Письмо Министерство здравоохранения РФ от 4 июня 2022 г. № 18-4/И/2-9129 “О повышении устойчивости и безопасности функционирования информационных ресурсов Российской Федерации”

В соответствии с подпунктами "а" и "б" пункта 1 Указа Президента Российской Федерации от 01.05.2022 N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее - Указ) руководителям высших исполнительных органов государственной власти субъектов Российской Федерации, юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации (далее - органы (организация), КИИ), необходимо:

- возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;

- создать в органе (организации) структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение.

В соответствии с пунктом 8 статьи 2 Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" субъектами КИИ являются в том числе государственные органы, государственные учреждения и российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения.

В соответствии с пунктом 12 "Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования", утвержденных Приказом ФСТЭК России от 21.12.2017 N 235, работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:

- наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;

- наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);

- прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".

Учитывая изложенное, Вам необходимо в срок до 10 июня 2022 года представить в Департамент цифрового развития и информационных технологий Министерства здравоохранения Российской Федерации информацию о выполнение подпунктов "а" и "б" пункта 1 Указа по прилагаемой форме (с ограничительной пометкой "Для служебного пользования").

Обращаю Ваше внимание, что в соответствии с пунктом 2 Указа на руководителей органов (организаций) возложена персональная ответственность за обеспечение информационной безопасности органа (организации).

Ответственный сотрудник за взаимодействие по вопросам информационной безопасности Министерства здравоохранения Российской Федерации: Дубасов Александр Александрович, советник Директора ФГБУ "ЦНИИОИЗ" Минздрава России, т. +79259992927, адрес электронной почты: dubasovaa@minzdrav.gov.ru.

Приложение: Форма представления данных, на 3 л.