Вход
Подписка Поиск работы Календарь событий
Вход или регистрация
Фото носит иллюстративный характер. Из открытых источников.

Создание системы защиты информации: ответы на вопросы

В рамках Школы организатора здравоохранения на базе БГМУ состоялся вебинар «Актуальные вопросы цифровизации здравоохранения». Заведующий отделом защиты информации РНПЦ медицинских технологий, информатизации, управления и экономики здравоохранения Александр Гмыза осветил ключевые вопросы, касающиеся создания системы защиты информации в организациях здравоохранения.

 

Какие сведения подлежат защите?

 

— Прежде чем приступить к созданию системы защиты информации, нужно понимать предмет защиты, — отмечает Александр Гмыза. — Защита информации — это комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации.

 

Согласно ст. 17 Закона «Об информации, информатизации и защите информации» от 10.11.2008 № 455-3, к информации, распространение и (или) предоставление которой ограничено, относится информация о частной жизни физического лица и персональные данные; информация, составляющая коммерческую, профессиональную, банковскую и иную охраняемую законом тайну. Согласно ст. 46 Закона «О здравоохранении» от 18.06.1993 № 2435-XII «Предоставление информации о состоянии здоровья пациента. Врачебная тайна», информация о факте обращения пациента за медицинской помощью и состоянии его здоровья, сведения о наличии заболевания, диагнозе, возможных методах оказания медицинской помощи, рисках, связанных с медицинским вмешательством, а также возможных альтернативах предлагаемому медицинскому вмешательству, иные сведения, в т. ч. личного характера, полученные при оказании пациенту медицинской помощи, а в случае смерти — и информация о результатах патологоанатомического исследования, составляют врачебную тайну.

 

Согласно вышеупомянутому закону «Об информации, информатизации и защите информации», информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь.

 

Обратим внимание, чем отличаются информационная система и программное обеспечение.

 

Информационная система — совокупность банков данных, информационных технологий и комплекса программно-технических средств.

 

Программное обеспечение — совокупность программ, позволяющих осуществить автоматизированную обработку информации.

 

— В организациях здравоохранения приобретается, внедряется и используется программное обеспечение, реализующее функционал медицинской информационной системы, — уточняет Александр Гмыза. 

 

 Где найти специалиста?

 

— Определившись с информационной системой, руководитель должен назначить специалиста, который будет заниматься организацией работы по защите информации. Существует два мнения, кому это поручить, — уточняет Александр Гмыза.

 

«Ответственным за информационную безопасность я рекомендую назначать технического специалиста. Однако если у вас нет такого сотрудника или вы считаете, что с этой работой лучше справится ваш заместитель, вы можете назначить заместителя».

 

— Поступает много звонков от самих технических специалистов, которые интересуются, имеют ли они право заниматься этой работой. Руководитель может назначить любого специалиста, но при одном условии: этот специалист должен пройти повышение квалификации по вопросам информационной безопасности, — поясняет эксперт.

 

В соответствии с Указом Президента от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», собственники (владельцы) информационных систем обеспечивают обучение в Национальном центре защиты персональных данных не реже одного раза в три года своих работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности, по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации.

 

— Свидетельство гособразца имеет право выдавать также Национальный центр обмена трафиком. Как правило, набор в этих организациях проводится раз в месяц. Однако если спрос большой, группа может быть набрана внепланово, поэтому уточняйте непосредственно в этих организациях, — обращает внимание Александр Гмыза. 

 

В 2024 году на курсах повышения квалификации, организованных отделом защиты информации на базе Национального центра защиты персональных данных и Национального центра обмена трафиком, обучились и получили свидетельства гособразца 180 работников отрасли (технических специалистов). На регулярной основе осуществляется повышение осведомленности медработников по вопросам информационной безопасности на базе курсов повышения квалификации Института повышения квалификации и переподготовки кадров здравоохранения БГМУ — 280 человек.    

 

Когда не стоит подписывать техническое задание? 

 

Следующий шаг — обследование информационной системы (ИС). Здесь необходимо определить:

 

  • какие категории информации обрабатываются в ИС;
  • какие технические средства имеются в составе локально-вычислительной сети;
  • организована ли ИС, какие границы и какой состав объектов в ИС;
  • какие средства защиты информации имеются в организации.

— В организациях здравоохранения, оказывающих медицинскую помощь, как правило, обрабатываются следующие данные: информация о частной жизни физического лица, персональные данные, врачебная тайна. Информационная система относится к классам 3-ин, 3-спец, 3-юл. Технические специалисты, которые прошли курсы повышения квалификации, успешно в этом разберутся, — отмечает Александр Гмыза.

 

Организация обязана составить акт отнесения информационной системы к классу типовых информационных систем.

 

Этапы внедрения системы защиты информации (СЗИ):

 

1. Проектирование СЗИ.

 

2. Создание СЗИ.

 

3. Аттестация СЗИ.

 

— Созданием системы защиты информации занимаются лицензиаты Оперативно-аналитического центра. Чем подробнее вы опишете особенности вашей информационной системы, тем успешнее пройдет конкурс и стоимость услуг может быть снижена, так как лицензиат, определившись с объемом работ, сможет скорректировать сумму, — обращает внимание Александр Гмыза. — Проектирование СЗИ включает обследование объекта защиты. В данном случае уже лицензиат придет со своими специалистами и посмотрит, из чего состоит ваша информационная система, что входит в ее границы и какими техническими средствами вы обладаете. На этом этапе лицензиат разработает техническое задание.

 

«Не путайте техническое задание на закупку услуги, которое может быть кратким, с техническим заданием на создание системы, которое разрабатывает уже исполнитель этих услуг. Также на этапе проектирования лицензиат разработает для вас локальные нормативно-правовые акты. Утверждает техническое задание на создание СЗИ руководитель организации.

 

Не следует подписывать техническое задание, если у вас остаются вопросы!»

 

— Пройдитесь по всем требованиям, пусть лицензиат объяснит, что, для чего, какие есть для этого основания и как вы будете это внедрять, — советует специалист.

 

В разработке локальных нормативно-правовых актов активное участие должен принимать сотрудник, ответственный за информационную безопасность в организации.

 

Основные требования, которые должны быть реализованы при создании СЗИ информационных систем:

 

  • авторизация и разграничение доступа;
  • межсетевое экранирование и противодействие вторжениям;
  • антивирусная защита;
  • криптографическая защита каналов передачи данных;
  • организационные меры.

— Создание СЗИ — очень важный этап, который ложится на владельца информационной системы и заключается в приобретении, настройке и внедрении средств защиты, обеспечении их эксплуатации в соответствии с техническим заданием, — говорит Александр Гмыза. — Я понимаю руководителей, которые не знают, где взять специалиста, который мог бы это сделать. Поэтому если у вас остаются деньги, используйте их для заключения договоров либо с этим же лицензиатом, либо с другой организацией на внедрение и настройку средств защиты.

 

Что важно понимать на этапе аттестации?

 

  • Дата начала аттестации фиксируется документально.
  • До этой даты в ТЗ можно внести корректировки.
  • Недостатки, выявленные в ходе аттестации, следует устранить.
  • Необходимо предусмотреть время на устранение недостатков.

Специалист обращает внимание: согласно законодательству, аттестация длится не более 180 дней.

 

Что входит в отчетность? 

 

Государственные организации — собственники (владельцы) ИС предоставляют в Оперативно-аналитический центр:

 

  • сведения об информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;
  • сведения о подразделениях защиты информации или иных подразделениях (должностных лицах), ответственных за обеспечение защиты информации, с указанием наименования подразделения, фамилии, собственного имени, отчества должностного лица и работников таких подразделений, полученного ими образования, в т. ч. переподготовки или повышения квалификации по вопросам технической и криптографической защиты информации, а также контактных данных;
  • копии аттестата соответствия СЗИ информационной системы требованиям по защите информации, технического отчета и протокола испытаний.

Сроки — не позднее 10 календарных дней со дня оформления (получения) аттестата соответствия СЗИ информационной системы требованиям по защите информации.

 

Александр Гмыза обращает внимание: по вопросам отчетности можно обращаться к лицензиатам, как правило, они помогают подготовить отчетные документы.

 

Когда нужна переаттестация?

 

Александр Гмыза также ответил на самые частые вопросы, которые поступают от организаций здравоохранения.

 

В организации здравоохранения строится новое здание/организация меняет название или юридический адрес/две организации реорганизуются в одну — нужно ли проводить переаттестацию СЗИ?

 

Согласно приказу Оперативно-аналитического центра при Президенте Республики Беларусь от 10.12.2024 № 259, аттестация проводится:

 

  • при создании или модернизации системы защиты информации;
  • в случае истечения срока действия аттестата соответствия;
  • в случае изменения технологии обработки защищаемой информации и (или) технических мер, реализованных при создании или модернизации СЗИ.

— Мы создаем систему защиты в отношении информационной системы, а не здания или даже локальной сети. Важно определить границы этой информационной системы. Если вы, к примеру, расширяете количество пользователей, переаттестация не нужна — необходимы организационные мероприятия. В случае реорганизации двух организаций в одну переаттестация также не нужна при условии, что информационные системы не меняются, достаточно приложить соответствующие документы, — уточняет Александр Гмыза. — Также хочу напомнить, что лицензиат в течение срока действия аттестата точно так же отвечает за меры безопасности, как и организация здравоохранения, поэтому вы можете консультироваться с ним по возникающим вопросам. Лицензиаты — это не контролирующий орган, а ваши помощники, которые за ваши деньги выполняют соответствующие услуги.

 

Как обеспечить выполнение требований при подключении медицинского диагностического оборудования, работающего под управлением операционной системы, не поддерживаемой производителем?

 

Это вопрос правильной организации ЛВС. Необходимо все тяжелое оборудование выделить в отдельную подсеть и организовать доступ этого оборудования в одну точку — на один сервер или хранилище снимков. При этом обеспечить контроль за работой этого оборудования и организовать обновление программного обеспечения (при необходимости). Подключение к интернет-ресурсам исключить.

 

Скорее всего, отмечает специалист, придется принимать компенсирующие меры, которые должны быть согласованы с Оперативно-аналитическим центром и прописаны в техническом задании. 

 

В организации здравоохранения работает внештатный специалист, которому необходимо организовать доступ к медицинской информационной системе. Как правильно это сделать?

 

Должно быть юридическое основание для работы внештатного специалиста в организации здравоохранения. Необходимо запросить в организации, которую представляет внештатный специалист, список работников, которым необходимо предоставить доступ к информационной системе организации здравоохранения. Следует завести внештатному специалисту учетную запись в МИС и предоставить рабочее место. 

 

Организация здравоохранения получила аттестат СЗИ информационной системы. На этом работа в направлении информационной безопасности завершена?

 

Информационная безопасность — это не мероприятие, это процесс. Создание СЗИ предполагает ее эксплуатацию: доведение требований (политика информационной безопасности) до всех работников организации здравоохранения, проведение инструктажей и повышение осведомленности работников, обеспечение выполнения мероприятий, предписанных локальными нормативно-правовыми актами, эксплуатацию средств защиты, контроль за соблюдением требований ЛНПА, реагирование на возможные инциденты информационной безопасности.

 

Задачи по информационной безопасности в организациях здравоохранения:

 

  • назначение ответственных должностных лиц за организацию защиты информации;
  • направление ответственных должностных лиц на курсы повышения квалификации;
  • повышение осведомленности медработников по вопросам информационной безопасности;
  • разработка локальных нормативно-правовых актов организации;
  • закупка и внедрение технических и программных средств защиты информации;
  • оформление и регистрация информационных систем (медицинских или специальных);
  • подготовка к созданию систем защиты информационных систем организаций.

 

Статьи по теме

Цифровизация формирует новые подходы к управлению ресурсами и оказанию медпомощи
ЦИСЗ: к концу 2025 года планируется присоединить все государственные организации здравоохранения
Флэшмоб в ритме сердца
Политика в отношении обработки файлов куки
Политика видеонаблюдения
Политика в отношении обработки персональных данных
© 1991 - 2025 Медицинский вестник
Пользовательское соглашение
Политика конфиденциальности
Условия использования материалов
Положение о комиссии по противодействию коррупции

При копировании или цитировании текстов активная гиперссылка обязательна. Все материалызащищены законом Республики Беларусь «Об авторском праве и смежных правах».

Задать вопрос специалисту
Предложить тему