11.05.2022
В связи с текущими внешнеполитическими событиями на всех без исключения юридических лиц, которые являются субъектами критической информационной инфраструктуры РФ, то есть на большинство медицинских организаций, наложен ряд обязанностей, – сообщает интернет-портал ГАРАНТ.РУ со ссылкой на Указ Президента РФ от 1 мая 2022 г. N 250.
В частности, руководитель такой медорганизации будет обязан:
- создать отдельное структурное подразделение по обеспечению информационной безопасности (ИБ), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Разрешается не создавать такое подразделение, а возложить данные функции на уже существующие. Типовое положение о таком отделе разработает Кабмин. Где брать бюджеты и квалификационные требования - не уточняется;
- определить своего зама (или нанять нового), который будет обеспечивать ИБ: обнаруживать, предупреждать и ликвидировать последствия компьютерных атак, а также реагировать на компьютерные инциденты. Типовое положение о таком заме также разработает Кабмин;
- принимать (если потребуется) решения о привлечении к осуществлению мероприятий по ИБ сторонних организаций (строго с лицензией на осуществление деятельности по технической защите конфиденциальной информации / аккредитованных пока в ГосСОПКА, затем - в ФСБ, либо рекомендованных ФСБ);
- обеспечить для ФСБ круглосуточный (если нужно - удаленный) доступ ко всем информресурсам, доступ к которым организуется через Интернет (как именно - будет, скорее всего, разъяснено позднее), и незамедлительно исполнять все указания ФСБ и ФСТЭК, если таковые рассылаются, касательно обеспечения ИБ.
Персональную ответственность за исполнение данных положений будет нести не заместитель по ИБ, а сам руководитель медорганизации.
Отметим, что юридическая сила данного указа Президента РФ вызывает ряд вопросов (в частности, ни Закон 187-ФЗ о безопасности КИИ, ни Закон N 49-ФЗ об информации и её защите не наделяют главу государства полномочиями требовать таких мер, а поправок в эти законы пока нет), однако за неисполнение положений виновные рискуют составлением протокола по ч. 6 ст. 13.12 или 13.12.1 КоАП РФ (нарушение правил защиты информации или требований безопасности КИИ РФ), или даже уголовным делом по частям 3 или 4 ст. 274.1 УК РФ (неправомерное воздействие на КИИ РФ). Но и к упомянутой административной ответственности тоже есть вопросы - она наступает за нарушение исключительно требований, установленных именно федеральным законом, а указ главы государства и сам таковым не является, и не содержит в себе пояснений, что принят в соответствии с каким-либо федеральным законом.