Саморегулируемая

Реестр | Преимущества | Как вступить | (499) 754-44-60 / (495) 234-04-36 | med-sro@mail.ru | t.me/np_med |

Материал обновлен 16.06.2025. Требования к защите персональных данных, обрабатываемых в медицинских информационных системах

Материал обновлен 16.06.2025. Требования к защите персональных данных, обрабатываемых в медицинских информационных системах

Борисов Дмитрий Александрович, кандидат экономических наук, эксперт Федеральной антимонопольной службы России по развитию конкуренции в здравоохранении и образовании

Проверка ФСБ медицинской организации на предмет информационной безопасности систем обработки персональных данных. Модель угроз. Программно-аппаратные средства защиты

Борисов Д.А.


Выделить главное вкл выкл

Обновление материала, перейти к содержанию

16.06.2025. Добавлен раздел 7 "Нарушение требований о защите информации в информационных системах  медицинских организаций"

 

Содержание

1. Лицензионное требование о размещении информации в единой системе о деятельности медицинской организации и предоставляемых ею услугах

2. Проверка ФСБ на предмет информационной безопасности систем обработки персональных данных

3. Мероприятия по защите персональных данных, обрабатываемых в информационных системах

4. Требования к специалисту по защите информации в автоматизированных системах

5. Перечень программно-аппаратных средств защиты персональных данных

6. Административная ответственность в сфере защиты персональных данных, обрабатываемых в медицинских информационных системах

6.1 Требования к обработке персональных данных

6.2 Правила защиты информации

6.3 Обеспечения безопасности критической информационной инфраструктуры

6.4 Осуществление медицинской деятельности с нарушением требований и условий, предусмотренных лицензией

7. Нарушение требований о защите информации в информационных системах медицинских организаций

 

Перечень нормативных правовых актов

1. "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ

2. Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

3. Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"

4. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

5. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

6. Постановление Правительства РФ от 09.02.2022 N 140 "О единой государственной информационной системе в сфере здравоохранения"

7. Постановление Правительства РФ от 01.06.2021 N 852 "О лицензировании медицинской деятельности (за исключением указанной деятельности, осуществляемой медицинскими организациями и другими организациями, входящими в частную систему здравоохранения, на территории инновационного центра "Сколково") и признании утратившими силу некоторых актов Правительства Российской Федерации"

8. Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"

9. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

10. Постановление Правительства РФ от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

11. Постановление Правительства РФ от от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"

12. Постановление Правительства РФ от 26.06.1995 N 608 "О сертификации средств защиты информации"

13. Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"

14. Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"

15. Приказ ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования"

16. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

17. Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

18. Приказ ФСБ России от 19.06.2019 N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"

19. Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

20. Приказ Минздрава России от 31.07.2020 N 785н "Об утверждении Требований к организации и проведению внутреннего контроля качества и безопасности медицинской деятельности"

21. Приказ Минздрава России от 24.12.2018 N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций"

22. Приказ Министерства труда и социальной защиты РФ от 15.09.2016 N 522н "Об утверждении профессионального стандарта "Специалист по защите информации в автоматизированных системах"

23. Методический документ "Методика оценки угроз безопасности информации", утв. ФСТЭК России 05.02.2021

24. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения, утв. Минздравом России 05.04.2021, согласованы ФСТЭК России (письмо от 14.10.2020 № 240/82/1904дсп)

 

1. Лицензионное требование о размещении информации в единой системе о деятельности медицинской организации и предоставляемых ею услугах

В соответствии с подпунктом "е" пункта 6 положения о лицензировании медицинской деятельности, утв. Постановление Правительства РФ от 01.06.2021 N 852 (вступило в силу 01.09.2021), лицензионным требованием, предъявляемым к лицензиату при осуществлении им медицинской деятельности, является размещение информации в единой системе в соответствии со статьей 91.1 Федерального закона "Об основах охраны здоровья граждан в Российской Федерации" и Положением о единой государственной информационной системе в сфере здравоохранения посредством медицинской информационной системы медицинской организации, соответствующей установленным требованиям, или (в случае если государственная информационная система в сфере здравоохранения субъекта Российской Федерации обеспечивает выполнение функций медицинской информационной системы медицинской организации) посредством государственной информационной системы в сфере здравоохранения субъекта Российской Федерации, соответствующей установленным требованиям, или посредством иной информационной системы, предназначенной для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинской организации и предоставляемых ею услуг.

Требования к медицинским информационным системам содержатся в статье 91 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее - закон N 323-ФЗ), постановлении Правительства Российской Федерации от 05.05.2018 N 555 "Об утверждении Положения о единой государственной информационной системе в сфере здравоохранения" (далее - постановление N 555, утратило силу в связи принятием Постановления Правительства РФ от 09.02.2022 N 140 "О единой государственной информационной системе в сфере здравоохранения" - прим. авт.), приказах Минздрава России от 24.12.2018 N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций" (далее - приказ N 911н), от 31.07.2020 N 785н «Об утверждении Требований к организации и проведению внутреннего контроля качества и безопасности медицинской деятельности"» (далее - приказ N 785н) и др. Суть требований о размещении сведений состоит в передаче в течение суток в единую государственную информационную систему в сфере здравоохранения (далее - ЕГИСЗ) записей электронных медицинских карт, подписанных электронно-цифровой подписью (далее - ЭЦП).

 

2. Проверка ФСБ на предмет информационной безопасности систем обработки персональных данных

Рассмотрим представление ФСБ России, Управление по ..., 31.03.2021 № __, Директору ООО об устранении причин и условий, способствовавших совершению административного правонарушения.

Руководствуясь статьей 29.13 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ), УФСБ России по ... обращает Ваше внимание на то, что в ООО выявлены нарушения требований законодательных и иных нормативных актов Российской Федерации о персональных данных, задокументированные протоколом об административном правонарушении от 12.03.2021 № __.

В этой связи, 27.03.2021 по результатам рассмотрения дела об административном правонарушении № __, лицо, ответственное за обеспечение безопасности персональных данных в медицинской организации - директор ООО подвергнут административному наказанию в виде штрафа по ч. 6 ст. 13.12 КоАП РФ (от одной тысячи до двух тысяч рублей — прим. автора).

Как следует из материалов дела об административном правонарушении, в информационной системе персональных данных ООО осуществляется автоматизированная обработка персональных данных посредством установленных программных средств.

В соответствии с требованиями п.п. 1, 2 и 9 ч. 2 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается, в частности: определением угроз безопасности и применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных; а так же контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Согласно п. 2 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с ч. 5 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Установлено, что в ООО мероприятия по определению угроз безопасности и уровней защищенности персональных данных при их обработке в ИСПДн не проведены, что не позволяет определить достаточность принимаемых организационных и технических мер, составляющих систему защиты персональных данных. Передача персональных данных между филиалами медицинского учреждения, т. е. от ООО к ООО-2 и обратно, в нарушение п. 8.13 Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», осуществляется по открытому каналу связи в сети «Интернет».

Причинами, способствовавшими совершению указанного административного правонарушения, явилось ненадлежащее исполнение в медицинской организацией требований к защите информации, в частности, защите персональных данных при их обработке в информационных системах персональных данных, установленных ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Требования № 1119), Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Условием, способствовавшим совершению указанного административного правонарушения, явилась недостаточная организация работы по выполнению требований, установленных вышеуказанными нормативно-правовыми актами.

Для устранения причин и условий, способствовавших совершению административного правонарушения, необходимо:

- осуществить мероприятия, предусмотренные ст.ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 7 Требований №1119, по определению уровней защищенности персональных данных при их обработке в ИСПДн (т. н. «бумажная безопасность», включая разработку модели угроз и других локальных актов — прим. автора);

- обеспечить применение в медицинской организации при обработке персональных данных в ИСПДн средств защиты информации, предусмотренных Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 11.02.2013 №17, приказом ФСТЭК России от 18.02.2013 № 21, для соответствующего уровня защищенности: посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных при взаимодействии информационной системы или отдельных ее сегментов с иными информационными системами и информационно-телекоммуникационными сетями (перечень оборудования и программ, рекомендованных ФСБ для защиты данных см. далее — прим. автора);

- принять меры по недопущению последующих нарушений требований российского законодательства о персональных данных, обеспечить надлежащий контроль за их соблюдением в медицинской организации.

Непринятие мер по устранению причин и условий, способствующих совершению административного правонарушения, может повлечь за собой административную ответственность по ст. 19.6 КоАП РФ (влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей — прим. автора).

Предлагается рассмотреть представление и в месячный срок со дня его получения сообщить о принятых мерах в УФСБ России по ... краю.

Начальник подразделения УФСБ России по ... краю, полковник

Представление получил(а) и ознакомлен(а): __.

Для выполнения указанных требований проверяющим было рекомендовано:

- обратиться к организации, имеющей лицензии, на проведение соответствующих работ по разработке информационных систем защищенных с использованием шифровальных (криптографических) средств (см. Постановление Правительства РФ от 16.04.2012 N 313) и по технической защите конфиденциальной информации (см. Постановление Правительства РФ от от 03.02.2012 N 79) или;

- привлечь на основании трудового договора специалиста в соответствии с Приказом Министерства труда и социальной защиты РФ от 15.09.2016 N 522н "Об утверждении профессионального стандарта "Специалист по защите информации в автоматизированных системах" а также;

- установить перечень программно-аппаратных средств защиты персональных данных, рассмотренный далее.

 

Доступ ограничен

Доступ ограничен для неавторизованных пользователей

Для авторизации, выберите в верхнем меню пункт ВХОД, нажмите ссылку ВОЙТИ. Далее следуйте инструкциям

Подробнее см. процедуру авторизации

выбор редакции

только для участников
Материал обновлен 19.05.2025. Краткая инструкция по основам электронного документооборота
19 Мая 2025

читать
новость
Материал обновлен 15.02.2025. Оценка применения стандартов медицинской помощи и клинических рекомендаций
15 Февраля 2025

читать
только для участников
Материал обновлен 14.02.2025. Проверки медицинских организаций частной системы здравоохранения, не передающих электронные медицинские документы в РЭМД ЕГИСЗ
14 Февраля 2025

читать
новость
Материал обновлен 03.02.2025. Статья 238 УК РФ не распространяется на врачей в части оказания услуг, не отвечающих требованиям безопасности
03 Февраля 2025

читать
информация
Контакты НАМО. Подпишитесь на официальный канал НАМО в Телеграм
01 Января 2025

читать
новость
Итоги Премии Ассоциации юристов медицинских клиник: В Медицине по Праву, 2024
25 Декабря 2024

читать
новость
Благодаря НАМО Правительство Тюменской области увеличило долю затрат на медицинскую помощь по ОМС, оказанную негосударственными организациями, до 10 %
12 Июля 2024

читать
новость
Ответ Минздрава по вопросу найма врачей и лицензирования медицинской деятельности индивидуальными предпринимателями
05 Июня 2024

читать
статья
Материал обновлен 27.05.2024. Юридические основы, возможности и перспективы использования телемедицинских технологий
27 Мая 2024

читать
 
16 и 17 октября | Семинар в Москве

Ответственность за утечку сведений о состоянии здоровья в 2025 году

читать
 
 
Подпишитесь

Канал НАМО в Телеграм

читать
 
2025 год | План мероприятий

XXI-й Форум во Владимире
II-я Медико-правовая конференция, семинары

читать
 
информационный ресурс

для частных медицинских организаций

читать
 
Частное здравоохранение

центр стратегических инициатив

читать
 
практические консультации

правовые аспекты медицинской деятельности

читать

Продолжая просматривать страницы сайта и (или) нажав "Согласен", Вы даете согласие и подтверждаете, что ознакомлены с политикой обработки персональных данных и текстом согласия на обработку персональных данных.