Свое ПО ближе. Как аптеки должны организовать кибербезопасность

Обратной стороной всеобщей цифровизации внутренних и внешних аптечных сервисов является возрастающая потребность в их киберзащите. Регуляторы разработали целый ряд мер, направленных на обеспечение информационной безопасности значимых для государства предприятий. В их число попал и фармбизнес.  Старший юрист «Пепеляев Групп» Таисия Кубрина рассмотрела, какие обязанности есть у аптек как объектов критической информационной инфраструктуры.

Вопросы информационной безопасности из личного дела организации стали делом государственным в 2018 году, когда вступил в силу Федеральный закон № 187-ФЗ от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Закон о КИИ). Он устанавливает для организаций требования по обеспечению безопасности критической информационной инфраструктуры, к которой относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и сети электросвязи, обеспечивающие работу этих систем. Иными словами, это закон о противодействии компьютерным атакам и инцидентам на внутренние и внешние ПО организаций.

К субъектам КИИ относятся не только государственные и муниципальные органы власти, а также госпредприятия и госкорпорации, но и представители частного бизнеса, которые работают в наиболее значимых отраслях экономики. Среди них сферы здравоохранения, науки, транспорта, связи, банковская и финансовая сферы, а также различные промышленные предприятия, например металлургия и химпром.

Относятся ли к КИИ аптеки и дистрибьюторы? На практике принадлежность организации к той или иной сфере деятельности определяется кодами ОКВЭД, и формально некоторые аптеки могут считать, что торговые коды освобождают их от дополнительных обязанностей.

Но здесь нужно вспомнить заложенную в ст.29 ФЗ-323 структуру системы здравоохранения, которая представлена государственными, муниципальными и частными подсистемами, каждая из которых включает фармацевтические организации.

В 2021 году Минздрав России выпустил «Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения». Они распространяют свое действие на все организации сферы здравоохранения. 

Перечень таких организаций установлен в Приложении № 3, в п.5 которого указаны фармацевтические организации, осуществляющие оптовую и розничную торговлю, перевозку, хранение и изготовление лекарств.

Масштаб бизнеса для его отнесения к субъектам КИИ роли не играет, поэтому под действие закона попадают все аптеки и фармацевтические дистрибьюторы. По косвенным признакам к субъектам КИИ должны относиться производители лекарств.

 
Полная версия статьи доступна подписчикам газеты «Фармацевтический вестник»