CC BY
3
УДК 37.014.5
DOI: 10.17586/2310-1172-2024-17-1-31-41 Научная статья
Исследование отдельных вопросов управления кадрами по информационной безопасности в медицинских учреждениях
Канд. техн. наук Гавришев А.А. alexxx.2008@inbox.ru Национальный исследовательский ядерный университет «МИФИ» 115409, Россия, Москва, Каширское шоссе, д. 31
В данной статье проведено исследование отдельных вопросов управления кадрами по информационной безопасности (ИБ) в медицинских организациях с целью выявления тенденций в области подготовки таких кадров для них. На основании нормативно-правовых актов показано, что специалисты по ИБ, работающие в сфере здравоохранения, должны обладать профильным образованием и иметь опыт работы по профилю деятельности. На основании известных источников показано, что в настоящее время ощущается острая нехватка специалистов по ИБ. Указаны меры, которые применяются для решения указанной задачи. Показаны их достоинства и недостатки. Отмечена актуальность исследований в области подготовки кадров по ИБ для учреждений из сферы здравоохранения. В качестве материалов исследования использовались открытые данные за 2014-2023 года, представленные в Единой информационной системе в сфере закупок. Указаны ограничения и упрощения, которые были введены при проведении исследования. В результате проведенных исследований, с учетом введённых ограничений и упрощений, выявлено, что в области подготовки кадров по ИБ для учреждений из сферы здравоохранения в настоящее время выделяются два вида тенденций: образовательные и экономические. Проведен анализ выявленных тенденций и на их основе сформулированы выводы. Полученные выводы показывают, что затраты учреждений из сферы здравоохранения на подготовку кадров по ИБ для своих нужд за последние годы возросли многократно. Отмечается очевидный спрос на дополнительное профессиональное образование по программам в области ИБ, в частности, на профессиональную переподготовку по программам ИБ своих действующих сотрудников, на которую приходятся основные затраты учреждений из сферы здравоохранения. Исходя из этого, профессиональная переподготовка по программам ИБ действующих сотрудников учреждений из сферы здравоохранения является перспективным подходом подготовки кадров по ИБ и требует дальнейшего развития. Выявленные тенденции в области подготовки кадров по ИБ для учреждений из сферы здравоохранения напрямую коррелируют, с одной стороны, с увеличившемся в разы количеством кибератак, а с другой стороны - с изменениями законодательства в области ИБ. Ключевые слова: здравоохранение, информационная безопасность, управление кадрами, подготовка кадров, тенденции, образование, экономика, анализ.
Scientific article
In this article, a study of certain issues of personnel management for information security in healthcare institutions has been conducted in order to identify trends in the field of training such personnel for healthcare institutions. Based on regulatory legal acts, it is shown that information security specialists, working in the field of healthcare, should have specialized education and have work experience in the field of activity. Based on known sources, it is shown that there is currently an acute shortage of information security specialists. The measures that are used to solve this problem are indicated. Their advantages and disadvantages are shown. The relevance of research in the field of personnel training in information security for healthcare institutions is noted. Open data for 2014-2023, presented in the Common information system in public procurement, were used as research materials. The limitations and simplifications that were introduced during the study are indicated. As a result of the conducted research, taking into account the restrictions and simplifications introduced, it was revealed that two types of trends are currently being distinguished in the field of information security training for healthcare institutions: educational and economic. The
Research of certain issues of personnel management on information security in healthcare institutions
Ph.D. Gavrishev A.A. alexxx.2008@inbox.ru National Research Nuclear University «MEPhI» 31, Kashirskoe shosse, Moscow, Russia, 115409
analysis of the identified trends has been carried out and conclusions have been formulated on their basis. The findings show that the costs of healthcare institutions for training personnel in information security for their needs have increased many times in recent years. There is an obvious demand for additional professional education in the field of information security, in particular, for professional retraining in the field of information security of their existing employees, which accounts for the main costs of institutions from the healthcare sector. Based on this, professional retraining according to information security programs for existing employees of institutions from the healthcare sector is a promising approach to information security training and requires further development. The identified trends in the field of information security training for healthcare institutions are directly correlated, on the one hand, with a significantly increased number of cyber attacks, and on the other hand, with changes in legislation in the field of information security.
Keywords: healthcare, information security, human resources management, professional training, trends, education, economics, analysis.
Согласно данным Росстата, представленным на сайте https://rosstat.gov.ru, в России в настоящее время насчитывается несколько десятков тысяч различных медицинских учреждений. По уровню информатизации большое количество таких учреждений сегодня во многом не уступают некоторым технологическим компаниям. Различные медицинские учреждения обрабатывают и передают друг другу медицинские данные в электронном виде с помощью разнообразных информационных систем. Однако разнообразие таких систем порождает неоднородность подходов к защите информации в сфере здравоохранения и фрагментарность использования средств защиты информации. Эти проблемы отмечаются, как одни из ключевых. Помимо них так же выделяются и другие проблемы: недостаточное внедрение организационно-правовых мер защиты информации, отсутствие подтверждения соответствия требованиям информационной безопасности (ИБ), недостаток специалистов по защите информации в медучреждениях и некоторые другие [1-5].
Между тем, киберпреступники начинают обращать на учреждения здравоохранения все большее внимания. В течение последних лет доля медицинских учреждений в статистике жертв кибератак постоянно росла. Так среди жертв программ-шифровальщиков медучреждений было больше всего. Хакерская активность может привести к невозможности предоставления медицинских услуг и оказания своевременной медицинской помощи. Серьезным последствием будет и неправомерное использование похищенной конфиденциальной медицинской информации. Поэтому для любого медицинского учреждения важно не только построить комплексную систему ИБ, обеспечивающую соответствие требованиям регуляторов, но и своевременно обнаруживать и предотвращать угрозы ИБ, не допуская утечек информации и остановки деятельности медицинских информационных систем
На настоящий момент остро встала проблема соответствия систем ИБ медицинских учреждений требованиям, установленным законодательством в области ИБ. Требования по ИБ к медицинским учреждениям возможно разделить на несколько направлений [1-5]: требования по защите персональных данных (ПДн)1, требования по защите государственных информационных систем2 и требования по обеспечению безопасности критической информационной инфраструктуры (КИИ)3. Каждое из этих направлений имеет свои особенности и регулируется соответствующими нормативно-правовыми актами. Обеспечение ИБ медицинских учреждений возможно осуществить совокупностью взаимоувязанных правовых, организационных, научно-технических, информационно-аналитических, кадровых и иных мер4. И если применяемым правовым, организационным, техническим и криптографическим мерам обеспечения ИБ в сфере здравоохранения посвящено достаточно много соответствующих нормативно-правовых актов и публикаций, например, [1-5], то таким вопросам, как управление кадрами по ИБ с учетом специфики сферы здравоохранения, в литературе уделено недостаточно внимания. Известно [6-12], что под управлением кадрами (персоналом) в общем виде понимается целенаправленная деятельность по разработке концепции и стратегии кадровой политики, принципов и методов управления кадрами организации для выполнения задач, стоящих перед ней. Основной целью управления кадрами (персоналом) в современных условиях является сочетание эффективного обучения персонала, повышение
1 Федеральный закон «О персональных данных» от 27.07.2006№ 152-ФЗ;
2 ПП РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»; Приказ Министерства здравоохранения РФ от 24.12.2018 № 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций»
3 Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ
4 Указ Президента РФ от 05.12.2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»
Введение
[1-5].
квалификации и трудовой мотивации для развития способностей работников, а также стимулирование их к выполнению работ более высокого уровня. Кадры (персонал) представляют собой штатный состав организации, включающий наемных работников, выполняющих различные трудовые функции. Структура персонала представляет собой совокупность отдельных категорий работников, объединенных по какому-либо признаку. В данной работе, с учетом специфики исследования, таким признаком будет выполнение трудовых функций в области обеспечения ИБ медицинских учреждений, то есть основное внимание будет уделено специалистам по ИБ, работающим в сфере здравоохранения. Отметим, что часто понятие «кадры» отождествляется с понятием «персонал». Как указано в многочисленных источниках [6-12] - это достаточно близкие понятия и их отождествление допустимо, хотя они и имеют некоторую свою специфику. В силу того, что до настоящего времени не выработаны единые подходы к этой проблематике [6-12], то в дальнейшем не будем делать различий между этими понятиями.
C учетом того факта, что текущее законодательство выдвигает вполне конкретные требования к специалистам по ИБ, работающим, в том числе, и в сфере здравоохранения, то далее проведем анализ предметной области.
Анализ предметной области
Рассмотрим требования, которые текущее законодательство РФ выдвигает к специалистам по ИБ, работающим, в том числе, и в сфере здравоохранения. Для большей наглядности, расположим их в хронологическом порядке.
В соответствии с 1111 РФ от 01.11.2012 № 11195, для обеспечения третьего, второго и первого уровня защищенности ПДн при их обработке в информационных системах, необходимо, чтобы было назначено должностное лицо, ответственное за обеспечение безопасности ПДн. Кроме того, для обеспечения первого уровня защищенности ПДн при их обработке в информационных системах, необходимо создать структурное подразделение, ответственное за обеспечение безопасности ПДн в информационной системе, либо возложить на одно из структурных подразделений функций по обеспечению такой безопасности.
В соответствии с Приказом ФСБ России от 10.07.2014 г. № 3786, для обеспечения третьего, второго и первого уровня защищенности ПДн при их обработке в информационных системах, необходимо выполнение требования о назначении должностного лица, ответственного за обеспечение безопасности ПДн в информационной системе. Для выполнения указанного требования, необходимо назначение обладающего достаточными навыками должностного лица оператора ответственным за обеспечение безопасности ПДн в информационной системе.
В соответствии с Приказом ФСТЭК России от 21.12.2017 г. № 2357, руководитель учреждения из сферы здравоохранения, как субъекта КИИ, создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов КИИ, или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов КИИ. Работники структурного подразделения по безопасности, специалисты по безопасности должны иметь профильное образование по направлению подготовки в области ИБ и опыт работы в ней.
В соответствии с Методическими рекомендациями по формированию службы информационных технологий в медицинских учреждениях8, специфика работы специалиста по ИБ в таких учреждениях, соответствующая трудовым функциям, выбирается в зависимости от квалификации работника, выполняемых должностных обязанностей, требований к образованию и определяется согласно профессиональному стандарту «Специалист по технической защите информации».
В соответствии с Указом Президента РФ от 01.05.2022 № 2509, учреждения из сферы здравоохранения, как субъекты КИИ, должны возложить на заместителя руководителя учреждения полномочия по обеспечению ИБ и создать в своем составе структурное подразделение, осуществляющее функции по обеспечению ИБ.
5 ПП РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
6 Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
7 Приказ ФСТЭК от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
8 Методические рекомендации по формированию службы информационных технологий в медицинских организациях (утв. ФГБУ "ЦНИИОИЗ"Министерства здравоохранения РФ 04.03.2022 г.)
9 Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»
В соответствии с 1111 РФ от 15.07.2022 № 127210, заместитель руководителя учреждения из сферы здравоохранения, как субъекта КИИ, ответственный за обеспечение ИБ, должен иметь высшее образование по направлению обеспечения ИБ. Если ответственное лицо имеет высшее образование по другому направлению подготовки, то такое лицо должно пройти обучение по программе профессиональной переподготовки по направлению ИБ.
Кроме того, требования к специалистам по ИБ изложены в многочисленных профстандартах11, устанавливающих требования к квалификации работника.
Как видно из приведенного обзора, специалисты по ИБ, работающие в сфере здравоохранения, должны обладать профильным образованием по ИБ и иметь опыт работы по профилю деятельности. Однако в настоящее время на рынке труда наблюдается острый дефицит специалистов по ИБ12. Так по оценке Министерства труда и социальной защиты РФ, ежегодный дефицит кадров в области ИБ составляет 18 000 человек. По оценке заместителя министра Минцифры России А. Шойтова, 80% компаний и организаций, на которые распространяется указ Президента РФ № 250, испытывают острую нехватку в специалистах по ИБ [13-15].
Для решения указанной задачи в последние годы государство прилагает значительные усилия. Так было увеличило в 2 раза количество бюджетных мест в учебных заведениях по направлению ИБ. Однако это пока не решает всех проблем, так как только одним увеличением количества студентов проблемы в области ИБ решить невозможно - учебные заведения просто не успевают выпускать необходимое количество специалистов с требуемым уровнем компетенций, коррелирующим с непрерывно увеличивающимся количеством и сложностью кибератак [13-20]. Среди дополнительных мер, не требующих быстрой подготовки большого количества ИБ-специалистов, но способных поднять общий уровень ИБ в России, предлагаются следующие [13-20]: запуск учебных образовательных курсов для повышения общего уровня знаний в области ИБ среди населения; обязательное обучение госслужащих основам защиты информации; специальные обучающие программы для первых лиц бизнеса. Кроме этого, предлагаются следующие меры [13-20]: модернизация образовательных программ в области ИБ; совершенствование материально-технической базы учебных заведений; ужесточение требований к учебным заведениям, выпускающим специалистов по ИБ; расширение взаимодействия учебных заведений, выпускающих специалистов по ИБ, и организаций из реального сектора экономики; целевое обучение с последующим трудоустройством; дополнительное профессиональное образование (ДПО) специалистов по программам в области ИБ; передача отдельных видов работ по ИБ на аутсорсинг; углубленное обучение ИБ для разработчиков программных продуктов, особенно на объектах КИИ; закрепление в законодательстве механизмов, позволяющих совершенствовать ИБ, такие, например, как публичные программы поиска уязвимостей в информационных системах за вознаграждение; унификация ИТ- и ИБ-решений на базе облачных технологий; повышение автоматизации различных процессов, которые часто исполняются в ручную и некоторые другие.
Как видно из приведенных данных, экспертами предлагается большой перечень мер устранения проблемы нехватки кадров по ИБ. Однако, многие из представленных мер являются перспективными и не позволяют достаточно быстро удовлетворить потребности учреждений из сферы здравоохранения в кадрах по ИБ. Остановимся далее на мерах, которые используются в настоящее время наиболее часто для решения представленной задачи: передача отдельных видов работ по ИБ на аутсорсинг, целевое обучение с последующим трудоустройством, поиск кандидатов на рынке труда, ДПО по программам в области ИБ. Рассмотрим их более подробно [6-12].
Целевое обучение с последующим трудоустройством представляется перспективным направлением по удовлетворению потребностей учреждений из сферы здравоохранения в кадрах по ИБ. Однако оно неизбежно упирается в проблему, связанную с достаточно долгим ожиданием подготовки специалиста по ИБ. Указанный метод перспективен для будущего, когда будет закрыт вопрос по текущей нехватке кадров по ИБ.
Передача отдельных видов работ по ИБ на аутсорсинг также является перспективным путем решения указанной задачи. Однако он тоже упирается в ряд проблем, среди которых возможно выделить повышенную финансовую стоимость таких работ; вопросы обеспечения защиты конфиденциальной информации, ставшей известной третьей стороне; время реагирования на запросы по ИБ; невозможность полностью закрыть все потребности по ИБ и др.
10 ПП РФ от 15.07.2022 г. № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации) »
11 Приказ Минтруда России № 525н от 14.09.2022 «Об утверждении профессионального стандарта «Специалист по защите информации в автоматизированных системах»; Приказ Минтруда России № 474н от 09.08.2022 «Об утверждении профессионального стандарта «Специалист по технической защите информации», Приказ Минтруда России от 14.09.2022 N533н «Обутверждении профессионального стандарта «Специалист по безопасности компьютерных систем и сетей»
12 Указ Президента РФ от 5.12.2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации"
Поиск кандидатов на рынке труда является наиболее общепринятым методом поиска сотрудников. С помощью специализированных сайтов по поиску работы, бирж труда и др., возможно подобрать кандидата на должность, который будет удовлетворять всем выдвигаемым требованиям. Однако указанный метод также обладает изъянами, среди которых выделяется описанная выше острая нехватка специалистов по ИБ, которая может просто не позволить найти подходящего сотрудника. Кроме того, поиск подходящих кандидатов занимает продолжительное время.
Далее обратимся к ДПО по программам в области ИБ. Известно13, что ДПО направлено на удовлетворение образовательных и профессиональных потребностей, профессиональное развитие человека, обеспечение соответствия его квалификации меняющимся условиям профессиональной деятельности и социальной среды. К освоению ДПО допускаются: лица, получающие или имеющие среднее профессиональное или высшее образование. Программа повышения квалификации направлена на совершенствование и (или) получение новой компетенции, необходимой для профессиональной деятельности, и (или) повышение профессионального уровня в рамках имеющейся квалификации. Программа профессиональной переподготовки направлена на получение компетенции, необходимой для выполнения нового вида профессиональной деятельности, приобретение новой квалификации. Порядок разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области ИБ устанавливается Минобрнауки России и Минпросвещения России, по согласованию со ФСТЭК России и ФСБ России.
Из приведенных данных следует заключить, что учреждения из сферы здравоохранения потенциально могут подготовить требуемых специалистов для своих нужд за счет профессиональной переподготовки по программам в области ИБ своих действующих сотрудников. Указанный подход выглядит одним из наиболее перспективных из всех описанных выше, так как он решает сразу несколько проблем: соответствие требованиям законодательства; достаточно быстрый срок подготовки по сравнению с получением второго образования; небольшая стоимость; обучающийся сотрудник знает структуру организации, ее бизнес-процессы и может приступить к работе в достаточно сжатые сроки. Подтверждением указанным словам являются исследования по тематике ДПО сотрудников различных организаций. Так в работе [21] представлена вероятностная структура вариантов продолжительности обучения трудоспособного населения ЮФО Российской Федерации в рамках реализации образовательного потенциала, показывающая, что наибольшую вероятность наступления события среди всех образовательных программ имеют программы по ДПО (программы по повышению квалификации и профессиональная переподготовка). Касаясь области подготовки кадров по ИБ в России, выделим источник [22], в котором приведены контрольные цифры по подготовке кадров по ИБ в России, которые показывают, что каждый год необходимо готовить 9 000 специалистов по ИБ в высших учебных заведениях и не менее 50 000 специалистов должны проходить обучение по программам ДПО.
Таким образом, следует заключить, что с помощью ДПО в области ИБ может быть реализована одна из важных функций управления кадрами - подготовка квалифицированных кадров для организаций, связанная с их обучением и переподготовкой [6-12], и позволяющая приблизить фактическое состояния персонала организации к оптимизированному, то есть наиболее полно соответствующему его текущим и перспективным потребностям. В настоящее время уже предпринимаются некоторые шаги по решению проблемы нехватки кадров по ИБ для сферы здравоохранения с использованием технологий ДПО. Так в Москве в декабре 2022 года впервые в России специалисты, работающие в области обеспечения ИБ в сфере здравоохранения, прошли обучение на специализированных курсах отраслевой направленности по ИБ [23]. В материалы курса включены основы обеспечения безопасности значимых информационных систем в сфере здравоохранения, меры и средства технической защиты информации от несанкционированного доступа в системы, а также методы контроля за обеспечением безопасности значимых объектов
Таким образом, исследование вопросов управления кадрами по ИБ в организациях из сферы здравоохранения является актуальным и требует дальнейшего изучения. С учетом приведенных выше данных, в том числе, касающихся специфики анализируемой предметной области, острой нехватки специалистов по ИБ и т.д., дальнейшие исследования сосредоточим на отдельных вопросах управления кадрами по ИБ в учреждениях из сферы здравоохранения, а именно - на подготовке кадров по ИБ для таких учреждений.
Целью данной статьи является анализ тенденций в области подготовки кадров по ИБ для учреждений из сферы здравоохранения.
Цель исследования
13 Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»
35
Материалы и методы
Для достижения поставленной цели использованы методы анализа, описания, обобщения, результаты научно-исследовательских работ по тематике исследования. Общей методологической основой является системный подход.
В связи с тем, что сведения по исследуемой тематике являются разрозненными и фрагментированными, то в качестве материалов исследования использовались открытые данные за 2014-2023 года, представленные в Единой информационной системе в сфере закупок (ЕИС)14. В связи с этим для текущего исследования были введены следующие ограничения и упрощения:
1) не рассматривались частные учреждения здравоохранения; учреждения, подчиненные федеральным органам исполнительной власти в области здравоохранения; учреждения здравоохранения, подчиненные другим федеральным органами исполнительной власти; учреждения, подчиненные ФОМС;
2) рассматривались только учреждения, подчиненные исполнительной власти субъектов РФ в области здравоохранения.
Результаты и их обсуждение
В результате проведенного исследования было выявлено, что в области подготовки кадров по ИБ для учреждений из сферы здравоохранения выделяются два вида тенденций: образовательные и экономические.
Проанализируем образовательные тенденции. Анализ данных, представленных в ЕИС, показал, что за последние годы выросло количество объявлений о закупках, связанных с ДПО по программам в области ИБ для нужд учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения (рис. 1). Так, если в 2014 году было 3 объявления о закупках, то в 2023 году - уже 51.
Рис 1. Количество объявлений о закупках по исследуемой тематике в ЕИС за 2014-2023 г
Так же определенный интерес представляет распределение количества объявлений о закупках по исследуемой тематике в ЕИС по видам ДПО по программам в области ИБ (рис. 2). Среди видов ДПО по программам в области ИБ традиционно выделяются повышение квалификации и профессиональная переподготовка. Так, если в 2014-2016 годах профессиональная переподготовка по ИБ не пользовалась серьезным спросом у учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения (не более 5 объявлений о закупках в ЕИС), то, начиная с 2017 года, она стала пользоваться значительным спросом (39 объявлений о закупках в 2023 году в ЕИС). При этом, повышение квалификации по ИБ, хоть и пользуется постоянным спросом у учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, однако к настоящему времени значительно проигрывает профессиональной переподготовке по ИБ.
14 ЕИС. URL: https://zakupki.gov.ru (дата обращения: 20.08.2023).
36
Рис. 2. Распределение количества объявлений о закупках по исследуемой тематике в ЕИС по видам ДПО по программам в области ИБ
Проанализируем экономические тенденции. Анализ данных, представленных в ЕИС, показал, что за последние годы затраты на ДПО по программам в области ИБ учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, значительно выросли (рис. 3). Так, если в период с 2014 по 2021 годы учреждениями, подчиненными исполнительной власти субъектов РФ в области здравоохранения, на ДПО по программам в области ИБ было затрачено не более 1 млн руб. в год, то в 2022 году - уже практически 3 млн рублей, а 2023 году - уже более 5 млн руб.
Рис. 3. Затраты на ДПО по программам в области ИБ за 2014-2023 г. (по данным ЕИС)
Так же определенный интерес представляет распределение затрат учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, на виды ДПО по программам в области ИБ (рис. 4). Представленные данные наглядно показывают, что основные затраты учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, за 2014-2023 годы приходятся на профессиональную переподготовку по ИБ. Причем, с каждым годом они вырастают и уже достигли в 2023 году более 4,5 млн рублей.
5ÜOOOOO
45 OOÜO 0
4000000
3500000
щ
Ph
30 0000 0
>4
H
eo
2500000
rt m
2000000
1500000
1000000
500000
I
1
1
1
i 1
i 1
1 1
1 I 1
1« 1 1 J J J ._! J Й
2014 2015 201С 2017 2010 2019 2020 2021 2022 2023
■ Повышение квалификации К/ Профессиональная переподготовка
Рис. 4. Затраты на виды ДПО по программам в области ИБ за 2014-2023 г. (по данным ЕИС)
Из полученных результатов возможно сделать следующие выводы:
1) затраты учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, на подготовку кадров по ИБ для своих нужд за последние годы возросли многократно;
2) отмечается очевидный спрос на ДПО по программам в области ИБ;
3) повышение квалификации по ИБ, хоть и пользуется постоянным спросом у учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, однако к настоящему времени значительно проигрывает профессиональной переподготовке по ИБ;
4) основные затраты учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, при ДПО по программам в области ИБ идут на профессиональную переподготовку по ИБ;
5) профессиональная переподготовка по ИБ действующих сотрудников учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, является перспективным подходом и требует дальнейшего развития;
6) предполагается, что затраты учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, на ДПО по программам в области ИБ в последующие годы будут так же расти;
7) в силу многочисленности учреждений, подчиненных исполнительной власти субъектов РФ в области здравоохранения, полученные результаты возможно распространить и на другие учреждения из области здравоохранения, не представленные в проведенном исследовании;
8) выявленные тенденции в области подготовки кадров по ИБ для учреждений из сферы здравоохранения напрямую коррелируют, с одной стороны, с увеличившемся в разы количеством кибератак, а с другой стороны -с изменениями законодательства в области ИБ;
9) видится целесообразным разработка программы профессиональной переподготовки по ИБ, учитывающей специфику сферы здравоохранения, согласованная с регуляторами.
Заключение
Таким образом, в данной статье проведено исследование отдельных вопросов управления кадрами по ИБ в медицинских организациях с целью выявления тенденций в области подготовки таких кадров для них. На основании нормативно-правовых актов показано, что специалисты по ИБ, работающие в сфере здравоохранения, должны обладать профильным образованием по ИБ и иметь опыт работы по профилю деятельности. На основании известных источников показано, что в настоящее время ощущается острая нехватка специалистов по ИБ, в том числе и в сфере здравоохранения. Указаны меры, которые применяются для решения указанной задачи. Показаны их достоинства и недостатки. В результате проведенных исследований, в основу которых были
положены открытые данные из Единой информационной системы в сфере закупок, с учетом введённых ограничений и упрощений, выявлено, что в области подготовки кадров по ИБ для учреждений из сферы здравоохранения в настоящее время выделяются два вида тенденций: образовательные и экономические. Проведен анализ выявленных тенденций и на их основе сформулированы выводы. Полученные выводы показывают, что затраты учреждений из сферы здравоохранения на подготовку кадров по ИБ для своих нужд за последние годы возросли многократно. Отмечается очевидный спрос на ДПО по программам в области ИБ, в частности, на профессиональную переподготовку по программам ИБ своих действующих сотрудников, на которую приходятся основные затраты учреждений из сферы здравоохранения. Исходя из этого, профессиональная переподготовка по ИБ действующих сотрудников учреждений из сферы здравоохранения является перспективным подходом подготовки кадров по ИБ и требует дальнейшего развития. Выявленные тенденции в области подготовки кадров по ИБ для учреждений из сферы здравоохранения напрямую коррелируют, с одной стороны, с увеличившемся в разы количеством кибератак, а с другой стороны - с изменениями законодательства в области ИБ. Полученные результаты могут быть полезны руководителям учреждений из сферы здравоохранения, а также специалистам по ИБ, работающим в таких учреждениях. Кроме того, полученные результаты могут представлять интерес для специалистов, занимающихся образовательной деятельностью в области подготовки кадров по ИБ для учреждений из сферы здравоохранения.
Литература
1. Чернов И. Защита информации в медицинских организациях с помощью решений UserGate. URL: https://www.itsec.ru/articles/zashchita-informacii-v-medicinskih-organizaciyah-s-pomoshchyu-reshenij-usergate (дата обращения: 20.07.2023).
2. Родионычева Е.Д., Голубев А.С. Оценка стоимости приобретения программно-аппаратного комплекса для обеспечения информационной безопасности информационных систем в сфере здравоохранения // Известия высших учебных заведений. Серия: Экономика, финансы и управление производством. 2021. № 3(49). С. 124-129. DOI 10.6060/ivecofin.2021493.558.
3. Степаненко Д.А., Рудых А.А. Технико-криминалистическое обеспечение противодействия преступлениям против информационной безопасности объектов здравоохранения // Академический юридический журнал. 2021. Т. 22. № 1(83). С. 41-48. DOI 10.17150/1819-0928.2021.22(1).41-48.
4. Нямцу А.М., Забокрицкий О.В., Юсупова Е.Ю. Проблемы защиты персональных данных в сфере здравоохранения // Медицинская наука и образование Урала. 2013. Т. 14. № 3(75). С. 136-138.
5. Петренко В.И., Мандрица И.В. Защита персональных данных в информационных системах. М.: Изд-во «Лань», 2019. 108 с.
6. Добровинский П. Управление персоналом в организации. Томск: Изд-во Томского политехнического университета, 2011. 416 с.
7. Тесленко И.Б. и др. Управление персоналом. Владимир: Изд-во ВлГУ, 2016. 83 с.
8. ЦибареваМ.Е. Кадровый менеджмент. Самара: Изд-во Самарского университета, 2020. 100 с.
9. Башмаков О.А. Совершенствование методов управления кадрами и кадровой службой в практике управления здравоохранением // Социальные аспекты здоровья населения. 2015. № 6(46). С. 12.
10. Козак Н.Н. Управление персоналом. 2016, 371 С. URL: https://books.google.ru (дата обращения: 31.08.2023).
11. Раренко А.А. «Управление персоналом» и «Управление человеческими ресурсами»: к вопросу о терминологии // Социальные и гуманитарные науки. Отечественная и зарубежная литература. Серия 11. Социология: Реферативный журнал. 2019. № 2. С. 143-150. DOI: 10.31249/rsoc/2019.02.03
12. Симченко Н.А., Анисимова Н.Ю. Сущностные характеристики категориального аппарата процесса подготовки кадров в цифровой экономике // Вестник Пермского университета. Серия «Экономика». 2021. Т. 16. № 1. С. 67-85. DOI: 10.17072/1994-9960-2021-1-67-85
13. Механизм «багбаунти» и атака за вознаграждение. Как решить проблему дефицита специалистов по кибербезопасности. URL: https://rg.ru/2023/03/12/mehanizm-bagbaunti-i-ataka-za-voznagrazhdenie-kak-reshit-problemu-deficita-specialistov-po-kiberbezopasnosti.html (дата обращения: 20.07.2023).
14. Белов Е.Б., Лось В.П., Малюк А.А. Цифровая экономика и актуальные проблемы совершенствования системы подготовки кадров в области информационной безопасности // Безопасность информационных технологий. 2018. Т. 25. № 4. С. 6-22. DOI 10.26583/bit.2018.4.01
15. Марченко А.В., Войналович В.Ю., Воронин С.Н. Анализ состояния системы подготовки специалистов в области информационной безопасности // Безопасность информационных технологий. 2018. № 2. С. 6-22 DOI 10.26583/bit.2018.2.01
16. Мещеряков Р.В., Шелупанов А.А. Концептуальные вопросы информационной безопасности региона и подготовки кадров // Труды СПИИРАН. 2014. № 34. С. 136-159.
17. Потехецкий С.В., Капгер И.В. Проблемные вопросы подготовки кадров в сфере информационной безопасности // Вопросы защиты информации. 2019. № 3(126). С. 55-58.
18. Бурькова Е.В. Профессиональная подготовка специалистов в области информационной безопасности // Вестник Оренбургского государственного университета. 2016. № 2. (190). С. 3-9.
19. Опрошенные ИБ-специалисты органов власти России пожаловались на нехватку финансирования. URL: https://tass.ru/ekonomika/18859227. (дата обращения: 20.07.2023).
20. Дефицит кадров в сфере ИБ и подготовка молодых специалистов. URL: https://lib.itsec.ru/articles2/job/defitsit-kadrov-v-sfere-ib-i-podgotovka-molodyh-spetsialistov (дата обращения: 20.07.2023).
21. Анисимова Н.Ю. Прогностическая модель ценности образовательного потенциала регионов Российской Федерации // ПЭЖ. 2022. № 8. С. 20-28.
22. Чефранова А. Проблемы подготовки кадров по информационной безопасности с использованием СКЗИ. URL:
https://ctcrypt.ru/files/files/2022/08%201630%20%D0%A7%D0%B5%D1%84%D1%80%D0%B0%D0%BD%D0% BE%D0%B2%D0%B0.pdf (дата обращения: 31.08.2023)
23. Работники медучреждений Москвы стали первыми выпускниками отраслевой программы по информационной безопасности. URL: https://www.mos.ru/news/item/118978073/ (дата обращения: 20.07.2023).
References
1. Chernov I. Zashhita informacii v medicinskih organizacijah s pomoshh'ju reshenij UserGate. URL: https://www.itsec.ru/articles/zashchita-informacii-v-medicinskih-organizaciyah-s-pomoshchyu-reshenij-usergate (data obrashhenija: 20.07.2023).
2. Rodionycheva E.D., Golubev A.S. Ocenka stoimosti priobretenija programmno-apparatnogo kompleksa dlja obespechenija informacionnoj bezopasnosti informacionnyh sistem v sfere zdravoohranenija // Izvestija vysshih uchebnyh zavedenij. Serija: Jekonomika, finansy i upravlenie proizvodstvom. 2021. № 3(49). S. 124-129. DOI 10.6060/ivecofin.2021493.558.
3. Stepanenko D.A., Rudyh A.A. Tehniko-kriminalisticheskoe obespechenie protivodejstvija prestuplenijam protiv informacionnoj bezopasnosti ob'ektov zdravoohranenija // Akademicheskij juridicheskij zhurnal. 2021. T. 22. № 1(83). S. 41-48. DOI 10.17150/1819-0928.2021.22(1).41-48.
4. Njamcu A.M., Zabokrickij O.V., Jusupova E.Ju. Problemy zashhity personal'nyh dannyh v sfere zdravoohranenija // Medicinskaja nauka i obrazovanie Urala. 2013. T. 14. № 3(75). S. 136-138.
5. Petrenko V.I., Mandrica I.V. Zashhita personal'nyh dannyh v informacionnyh sistemah. M.: Izd-vo «Lan'», 2019. 108 s.
6. Dobrovinskij P. Upravlenie personalom v organizacii. Tomsk: Izd-vo Tomskogo politehnicheskogo universiteta, 2011. 416 s.
7. Teslenko I.B. i dr. Upravlenie personalom. Vladimir: Izd-vo VlGU, 2016. 83 s.
8. Cibareva M.E. Kadrovyj menedzhment. Samara: Izd-vo Samarskogo universiteta, 2020. 100 s.
9. Bashmakov O.A. Sovershenstvovanie metodov upravlenija kadrami i kadrovoj sluzhboj v praktike upravlenija zdravoohraneniem // Social'nye aspekty zdorov'ja naselenija. 2015. № 6(46). S. 12.
10. Kozak N.N. Upravlenie personalom. 2016, 371 S. URL: https://books.google.ru (data obrashhenija: 31.08.2023).
11. Rarenko A.A. «Upravlenie personalom» i «Upravlenie chelovecheskimi resursami»: k voprosu o terminologii // Social'nye i gumanitarnye nauki. Otechestvennaja i zarubezhnaja literatura. Ser. 11. Sociologija: Referativnyj zhurnal. 2019. № 2. S. 143-150. DOI: 10.31249/rsoc/2019.02.03
12. Simchenko N.A., Anisimova N.Ju. Sushhnostnye harakteristiki kategorial'nogo apparata processa podgotovki kadrov v cifrovoj jekonomike // Vestnik Permskogo universiteta. Ser. «Jekonomika». 2021. T. 16. № 1. S. 67-85. DOI: 10.17072/1994-9960-2021-1-67-85
13. Mehanizm «bagbaunti» i ataka za voznagrazhdenie. Kak reshit' problemu deficita specialistov po kiberbezopasnosti. URL: https://rg.ru/2023/03/ 12/mehanizm-bagbaunti-i-ataka-za-voznagrazhdenie-kak-reshit-problemu-deficita-specialistov-po-kiberbezopasnosti.html (data obrashhenija: 20.07.2023).
14. Belov E.B., Los' V.P., Maljuk A.A. Cifrovaja jekonomika i aktual'nye problemy sovershenstvovanija sistemy podgotovki kadrov v oblasti informacionnoj bezopasnosti // Bezopasnost' informacionnyh tehnologij. 2018. T. 25. № 4. S. 6-22. DOI 10.26583/bit.2018.4.01
15. Marchenko A.V., Vojnalovich V.Ju., Voronin S.N. Analiz sostojanija sistemy podgotovki specialistov v oblasti informacionnoj bezopasnosti // Bezopasnost' informacionnyh tehnologij. 2018. № 2. S. 6-22 DOI 10.26583/bit.2018.2.01
16. Meshherjakov R.V., Shelupanov A.A. Konceptual'nye voprosy informacionnoj bezopasnosti regiona i podgotovki kadrov // Trudy SPIIRAN. 2014. № 34. S. 136-159.
17. Poteheckij S.V., Kapger I.V. Problemnye voprosy podgotovki kadrov v sfere informacionnoj bezopasnosti // Voprosy zashhity informacii. 2019. № 3(126). S. 55-58.
18. Bur'kova E.V. Professional'naja podgotovka specialistov v oblasti informacionnoj bezopasnosti // Vestnik Orenburgskogo gosudarstvennogo universiteta 2016 № 2 (190). S. 3-9.
19. Oproshennye IB-specialisty organov vlasti Rossii pozhalovalis' na nehvatku finansirovanija. URL: https://tass.ru/ekonomika/18859227. (data obrashhenija: 20.07.2023).
20. Deficit kadrov v sfere IB i podgotovka molodyh specialistov. URL: https://lib.itsec.ru/articles2/job/defitsit-kadrov-v-sfere-ib-i-podgotovka-molodyh-spetsialistov (data obrashhenija: 20.07.2023).
21. Anisimova N.Ju. Prognosticheskaja model' cennosti obrazovatel'nogo potenciala regionov Rossijskoj Federacii // PJeZh. 2022. № 8. S. 20-28.
22. Chefranova A. Problemy podgotovki kadrov po informacionnoj bezopasnosti s ispol'zovaniem SKZI. URL: https://ctcrypt.ru/files/files/2022/08%201630%20%D0%A7%D0%B5%D1%84%D1%80%D0%B0%D0%BD%D0% BE%D0%B2%D0%B0.pdf (data obrashhenija: 31.08.2023)
23. Rabotniki meduchrezhdenij Moskvy stali pervymi vypusknikami otraslevoj programmy po informacionnoj bezopasnosti. URL: https://www.mos.ru/news/item/118978073/ (data obrashhenija: 20.07.2023).
Статья поступила в редакцию 18.01.2024 Received 18.01.2024
Принята к публикации 2 7.02.2024 Accepted for publication 2 7.02.2024
