Обратной стороной всеобщей цифровизации внутренних и внешних аптечных сервисов является возрастающая потребность в их киберзащите. Регуляторы разработали целый ряд мер, направленных на обеспечение информационной безопасности значимых для государства предприятий. В их число попал и фармбизнес. Старший юрист «Пепеляев Групп» Таисия Кубрина рассмотрела, какие обязанности есть у аптек как объектов критической информационной инфраструктуры.
Что такое КИИ
Вопросы информационной безопасности из личного дела организации стали делом государственным в 2018 году, когда вступил в силу Федеральный закон № 187-ФЗ от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Закон о КИИ). Он устанавливает для организаций требования по обеспечению безопасности критической информационной инфраструктуры, к которой относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и сети электросвязи, обеспечивающие работу этих систем. Иными словами, это закон о противодействии компьютерным атакам и инцидентам на внутренние и внешние ПО организаций.
К субъектам КИИ относятся не только государственные и муниципальные органы власти, а также госпредприятия и госкорпорации, но и представители частного бизнеса, которые работают в наиболее значимых отраслях экономики. Среди них сферы здравоохранения, науки, транспорта, связи, банковская и финансовая сферы, а также различные промышленные предприятия, например металлургия и химпром.
Относятся ли к КИИ аптеки и дистрибьюторы? На практике принадлежность организации к той или иной сфере деятельности определяется кодами ОКВЭД, и формально некоторые аптеки могут считать, что торговые коды освобождают их от дополнительных обязанностей.
Но здесь нужно вспомнить заложенную в ст.29 ФЗ-323 структуру системы здравоохранения, которая представлена государственными, муниципальными и частными подсистемами, каждая из которых включает фармацевтические организации.
В 2021 году Минздрав России выпустил «Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения». Они распространяют свое действие на все организации сферы здравоохранения.
Перечень таких организаций установлен в Приложении № 3, в п.5 которого указаны фармацевтические организации, осуществляющие оптовую и розничную торговлю, перевозку, хранение и изготовление лекарств.
Масштаб бизнеса для его отнесения к субъектам КИИ роли не играет, поэтому под действие закона попадают все аптеки и фармацевтические дистрибьюторы. По косвенным признакам к субъектам КИИ должны относиться производители лекарств.
Полная версия статьи доступна подписчикам газеты «Фармацевтический вестник»
