Развитие цифровых технологий в медицине неизбежно сопряжено с рисками кибератак на информационные сервисы клиник. По данным экспертов, с начала года каждая медорганизация в среднем попадала под прицел хакеров более 3 млн раз, количество попыток взлома систем продолжает расти. Для предотвращения нежелательных инцидентов в этой сфере с 2022 года регуляторы пересмотрели требования обеспечения кибербезопасности на значимых объектах экономики, включая медицинскую инфраструктуру. «МВ» разобрался в деталях действующих правил.

Общие требования к КИИ

Вопросы кибербезопасности в медорганизациях регулируются Федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ) и принятыми подзаконными актами. Требования по кибербезопасности распространяются на все клиники, кроме частных кабинетов в статусе ИП. Их с 1 сентября вывели из-под действия Закона о КИИ.

Медорганизации, как субъекты КИИ, должны присвоить своим информационным системам (ИС) категории значимости с учетом их подверженности взлому и потенциальным рискам для пациентов. С 1 сентября вступили в силу поправки в Закон о КИИ, устанавливающие новые требования к категорированию IT-систем и обязательства по переходу организаций на российское программное обеспечение (ПО).

Теперь категорирование необходимо проводить только для типовых IT-систем (объектов КИИ) по общим правилам с учетом отраслевых особенностей. В 2024 году Минздрав разработал и согласовал с Федеральной службой по техническому и экспортному контролю (ФСТЭК) перечень таких типовых систем. В него вошли Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ), мединформсистемы (МИС) организаций, ПО клинико-диагностических лабораторий, аппаратов для лучевой терапии, анестезии и хирургии, а также для телемедицины.

В начале лета ФСТЭК представила для обсуждения новый проект перечня типовых IT-систем для разных отраслей экономики, в котором у медицины дополнительно появились ГИС ОМС и системы обработки данных. В июле Минздрав представил проект отраслевых особенностей категорирования. Ни один из двух документов пока не принят.

Как категорировать IT-системы

Категорирование в учреждении проводит специально созданная комиссия. В нее входит главный врач, заместитель по кибербезопасности и другие сотрудники. Состав комиссии, порядок ее работы, сбора и хранения документов должны быть оформлены локальным актом.

Комиссия должна определить, приведет ли воздействие на ту или иную систему или ПО к значимым последствиям. Перечень таких последствий утвержден в правилах категорирования и подразделяется на социальные, экономические, политические и экологические риски. Рядовую больницу в первую очередь должны интересовать социальные риски, к которым в проекте Минздрава даны пояснения. Во-первых, больница должна оценить максимально возможное число людей, которым может быть причинен средний или тяжкий вред здоровью в ходе кибератаки. Второй важный критерий — отсутствие у населения доступа к госуслугам. Для этого критерия будет оцениваться максимальное время, в течение которого население не сможет получить госуслугу. Оценку по этим показателям нужно будет проводить по каждому ПО и IT-системе на балансе организации.

Политические критерии коснутся органов власти: минздравов, ТФОМС и т.д. Экономические показатели должны будут оценивать клиники, относящиеся к ГУП, госкомпаниям и госкорпорациям, а также подразделения стратегических и оборонных предприятий. Такие учреждения должны будут оценивать годовой объем выплачиваемых налогов, средний размер годового дохода, максимальный период простоя для проведения профилактических работ и время на устранение последствий компьютерной атаки.

Оценку экологического показателя должны проводить только больницы, использующие в работе источники ионизирующего излучения: рентгеновские аппараты, КТ— и МРТ-томографы и т.д.

По завершении работы комиссия должна присвоить каждому ПО или IT-системе одну из трех категорий значимости. Результаты категорирования в течение 10 дней нужно направить в ФСТЭК. Закон о КИИ устанавливает только срок уведомления, но не время на проведение категорирования.

Обязанности по кибербезопасности

Закон о КИИ обязывает все организации, использующие значимые системы, внедрять современные протоколы безопасности для защиты этих систем от внешних угроз. Перечень таких мер должен включать ограничение доступа персонала к серверам больницы, установление разноуровневой системы доступа персонала к системам, проводить систематическую смену паролей и прав доступа, создать отделы кибербезопасности и т.д.

Кроме того, все организации, работающие на значимых сервисах, обязаны с 1 сентября дополнительно устанавливать российское ПО из специального реестра, в том числе антивирусное. Первоначально такая необходимость была установлена Указом Президента РФ № 166 от 30.03.2022.

Для своевременного информирования о кибератаках необходимо настроить информационный обмен с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Отдельное внимание нужно уделить закупкам российского ПО. Оно должно соответствовать требованиям информационной безопасности и быть включено в единый российский реестр или в единый реестр ЕАЭС. Закупки иностранного ПО необходимо согласовывать в уполномоченном органе.

Судебный кейс

Прокуратура уже начала проверки больниц на предмет соблюдения законодательства о КИИ. В ходе проверки ЦРБ Руднянского муниципального района Волгоградской области в 2024 году было установлено, что больница работает с региональной информационной системой в сфере здравоохранения, которой сама же присвоила 3-ю категорию значимости, но при этом в штате медучреждения не было специалиста по кибербезопасности.

Наличие такого сотрудника в штате для всех госкомпаний и системообразующих организаций было предусмотрено Указом Президента РФ № 250 от 01.05.2022. Документ требует создания в организации отдела информационной безопасности, возглавляемого одним из заместителей руководителя. Во исполнение этого указа правительство утвердило типовые положения о таком заместителе и отделе.

Руднянский районный суд Волго­градской области встал на сторону прокуратуры и обязал больницу нанять в штат специалиста по кибербез­опасности.



МВ