© denrud / Фотобанк Фотодженика

В связи с текущими внешнеполитическими событиями на всех без исключения юридических лиц, являющихся субъектами критической информационной инфраструктуры РФ (КИИ), – а в числе таковых найдут себя большинство медицинских организаций, – наложен ряд обязанностей:

• руководителю такой медорганизации необходимо создать отдельное структурное подразделение, осуществляющее функции по обеспечению информационной безопасности (ИБ), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Разрешается не создавать такое подразделение, а возложить данные функции на уже существующие. Типовое положение о таком отделе разработает Кабмин России. Где брать бюджеты и квалификационные требования – не уточняется;
• руководителю такой медорганизации нужно определить своего зама (или нанять нового), который будет обеспечивать ИБ, в том числе обнаруживать, предупреждать и ликвидировать последствия компьютерных атак, а также реагировать на компьютерные инциденты. Типовое положение о таком заме также разработает Кабмин России;
• руководителю такой медорганизации нужно будет принимать (если потребуется) непростые решения о привлечении к осуществлению мероприятий по ИБ сторонних организаций (строго с лицензией на осуществление деятельности по технической защите конфиденциальной информации / аккредитованных пока в ГосСОПКА, затем – в ФСБ России, либо рекомендованных ФСБ России);
• наконец, руководителю такой медорганизации нужно будет обеспечить для ФСБ круглосуточный (если нужно – удаленный) доступ ко всем информресурсам, доступ к которым организуется через Интернет (как именно – будет, скорее всего, разъяснено позднее), и незамедлительно исполнять все указания ФСБ России и ФСТЭК, если таковые рассылаются, касательно обеспечения ИБ.

Ответственность за исполнение данных положений – персональная для руководителя (но не для зама по ИБ).

Отметим, что юридическая сила данного указа Президента РФ вызывает ряд вопросов (в частности, ни Федеральный закон от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", ни Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" не наделяют главу государства полномочиями требовать таких мер, а поправок в эти законы пока нет), однако за неисполнение положений виновные рискуют составлением протокола по ч. 6 ст. 13.12 или 13.12.1 КоАП РФ (нарушение правил защиты информации или требований безопасности КИИ РФ), или даже уголовным делом по ч. 3 или ч. 4 ст. 274.1 УК РФ (неправомерное воздействие на КИИ РФ). Но и к упомянутой административной ответственности тоже есть вопросы – она наступает за нарушение исключительно требований, установленных именно федеральным законом, а указ главы государства и сам таковым не является, и не содержит в себе пояснений, что принят в соответствии с каким-либо федеральным законом (Указ Президента РФ от 1 мая 2022 г. № 250).