, в том числе в результате совершения мошеннических действий;

- нанесение вреда жизни и здоровью пациента.

2.2.4. Определение целей создания системы обеспечения информационной безопасности в сфере здравоохранения

Система обеспечения информационной безопасности в сфере здравоохранения создается в целях координации и планирования деятельности сил обеспечения информационной безопасности в сфере здравоохранения и используемых ими средств защиты информации.

Основными целями системы обеспечения информационной безопасности в сфере здравоохранения являются:

- реализация единых принципов и подходов к обеспечению защиты информации в информационных системах в сфере здравоохранения;

- обеспечение единства организационно-методической политики реализации мер защиты информации;

- координация взаимодействия сил обеспечения информационной безопасности.

Реализация единых принципов и подходов к обеспечению защиты информации в информационных системах в сфере здравоохранения обеспечивается путем разработки, актуализации и внедрения отраслевых стандартов и методических рекомендаций по защите информации.

Единство организационно-методической политики реализации мер защиты информации в информационных системах в сфере здравоохранения обеспечивается путем разработки и утверждения типовых локальных нормативных актов и организационно-распорядительных документов на основе отраслевых стандартов и методических рекомендаций.

Координация взаимодействия сил обеспечения информационной безопасности в сфере здравоохранения обеспечивается путем создания отраслевого центра информационной безопасности Минздрава России, выполняющего в числе прочего функции ведомственного центра ГосСОПКА.

2.2.5. Определение задач, решение которых необходимо для создания системы обеспечения информационной безопасности в сфере здравоохранения

В рамках реализации единых принципов и подходов к обеспечению защиты информации в информационных системах в сфере здравоохранения перед системой обеспечения информационной безопасности в сфере здравоохранения стоят следующие задачи:

- разработка предложений по совершенствованию нормативно-правовой базы Российской Федерации в области защиты информации в информационных системах в сфере здравоохранения;

- разработка и внедрение отраслевых документов стратегического планирования и программ в области обеспечения защиты информации в информационных системах в сфере здравоохранения с учетом их реального состояния и особенностей функционирования;

- создание механизмов оценки соответствия проектов цифровизации сферы здравоохранения требованиям правовых актов Российской Федерации и отраслевых стандартов по защите информации в информационных системах в сфере здравоохранения;

- разработка проектов документов по защите информации, касающихся деятельности Минздрава России, органов государственной власти субъектов Российской Федерации в сфере охраны здоровья и органов местного самоуправления в сфере охраны здоровья;

- реализация требований по технической защите информации, криптографической защите информации и обеспечению безопасности объектов критической информационной инфраструктуры, установленные ФСТЭК России и ФСБ России;

- разработка отраслевых стандартов по защите информации для информационных систем в сфере здравоохранения;

- организация подготовки кадров по обеспечению защиты информации в информационных системах в сфере здравоохранения;

- создание механизмов апробации отраслевых стандартов, методических рекомендаций и проектов документов по защите информации в рамках пилотных зон.

В рамках обеспечения единства организационно-методической политики реализации мер защиты информации перед системой обеспечения информационной безопасности в сфере здравоохранения стоят следующие задачи:

- разработка типовых локальных нормативных актов по защите информации организаций в сфере здравоохранения;

- разработка типовых организационно-распорядительных документов по защите информации организаций в сфере здравоохранения;

- разработка рекомендаций по нормам штатной численности подразделений по защите информации организаций в сфере здравоохранения;

- создание единой базы знаний типовых документов по защите информации в информационных системах в сфере здравоохранения;

- создание библиотеки методических рекомендаций по реализации мер защиты информации.

В рамках координации взаимодействия сил обеспечения информационной безопасности перед системой обеспечения информационной безопасности в сфере здравоохранения стоят следующие задачи:

- создание отраслевого центра информационной безопасности Минздрава России;

- заключение между Минздравом России и ФСБ России соглашения о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак, наделяющего отраслевой центр информационной безопасности Минздрава России функциями ведомственного центра ГосСОПКА;

- разделение полномочий и ответственности между участниками системы обеспечения информационной безопасности в сфере здравоохранения на основе правовых актов Российской Федерации и субъектов Российской Федерации, а также соглашений, заключаемых между участниками системы;

- разработка механизмов взаимодействия между участниками системы обеспечения информационной безопасности в сфере здравоохранения;

- создание единого реестра информационных систем в сфере здравоохранения, включающего в себя сведения о назначении информационных систем, их составе, а также об их аттестации;

- организация взаимодействия с НКЦКИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.

3. Нормативное правовое регулирование в сфере защиты информации в информационных системах в сфере здравоохранения, основные принципы и подходы к обеспечению защиты информации в информационных системах в сфере здравоохранения

3.1. Перечень нормативных правовых актов Российской Федерации и национальных стандартов Российской Федерации, на основании которых разрабатывается Концепция

Настоящая Концепция разработана на основании следующих нормативных правовых актов и национальных стандартов Российской Федерации:

- документы стратегического планирования:

- Стратегия национальной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 02.07.2021 N 400;

- Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 5 декабря 2016 г. N 646

- Основы государственной политики Российской Федерации в области международной информационной безопасности, утвержденные Указом Президента Российской Федерации от 12 апреля 2021 г. N 213;

- федеральные законы и акты Президента Российской Федерации:

- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

- Федеральный закон от 29.06.2015 N 162-ФЗ "О стандартизации в Российской Федерации";

- Федеральный закон от 28.06.2014 N 172-ФЗ "О стратегическом планировании в Российской Федерации";

- Выписка из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденной Президентом Российской Федерации 12.12.2014 N К 1274;

- постановления Правительства Российской Федерации:

- Постановление Правительства Российской Федерации от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";

- Постановление Правительства Российской Федерации от 24.11.2009 N 953 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти";

- Постановление Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений";

- Постановление Правительства Российской Федерации от 12.04.2018 N 447 "Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями";

- Постановление Правительства Российской Федерации от 08.09.2010 N 697 "О единой системе межведомственного электронного взаимодействия";

- Постановление Правительства Российской Федерации от 13.02.2019 N 136 "О Центре мониторинга и управления сетью связи общего пользования";

- Постановление Правительства Российской Федерации от 05.05.2018 N 555 "О единой государственной информационной системе в сфере здравоохранения";

- Постановление Правительства Российской Федерации от 24.10.2011 N 861 "О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)";

приказы федеральных органов исполнительной власти:

- Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";

- Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования";

- Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации";

- Приказ ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации";

- Приказ ФСБ России от 24.07.2018 N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения";

- Приказ ФСБ России от 06.05.2019 N 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты";

- Приказ ФСБ России от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

- совместный Приказ ФСТЭК России N 489 и ФСБ России N 416 от 31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования";

- Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

- Приказ Минздрава России от 24.12.2018 N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций";

- методические документы и национальные стандарты:

- методический документ "Меры защиты информации в государственных информационных системах" (утвержден ФСТЭК России 11 февраля 2014 г.);

- ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования";

- ГОСТ Р 56938-2016 "Защита информации. Защита информации при использовании технологий виртуализации. Общие положения";

- ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения";

- ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей";

- ГОСТ Р 55719-2013 "Изделия медицинские электрические. Требования к содержанию и оформлению технических заданий для конкурсной документации при проведении государственных закупок высокотехнологичного медицинского оборудования";

- иные нормативные правовые акты:

- Приказ ФФОМС от 07.04.2011 N 79 "Об утверждении Общих принципов построения и функционирования информационных систем и порядка информационного взаимодействия в сфере обязательного медицинского страхования".

3.2. Основные принципы и подходы к обеспечению защиты информации в информационных системах в сфере здравоохранения

3.2.1. Основные принципы и подходы к обеспечению защиты информации при ее обработке в информационных системах в сфере здравоохранения

Обеспечение защиты информации при ее обработке в информационных системах в сфере здравоохранения основывается на следующих принципах:

- законность при обеспечении защиты информации;

- единый подход при организации взаимодействия сил, обеспечивающих защиту информации в сфере здравоохранения;

- унификация подходов к разработке и содержанию локальных нормативных актов и организационно-распорядительных документов в области защиты информации;

- системность обеспечения информационной безопасности;

- приоритетность реализации превентивных мер защиты информации;

- адекватность и эффективность реализуемых мер защиты информации;

- своевременная адаптация реализуемых мер защиты информации;

- непрерывность защиты информации.

3.2.2. Основные принципы и подходы к обеспечению защиты информации в информационных системах в сфере здравоохранения при межведомственном взаимодействии, а также при ее передаче по сетям связи в рамках обмена информацией между информационными системами в сфере здравоохранения

Обеспечение защиты информации в информационных системах в сфере здравоохранения при межведомственном взаимодействии и обеспечении взаимодействия иных информационных систем с информационными системами в сфере здравоохранения основывается на следующих принципах и подходах:

- законность при обеспечении защиты информации в информационных системах в сфере здравоохранения при осуществлении межведомственного взаимодействия и при передаче информации по сетям связи в рамках обмена информацией между информационными системами в сфере здравоохранения;

- соблюдение установленных требований по защите информации, предъявляемых к информационным системам, информационно-телекоммуникационным сетям и сетям передачи данных всеми участниками взаимодействия;

- использование единой системы межведомственного электронного взаимодействия и (или) защищенных сетей передачи данных, функционирующих в сфере здравоохранения для передачи информации ограниченного доступа при межведомственном взаимодействии и при ее передаче в рамках обмена информацией между информационными системами в сфере здравоохранения*(31);

- обеспечение целостности и устойчивости функционирования защищенных сетей передачи данных в связи с наличием потенциальных угроз информационной безопасности, которые могут оказать влияние на их работу*(32);

- обеспечение непрерывной доступности информационных систем в сфере здравоохранения, участвующих в межведомственном взаимодействии, в соответствии с установленными регламентами функционирования информационных систем;

- соблюдение технологических процессов при реализации межведомственного взаимодействия и при передаче информации по сетям связи в рамках обмена информацией между информационными системами в сфере здравоохранения.

3.2.3. Основные принципы и подходы к обеспечению защиты информации в иных информационных системах, которые могут взаимодействовать с информационными системами в сфере здравоохранения

Обеспечение защиты информации в иных информационных системах, которые могут взаимодействовать с информационными системами в сфере здравоохранения, основывается на следующих принципах и подходах:

- законность при обеспечении защиты информации;

- соблюдение требований по защите информации, установленных правовыми актами Российской Федерации, которое подтверждается аттестацией на соответствие требованиям безопасности информации в случаях, установленных нормативными правовыми актами Российской Федерации;

- учет требований государственных и отраслевых стандартов по защите информации;

- обеспечение постоянного контроля уровня защищенности информации;

- соответствие обработки в иных информационных системах информации, полученной при взаимодействии с информационными системами в сфере здравоохранения, целям, задачам и назначению, указанным в заявках на подключение к информационным системам в сфере здравоохранения в соответствии с нормативными правовыми актами Российской Федерации и субъектов Российской Федерации;

- использование единой системы межведомственного электронного взаимодействия и (или) защищенных сетей передачи данных, функционирующих в сфере здравоохранения для передачи информации ограниченного доступа при взаимодействии иных информационных систем с информационными системами в сфере здравоохранения.

3.2.4. Единые подходы к обеспечению безопасности объектов критической информационной инфраструктуры, функционирующих в сфере здравоохранения, и к взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

Обеспечение безопасности объектов критической информационной инфраструктуры, функционирующих в сфере здравоохранения, и взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации основываются на следующих принципах и подходах:

- законность;

- соблюдение требований безопасности объектов критической информационной инфраструктуры, установленных правовыми актами Российской Федерации;

- учет требований государственных и отраслевых стандартов по защите информации;

- единство подходов к категорированию объектов критической информационной инфраструктуры в сфере здравоохранения;

- единство подходов при организации взаимодействия сил, обеспечивающих обнаружение компьютерных атак и реагирование на компьютерные атаки и компьютерные инциденты;

- разумная достаточность сил и средств, предназначенных для обеспечения безопасности объектов критической информационной инфраструктуры и предупреждения, обнаружения и ликвидации последствий компьютерных атак;

- реализация единого комплексного подхода к обеспечению безопасности объектов критической информационной инфраструктуры и обнаружению, предупреждению и ликвидации последствий компьютерных атак;

- обеспечение достаточности и рациональности использования сил обнаружения, предупреждения и ликвидации последствий компьютерных атак;

- единство подходов к мониторингу защиты информации в информационных ресурсах в сфере здравоохранения в рамках государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

- обеспечение непрерывного взаимодействия с НКЦКИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.

4. Архитектура системы обеспечения информационной безопасности в сфере здравоохранения и требования к обеспечению защиты информации в информационных системах в сфере здравоохранения. Эскизные решения

4.1. Взаимосвязь сил и средств обеспечения информационной безопасности в сфере здравоохранения

Минздрав России в пределах своих полномочий выполняет следующие функции в системе обеспечения информационной безопасности в сфере здравоохранения:

- регулирует и контролирует деятельность участников системы обеспечения информационной безопасности в сфере здравоохранения;

- создает на базе подведомственного учреждения отраслевой центр информационной безопасности;

- в случаях, установленных законодательством Российской Федерации, осуществляет согласование с ФСТЭК России, ФСБ России проектов отраслевых стандартов и методических рекомендаций по защите информации в информационных системах в сфере здравоохранения, дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, учитывающих особенности функционирования значимых объектов критической информационной инфраструктуры в сфере здравоохранения;

- утверждает отраслевые стандарты и методические рекомендации по защите информации в информационных системах в сфере здравоохранения, дополнительные требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, учитывающих особенности функционирования значимых объектов критической информационной инфраструктуры в сфере здравоохранения;

- координирует и контролирует выполнение субъектами критической информационной инфраструктуры в сфере здравоохранения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования;

- устанавливает дополнительные требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, учитывающие особенности функционирования значимых объектов критической информационной инфраструктуры в сфере здравоохранения;

- согласовывает перечень объектов критической информационной инфраструктуры в сфере здравоохранения в части подведомственных субъектов критической информационной инфраструктуры*(33).

В целях обеспечения единых подходов к управлению системой обеспечения информационной безопасности в сфере здравоохранения отраслевой центр информационной безопасности в пределах своих полномочий выполняет следующие функции:

- организует и координирует деятельность участников системы обеспечения информационной безопасности в сфере здравоохранения;

- привлекается к осуществлению ведомственного контроля выполнения требований по защите информации в информационных системах в сфере здравоохранения, заказчиками и (или) операторами которых являются Минздрав России или подведомственные ему организации;

- привлекается к осуществлению контроля выполнения субъектами критической информационной инфраструктуры в сфере здравоохранения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры и по обеспечению их функционирования;

- разрабатывает проекты дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, учитывающих особенности функционирования значимых объектов критической информационной инфраструктуры в сфере здравоохранения;

- разрабатывает проекты отраслевых стандартов и методических рекомендаций по защите информации в информационных системах в сфере здравоохранения;

- осуществляет функции ведомственного центра ГосСОПКА в отношении объектов КИИ Минздрава России, а также объектов КИИ подведомственных учреждений и иных организаций, перечень которых определяется Минздравом России, и выполняет функции, определенные соглашением с НКЦКИ;

- осуществляет функции отраслевого центра ГосСОПКА в сфере здравоохранения, координирует силы и средства обеспечения информационной безопасности в сфере здравоохранения при обнаружении компьютерных атак, реагировании на инциденты, ликвидации их последствий, а при необходимости - принимает участие в мероприятиях по ликвидации последствий инцидентов в информационных системах в сфере здравоохранения;

- осуществляет непрерывное взаимодействие с НКЦКИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак на объекты критической информационной инфраструктуры Минздрава России;

- осуществляет функции отраслевого центра компетенции по вопросам обеспечения информационной безопасности в сфере здравоохранения, реагирования на компьютерные инциденты, связанные с нарушением или прекращением их функционирования, ликвидации последствий таких инцидентов;

- координирует вопросы организации функционирования защищенных сетей передачи данных, используемых для взаимодействия информационных систем в сфере здравоохранения;

- взаимодействует с ФСТЭК России и ФСБ России по вопросам обеспечения защиты информации в информационных системах в сфере здравоохранения, в том числе в рамках осуществления ими государственного контроля (надзора) в организациях, являющихся операторами информационных систем в сфере здравоохранения;

- оказывает методическую и практическую помощь участникам системы обеспечения информационной безопасности в сфере здравоохранения по вопросам защиты информации;

- осуществляет организацию и контроль качества подготовки кадров по информационной безопасности для сферы здравоохранения.

Ситуационный центр Минздрава России обеспечивает деятельность руководства Минздрава России и сотрудников профильных департаментов Минздрава России при реализации функций оценки, анализа и прогнозирования ситуации, стратегического, текущего и оперативного планирования, мониторинга и контроля исполнения управленческих решений в сфере здравоохранения.

Ситуационный центр Минздрава России является организационным ядром системы распределенных ситуационных центров сферы здравоохранения на федеральном и региональном уровне. Отраслевой центр информационной безопасности Минздрава России является для ситуационного центра Минздрава России источником оперативной и аналитической информации, необходимой для принятия комплексных управленческих решений в сфере здравоохранения.

Органы государственной власти субъектов Российской Федерации в сфере охраны здоровья и органы местного самоуправления в сфере охраны здоровья в пределах своих полномочий выполняют функции по обеспечению информационной безопасности в информационных системах в сфере здравоохранения, в том числе:

- обеспечивают выполнение требований по защите информации в информационных системах в сфере здравоохранения;

- осуществляют контроль за выполнением требований по защите информации в информационных системах в сфере здравоохранения.

В целях решения задач по обеспечению информационной безопасности в информационных системах в сфере здравоохранения и контроля за выполнением требований безопасности органы государственной власти субъектов Российской Федерации в сфере охраны здоровья и органы местного самоуправления в сфере охраны здоровья при необходимости могут привлекать отраслевой центр информационной безопасности Минздрава России.

В рамках системы обеспечения информационной безопасности в сфере здравоохранения Минздрав России и подведомственные организации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования, органы государственной власти субъектов Российской Федерации в сфере охраны здоровья, органы местного самоуправления в сфере охраны здоровья, медицинские и фармацевтические организации могут выступать как в роли заказчиков информационных систем, так и в роли операторов информационных систем.

Заказчики информационных систем в сфере здравоохранения:

- принимают решения о необходимости защиты информации, содержащейся в информационной системе в сфере здравоохранения;

- классифицируют информационные системы в сфере здравоохранения по требованиям защиты информации;

- определяют угрозы безопасности информации, реализация которых может привести к нарушению безопасности информации, и разрабатывают на их основе и с учетом отраслевых стандартов модели угроз безопасности информации для информационных систем в сфере здравоохранения;

- определяют требования к системам защиты информации для информационных систем в сфере здравоохранения;

- организуют разработку и внедрение систем защиты информации информационных систем в сфере здравоохранения.

Операторы информационных систем в сфере здравоохранения обеспечивают защиту информации в ходе эксплуатации информационных систем и при выводе их из эксплуатации в соответствии с нормативными правовыми актами Российской Федерации и, при наличии, в соответствии с дополнительными требованиями, установленными заказчиками информационных систем.

Для проведения работ по защите информации в ходе создания и эксплуатации информационных систем в сфере здравоохранения заказчиками и операторами в соответствии с законодательством Российской Федерации при необходимости могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации*(34).

Организации, являющиеся операторами иных информационных систем, которые могут взаимодействовать с информационными системами в сфере здравоохранения, и организации, информационные ресурсы и (или) инфраструктура которых используются в сфере здравоохранения, обеспечивают информационную безопасность принадлежащих им информационных систем, информационных ресурсов и инфраструктуры в соответствии с правовыми актами Российской Федерации.

Информационная безопасность в информационных системах в сфере здравоохранения обеспечивается путем реализации в информационных системах (включая информационно-телекоммуникационные сети и защищенные сети передачи данных) мер защиты информации в соответствии с требованиями, установленными заказчиками информационных систем на основании правовых актов Российской Федерации. Выполнение требований к мерам защиты подтверждается:

- результатами приемочных испытаний информационных систем на соответствие техническому заданию на создание или модернизацию информационной системы;

- результатами аттестации по требованиям безопасности информации в случаях, установленных правовыми актами;

- результатами периодического контроля за обеспечением уровня защищенности (оценки эффективности мер защиты информации, контроля за обеспечением безопасности) информационных систем в сфере здравоохранения.

Безопасность информации в защищенных сетях передачи данных федерального, регионального и муниципального уровня, используемых для взаимодействия информационных систем в сфере здравоохранения, должна обеспечиваться на основе требований правовых актов Российской Федерации. Безопасность информации в защищенных сетях передачи данных должна обеспечиваться на основе следующих принципов:

- законность;

- централизованный подход и стандартизация создания, функционирования, модернизации и управления защищенной сети передачи данных и ее компонентов;

- единство подходов к управлению доступом к защищенным сетям передачи данных;

- стандартизация требований по защите информации в инфраструктуре защищенной сети передачи данных и подключаемых конечных точках;

- резервирование каналов связи;

- реализация эшелонированной защиты защищенной сети передачи данных;

- регулярность, своевременность и полнота проводимых мероприятий по обеспечению информационной безопасности;

- осуществление взаимодействия в электронной форме, в том числе с гражданами и организациями в соответствии с правилами и принципами, установленными национальными стандартами Российской Федерации в области криптографической защиты информации;

- применение средств криптографической защиты информации, сертифицированных ФСБ России.

4.2. Требования к обеспечению защиты информации в информационных системах в сфере здравоохранения

Информационные системы в сфере здравоохранения применяются для обработки информации, необходимой для обеспечения критических процессов, и (или) для управления, контроля критических процессов, связанных с оказанием медицинской помощи. Нарушение или прекращение функционирования таких информационных систем может привести к причинению ущерба жизни и здоровью граждан*(35). Такие системы в соответствии с законодательством Российской Федерации относятся к значимым объектам критической информационной инфраструктуры и подлежат защите в соответствии с требованиями правовых актов Российской Федерации в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.

К силам обеспечения безопасности оператора информационной системы в сфере здравоохранения относятся:

- подразделения (работники) оператора, ответственные за обеспечение безопасности информационных систем;

- подразделения (работники) оператора, эксплуатирующие информационные системы;

- подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) технических средств информационных систем;

- иные подразделения (работники), участвующие в обеспечении безопасности информационных систем и (или) информационно-телекоммуникационных систем оператора.

Общее руководство по вопросам обеспечения информационной безопасности осуществляет руководитель организации сферы здравоохранения или его заместитель.

Руководитель организации, являющейся оператором информационной системы в сфере здравоохранения, определяет структурное подразделение, ответственное за защиту информации в информационных системах в сфере здравоохранения (структурное подразделение по информационной безопасности), или назначает отдельных работников, ответственных за защиту информации в информационных системах в сфере здравоохранения (специалистов по информационной безопасности). В соответствии с требованиями правовых актов Российской Федерации структурное подразделение по информационной безопасности, специалисты по информационной безопасности должны осуществлять следующие функции:

- разрабатывать предложения по совершенствованию организационно-распорядительных документов по защите информации в информационных системах и информационно-телекоммуникационных сетях, находящихся в эксплуатации у оператора, представлять их руководителю оператора;

- проводить анализ угроз безопасности информации в отношении информационных систем и информационно-телекоммуникационных сетей, находящихся в эксплуатации у оператора, выявлять уязвимости в них;

- обеспечивать реализацию требований по защите информации в информационных системах и информационно-телекоммуникационных сетях оператора в соответствии с законодательством Российской Федерации;

- обеспечивать в соответствии с требованиями по защите информации реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;

- осуществлять реагирование на компьютерные инциденты в соответствии с нормативными правовыми актами Российской Федерации и организационно-распорядительными документами оператора;

- организовывать проведение оценки соответствия информационных систем в сфере здравоохранения требованиям по защите информации;

- готовить предложения по совершенствованию функционирования систем защиты информации информационных систем в сфере здравоохранения;

- обеспечивать обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты;

- осуществлять развитие сил и средств в соответствии с правовыми актами в области обнаружения, предупреждения или ликвидации последствий компьютерных атак и компьютерных инцидентов.

Структурное подразделение по информационной безопасности, специалисты по информационной безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими информационные системы в сфере здравоохранения, и подразделениями (работниками), обеспечивающими функционирование информационных систем в сфере здравоохранения.

Подразделения (работники), обеспечивающие функционирование информационных систем в сфере здравоохранения, должны обеспечивать безопасность информационных систем и информационно-телекоммуникационных сетей, обеспечивающих их функционирование, в следующем объеме:

- осуществлять поддержку функционирования информационных систем и информационно-телекоммуникационных сетей, обеспечивающих их функционирование, в соответствии с эксплуатационной документацией;

- выполнять требования по обеспечению информационной безопасности, закрепленные в организационно-распорядительных документах по обеспечению информационной безопасности информационных систем в сфере здравоохранения, при поддержке функционирования информационных систем в сфере здравоохранения (при администрировании, наладке, регламентных работах);

- осуществлять контроль за конфигурацией информационных систем в сфере здравоохранения и информационно-телекоммуникационных сетей, обеспечивающих их функционирование, и поддерживать ее неизменность с учетом функционирующей системы защиты информации;

- осуществлять взаимодействие с подразделением по информационной безопасности, специалистом по информационной безопасности в части информирования о нештатных ситуациях и инцидентах, выявленных в процессе выполнения работ по поддержке функционирования информационных систем в сфере здравоохранения и информационно-телекоммуникационных сетей, обеспечивающих их функционирование;

- осуществлять взаимодействие с подразделением по информационной безопасности, специалистом по информационной безопасности в части информирования о планируемых и (или) произошедших изменениях в конфигурации информационных систем в сфере здравоохранения и информационно-телекоммуникационных сетей, обеспечивающих их функционирование;

- осуществлять взаимодействие с подразделением по информационной безопасности, специалистом по информационной безопасности в части выявления сбоев в функционировании средств защиты информации в информационных системах в сфере здравоохранения и информационно-телекоммуникационных сетях, обеспечивающих их функционирование;

- осуществлять взаимодействие с подразделением, эксплуатирующим информационные системы в сфере здравоохранения, по вопросам возникновения в процессе эксплуатации информационных систем в сфере здравоохранения нештатных ситуаций и инцидентов;

- осуществлять внутренний контроль за соблюдением установленных для информационных систем в сфере здравоохранения правил и процедур обработки и защиты информации;

- оказывать содействие подразделению по информационной безопасности, специалисту по информационной безопасности в части выполнения мероприятий по реагированию на инциденты информационной без

Вы можете открыть актуальную версию документа прямо сейчас.

Открыть документ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Приложение I. Архитектура системы обеспечения информационной безопасности в сфере здравоохранения. Организационная и функциональная схема

Приложение II. Эскизные решения по реализации мер защиты информации в информационных системах в сфере здравоохранения

Приложение III. Архитектура системы реагирования на компьютерные атаки и инциденты информационной безопасности в сфере здравоохранения

Вы можете открыть актуальную версию документа прямо сейчас.