11:00
Круглый стол «На приёме у регулятора. Нормативно-правовое регулирование. КИИ»

Вопросы нормативно-правового регулирования:
1. Проверка ФСБ России.
2. Импортозамещение.
• Какие предельные сроки по импортозамещению ПО медицинского оборудования. В зависимости от требований местных регуляторов?
• Если заместить можно только 5% от всего оборудования (так как нет российских аналогов), то имеет ли смысл импортозамещать?
• Каковы алгоритмы импортозамещения, если необходимого оборудования нет в реестрах российского ПО, а специализированное программное обеспечение – только проприетарное?
3. Указ 250.
• Каково видение МЗ РФ типовой штатной структуры и зарплатных сеток медицинских организаций разных категорий?

Ведущий:
Жуков Алексей Михайлович, начальник отдела научно-медицинских цифровых решений НИИ неотложной детской хирургии и травматологии Департамента здравоохранения города Москвы.

Участники:
• Маркаров Артём Артурович, сотрудник НКЦКИ.
• Рогоза Максим Викторович, советник отдела управления ФСТЭК России.
• Еловских Евдокия Дмитриевна, заместитель начальника отдела организации мониторинга и обеспечения контрольно-надзорной деятельности за организаторами распространения информации Управления по защите прав субъектов персональных данных Роскомнадзора.
• Хайров Игорь Евгеньевич, заместитель директора Академии Информационных Систем.

Вопросы взаимодействия с регуляторами:
• Как осуществлять взаимодействие с Госсопкой, если субъект КИИ не является оператором ИС (например, если оператор – Минздрав региона)? И, наоборот, – если МО является оператором ИС?
4. Модель угроз.
• Если ИСПДн не является ГИС, обязательно ли надо согласовывать модель угроз с ФСТЭК и ФСБ? С МИАЦ?
Взаимодействие с регуляторами:
5. Проверка ФСБ России.
- Чего ждать?
- Каковы порядок доведения и форма предписания?
- Что именно планируется проверять, по каким алгоритмам?

6. Приказ ФСБ России от 11 мая 2023 г. № 213:
- мониторинг защищенности будет проводиться без оформления соответствующего договора/регламента?
- Центр защиты информации и специальной связи ФСБ России будет действовать самостоятельно по своему плану?
- Центр будет проводить мониторинг защищенности вне зависимости от того, что у субъекта КИИ есть договор/соглашение с Центром ГосСОПКА?
- какие санкции ожидают субъекта КИИ за невыполнение данного приказа ФСБ России, в том числе, если у субъекта КИИ есть договор/соглашение с Центром ГосСОПКА?
- освобождается ли субъект КИИ от выполнения требований данного приказа, если у субъекта КИИ есть договор/соглашение с Центром ГосСОПКА?

7. Уведомление о компьютерных инцидентах и компьютерных атаках, которое субъект КИИ и оператор ПДн обязаны направить в НКЦКИ.
- Является ли такая информация в Уведомлении конфиденциальной информацией? Если да, тогда какая ограничительная пометка должна быть на этом документе и можно ли этот документ отправлять по не защищенному каналу связи?
- Что делать, если сотрудник субъекта КИИ не может определить тип инцидента или какая-то информация вызывает трудности по заполнению Уведомления о компьютерном инциденте?

8. Взаимодействие с Госсопкой.
Как осуществлять взаимодействие с Госсопкой, если субъект КИИ не является оператором ИС? И, наоборот, – если МО является оператором ИС?

9. Модель угроз.
Если ИСПДн не является ГИС, обязательно ли надо согласовывать модель угроз с ФСТЭК и ФСБ? С МИАЦ?

10. Категорирование.
- Нужно ли уведомлять ФСТЭК если объекты КИИ, которым не присвоена одна из категорий значимости, будут выведены из эксплуатации?
- Является ли нарушением завышение категории значимости объекта КИИ?

11. Категорирование ЗОКИИ.
Какой список документов необходимо предоставить чтобы изменить категорию значимости из третьей в «без категории»?

12. Защита от DDoS-атак.
Каковы рекомендации по практическому выполнению требований ФСТЭК по защите от DDoS-атак?

13. Актуализация сведений в РКН.
Какой порядок работы с личным кабинетом Роскомнадзора субъекта медицинской организации?

14. Использование Яндекс-диска.
Легитимно ли использование Яндекс-диска для обмена информацией, содержащей ПДн, внутри корпоративной сети медицинской организации?

15. Передача ПДн и иной информации третьим лицам (в целом и, в частности, документальное оформление факта передачи).

16. Передача ПДн пациентов.
- Является ли нарушением поступление расчётных листов от «Единой информационно-аналитической системы бюджетного (бухгалтерского) учёта» (ГИС ЕИАСБУ) на внешние недоменные (некорпоративные) адреса сотрудников?
- Имеет ли право медицинская организация посылать пациенту на предоставленный им адрес электронной почты его результаты исследований (например, снимки КТ/МРТ)?
- Является ли нарушением требований законодательства отправка на личный адрес электронной почты пациента его ПДН: результатов оказания медицинской помощи, результатов исследований, выписок, анализов и пр. медицинских данных, при условии, что:
- оформлен письменный запрос на предоставление указанных им ПДн указанным им способом (на личную электронную почту)?
- оформлено письменное информированное согласие пациента на распространение указанных им ПДн на указанный им адрес электронной почты?

К участию приглашены представители НКЦКИ, ФСТЭК России, Минздрава России, Роскомнадзора, Департамента здравоохранения города Москвы, Департамента информационных технологий города Москвы и других субъектов Российской Федерации.

13:00
Сессия «Подготовка кадров. Учения. Обучение. Стажировки»

Ведущий:
Хайров Игорь Евгеньевич, заместитель директора Академии Информационных Систем

Докладчики:
• Жуков Алексей Михайлович, начальник отдела научно-медицинских цифровых решений НИИ неотложной детской хирургии и травматологии Департамента здравоохранения города Москвы.

Доклад: «Подготовка специалистов по информационной безопасности на примере Московского учреждения здравоохранения»

• Хайров Игорь Евгеньевич, заместитель директора Академии Информационных Систем

Доклад: «Вопросы подготовки кадров по информационной безопасности в медицинских организациях»

* – В программе возможны изменения. Информация о времени начала конференции будет опубликована в ближайшее время. Следите за обновлениями!