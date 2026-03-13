Документы по информационной безопасности — это основа устойчивости клиники в цифровой среде. Мы составили подробный чек-лист, который можно использовать как ориентир при выстраивании системы ИБ.
Требования ИБ в медицинской сфере
К медицинским информационным системам (МИС) предъявляются повышенные требования защиты. Базовые правила закреплены в приказе Минздрава от 24.12.2018 № 911н. Он устанавливает требования к медицинским информационным системам, которые используются для сбора, хранения и обработки данных при оказании медпомощи.
Любая информация в таких системах защищается в соответствии с законом от 27.07.2006 № 152-ФЗ «О персональных данных». Медорганизации обязаны его соблюдать.
Дополнительно действуют требования постановления Правительства от 16.11.2015 № 1236, которое устанавливает ограничения на использование иностранного программного обеспечения при закупках для государственных и муниципальных нужд при наличии российских аналогов, а также постановления Правительства от 12.04.2018 № 447 — для систем, интегрированных с МИС.
Если медорганизация признана субъектом критической информационной инфраструктуры или ее системе присвоена категория значимости, применяются нормы закона от 26.07.2017 № 187-ФЗ и приказа ФСТЭК от 25.12.2017 № 239. В этом случае средства защиты должны быть сертифицированы ФСТЭК, а ПО — включено в реестр российского ПО.
Возможные угрозы ИБ в медицинской организации
Медучреждения регулярно становятся целями атак из-за высокой ценности данных. На практике встречаются следующие угрозы:
несанкционированный доступ сотрудников к медицинским картам;
утечки данных из-за фишинга и вредоносного ПО;
использование неучтенных носителей информации;
ошибки при настройке прав доступа в МИС;
потеря или кража рабочих устройств;
действия инсайдеров, в том числе по неосторожности.
Большинство инцидентов связаны не с хакерами, а с отсутствием понятных регламентов и контроля. Именно поэтому корректно оформленные документы по обеспечению информационной безопасности нужны в первую очередь для снижения рисков.
Как защитить информацию в медучреждении: этапы
Шаг 1: разработка перечня ПДн, подлежащих защите
В медицинских организациях обрабатываются персональные данные пациентов, сотрудников и иных лиц. К таким данным относятся ФИО, дата рождения, контактные данные, сведения о здоровье, диагнозах, лечении, результаты обследований, данные полисов ОМС и ДМС, а также кадровые и бухгалтерские данные работников. Все эти сведения подлежат учету и защите.
Шаг 2: определение уровня защищенности ПДн
Уровень защищенности ИСПДн определяется по постановлению Правительства от 01.11.2012 № 1119. Для этого необходимо:
Определить количество субъектов ПДн.
Определить тип актуальных угроз.
Угрозы бывают нескольких типов:
Тип угроз
Для каких ИСПДн актуальны
Первого типа
ИСПДн с системным ПО, где возможны недекларированные возможности
Второго типа
ИСПДн с прикладным ПО с недекларированными возможностями
Третьего типа
ИСПДн, где угрозы не связаны с НДВ в ПО
Результат оформляется актом определения уровня защищенности.
IT-безопасность и правовая защита данных для медицинских организаций
Ключевые решения для медицинских организаций
Шаг 3: назначение ответственного за обработку ПДн
Юридическое лицо обязано назначить ответственного за организацию обработки персональных данных. Это требование следует из ст. 22.1 закона № 152-ФЗ. Ответственный подчиняется руководителю организации, контролирует соблюдение законодательства, обучает персонал и организует работу с обращениями субъектов ПДн, а также при необходимости взаимодействует с надзорными органами.
Шаг 4: разработка документов по защите ПДн
На первый взгляд локальные акты можно подготовить силами штатных юристов. На практике медицинские организации чаще привлекают юристов, которые специализируются на ФЗ №152-ФЗ. Ошибка в формулировках может привести к претензиям Роскомнадзора, поэтому правовые документы по информационной безопасности должны учитывать специфику медицины и ИСПДн.
Шаг 5: организация безопасности в помещениях с ПДн
Физическая защита не менее важна, чем техническая. Ограничивается доступ в серверные и кабинеты, используются системы контроля доступа, сейфы, регламенты допуска сотрудников. Эти меры обязательно фиксируются в локальных актах и приказах.
Шаг 6: организация учета и хранения съемных носителей ПДн
Для сотрудников, работающих с носителями информации, разрабатывается инструкция. В ней закрепляются правила учета носителей, ведения журналов, условия хранения, запрет на вынос носителей за пределы помещений, порядок уничтожения и повторного использования. Все действия должны быть документированы.
Шаг 7: анализ технических средств и ИСПДн
На этом этапе проводится инвентаризация ИСПДн, описываются бизнес-процессы, состав и категории ПДн, права доступа пользователей, меры защиты, резервное копирование. Проверяется наличие правовых оснований обработки данных. Результатом становится обоснованный перечень требований к защите.
Шаг 8: определение компенсирующего набора мер безопасности
Если отдельные меры невозможно реализовать, разрабатывается компенсирующий набор. Его применение должно быть обосновано: указывается причина исключения меры, описание угроз и способы их нейтрализации. Компенсирующие меры обязаны обеспечивать сопоставимый уровень защиты.
Шаг 9: реализация методов и средств защиты ПДн
Включает установку сертифицированных СЗИ, настройку систем доступа, охранно-пожарную сигнализацию, учет допущенных лиц, разработку инструкций для администраторов и пользователей. Также направляется уведомление в Роскомнадзор в порядке ст. 22 закона № 152-ФЗ.
IT-безопасность и правовая защита данных для медицинских организаций
Ключевые решения для медицинских организаций
Какие документы по информационной безопасности должны быть в медучреждении
Медицинская организация обязана иметь не просто набор разрозненных приказов, а целостную систему локальных актов. Они подтверждают выполнение требований ФЗ № 152-ФЗ, постановления Правительства № 1119, приказа Минздрава № 911н и, при необходимости, законодательства о КИИ.
В первую очередь оформляются организационно-распорядительные документы по обеспечению информационной безопасности:
Приказ о назначении ответственного за организацию обработки персональных данных. В нем закрепляется должностное лицо, которое будет отвечать за все процессы работы с ПДн.
Приказ о назначении ответственного за обеспечение безопасности ПДн в ИСПДн. Часто это отдельная роль, связанная с технической защитой информации.
Приказ о создании комиссии по определению уровня защищенности ПДн. Комиссия формируется для выполнения требований постановления Правительства № 1119.
Приказ об утверждении перечня ИСПДн и перечня персональных данных. В документе фиксируются все системы, в которых обрабатываются ПДн, и конкретные категории данных.
Приказ об обеспечении безопасности помещений, в которых размещены ИСПДн. Регламентирует пропускной режим, порядок доступа и меры физической защиты.
Приказ об обеспечении безопасности материальных носителей персональных данных. Устанавливает правила хранения, учета и уничтожения носителей.
Приказ об утверждении форм документов, используемых для выполнения требований законодательства о ПДн.
Приказ о введении журнала учета посетителей, если в организации действует пропускной режим.
Приказ о сотрудниках, допущенных к внесению изменений в базовую конфигурацию ИСПДн и СЗИ.
Приказ о назначении ответственного за выявление и реагирование на инциденты ИБ.
Приказ об утверждении перечня сотрудников, имеющих доступ к электронным журналам регистрации событий безопасности.
Далее разрабатываются обязательные регламентирующие и методические документы по защите информационной безопасности:
Положение по организации и проведению работ по обеспечению безопасности ПДн в ИСПДн. Это базовый документ, который описывает всю систему защиты персональных данных в медучреждении.
Порядок хранения, использования и передачи ПДн сотрудников. Его желательно оформить отдельно от остальных инструкций.
Модель угроз безопасности персональных данных. Документируется перечень актуальных угроз с учетом архитектуры ИСПДн и результатов анализа.
Акт определения уровня защищенности ПДн в ИСПДн. Итоговый документ комиссии, подтверждающий выбранный уровень защищенности.
Если в системе применяются средства криптографической защиты информации, дополнительно оформляются:
Приказ о мерах по защите информации с использованием СКЗИ.
Рекомендации по выполнению требований безопасности ПДн при использовании криптосредств.
Именно этот комплект образует полноценный перечень документов по информационной безопасности медицинской организации. Его отсутствие или поверхностный характер — один из самых частых поводов для претензий со стороны Роскомнадзора.
Реклама: АО «Консалтинг онлайн», ИНН: 2310203967, erid: 2W5zFJnN16h
Начать дискуссию