Требования к защите персональных данных, обрабатываемых в медицинских информационных системах

Статья
Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образовании

Проверка ФСБ медицинской организации на предмет информационной безопасности систем обработки персональных данных. Модель угроз. Программно-аппаратные средства защиты

31 Августа 202145 893 зн.22 A45 580 руб.# 1428Выделить главное вкл выкл 1038

Содержание

1. Лицензионное требование о размещении информации в единой системе о деятельности медицинской организации и предоставляемых ею услугах

2. Проверка ФСБ на предмет информационной безопасности систем обработки персональных данных

3. Мероприятия по защите персональных данных, обрабатываемых в информационных системах

4. Требования к специалисту по защите информации в автоматизированных системах

5. Перечень программно-аппаратных средств защиты персональных данных

6. Административная ответственность в сфере защиты персональных данных, обрабатываемых в медицинских информационных системах

6.1 Требования к обработке персональных данных

6.2 Правила защиты информации

6.3 Обеспечения безопасности критической информационной инфраструктуры

6.4 Осуществление медицинской деятельности с нарушением требований и условий, предусмотренных лицензией

Перечень нормативных правовых актов

1. "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ

2. Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

3. Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"

4. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

5. Постановление Правительства РФ от 01.06.2021 N 852 "О лицензировании медицинской деятельности (за исключением указанной деятельности, осуществляемой медицинскими организациями и другими организациями, входящими в частную систему здравоохранения, на территории инновационного центра "Сколково") и признании утратившими силу некоторых актов Правительства Российской Федерации"

6. Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"

7. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

8. Постановление Правительства РФ от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

9. Постановление Правительства РФ от от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"

10. Постановление Правительства РФ от 26.06.1995 N 608 "О сертификации средств защиты информации"

11. Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"

12. Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"

13. Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования"

14. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

15. Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

16. Приказ Минздрава России от 31.07.2020 N 785н "Об утверждении Требований к организации и проведению внутреннего контроля качества и безопасности медицинской деятельности"

17. Приказ Минздрава России от 24.12.2018 N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций"

18. Приказ Министерства труда и социальной защиты РФ от 15.09.2016 N 522н "Об утверждении профессионального стандарта "Специалист по защите информации в автоматизированных системах"

19. Методический документ «Методика оценки угроз безопасности информации», утв. ФСТЭК России 05.02.2021

20. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения, утв. Минздравом России 05.04.2021, согласованы ФСТЭК России (письмо от 14.10.2020 № 240/82/1904дсп)

1. Лицензионное требование о размещении информации в единой системе о деятельности медицинской организации и предоставляемых ею услугах

В соответствии с подпунктом «е» пункта 6 положения о лицензировании медицинской деятельности, утв. Постановление Правительства РФ от 01.06.2021 N 852 (вступило в силу 01.09.2021), лицензионным требованием, предъявляемым к лицензиату при осуществлении им медицинской деятельности, является размещение информации в единой системе в соответствии со статьей 91.1 Федерального закона "Об основах охраны здоровья граждан в Российской Федерации" и Положением о единой государственной информационной системе в сфере здравоохранения посредством медицинской информационной системы медицинской организации, соответствующей установленным требованиям, или (в случае если государственная информационная система в сфере здравоохранения субъекта Российской Федерации обеспечивает выполнение функций медицинской информационной системы медицинской организации) посредством государственной информационной системы в сфере здравоохранения субъекта Российской Федерации, соответствующей установленным требованиям, или посредством иной информационной системы, предназначенной для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинской организации и предоставляемых ею услуг.

Требования к медицинским информационным системам содержатся в статье 91 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее - закон N 323-ФЗ), постановлении Правительства Российской Федерации от 05.05.2018 N 555 «Об утверждении Положения о единой государственной информационной системе в сфере здравоохранения» (далее - постановление N 555), приказах Минздрава России от 24.12.2018 N 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций» (далее - приказ N 911н), от 31.07.2020 N 785н «Об утверждении Требований к организации и проведению внутреннего контроля качества и безопасности медицинской деятельности"» (далее - приказ N 785н) и др. Суть требований о размещении сведений состоит в передаче в течение суток в единую государственную информационную систему в сфере здравоохранения (далее - ЕГИСЗ) записей электронных медицинских карт, подписанных электронно-цифровой подписью (далее - ЭЦП).

 

2. Проверка ФСБ на предмет информационной безопасности систем обработки персональных данных

Рассмотрим представление ФСБ России, Управление по ..., 31.03.2021 № __, Директору ООО об устранении причин и условий, способствовавших совершению административного правонарушения.

Руководствуясь статьей 29.13 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ), УФСБ России по ... обращает Ваше внимание на то, что в ООО выявлены нарушения требований законодательных и иных нормативных актов Российской Федерации о персональных данных, задокументированные протоколом об административном правонарушении от 12.03.2021 № __.

В этой связи, 27.03.2021 по результатам рассмотрения дела об административном правонарушении № __, лицо, ответственное за обеспечение безопасности персональных данных в медицинской организации - директор ООО подвергнут административному наказанию в виде штрафа по ч. 6 ст. 13.12 КоАП РФ (от одной тысячи до двух тысяч рублей — прим. автора).

Как следует из материалов дела об административном правонарушении, в информационной системе персональных данных ООО осуществляется автоматизированная обработка персональных данных посредством установленных программных средств.

В соответствии с требованиями п.п. 1, 2 и 9 ч. 2 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается, в частности: определением угроз безопасности и применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных; а так же контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Согласно п. 2 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с ч. 5 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Установлено, что в ООО мероприятия по определению угроз безопасности и уровней защищенности персональных данных при их обработке в ИСПДн не проведены, что не позволяет определить достаточность принимаемых организационных и технических мер, составляющих систему защиты персональных данных. Передача персональных данных между филиалами медицинского учреждения, т. е. от ООО к ООО-2 и обратно, в нарушение п. 8.13 Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», осуществляется по открытому каналу связи в сети «Интернет».

Причинами, способствовавшими совершению указанного административного правонарушения, явилось ненадлежащее исполнение в медицинской организацией требований к защите информации, в частности, защите персональных данных при их обработке в информационных системах персональных данных, установленных ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Требования № 1119), Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Условием, способствовавшим совершению указанного административного правонарушения, явилась недостаточная организация работы по выполнению требований, установленных вышеуказанными нормативно-правовыми актами.

Для устранения причин и условий, способствовавших совершению административного правонарушения, необходимо:

- осуществить мероприятия, предусмотренные ст.ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 7 Требований №1119, по определению уровней защищенности персональных данных при их обработке в ИСПДн (т. н. «бумажная безопасность», включая разработку модели угроз и других локальных актов — прим. автора);

- обеспечить применение в медицинской организации при обработке персональных данных в ИСПДн средств защиты информации, предусмотренных Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 11.02.2013 №17, приказом ФСТЭК России от 18.02.2013 № 21, для соответствующего уровня защищенности: посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных при взаимодействии информационной системы или отдельных ее сегментов с иными информационными системами и информационно-телекоммуникационными сетями (перечень оборудования и программ, рекомендованных ФСБ для защиты данных см. далее — прим. автора);

- принять меры по недопущению последующих нарушений требований российского законодательства о персональных данных, обеспечить надлежащий контроль за их соблюдением в медицинской организации.

Непринятие мер по устранению причин и условий, способствующих совершению административного правонарушения, может повлечь за собой административную ответственность по ст. 19.6 КоАП РФ (влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей — прим. автора).

Предлагается рассмотреть представление и в месячный срок со дня его получения сообщить о принятых мерах в УФСБ России по ... краю.

Начальник подразделения УФСБ России по ... краю, полковник

Представление получил(а) и ознакомлен(а): __.

Для выполнения указанных требований проверяющим было рекомендовано:

- обратиться к организации, имеющей лицензии, на проведение соответствующих работ по разработке информационных систем защищенных с использованием шифровальных (криптографических) средств (см. Постановление Правительства РФ от 16.04.2012 N 313) и по технической защите конфиденциальной информации (см. Постановление Правительства РФ от от 03.02.2012 N 79) или;

- привлечь на основании трудового договора специалиста в соответствии с Приказом Министерства труда и социальной защиты РФ от 15.09.2016 N 522н "Об утверждении профессионального стандарта "Специалист по защите информации в автоматизированных системах" а также;

- установить перечень программно-аппаратных средств защиты персональных данных, рассмотренный далее.

 

Доступ ограничен

Доступ предоставляется авторизованным пользователям

См. процедуру заказа и стоимость доступа к материалу

Для авторизации, нажмите в верхнем меню ссылку Войти. Далее следуйте инструкциям

См. подробную инструкцию по авторизации