Документы по информационной безопасности для медицинской организации: полный чек-лист

Медицинские организации работают с одной из самых чувствительных категорий данных — сведениями о здоровье. Ошибка в настройке доступа, устаревший регламент или отсутствие нужного приказа могут привести к утечке, за которой последуют штраф и проверка Роскомнадзором. Документы по информационной безопасности — это основа устойчивости клиники в цифровой среде. Мы составили подробный чек-лист, который можно использовать как ориентир при выстраивании системы ИБ.

Требования ИБ в медицинской сфере

К медицинским информационным системам (МИС) предъявляются повышенные требования защиты. Базовые правила закреплены в Приказе Минздрава России от 24.12.2018 № 911н. Он устанавливает требования к медицинским информационным системам, которые используются для сбора, хранения и обработки данных при оказании медпомощи.

Любая информация в таких системах защищается в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Медорганизации обязаны его соблюдать. 

Дополнительно действуют требования Постановления Правительства РФ от 16.11.2015 № 1236, которое устанавливает ограничения на использование иностранного программного обеспечения при закупках для государственных и муниципальных нужд при наличии российских аналогов, а также Постановления Правительства РФ от 12.04.2018 № 447 — для систем, интегрированных с МИС.

Если медорганизация признана субъектом критической информационной инфраструктуры или ее системе присвоена категория значимости, применяются нормы Федерального закона от 26.07.2017 № 187-ФЗ и Приказа ФСТЭК России от 25.12.2017 № 239. В этом случае средства защиты должны быть сертифицированы ФСТЭК, а ПО — включено в реестр российского ПО.

Возможные угрозы ИБ в медицинской организации

Медучреждения регулярно становятся целями атак из-за высокой ценности данных. На практике встречаются следующие угрозы:

• несанкционированный доступ сотрудников к медицинским картам;
• утечки данных из-за фишинга и вредоносного ПО;
• использование неучтенных носителей информации;
• ошибки при настройке прав доступа в МИС;
• потеря или кража рабочих устройств;
• действия инсайдеров, в том числе по неосторожности.

Большинство инцидентов связаны не с хакерами, а с отсутствием понятных регламентов и контроля. Именно поэтому корректно оформленные документы по обеспечению информационной безопасности нужны в первую очередь для снижения рисков.

Как защитить информацию в медучреждении: этапы

Шаг 1: разработка перечня ПДн, подлежащих защите

В медицинских организациях обрабатываются персональные данные пациентов, сотрудников и иных лиц. К таким данным относятся ФИО, дата рождения, контактные данные, сведения о здоровье, диагнозах, лечении, результаты обследований, данные полисов ОМС и ДМС, а также кадровые и бухгалтерские данные работников. Все эти сведения подлежат учету и защите.

Шаг 2: определение уровня защищенности ПДн

Уровень защищенности ИСПДн определяется по Постановлению Правительства РФ от 01.11.2012 №1119. Для этого необходимо:

1. Определить количество субъектов ПДн.
2. Определить тип актуальных угроз.

Угрозы бывают нескольких типов:

 Результат оформляется актом определения уровня защищенности.

Шаг 3: назначение ответственного за обработку ПДн

Юридическое лицо обязано назначить ответственного за организацию обработки персональных данных. Это требование следует из ст. 22.1 Федерального закона № 152-ФЗ. Ответственный подчиняется руководителю организации, контролирует соблюдение законодательства, обучает персонал и организует работу с обращениями субъектов ПДн, а также при необходимости взаимодействует с надзорными органами. 

Шаг 4: разработка документов по защите ПДн

На первый взгляд локальные акты можно подготовить силами штатных юристов. На практике медицинские организации чаще привлекают юристов, которые специализируются на ФЗ №152-ФЗ. Ошибка в формулировках может привести к претензиям Роскомнадзора, поэтому правовые документы по информационной безопасности должны учитывать специфику медицины и ИСПДн.

Шаг 5: организация безопасности в помещениях с ПДн

Физическая защита не менее важна, чем техническая. Ограничивается доступ в серверные и кабинеты, используются системы контроля доступа, сейфы, регламенты допуска сотрудников. Эти меры обязательно фиксируются в локальных актах и приказах.

Шаг 6: организация учета и хранения съемных носителей ПДн

Для сотрудников, работающих с носителями информации, разрабатывается инструкция. В ней закрепляются правила учета носителей, ведения журналов, условия хранения, запрет на вынос носителей за пределы помещений, порядок уничтожения и повторного использования. Все действия должны быть документированы.

Шаг 7: анализ технических средств и ИСПДн

На этом этапе проводится инвентаризация ИСПДн, описываются бизнес-процессы, состав и категории ПДн, права доступа пользователей, меры защиты, резервное копирование. Проверяется наличие правовых оснований обработки данных. Результатом становится обоснованный перечень требований к защите.

Шаг 8: определение компенсирующего набора мер безопасности

Если отдельные меры невозможно реализовать, разрабатывается компенсирующий набор. Его применение должно быть обосновано: указывается причина исключения меры, описание угроз и способы их нейтрализации. Компенсирующие меры обязаны обеспечивать сопоставимый уровень защиты.

Шаг 9: реализация методов и средств защиты ПДн

Включает установку сертифицированных СЗИ, настройку систем доступа, охранно-пожарную сигнализацию, учет допущенных лиц, разработку инструкций для администраторов и пользователей. Также направляется уведомление в Роскомнадзор в порядке ст. 22 Федерального закона № 152-ФЗ.

Какие документы по информационной безопасности должны быть в медучреждении

Медицинская организация обязана иметь не просто набор разрозненных приказов, а целостную систему локальных актов. Они подтверждают выполнение требований ФЗ №152-ФЗ, Постановления Правительства РФ № 1119, Приказа Минздрава № 911н и, при необходимости, законодательства о КИИ.

В первую очередь оформляются организационно-распорядительные документы по обеспечению информационной безопасности:

1. Приказ о назначении ответственного за организацию обработки персональных данных. В нем закрепляется должностное лицо, которое будет отвечать за все процессы работы с ПДн. 
2. Приказ о назначении ответственного за обеспечение безопасности ПДн в ИСПДн. Часто это отдельная роль, связанная с технической защитой информации.
3. Приказ о создании комиссии по определению уровня защищенности ПДн. Комиссия формируется для выполнения требований Постановления Правительства РФ № 1119.
4. Приказ об утверждении перечня ИСПДн и перечня персональных данных. В документе фиксируются все системы, в которых обрабатываются ПДн, и конкретные категории данных.
5. Приказ об обеспечении безопасности помещений, в которых размещены ИСПДн. Регламентирует пропускной режим, порядок доступа и меры физической защиты.
6. Приказ об обеспечении безопасности материальных носителей персональных данных. Устанавливает правила хранения, учета и уничтожения носителей.
7. Приказ об утверждении форм документов, используемых для выполнения требований законодательства о ПДн.
8. Приказ о введении журнала учета посетителей, если в организации действует пропускной режим.
9. Приказ о сотрудниках, допущенных к внесению изменений в базовую конфигурацию ИСПДн и СЗИ.
10. Приказ о назначении ответственного за выявление и реагирование на инциденты ИБ.
11. Приказ об утверждении перечня сотрудников, имеющих доступ к электронным журналам регистрации событий безопасности.

Далее разрабатываются обязательные регламентирующие и методические документы по защите информационной безопасности:

1. Положение по организации и проведению работ по обеспечению безопасности ПДн в ИСПДн. Это базовый документ, который описывает всю систему защиты персональных данных в медучреждении.
2. Порядок хранения, использования и передачи ПДн сотрудников. Его желательно оформить отдельно от остальных инструкций. 
3. Модель угроз безопасности персональных данных. Документируется перечень актуальных угроз с учетом архитектуры ИСПДн и результатов анализа.
4. Акт определения уровня защищенности ПДн в ИСПДн. Итоговый документ комиссии, подтверждающий выбранный уровень защищенности.

Если в системе применяются средства криптографической защиты информации, дополнительно оформляются:

1. Приказ о мерах по защите информации с использованием СКЗИ.
2. Рекомендации по выполнению требований безопасности ПДн при использовании криптосредств.

Именно этот комплект образует полноценный перечень документов по информационной безопасности медицинской организации. Его отсутствие или поверхностный характер — один из самых частых поводов для претензий со стороны Роскомнадзора.