Журнал "Information Security/ Информационная безопасность" #1, 2022

По уровню информатизации медицин- ские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их). Однако разнообразие информацион- ных систем рождает неоднородность подходов к защите информации, фраг- ментарность использования СЗИ. Выступая с докладом на SOC-форуме, Александр Дубасов, советник директо- ра ФГБУ ЦНИИОИЗ Минздрава России, отметил 1 это как одну из ключевых проблем защиты информационных систем в сфере здравоохранения. Дру- гими проблемами остаются неполнота организационных мер защиты инфор- мации, отсутствие подтверждения соот- ветствия требованиям информационной безопасности и недостаток специали- стов по защите информации в медуч- реждениях. Между тем киберпреступники начи- нают обращать на организации здра- воохранения все больше внимания. В течение всего 2021 г. доля медицин- ских учреждений в статистике жертв кибератак постоянно росла, с 8% в I квартале до 12% в конце года. Среди жертв программ-шифроваль- щиков медорганизаций больше всего (статистика за III квартал 2021 г.). Хакерская активность может привести к невозможности предоставления медицинских услуг и оказания меди- цинской помощи или оказанию ненад- лежащей медицинской помощи, невоз- можности точного определения диаг- ноза и назначения лечения, а также невозможности обеспечения пре- емственности оказания медицинской помощи. Серьезным последствием будет и неправомерное использование похищенной конфиденциальной меди- цинской информации. Поэтому для любой медицинской орга- низации важно не только построить ком- плексную систему информационной без- опасности, обеспечивающую соответ- ствие требованиям регуляторов, но и своевременно обнаруживать и пред- отвращать угрозы информационной без- опасности, не допуская утечек инфор- мации и остановки деятельности меди- цинских информационных систем. Соответствие требованиям по информационной безопасности в медицинских организациях Первоначально понятие "врачебная тайна" было определено еще в законе "Основы законодательства Российской Федерации об охране здоровья граж- дан" от 1993 г. Устанавливались гаран- тии конфиденциальности и запрет на разглашение сведений о здоровье гражданина. На смену ему был принят 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (дей- ствует на момент публикации), в кото- ром добавлялась обязанность медуч- реждений соблюдать законодательство о персональных данных при обработке врачебной тайны. А 152-ФЗ "О персо- нальных данных" особо отмечает, что сведения о состоянии здоровья могут обрабатываться только в определенных случаях. Конкретные требования информацион- ной безопасности к медицинским учреж- дениям можно разделить на три группы. Законодательство о персональных данных Постановление Правительства РФ № 1119 определяет правила категори- рования информационных систем, в которых обрабатываются данные о здо- ровье субъекта персональных данных, – не слабее 3-го уровня защищенности. Приказ ФСТЭК России № 21 перечис- ляет технические и организационные меры защиты для таких информацион- ных систем. Медицинские и государственные информационные системы Приказ Министерства здравоохране- ния РФ № 911н и постановление Прави- тельства РФ № 1236 определяют специ- альные требования к медицинским информационным системам медицин- ской организации (МИС МО) в виде запрета на допуск иностранной продук- ции и размещения данных за рубежом. Если медучреждение взаимодействует с государственной информационной системой (ГИС), для защиты этого взаи- модействия будут применяться меры приказа ФСТЭК России № 17. Эти же меры должны также использоваться для интегрированных с МИС МО информа- ционных систем (постановление Прави- тельства РФ № 447 от 12.04.2018). Критическая информационная инфраструктура (КИИ) После введения в действия в 2017 г. 187-ФЗ "О безопасности критической информационной инфраструктуры Рос- сийской Федерации" в случае, если медицинская организация является субъ- ектом критической информационной инфраструктуры и одной из ее инфор- 34 • ТЕХНОЛОГИИ Защита информации в медицинских организациях с помощью решений UserGate о уровню информатизации медицинские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их). Больницы, лаборатории и другие медицинские учреждения оперативно передают друг другу истории болезней, результаты анализов, протоколы лечения и прочую информацию ограниченного доступа. При этом используются различные региональные или федеральные информационные системы, например Единая государственная информационная система в сфере здравоохранения. П Иван Чернов, менеджер по работе с партнерами компании UserGate 1,3 https://soc-forum2021.ib-bank.ru/files/files/Presentations2021/SOC_21_ib-bank_Dubasov.pdf 2 https://cisoclub.ru/usergate-summa-ekosistema-produktov-kiberbezopasnosti/

RkJQdWJsaXNoZXIy Mzk4NzYw